i
BAB I
PENDAHULUAN
1
Praktik profesional dengan pendekatan pengawasan intern berbasis risiko
tersebut sejalan dengan standar audit yang ditetapkan oleh Asosiasi Auditor
Intern Pemerintah Indonesia (AAIPI).
A. Landasan Hukum
2
9. Peraturan Kepala BPKP Nomor PER-1390/K/SU/2011 tentang Desain
Penyelenggaraan Sistem Pengendalian Intern Pemerintah (SPIP) Badan
Pengawasan Keuangan dan Pembangunan;
10. Peraturan Kepala BPKP Nomor PER-1393/K/SU/2011 tentang Pedoman
Penyelenggaraan Sistem Pengendalian Intern Pemerintah (SPIP) pada
Perwakilan Badan Pengawasan Keuangan dan Pembangunan;
11. Peraturan Kepala BPKP Nomor PER-688/K/D4/2012 tentang Pedoman
Pelaksanaan Penilaian Risiko di Lingkungan Instansi Pemerintah;
12. Peraturan Kepala BPKP Nomor 24 Tahun 2013 tentang Pedoman Pelaksanaan
Control Self Assesment untuk Penilaian Risiko;
13. Peraturan Kepala BPKP Nomor 6 Tahun 2015 tentang Grand Design Peningkatan
Kapabilitas Aparat Pengawasan Intern Pemerintah Tahun 2015–2019;
14. Peraturan Kepala BPKP Nomor 12 Tahun 2015 tentang Pedoman Asistensi
Penyusunan Rencana Tindak Pengendalian Penyajian Laporan Kinerja Pemerintah
Daerah;
15. Peraturan Kepala BPKP Nomor 16 Tahun 2015 tentang Pedoman Teknis
Peningkatan Kapabilitas Aparat Pengawasan Intern Pemerintah.
16. Peraturan Kepala BPKP Nomor 4 Tahun 2016 tentang Pedoman Penilaian dan
Strategi Peningkatan Maturitas Sistem Pengendalian Intern Pemerintah.
3
C. Ruang Lingkup Pedoman
D. Sistematika Pembahasan
Sistematika dalam Pedoman Pengawasan Intern Berbasis Risiko ini adalah sebagai
berikut:
Bab I : Pendahuluan
Bab ini membahas latar belakang, landasan hukum, tujuan dan manfaat
pedoman, ruang lingkup pedoman, serta sistematika pembahasan.
Bab II : Penilaian Maturitas Manajemen Risiko
Bab ini membahas pengertian dalam penilaian maturitas MR, langkah-
langkah penilaian dan dokumentasi yang diperlukan.
Bab III : Penyusunan Audit Universe
Bab ini membahas pengertian dalam penyusunan audit universe,
langkah-langkah penyusunan audit universe, penetapan prioritas area
pengawasan terpilih /auditable units dan dokumentasi yang diperlukan.
Bab IV : Penyusunan Program Kerja Pengawasan Tahunan (PKPT)
Bab ini membahas pengertian-pengertian dalam penyusunan PKPT,
langkah-langkah penyusunan PKPT dan dokumentasi yang diperlukan.
4
BAB II
PENILAIAN MATURITAS MANAJEMEN RISIKO
A. Pengertian
5
dokumen, dan observasi, serta menuangkannya dalam format penilaian tingkat
kematangan manajemen risiko sebagai berikut:
6
Skor
No. Uraian Dokumen Wawancara Observasi
(0-2)
dan mengelolanya.
14 Pimpinan memberikan jaminan √ √
efektivitas pengelolaan risiko
15 Pimpinan dinilai kinerjanya dalam √ √
mengelola risiko
Jumlah
Keterangan Skor :
1 : Tidak ada
2 : Ada hanya sebagian atau belum diterapkan
3 : Ada dan telah di implementasikan
5 Optimum 5 Optimized 5
Keterangan:
7
a. Non-existent/Belum ada, berarti organisasi belum menjalankan praktik
manajemen risiko.
b. Initial/Rintisan, berarti organisasi sudah ada manajemen risiko, namun
masih sangat lemah. Belum nampak adanya komitmen manajemen, baik
terhadap pembangunan maupun penerapan manajemen risiko. Selain
itu, terdapat indikasi pengendalian intern organisasi belum memadai.
c. Repeatable/Berkembang, berarti organisasi relatif sudah membangun
manajemen risiko, tetapi belum diterapkan atau penerapannya belum
memadai. Selain itu, pengendalian intern organisasi belum berjalan
dengan baik.
d. Defined/Terdefinisi, berarti organisasi relatif sudah membangun
manajemen risiko, namun penerapannya masih banyak kelemahan.
Pengendalian intern organisasi sudah relatif berjalan baik.
e. Managed/Terkelola, berarti organisasi sudah membangun manajemen
risiko dan telah diterapkan dengan baik, meskipun masih terdapat
beberapa kelemahan dalam pelaksanaannya. Pengendalian intern
organisasi juga relatif telah memadai.
f. Optimised/Optimum, berarti organisasi sudah membangun manajemen
risiko dan telah diterapkan dengan baik. Pengendalian intern organisasi
juga relatif telah memadai.
C. Dokumentasi
8
BAB III
PENYUSUNAN AUDIT UNIVERSE
A. Pengertian
1. Audit universe atau semesta audit adalah daftar semua kemungkinan audit
yang dapat dilakukan atas entitas‐entitas audit (auditable units). Audit universe
memuat sejumlah entitas/unit organisasi yang diaudit.
2. Auditable unit adalah bagian dari organisasi, yang baik secara nyata maupun
potensial, dapat mengandung risiko pada tingkatan yang memerlukan adanya
pengendalian dan audit. Jenis auditable unit dapat berupa bagian unit
organisasi, unit pemilik risiko, proyek, kegiatan dan aset organisasi atau satuan
lain yang memiliki tujuan/sasaran, pemilik risiko, ukuran (seperti jumlah SDM,
anggaran).
3. Risk appetite atau selera risiko adalah tingkat risiko yang diinginkan dan dapat
diterima pimpinan organisasi terhadap suatu pencapaian tujuan organisasi.
4. Risk tolerance atau toleransi risiko adalah ukuran yang mencerminkan
varian/perbedaan yang dapat diterima pimpinan organisasi antara hasil atau
capaian dengan target yang ditetapkan oleh organisasi.
5. Inherent risk atau risiko melekat/inheren adalah tingkat risiko sebelum adanya
aktivitas pengendalian terhadap risiko dimaksud.
6. Residual risk atau risiko sisa/residual adalah tingkat risiko setelah
diterapkannya aktivitas pengendalian terhadap risiko dimaksud.
Pendekatan yang dapat digunakan untuk menyusun audit universe adalah:
Contoh pendekatan dalam penyusunan Audit Universe
a. Struktur organisasi unit : Kementerian/Lembaga/Pemda, Unit Es. 1/Es. 2/Es. 3/Es.
kerja 4, urusan, satuan kerja/organisasi perangkat daerah, dan
lain-lain.
b. Proyek/investasi : pembangunan fisik, sarana prasarana, pengembangan
sistem, pengembangan produk, dan lain‐lain.
c. Program/Kegiatan : pelaksanaan tugas, unit usaha, fungsi, proses, termasuk
kegiatan lintas unit/lintas sektoral.
9
d. Aset : aset berbentuk fisik, kas, informasi, sumber daya
organisasi, dan lain‐lain.
10
Catatan: Area pengawasan harus memiliki tujuan/target, ukuran (seperti
jumlah SDM, anggaran) dan ruang lingkup yang dapat dijadikan obyek
kegiatan pengawasan.
2) Lengkapi informasi setiap entitas dalam daftar auditable unit, misalnya nilai
anggaran, waktu audit terakhir, hasil pemeriksaan BPK (jumlah dan nilai
temuan), jenis pengawasan, dan informasi penting lainnya.
2. Menyusun auditable units
Setelah daftar seluruh auditable unit telah disepakati dan ditetapkan, langkah
selanjutnya adalah melengkapi setiap auditable units dengan informasi mengenai
besaran risiko komposit dan menyusun auditable units berdasarkan besaran nilai
risiko komposit masing-masing auditable units.
Langkah Kerja dalam penyusunan area pengawasan:
1) Dapatkan register risiko yang memuat hasil asesmen/penilaian risiko
termutakhir, yaitu hasil penilaian risiko periode semester ganjil Y-1
(semester terakhir sebelum periode PKPT).
Register risiko harus memuat informasi mengenai nama risiko
teridentifikasi, hasil penilaian risiko baik nilai dampak maupun nilai
kemungkinan terjadinya serta unit pemilik risiko atas setiap
kegiatan/proyek/aktivitas insidentil atau tematik lainnya pada Unit Kerja
yang ditetapkan menjadi level area pengawasan.
2) Pemilahan risiko teridentifikasi.
Pemilahan risiko bertujuan agar APIP dapat mengidentifikasi risiko-risiko
yang akan menjadi area pengawasan APIP dan risiko-risiko yang bukan
merupakan area pengawasan APIP. Risiko yang diperhitungkan untuk
menjadi area pengawasan adalah risiko-risiko yang berada di atas toleransi
risiko yang ditetapkan auditee.
APIP memisahkan risiko-risiko dalam register risiko yang masih dalam
batas toleransi untuk memperoleh risiko-risiko yang menjadi concern APIP
dalam menjalankan fungsi pengawasannya dan menjadi lingkup
pengawasan.
11
3) Pengelompokkan risiko teridentifikasi berdasarkan level area pengawasan
yang telah ditetapkan sebelumnya.
Setiap K/L memiliki pertimbangan dan kekhasan tersendiri dalam
menyajikan informasi pada register risiko. Dalam hal register risiko yang
disusun K/L belum menggambarkan kelompok risiko teridentifikasi menjadi
satuan yang dapat menjadi auditable unit sesuai dengan level area
pengawasan yang telah ditetapkan sebelumnya maka untuk memudahkan
dalam menyusun audit universe (semesta audit) dan menghindari adanya
duplikasi risiko dalam auditable unit yang sama, APIP perlu melakukan
pengelompokkan (clustering) atas risiko teridentifikasi dalam register risiko.
4) Hitung nilai risiko komposit dari masing-masing auditable unit.
Setelah risiko teridentifikasi dalam risk register dapat dikelompokkan
berdasarkan level area pengawasan yang telah ditetapkan sebelumnya,
maka langkah selanjutnya adalah menghitung nilai risiko komposit untuk
masing-masing auditable unit. Besaran risiko komposit merupakan hasil
penghitungan nilai risiko gabungan pada suatu auditable unit. Metode
dalam menghitung nilai risiko masing-masing auditable unit sesuai dengan
kebijakan manajemen risiko masing-masing APIP K/L.
Contoh proses penghitungan Besaran Risiko Komposit disajikan dalam
bentuk tabel seperti pada berikut:
Penilaian Risiko Komposit
Area Pengawasan : 4 Area Pengawasan
Jumlah risiko : 10 nama risiko
12
Besaran Risiko : Diisi dengan nilai setiap risiko yang diperoleh berdasarkan nilai
hasil perpotongan antara level dampak dan level kemungkinan
berdasarkan matriks analisis risiko.
Rata-rata Level Dampak : RLD = rata-rata nilai dampak pada area pengawasan yang
(RLD) diperoleh dari hasil perhitungan jumlah seluruh nilai dampak dari
risiko teridentifikasi dalam setiap area pengawasan dibagi
dengan jumlah risiko dalam setiap area pengawasan (∑LD/n)
Rata-rata Level : RLK = rata-rata nilai keterjadian pada area pengawasan yang
Kemungkinan (RLK) diperoleh dari hasil perhitungan jumlah seluruh nilai keterjadian
dari risiko teridentifikasi dalam setiap area pengawasan dibagi
dengan jumlah risiko dalam setiap area pengawasan (∑LK/n)
BRK (Besaran Risiko : Caranya adalah dengan melihat jumlah nilai Rata-rata Level
Komposit) Dampak (RLD) dan Rata-rata Level Kemungkinan (RLK);
selanjutnya melihat nilai kombinasi keduanya pada Matriks
Analisis Risiko
Level Dampak
Matriks Analisis Risiko 1 2 3 4 5
Tidak Sangat
5x5 Minor Moderat Signifikan
Signifikan Signifikan
Kemungkinan
Hampir Pasti
5 9 15 18 23 25
Terjadi
4 Sering Terjadi 6 12 16 19 24
3 Kadang Terjadi 4 10 14 17 22
13
2 Jarang Terjadi 2 7 11 13 21
Hampir Tidak
terjadinya Risiko
1 1 3 5 8 20
Terjadi
14
Langkah kerja penyusunan prioritas pengawasan:
1) Lakukan komunikasi dengan Pimpinan dan atau manajer kunci K/L untuk:
(1) mengidentifikasi faktor-faktor pertimbangan manajemen dalam
menetapkan prioritas pengawasan serta memformulasikan kriteria
penilaian faktor-faktor pertimbangan manajemen yang dipilih tersebut.
(2) Menyampaikan Heat Map tingkat risiko setiap auditable unit yang telah
disusun untuk memperoleh masukan dan menjadi pertimbangan
manajemen dalam menyusun faktor pertimbangan manajemen.
Catatan:
- FGD menjadi media yang digunakan APIP untuk memperoleh
pertimbangan pimpinan kunci K/L dalam rangka penyusunan
Perencanaan Pengawasan Tahunan.
- Pertimbangan manajemen mengacu pada faktor-faktor pertimbangan
serta kriteria penilaiannya yang disusun bersama antara Pimpinan K/L
dan APIP.
15
3) Lakukan penilaian atas setiap area pengawasan dengan menggabungkan
nilai risiko komposit dengan nilai faktor-faktor pertimbangan manajemen
untuk mendapatkan skor akhir atas peringkat area pengawasan.
Contoh Faktor Pertimbangan Manajemen yang dapat digunakan dalam
penilaian antara lain:
a. Management concern/arahan pimpinan
b. Potensi terjadinya fraud risk
c. Dukungan terhadap kepentingan stakeholder utama (Presiden)
d. Kontribusi terhadap capaian Indikator Kinerja Utama K/L
e. Keterkaitan dengan isu terkini.
Catatan:
- Penilaian Faktor Pertimbangan Manajemen dengan menggunakan atau
berdasarkan kriteria penilaian untuk setiap tingkat/skala prioritas.
Auditor Internal, dengan mempertimbangkan masukan dari pimpinan
kunci, mengidentifikasi dan mendefinisikan penetapan faktor
pertimbangan manajemen, kriteria ukuran penilaian dan rentang skala
prioritasn yang digunakan.
- Untuk menilai Faktor Pertimbangan Manajemen menggunakan
dokumen pendukung.
Contoh Penilaian Prioritas Area Pengawasan
16
4) Berkoordinasi dengan manajemen untuk menetapkan level assurance atas
area pengawasan berdasarkan penilaian tingkat prioritas area pengawasan
dengan menggunakan matriks risiko dalam tabel prioritas audit.
Catatan:
a. Level assurance ditetapkan sesuai dengan konsep 3 lines of defence.
b. Pembagian area pengawasan:
- Area pengawasan APIP : Prioritas Utama dan Tinggi.
C. Dokumentasi
17
BAB IV
PENYUSUNAN PROGRAM KERJA PENGAWASAN TAHUNAN (PKPT)
A. Pengertian
Tim
Auditable Jenis Nama H RM
No RMP Pelaksan Dana Ket
Unit Pengawasan Penugasan P L
a
18
2. Sesuaikan jumlah area pengawasan terpilih yang akan dimasukkan kedalam
PKPT dengan alokasi sumber daya yang dimiliki oleh APIP. Alokasi sumber
daya untuk area pengawasan yang ditetapkan, maksimal sebesar 80% dari
sumber daya tersedia. Sumber daya yang tidak dialokasikan sebesar 20% akan
digunakan untuk antisipasi adanya permintaan audit yang sifatnya mandatory.
Jika permintaan audit mandatori menyerap lebih dari 20% sumber daya yang
dicadangkan, maka audit mandatori merevisi area pengawasan berdasarkan
urutan prioritas pengawasan dari prioritas terendah
19
Contoh Alokasi Sumber Daya
20
dengan distribusi asli untuk Inspektur, sedangkan salinannya ditujukan kepada
Sekretaris Utama dan arsip.
Berdasarkan PKPT yang tersusun, maka proses perencanaan berikutnya adalah
perencanaan audit individual atas setiap Area Pengawasan Terpilih yang telah
ditetapkan dalam PKPT.
C. Dokumentasi
Dokumen dan formulir yang terkait pada tahapan penyusunan PKPT adalah:
1. Komposisi sumber daya, yang meliputi anggaran, SDM dan waktu.
2. Daftar prioritas audit.
3. Profil area pengawasan terpilih/auditi.
4. Alokasi sumber daya
5. Program Kerja Pengawasan Tahunan.
DAFTAR PUSTAKA
Griffiths, David, 2004, Risk Based Internal Auditing, An Introduction version 3.1.
21
Kamus Besar Bahasa Indonesiapetikan dari https://kbbi.kemdikbud.go.id/ entri/
risiko.
Peraturan Kepala BPKP Nomor 6 Tahun 2015 tentang Grand Design Peningkatan
Kapabilitas Aparat Pengawasan Intern Pemerintah Tahun 2015–2019
22
Peraturan Kepala BPKP Nomor PER-1326/KILB/2009 tentang Pedoman Teknis
Penyelenggaraan Sistem Pengendalian Intern Pemerintah (SPIP)
Peraturan Presiden Nomor 192 Tahun 2014 tentang Badan Pengawasan Keuangan
dan Pembangunan
Pickett Spencer, KH, 2016, Audit Planning - A Risk Based Approach, John Wiley
and Sons, Inc.
23