Istilah-Istilah Penting
• Perencanaan Audit Intern Berbasis Risiko merupakan metodologi yang menghubungkan audit intern
dengan kerangka manajemen risiko keseluruhan organisasi/instansi pemerintahan
• Acceptable Risk yaitu risiko yang dapat diterima karena dampaknya masih dalam batas yang dapat diterima.
• Risk Appetite yaitu tingkat Risiko yang bersedia diambil instansi dalam upayanya mewujudkan tujuan dan
sasaran yang dikehendaki.
• Faktor Risiko atau pertimbangan manajemen adalah kondisi atau kriteria yang sangat memiliki
keterkaitan hubungan antara risiko dan konsekuensinya terhadap pencapaian tujuan.
• Profil Risiko adalah sebuah gambaran risiko gabungan pada satuan kerja, proses bisnis maupun aspek
tertentu dengan mempertimbangkan dampak, kemungkinan, dan keterkaitannya terhadap
pencapaian tujuan.
• Audit Universe adalah peta komprehensif tentang daftar sasaran pengawasan dan berbagai variable
terkait sasaran pengawasan, menyangkut kepentingan pengawasan intern yang dibangun oleh auditor
berkenaan dengan seluruh proses pengawasan intern dan sesuai dengan tujuan pengawasan intern. Audit
Universe yang dimaksud merupakan daftar satuan kerja yang diurutkan sesuai dengan prioritas risikonya.
• Auditable Unit adalah suatu subjek, unit atau sistem yang dapat didefinisikan dan dievaluasi. Auditable
unit dapat meliputi proyek, bagian, proses, entitas, fungsi atau lainnya yang mengandung risiko dan dapat
dijadikan dasar untuk pendekatan audit.
TAHAPAN PIBR
APIP-
Penilaianrisk
maturity • Tahap I
unitorganisasi
APIP-Menetapkan risiko
dan audit universe dan • Tahap
menyusun rencana II
pengawasan tahunan
• Taha
p III
APIP-audit individual,
dapat feedback,
lapor hasil
pengawasan
Sumber: Per Kepala BPKP No. 6 Tahun 2018 tentang Pedoman Pengawasan Intern
Berbasis Risiko
Register
INPUT
Risiko
Manajemen
Register
Risiko
Manajemen
PROSES
OUTPUT
1 Risk Initial Sudah ada manajemen risiko namun masih sangat lemah.
Enable
dinilai. Semua manajer memberikan
Adanya Reviu risiko secara teratur jaminan terhadap efektivitas Assurance
Respon telah sesuai manajemen risiko dan penilaian kinerja
untuk mengelola risiko manajemen risiko
Terdapat pengendalian tetapi tidak Sedikit atau kurang adanya Maka audit menggunakan
terkait dengan risiko monitoring pendekatan konsultasi untuk
memperkenalkan RM hingga
tercapainya Defined. Maka perlu
Terdapat pengendalian tetapi Sangat kecil monitoring, jika dikembangkan Audit dengan
Naïve
- Penilaian Management risk mature merupakan tahap krusial untuk menentukan pendekatan yang dig unakan
dalam tahapan perencanaan PIBR.
- Jika maturitas penerapan manajemen risiko masih lemah maka informasi yang dihasilkan berupa ide ntifikasi
risiko, analisis risiko dan penanganannya belum sepenuhnya dapat diandalkan sebagai mas ukanjinput dalam
tahap perencanaan maupun dalam pelaksanaan. (APIP perlu mendorong penerap an MR)
- Secara substansi, penyelenggaraan SPIP secara utuh (implementasi terhadap 5 unsur) serupa deng an kerangka
kerja dan proses implementasi manajemen risiko sebagaimana dimaksud dalam SNI IS O-31000. Oleh
karenanya untuk mengukur tingkat kematangan manajemen risiko pada K/L/P dapat menggunakan hasil
penilaian maturitas SPIP pada K/L/P.
- Unsur penilaian maturitas SPIP diantaranya meliputi unsur penilaian risiko, aktivitas pengendalian se rta
pemantauan secara berkelanjutan dan terdokumentasi. Unsur-unsur tersebut merupakan bagian dari proses
manajemen risiko SNI ISO-31000, sehingga penilaian maturitas SPIP relevan diguna kan untuk
menilai kematangan penerapan manajemen risiko
(Sumber: Per Kepala BPKP No. 6 Tahun 2018 tentang Pedoman Pengawasan Intern Berbasis Risiko)
Pertanyaan yang Perlu Terjawab dalam Tahap I
2. Apakah semua RR, IKU dalam Perkin, Renstra dan Renja UPR
Tahun 2020 diperoleh dan dianalisis serta evaluasi?
18
Alur Pengawasan Asurans Itjen
19
PRINSIP-PRINSIP
PERENCANAAN
PENGAWASAN
1. Perencanaan pengawasan harus berbasis risiko dan fokus pada proses tata
kelola, manajemen risiko, dan pengendalian internal.
2. Perencanaan pengawasan harus memberikan nilai tambah
bagi pencapaian tujuan organisasi.
3. Itjen harus berkolaborasi/berkonsultasi dengan
Menteri Keuangan/pimpinan unit eselon I.
4. Itjen harus mampu menunjukkan pertimbangan profesional, keahlian,
dan pengalamannya.
5. Itjen harus memperoleh pemahaman yang baik atas kekuatan
dan kelemahan profil risiko dan pengendalian intern organisasi.
20
PRINSIP-PRINSIP
PERENCANAAN
PENGAWASAN
5. Itjen harus berkoordinasi dan bekerja sama dengan APIP
K/L/Pemda.
6. Itjen harus mengalokasikan sumber daya untuk kegiatan
audit dengan tujuan tertentu, selain untuk kegiatan audit
berbasis risiko dan cyclical audit.
7. Itjen bertanggung jawab atas pelaksanaan pemantauan tindak
lanjut hasil pengawasan.
8. Auditor harus menjaga kompetensi profesionalnya.
9. Penyusunan Kebijakan Pengawasan dan PKPT harus
mengikuti tahun anggaran.
10.Kebijakan Pengawasan dan PKPT harus direviu setiap tahunnya.
21
IDENTIFIKASI SEMESTA PENGAWASAN (AUDIT UNIVERSE) DAN
AREA PENGAWASAN
• Semesta pengawasan: seluruh area yang berada dibawah pengendalian dan
kewenangan Menteri Keuangan.
22
Dalam Peta Proses Bisnis, terdapat empat tingkatan, yaitu:
23
Contoh Peta Proses Bisnis Lv. 0 - Itjen
25
TAHAPAN
Pe 0 1 0 2 0 3
nyus
Audit Universe
unan
Id & Updating
entif
Pengawasan
PeArea nilai
ikasi
Pengawasan
an Risiko Area
Unit Penggunaan
Organisasi. profil risiko auditi.
Program. Perhitungan nilai risiko komposit.
Proses Bisnis.
Pe 0 4 0 5 0 6
Heat Map
nyus unan
Pe nilai an Pe nyus
- Dilengkapi - Koordinasi
dengan dengan UKI.
dokumen
pendukung 26
01
Penyusunan
Contoh: audit universe berdasarkan proses bisnis.
No. Proses Bisnis
Level 0
Proses Bisnis
Level 1
Proses Bisnis Level 2 Proses Bisnis Level 3
27
No Area Pengawasan Deskripsi Singkat
02
Identifikasi
Area
1.
2.
3.
Proses Bisnis A.1.a
Proses Bisnis B
Proses Bisnis C
Proses Bisnis A.1.a adalah kegiatan mengenai ...
Proses Bisnis B adalah kegiatan mengenai ...
Proses Bisnis C adalah kegiatan mengenai ...
28
03
Penilaian
Area Pengawasan 1: Proses Bisnis A.1.a
Kemungkina
Deskripsi
Dampak
Risiko
Kategori
Besara
Risiko Area
Level
Level
No. Risiko / LDK LKK BRK
n
Pengawasan Risiko
n
Kejadian
1. Kategori 1 Risiko 1 4 3 17 1,33 1,13
Risiko area pengawasan 2. Kategori 1 Risiko 2 3 3 14 0,75 1,13
diperoleh dari hasil analisis
pemetaan risiko organisasi 3. Kategori 2 Risiko 3 5 2 21 2,08 0,5
dengan proses bisnis
organisasi yang ditetapkan Jumlah 12 8 4,17 2,75 22
menjadi area pengawasan.
Kategori Risiko : Diisi dengan Kategori Risiko sesuai dengan Peraturan Menteri Keuangan tentang Manajemen Risiko. Dapat
berupa Risiko Fiskal, Risiko Kebijakan, Risiko Kepatuhan, Risiko Legal, Risiko Fraud, Risiko Reputasi, dan Risiko
Operasional.
LDK : LDK = (LD x LD) / Σ LD
(Level Dampak Komposit) Contoh pada nomor 1: LDK = (4 x 4)/12 = 1,33.
BRK : Caranya adalah dengan melihat jumlah nilai Level Dampak Komposit dan Level Kemungkinan Komposit
(Besaran Risiko Komposit) selanjutnya melihat nilai kombinasi keduanya pada Matriks Analisis Risiko.
Contoh: Kombinasi LDK 4,17 dan LKK 2,75 = 22.
29
KMK-845/KMK.01/2017
30
0 Penyusunan
Heat Map
Heat Map
merupakan
gambaran kondisi
area pengawasan
yang
mendeskripsikan
posisi seluruh area
pengawasan dalam
sebuah chart berupa
suatu diagram
kartesius.
31
0 Penilaian Pemberian nilai Custom Measures harus dilengkapi
Custom dengan dokumen pendukung.
Measures
Pemeriksaan
Pengawasan
Pelaksanaa
Eskternal/
Dilakukan
Komposit
Pimpinan
Terjadiny
Terakhir
Internal
Potensi
a Fraud
Arahan
Pihak
Hasil
Risk
n
1. Proses Binis 22 3 2 2 2 31
A.1.a
2. Proses Bisnis B 16 2 1 2 1 22
3. Proses Bisnis C 12 1 1 2 3 19
4. Proses Bisnis D 22 1 2 3 1 29
dst.
32
Kriteria
Custom Measures
No. Custom Measures Kriteria Nilai
33
Level of Assurance
06
Penyusunan
Assurance Map
Assurance Map disusun oleh
Inspektorat Jenderal berkoordinasi
dengan Unit Kepatuhan Internal
Eselon I untuk mengetahui
Untuk dapat memberikan keyakinan yang
memadai kepada pemimpin organisasi kegiatan assurance yang dilakukan
dan pemangku kepentingan lainnya oleh manajemen dan UKI, serta
bahwa risiko-risiko telah dikelola dan menetapkan kegiatan assurance
dilaporkan secara memadai, maka yang akan dilakukan oleh
hubungan antara level risiko, kegiatan manajemen, UKI dan/atau
assurance dan level of assurance dapat Inspektorat Jenderal
dilihat pada Gambar berikut:
PROSES PROSES PROSES PROSES dst.
BISNIS A.1.a BISNIS B BISNIS C BISNIS D
: Manajemen
: UKI
: Inspektorat Jenderal
34