Penyusunan PKPT Berbasis Risiko

Istilah-Istilah Penting
• Perencanaan Audit Intern Berbasis Risiko merupakan metodologi yang menghubungkan audit intern
dengan kerangka manajemen risiko keseluruhan organisasi/instansi pemerintahan
• Acceptable Risk yaitu risiko yang dapat diterima karena dampaknya masih dalam batas yang dapat diterima.
• Risk Appetite yaitu tingkat Risiko yang bersedia diambil instansi dalam upayanya mewujudkan tujuan dan
sasaran yang dikehendaki.
• Faktor Risiko atau pertimbangan manajemen adalah kondisi atau kriteria yang sangat memiliki
keterkaitan hubungan antara risiko dan konsekuensinya terhadap pencapaian tujuan.
• Profil Risiko adalah sebuah gambaran risiko gabungan pada satuan kerja, proses bisnis maupun aspek
tertentu dengan mempertimbangkan dampak, kemungkinan, dan keterkaitannya terhadap
pencapaian tujuan.
• Audit Universe adalah peta komprehensif tentang daftar sasaran pengawasan dan berbagai variable
terkait sasaran pengawasan, menyangkut kepentingan pengawasan intern yang dibangun oleh auditor
berkenaan dengan seluruh proses pengawasan intern dan sesuai dengan tujuan pengawasan intern. Audit
Universe yang dimaksud merupakan daftar satuan kerja yang diurutkan sesuai dengan prioritas risikonya.
• Auditable Unit adalah suatu subjek, unit atau sistem yang dapat didefinisikan dan dievaluasi. Auditable
unit dapat meliputi proyek, bagian, proses, entitas, fungsi atau lainnya yang mengandung risiko dan dapat
dijadikan dasar untuk pendekatan audit.
TAHAPAN PIBR

APIP-
Penilaianrisk
maturity • Tahap I
unitorganisasi

APIP-Menetapkan risiko
dan audit universe dan • Tahap
menyusun rencana II
pengawasan tahunan

• Taha
p III
APIP-audit individual,
dapat feedback,
lapor hasil
pengawasan

Sumber: Per Kepala BPKP No. 6 Tahun 2018 tentang Pedoman Pengawasan Intern
Berbasis Risiko
Register
INPUT
Risiko
Manajemen

1. Laporan Maturitas SPIP/MR

2. Renstra, RKT
3. Risk register
4. Penilaian Pertimbangan Manajemen
5. Informasi Sumber daya

Register
Risiko
Manajemen
PROSES

1. Penyusunan audit universe

2. Penyusunan Peta Risiko auditable unit
3. Penetapan skala prioritas auditable unit
4. Penyusunan PKPT

OUTPUT

Program Kerja Pengawasan Tahunan (PKPT)

Sumber: Per Kepala BPKP No. 6 Tahun 2018 tentang Pedoman
Pengawasan Intern Berbasis Risiko
 TAHAP I

- APIP melakukan penilaian efektivitas

penerapan manajemen risiko, yang
menghasilkan tingkat kematangan
manajemen risiko yang diterapkan oleh
organisasi, yaitu initial, repeatable,
defined, managed, atau optimised.
- Hasil penilaian tingkat kematangan
manajemen risiko, digunakan sebagai
bahanpertimbangan dalam
Risk Maturity Level menentukan pendekatan pengawasan
Assessment
yang akan digunakan oleh APIP.
LEVEL MATURITAS PENERAPAN MR

Level Kategori Uraian

1 Risk Initial Sudah ada manajemen risiko namun masih sangat lemah.

Organisasi relatif sudah membangun manajemen risiko namun belum

2 Risk Repeatable
diterapkan atau penerapannya belum memadai

Organisasi relatif sudah membangun manajemen risiko namun

3 Risk Defined
penerapannya masih banyak kelemahan
Organisasi sudah membangun manajemen risiko dan telah
4 Risk Managed diterapkan dengan baik meskipun masih terdapat beberapa
kelemahan dalam pelaksanaannya
Organisasi sudah membangun manajemen risiko dan telah
5 Risk Optimized
diterapkan dengan baik
Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit

Level Control Manajemen memonitor bahwa semua

Monitoring Audit Approach
Semua risiko telah teridentifikasi dan respon dilakukan secara tepat.

Enable
dinilai. Semua manajer memberikan
Adanya Reviu risiko secara teratur jaminan terhadap efektivitas Assurance
Respon telah sesuai manajemen risiko dan penilaian kinerja
untuk mengelola risiko manajemen risiko

Manajemen memonitor bahwa semua

Semua risiko telah teridentifikasi dan respon dilakukan secara tepat.
dinilai. Hampir Semua manajer
Manage

Adanya Reviu risiko secara teratur memberikan jaminan terhadap Assurance

Respon telah sesuai efektivitas Manajemen Risiko dan
untuk mengelola risiko penilaian kinerja Manajemen Risiko

Sebagian besar risiko telah

Beberapa bagian Manajemen
teridentifikasi dan dinilai. Adanya
Define

memonitor bahwa semua respon

Reviu risiko secara teratur Respon telah
dilakukan secara tepat Consultancy
sesuai untuk mengelola risiko
Repeatable

Tidak dapat dilakukan RBIA.

Aware/

Terdapat pengendalian tetapi tidak Sedikit atau kurang adanya Maka audit menggunakan
terkait dengan risiko monitoring pendekatan konsultasi untuk
memperkenalkan RM hingga
tercapainya Defined. Maka perlu
Terdapat pengendalian tetapi Sangat kecil monitoring, jika dikembangkan Audit dengan
Naïve

bebarapa pengendalian tidak adapun sangat lemah Faktor Risiko/Pertimbangan

ada atau tidak lengkap Manajemen.
/
 Penyetaraan Nilai
Maturitas SPIP dan MR

- Penilaian Management risk mature merupakan tahap krusial untuk menentukan pendekatan yang dig unakan
dalam tahapan perencanaan PIBR.
- Jika maturitas penerapan manajemen risiko masih lemah maka informasi yang dihasilkan berupa ide ntifikasi
risiko, analisis risiko dan penanganannya belum sepenuhnya dapat diandalkan sebagai mas ukanjinput dalam
tahap perencanaan maupun dalam pelaksanaan. (APIP perlu mendorong penerap an MR)
- Secara substansi, penyelenggaraan SPIP secara utuh (implementasi terhadap 5 unsur) serupa deng an kerangka
kerja dan proses implementasi manajemen risiko sebagaimana dimaksud dalam SNI IS O-31000. Oleh
karenanya untuk mengukur tingkat kematangan manajemen risiko pada K/L/P dapat menggunakan hasil
penilaian maturitas SPIP pada K/L/P.
- Unsur penilaian maturitas SPIP diantaranya meliputi unsur penilaian risiko, aktivitas pengendalian se rta
pemantauan secara berkelanjutan dan terdokumentasi. Unsur-unsur tersebut merupakan bagian dari proses
manajemen risiko SNI ISO-31000, sehingga penilaian maturitas SPIP relevan diguna kan untuk
menilai kematangan penerapan manajemen risiko

(Sumber: Per Kepala BPKP No. 6 Tahun 2018 tentang Pedoman Pengawasan Intern Berbasis Risiko)
 Pertanyaan yang Perlu Terjawab dalam Tahap I

1. Berapa risk maturity level Kemenlu?

2. Apakah semua RR, IKU dalam Perkin, Renstra dan Renja UPR
Tahun 2020 diperoleh dan dianalisis serta evaluasi?

3. Apa saja faktor risiko dalam Pengawasan? dan apakah

telah ditentukan nilai/bobot dari tiap faktor risiko
tersebut?
Faktor risiko
• Faktor risiko/ pertimbangan manajemen yang digunakan yaitu:
• a. Pendapatan
• b. Belanja
• c. Aset
• d. Periode audit terakhir
• e. Hasil pemeriksaan
• f. Perubahan organisasi dan proses bisinis
• g. Penilaian Kinerja
• h. Pengaduan masyarakat
• i. Kerumitan dan mudah berubahnya kegiatan
• j. Informasi dan data
• k. Tindak lanjut
• I. Masa Tugas Kuasa Pengguna Anggaran
• m. Perhatian Pimpinan
• n. Oampak positif bagi Itjen
• o. Oampak positif terhadap pelayanan publiklmasyarakat
• p. Oampak ekonomi
• q. PFK Minu
 Analisis dan Evaluasi
1. RRMasing-masing kelompok
Peserta dibuat 5 atau 6 kelompok.
memegang 1 RR dari UPR;
2. Masing-masing kelompok akan melakukan analisis serta evaluasi
RR dengan dipandu BPKP;
3. Fokus dari evaluasi adalah:
- Kesesuaian tujuan dari Renstra/Renja, IKU dan RR;
- Kelengkapan dan kesesuaian kegiatan dalam renja dengan
yang dituangkan dalam RR;
- Validitas pernyataan risiko, penyebab, risk score dan
Kegiatan pengendalian;
- Kewajaran pemberian nilai atas kemungkinan dan dampak.
4. Setelah itu dibahas dan dikumpulkan.
 TAHAP II

1. Berdasarkan register risiko yang disusun

oleh isasi atau unit kerja serta
diintegrasikan dengan audit universe.
2. Menentukan risiko-risiko yang dipilih
untuk diaudit(auditable unit).
3. Menyusun PKPT berbasis risiko dengan
mempertimbangkan sumber daya yang
tersedia.

A dit Planning Annualy

u
 Pertanyaan yang Perlu Terjawab dalam Tahap II

1. Apakah telah disusun Audit Universe?

2. Apakah telah ditetapkam auditable unit?

3. Apakah telah disusun PKPT berdasarkan auditable unit

dengan mempertimbangkan SDM yang ada?
 Menyusun Audit Universe dan Auditable Unit

1. Operator membuat tabel sebagai berikut.

2. Memasukkan hasil RR yg telah dievaluasi, yaitu kolom
kegiatan, risiko, kemungkinan, dampak dan total risiko;
3. Peserta Bersama-sama menentukan faktor risiko tiap kegiatan;
4. Menghitung nilai total risiko;
5. Menentukan jenis pengawasan;
6. Mengurutkan nilai total risiko terbesar smpai dengan terkecil.
7. Menyusun PKPT;
8. Menyusun Deskripsi Area Pengawasan.
 Menyusun PKPT Berbasis
1. Operator membuat tabel berikut dan mengisinya berdasarkan auditable unit yg telah disusun.
Nilai Risiko Komposit:
 Area Pengawasan 1 = 22
 Area Pengawasan 2 = 15
 Area Pengawasan 3 = 18
 Area Pengawasan 4 = 24
Besaran : Diisi dengan nilai setiap risiko yang diperoleh
Risiko berdasarkan nilai hasil perpotongan antara level
dampak dan level kemungkinan berdasarkan matriks
analisis risiko.
Rata-rata : RLD = rata-rata nilai dampak pada area pengawasan
Level Dampak yang diperoleh dari hasil perhitungan jumlah seluruh
(RLD) nilai dampak dari risiko teridentifikasi dalam setiap
area pengawasan dibagi dengan jumlah risiko dalam
setiap area pengawasan (∑LD/n)
Rata-rata : RLK = rata-rata nilai keterjadian pada area
Level pengawasan yang diperoleh dari hasil perhitungan
Kemungkinan jumlah seluruh nilai keterjadian dari risiko
(RLK) teridentifikasi dalam setiap area pengawasan dibagi
dengan jumlah risiko dalam setiap area pengawasan
(∑LK/n)
BRK (Besaran : Caranya adalah dengan melihat jumlah nilai Rata-
Risiko rata Level Dampak (RLD) dan Rata-rata Level
Komposit) Kemungkinan (RLK); selanjutnya melihat nilai
kombinasi keduanya pada Matriks Analisis Risiko
KOMPONEN PERENCANAAN PENGAWASAN TAHUNAN
INSPEKTORAT JENDERAL

PERENCANAAN PENGAWASAN TAHUNAN

PROGRAM KERJA
KEBIJAKAN PENGAWASAN
PENGAWASAN
TAHUNAN (PKPT)
Pengawasan Audit
Berbasis Risiko Investigasi Dukungan
Konsultasi
Pengawasan

Pertimbangan Inovasi dan peningkatan

RBIA Potensi Terjadinya kasus profesional maupun permintaan UE1
efisiensi serta efektivitas layanan.

18
Alur Pengawasan Asurans Itjen

19
PRINSIP-PRINSIP
PERENCANAAN
PENGAWASAN
1. Perencanaan pengawasan harus berbasis risiko dan fokus pada proses tata
kelola, manajemen risiko, dan pengendalian internal.
2. Perencanaan pengawasan harus memberikan nilai tambah
bagi pencapaian tujuan organisasi.
3. Itjen harus berkolaborasi/berkonsultasi dengan
Menteri Keuangan/pimpinan unit eselon I.
4. Itjen harus mampu menunjukkan pertimbangan profesional, keahlian,
dan pengalamannya.
5. Itjen harus memperoleh pemahaman yang baik atas kekuatan
dan kelemahan profil risiko dan pengendalian intern organisasi.
20
PRINSIP-PRINSIP
PERENCANAAN
PENGAWASAN
5. Itjen harus berkoordinasi dan bekerja sama dengan APIP
K/L/Pemda.
6. Itjen harus mengalokasikan sumber daya untuk kegiatan
audit dengan tujuan tertentu, selain untuk kegiatan audit
berbasis risiko dan cyclical audit.
7. Itjen bertanggung jawab atas pelaksanaan pemantauan tindak
lanjut hasil pengawasan.
8. Auditor harus menjaga kompetensi profesionalnya.
9. Penyusunan Kebijakan Pengawasan dan PKPT harus
mengikuti tahun anggaran.
10.Kebijakan Pengawasan dan PKPT harus direviu setiap tahunnya.
21
IDENTIFIKASI SEMESTA PENGAWASAN (AUDIT UNIVERSE) DAN
AREA PENGAWASAN
• Semesta pengawasan: seluruh area yang berada dibawah pengendalian dan
kewenangan Menteri Keuangan.

• Entitas-entitas dan elemen-elemen yang terdapat dalam semesta pengawasan

dikelompokkan menjadi area pengawasan.

• Area pengawasan harus:

• Dapat menghasilkan temuan yang berarti.
• Memiliki ukuran dan ruang lingkup tertentu.
• Area pengawasan dapat diidentifikasi dari:
• Struktur organisasi
• Struktur program
• Proses bisnis.

22
Dalam Peta Proses Bisnis, terdapat empat tingkatan, yaitu:

• Level 0: Peta Proses Bisnis

• Level 0 ini memuat seluruh Proses Bisnis utama di unit organisasi (Kementerian Keuangan dan masing-
masing unit organisasi Eselon I) yang terdiri dari Proses Bisnis utama, Proses Bisnis pendukung, dan
Proses Bisnis manajemen. Level ini akan menjadi dasar bagi proses yang lebih detail lagi.

• Level 1: Model Bisnis atau Proses Kunci

• Level 1 merupakan penjabaran dari Proses Bisnis utama di Kementerian Keuangan dan masing-masing
unit organisasi Eselon I. Di level ini digambarkan proses yang dilakukan oleh organisasi dan bagaimana
satu proses dengan proses yang lainnya berbeda. Level 1 merupakan level dekomposisi pertama dan
masih sama dengan level 0.

• Level 2: Kelompok Proses Bisnis atau Subproses

• Level 2 ini menunjukkan end-to-end Proses Bisnis yang aktual pada level yang cukup tinggi. Level 2
memfokuskan pada interaksi dan perpindahan tanggung jawab antara aktor utama dalam Proses
Bisnis.

• Level 3: Proses atau aktivitas

• Level 3 ini menunjukkan detail informasi secara keseluruhan sehingga didapatkan pengertian yang
menyeluruh mengenai Proses Bisnis tersebut. Level 3 ini berisi alur proses, alur informasi, input, output,
sistem informasi yang digunakan, dan pelaku yang melakukan aktivitas tersebut.

23
Contoh Peta Proses Bisnis Lv. 0 - Itjen

Sumber: Kep Irjen Nomor 107/IJ/2017 24

Contoh Peta Proses Bisnis Lv. 1 & 2 - Itjen

25
TAHAPAN
Pe 0 1 0 2 0 3
nyus
Audit Universe
unan
Id & Updating
entif
Pengawasan
PeArea nilai
ikasi
Pengawasan
an Risiko Area

Unit Penggunaan
Organisasi. profil risiko auditi.
Program. Perhitungan nilai risiko komposit.
Proses Bisnis.

Pe 0 4 0 5 0 6
Heat Map
nyus unan
Pe nilai an Pe nyus

Custom Measure Assurance Map

unan

- Dilengkapi - Koordinasi
dengan dengan UKI.
dokumen
pendukung 26
 01
Penyusunan
Contoh: audit universe berdasarkan proses bisnis.
No. Proses Bisnis
Level 0
Proses Bisnis
Level 1
Proses Bisnis Level 2 Proses Bisnis Level 3

& Updating Audit Universe

1. Proses Bisnis A Proses Bisnis A.1 Proses Bisnis A.1.a Proses Bisnis
A.1.a.1)
Proses Bisnis
A.1.a.2)
Inspektorat Jenderal Proses Bisnis
harus dapat A.1.a.3)
mengidentifikasi Proses Bisnis A.1.b Proses Bisnis
semesta
A.1.b.1)
pengawasan, yaitu
seluruh area, Proses Bisnis A.1.c Proses Bisnis A.1.c.1)
termasuk keuangan
Proses Bisnis A.2 Proses Bisnis A.2.a Proses Bisnis
dan non keuangan,
yang berada di A.2.a.1)
bawah Proses Bisnis A.2.b Proses Bisnis
pengendalian dan A.2.b.1)
kewenangan
2 Proses Bisnis B Proses Bisnis B.1 Proses Bisnis B.1.a Proses Bisnis B.1.a.1)
Menteri Keuangan
dst.

27
 No Area Pengawasan Deskripsi Singkat

02
Identifikasi
Area
1.
2.
3.
Proses Bisnis A.1.a
Proses Bisnis B
Proses Bisnis C
Proses Bisnis A.1.a adalah kegiatan mengenai ...
Proses Bisnis B adalah kegiatan mengenai ...
Proses Bisnis C adalah kegiatan mengenai ...

Pengawasan 4. Proses Bisnis D Proses Bisnis D adalah kegiatan mengenai ...

dst

Entitas-entitas dan elemen-elemen yang terdapat dalam semesta pengawasan

harus dikelompokkan menjadi area-area pengawasan. Suatu area pengawasan
harus:
a. Dapat menghasilkan temuan yang berarti untuk dipahami dan dikelola oleh
manajemen.
b. Memiliki ukuran dan ruang lingkup tertentu sehingga kegiatan pengawasan
dapat dilaksanakan dalam jangka waktu yang memadai.

28
 03
Penilaian
Area Pengawasan 1: Proses Bisnis A.1.a

Kemungkina
Deskripsi

Dampak

Risiko
Kategori

Besara
Risiko Area

Level

Level
No. Risiko / LDK LKK BRK

n
Pengawasan Risiko

n
Kejadian
1. Kategori 1 Risiko 1 4 3 17 1,33 1,13
Risiko area pengawasan 2. Kategori 1 Risiko 2 3 3 14 0,75 1,13
diperoleh dari hasil analisis
pemetaan risiko organisasi 3. Kategori 2 Risiko 3 5 2 21 2,08 0,5
dengan proses bisnis
organisasi yang ditetapkan Jumlah 12 8 4,17 2,75 22
menjadi area pengawasan.
Kategori Risiko : Diisi dengan Kategori Risiko sesuai dengan Peraturan Menteri Keuangan tentang Manajemen Risiko. Dapat
berupa Risiko Fiskal, Risiko Kebijakan, Risiko Kepatuhan, Risiko Legal, Risiko Fraud, Risiko Reputasi, dan Risiko
Operasional.
LDK : LDK = (LD x LD) / Σ LD
(Level Dampak Komposit) Contoh pada nomor 1: LDK = (4 x 4)/12 = 1,33.

LKK : LKK = (LK x LK) / Σ LK

(Level Kemungkinan Komposit) Contoh pada nomor 1: LKK = (3 x 3)/8 = 1,13

BRK : Caranya adalah dengan melihat jumlah nilai Level Dampak Komposit dan Level Kemungkinan Komposit
(Besaran Risiko Komposit) selanjutnya melihat nilai kombinasi keduanya pada Matriks Analisis Risiko.
Contoh: Kombinasi LDK 4,17 dan LKK 2,75 = 22.

29
KMK-845/KMK.01/2017
30
0 Penyusunan
Heat Map
Heat Map
merupakan
gambaran kondisi
area pengawasan
yang
mendeskripsikan
posisi seluruh area
pengawasan dalam
sebuah chart berupa
suatu diagram
kartesius.

31
0 Penilaian Pemberian nilai Custom Measures harus dilengkapi
Custom dengan dokumen pendukung.
Measures

No. Area Besaran Custom Measures Total

Pengawasan Risiko

Pemeriksaan

Pengawasan
Pelaksanaa
Eskternal/

Dilakukan
Komposit

Pimpinan

Terjadiny

Terakhir
Internal
Potensi

a Fraud
Arahan

Pihak
Hasil
Risk

n
1. Proses Binis 22 3 2 2 2 31
A.1.a
2. Proses Bisnis B 16 2 1 2 1 22

3. Proses Bisnis C 12 1 1 2 3 19

4. Proses Bisnis D 22 1 2 3 1 29

dst.

32
 Kriteria
Custom Measures
No. Custom Measures Kriteria Nilai

1. Arahan Pimpinan Arahan Inspektur Jenderal. 3

2. Potensi Terjadinya Fraud Risk
3. Hasil Pemeriksaan Pihak
Eksternal / Internal.
4. Pelaksanaan pengawasan
terakhir dilakukan.
Permintaan Unit Eselon I. 2
Permintaan Stakeholders selain Unit Eselon I. 1
Tidak ada arahan/permintaan. 0
Terdapat potensi terjadinya Fraud Risk dan termasuk dalam area Rawan Gratifikasi. 3
Terdapat potensi terjadinya Fraud Risk saja. 2
Termasuk dalam area Rawan Gratifikasi saja. 1
Tidak terdapat potensi Terjadinya Fraud Risk dan tidak termasuk dalam area 0
Rawan Gratifikasi.
Adanya temuan yang merugikan keuangan negara yang bersifat material dan 3
mempengaruhi opini terhadap Laporan Keuangan.
Adanya temuan yang merugikan keuangan negara. 2
Adanya temuan yang mempengaruhi opini terhadap Laporan Keuangan. 1
Tidak ada temuan yang merugikan keuangan negara yang bersifat material dan 0
mempengaruhi opini terhadap Laporan Keuangan.
≥ 5 tahun belum pernah dilakukan pengawasan. 3
Pelaksanaan pengawasan terkahir dilakukan ≥ 3 tahun dan < 5 tahun. 2
Pelaksanaan pengawasan terkahir dilakukan ≥ 1 tahun dan < 3 tahun. 1
Pelaksanaan pengawasan terkahir dilakukan < 1 tahun. 0

33
Level of Assurance
06
Penyusunan
Assurance Map
Assurance Map disusun oleh
Inspektorat Jenderal berkoordinasi
dengan Unit Kepatuhan Internal
Eselon I untuk mengetahui
Untuk dapat memberikan keyakinan yang
memadai kepada pemimpin organisasi kegiatan assurance yang dilakukan
dan pemangku kepentingan lainnya oleh manajemen dan UKI, serta
bahwa risiko-risiko telah dikelola dan menetapkan kegiatan assurance
dilaporkan secara memadai, maka yang akan dilakukan oleh
hubungan antara level risiko, kegiatan manajemen, UKI dan/atau
assurance dan level of assurance dapat Inspektorat Jenderal
dilihat pada Gambar berikut:
PROSES PROSES PROSES PROSES dst.
BISNIS A.1.a BISNIS B BISNIS C BISNIS D

: Manajemen
: UKI
: Inspektorat Jenderal

34