JUDUL

Modul 3
PELAKSANAAN AUDIT INTERN

BERBASIS RISIKO
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN

BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
2019
Pelaksanaan Audit Intern Berbasis Risiko - Modul 3
Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP dalam rangka
Diklat Teknis Substantif Pengawasan Intern Berbasis Risiko
Edisi : Tahun 2019
Penyusun : Adi Widodo, SE, MSi

Mohamad Syafrudin Bustomi, SE, MSE, MA
Narasumber :
Pereviu :
Penyunting :
Penata Letak :
Pusdiklatwas BPKP
Jl. Beringin II, Pandansari, Ciawi, Bogor 16720
Telp. (0251) 8249001 - 8249003
Fax. (0251) 8248986 - 8248987
Email : pusdiklat@bpkp.go.id
Website : http://pusdiklatwas.bpkp.go.id
e-Learning : http://lms.bpkp.go.id
Dilarang mengutip, menjiplak, memperjualbelikan, dan menggandakan

sebagian atau seluruh isi modul ini tanpa izin tertulis dari
Pusat Pendidikan dan Pelatihan Pengawasan BPKP
Kata Pengantar
Setiap pegawai harus memiliki kompetensi yang layak untuk dapat menjalankan tugas dan
tanggung jawabnya. Kompetensi yang selalu dimutakhirkan dan ditingkatkan akan
menjadikan seseorang menjadi mahir dan mampu menghadapi lingkungan yang selalu
berubah. Salah satu cara untuk memutakhirkan dan meningkatkan kompetensi adalah
dengan mengikuti pendidikan dan pelatihan (diklat).
Pusdiklatwas BPKP adalah salah satu unit kerja BPKP yang memiliki tugas pokok dan
fungsi melaksanakan diklat. Dalam rangka melaksanakan mandat Peraturan Pemerintah
Nomor 101 Tahun 2000 tentang Pendidikan dan Pelatihan Jabatan Pegawai Negeri Sipil,
Pusdiklatwas BPKP berkomitmen memberikan yang terbaik bagi para peserta diklat.
Kurikulum dan bahan ajar dirancang dengan memperhatikan praktik di
kementerian/lembaga dan pemerintah daerah, sehingga materi diklat dalam proses
pembelajaran adalah cerminan penerapan ilmu pengetahuan di lapangan. Dengan
demikian, peserta diklat diharapkan mampu menerapkan hasil pendidikan dan pelatihan
pada instansinya.
Modul pelatihan ini adalah salah satu bahan ajar tertulis, selain menjadi acuan pada proses
pembelajaran juga diharapkan dapat menjadi acuan pada tempat kerja para peserta diklat.
Namun modul bukan satu-satunya referensi yang berkenaan dengan substansi materi,
bahan ajar lain yang disampaikan oleh instruktur merupakan pengayaan materi diklat.
Peserta diklat juga diharapkan tetap memperkaya dengan referensi lainnya.
Meskipun modul ini telah disusun dengan proses evaluasi dan reviu, kami menyadari
perbaikan terus menerus masih perlu dilakukan. Untuk itu, kami mengharapkan saran
perbaikan untuk menjadikan modul ini lebih bermanfaat.
Akhir kata, kami mengucapkan terimakasih kepada semua pihak yang telah berkontribusi
atas terbitnya modul ini.
Ciawi, 31 Desember 2019

Kepala Pusdiklat Pengawasan BPKP
Sally Salamah
Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 i

Daftar Isi
Halaman
Kata Pengantar …………………………………………………………………… I
Daftar Isi …………………………………………………………………… ii
Daftar Gambar …………………………………………………………………… iv
Daftar Tabel …………………………………………………………………… v
Tinjauan Diklat …………………………………………………………………… 1
A. Latar Belakang …………………………………………………. 1
B. Kompetensi Dasar dan Indikator Keberhasilan ……………. 2
C. Sistematika Modul …………………………………….............. 2
D. Metodologi Pembelajaran …………………………………….. 3
BAB I PENILAIAN KEMATANGAN MANAJEMEN RISIKO 4
A. Penilaian Kematangan Manajemen Risiko Auditable Unit … 5
B. Pelaksanaan Audit Intern Atas Auditable Unit ……………… 16
BAB II TAHAP PERENCANAAN AUDIT 18
A. Penetapan Tujuan dan Lingkup Penugasan ………………… 20
B. Pemahaman Auditi ……………………………………………. 21
C. Identifikasi dan Penilaian Risiko …………………………….. 23
D. Identifikasi Pengendalian Kunci ……………………………... 27
E. Evaluasi Pengendalian ………………………………………... 29
F. Penyusunan Rencana Pengujian ……………………………... 30
G. Penyusunan Program Kerja Audit …………………………… 32
H. Pengalokasian Sumber Daya …………………………………. 34
Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 ii

BAB III TAHAP PELAKSANAAN AUDIT 35
A. Pengujian dan Pengumpulan Bukti ………………………….. 37
B. Evaluasi Bukti dan Pengambilan Kesimpulan ……………… 41
C. Pengembangan Temuan dan Rekomendasi ………………… 42
BAB IV TAHAP PELAPORAN HASIL AUDIT 45
A. Evaluasi Temuan dan Pengembangan Temuan Lebih 48

Lanjut ……………………………………………………………
B. Penyampaian Simpulan Sementara ………………………….. 50
C. Penyusunan Laporan …………………………………………. 51
D. Distribusi Laporan dan Monitoring Tindak Lanjut ………… 56
Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 iii

Daftar Gambar
Halaman
Gambar 1.1 Flow Chart Pelaksanaan Audit Intern Individu ……………….. 4
Gambar 2.1 Flow Chart Perencanaan Audit Intern …………………………. 19
Gambar 2.2 Bentuk Pengendalian …………………………………………….. 26
Gambar 2.3 Peta Risiko ………………………………………………………… 27
Gambar 3.1 Tahap Pelaksanaan Audit Intern ……………………………….. 36
Gambar 4.1 Tahapan Pelaporan Audit Intern ……………………………….. 47
Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 iv

Daftar Tabel
Halaman
Tabel 1.1 Pernyataan Untuk Mengukur Tingkat Kematangan 6

Manajemen Risiko …………………………………………………
Tabel 1.2 Sistem Skoring Level Kematangan Manajemen Risiko ……….. 7
Tabel 1.3 Simpulan Level Kematangan Manajemen Risiko ……………… 8
Tabel 1.4 Langkah Kerja Rekonfirmasi Kematangan Manajemen Risiko 8
Tabel 1.5 Pendekatan Pengawasan Berdasarkan Level Maturitas 15

Manajemen Risiko …………………………………………………
Tabel 2.1 Standar Audit Intern Terkait Perencanaan ……………………... 18
Tabel 2.2 Format Daftar Risiko ……………………………………………… 25
Tabel 2.3 Matriks Risiko dan Pengendalian ……………………………….. 30
Tabel 2.4 Evaluasi Pengendalian Kunci dan Rencana Pengujian ………... 31
Tabel 2.5 Dokumentasi Pendekatan Pengujian ……………………………. 32
Tabel 3.1 Matriks Risiko-Pengendalian-Hasil Pengujian ………………... 39
Tabel 3.2 Matriks Risiko-Pengendalian-Hasil Pengujian-Simpulan ……. 41
Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 v

Tinjauan Diklat
A. LATAR BELAKANG
Modul ini merupakan media sosialisasi dan penjabaran lebih lanjut dari Peraturan BPKP
Nomor 6 tahun 2018 tentang Pedoman Pengawasan Intern Berbasis Risiko. Tujuan dari
penyusunan modul ini adalah memberika panduan yang lebih rinci bagi Aparat Pengawas
Intern Pemerintah (APIP) di lingkungan Pemerintah Pusat yaitu Kementerian/Lembaga dan
Pemerintah Daerah dalam melaksanakan tugas, fungsi, dan tanggung jawabnya secara
kompeten, independen, objektif, dan dapat dipertanggungjawabkan melalui pelaksanaan
pengawasan intern berbasis risiko, serta meningkatkan kualitas hasil pengawasan intern yang
dilaksanakan.
Melalui pengawasan yang berorintasi kedepan atau forward looking, diharapkan APIP mampu
memberikan nila tambah berupa peran early warning yang efektif bagi manajemen dalam
upaya pencapaian tujuan. Sedangkan manfaat petunjuk pelaksanaan pengawasan intern
berbasis risiko antara lain sebagai berikut:
1. Mendukung implementasi manajemen risiko, terutama melalui peran fasilitasi
manajemen risiko yang dilaksanakan oleh APIP;
2. Mendukung pelaksanaan pengawasan intern berbasis risiko yang lebih efektif dan efisien
meskipun dengan dukungan sumber daya APIP yang terbatas;
3. Mendukung tercapainya output pengawasan intern berbasis risiko berupa laporan hasil
pengawasan intern yang berkualitas dan memberi nilai tambah (value added) bagi para
pemangku kepentingan (stakeholder) dalam pengambilan keputusan dan perumusan
kebijakan strategis;
4. Menjadi dasar acuan bagi APIP dalam menerapkan dan mengembangkan Pengawasan
Intern Berbasis Risiko sesuai dengan karakteristik organisasinya masing-masing.
1
B. KOMPETENSI DASAR DAN INDIKATOR KEBERHASILAN
1. Kompetensi Dasar
Kompetensi dasar yang diharapkan setelah mempelajari Modul Pelaksanaan Audit

Intern Berbasis Risiko ini adalah peserta diklat mampu melaksanakaan audit berbasis
risiko (ABR) pada organisasinya masing-masing.
2. Indikator Keberhasilan
Setelah mengikuti proses pembelajaran modul ini, peserta diklat diharapkan akan
mampu:
a. memahami dan mengimplementasikan penilaian kematangan manajemen risiko

auditi;
b. melaksanakan perencanaan audit berbasis risiko secara baik sesuai dengan standar
audit intern pemerintah Indonesia;
c. melaksanakan audit berbasis risiko secara baik sesuai dengan standar audit intern
pemerintah Indonesia;
d. melaksanakan pelaporan audit berbasis risiko secara baik sesuai dengan standar
audit intern pemerintah Indonesia.
C. SISTEMATIKA MODUL
Modul ini terdiri dari empat bab dengan susunan sebagai berikut:
BAB I : PENILAIAN KEMATANGAN MANAJEMEN RISIKO
Bab ini menguraikan tentang penilaian kematangan manajemen risiko auditable

unit dan pelaksanaan audit intern atas auditable unit.
BAB II : TAHAP PERENCANAAN AUDIT
Bab ini membahas penetapan tujuan dan lingkup penugasan; pemhaman

auditi; identifikasi dan penilaian risiko; indentifikasi pengendalian kunci;
2
evaluasi pengendalian; penyusunan rencana pengujian; penyusunan program
kerja audit; dan pengalokasian sumber daya.
BAB III : TAHAP PELAKSANAAN AUDIT
Bab ini menguraikan tentang pengujian dan pengumpulan bukti; evaluasi

bukti dan pengambilan kesimpulan; dan pengembangan temuan dan
rekomendasi.
BAB IV : TAHAP PELAPORAN HASIL AUDIT
Bab ini membahas evaluasi temuan dan pengembangan temuan lebih lanjut;
penyampaian simpulan sementara; penyusunan laporan; dan distribusi
laporan dan monitoring tindak lanjut.
D. METODOLOGI PEMBELAJARAN
Kegiatan pelatihan ini dilakukan dengan pendekatan andragogi. Proses penyampaian materi
modul dari widyaiswara/instruktur kepada peserta diklat dilakukan dengan metode sebagai
berikut:
1. Ceramah
2. Tanya jawab
3. Diskusi
4. Latihan kasus
5. Pemaparan hasil latihan kasus
~~~
3
Bab I
PENILAIAN KEMATANGAN
MANAJEMEN RISIKO
Indikator Keberhasilan
Setelah mengikuti proses pembelajaran bab ini, peserta diklat diharapkan akan mampu memahami dan
mengimplementasikan penilaian kematangan manajemen risiko auditi
Pada tahap pelaksanaan pengawasan intern secara individu (eksekusi/pelaksanaan PKPT),

setelah pimpinan APIP menerbitkan surat tugas, maka ada dua langkah yang dilakukan oleh
tim audit, yaitu: pertama, melakukan penilaian kematangan manajemen risiko atas auditable
unit (auditi), dan kedua, melakukan kegiatan audit intern sesuai dengan SAIPI. Flow chart
pelaksanaan audit intern secara individu, dapat dilihat pada bagan berikut ini:
Gambar 1.1
Flow Chart Pelaksanaan Audit Intern Individu
Penilaian kematangan manajemen risiko auditan ini, diharapkan memberikan masukan

kepada auditi atas implementasi manajemen risiko ditingkat auditi yang bersangkutan. Tentu
saja hal ini memerlukan alokasi waktu tersendiri (meskipun masih dalam rentang waktu
penugasan yang sama dalam satu surat tugas), agar tim audit bisa memberikan nilai tambah
bagi auditi khususnya terkait dengan implementasi atas manajemen risiko auditi yang
bersangkutan.
4
Sedangkan pelaksanaan audit intern itu sendiri harus mengacu kepada SAIPI, dimana
pendekatan yang dilakukan tim audit adalah melakukan audit dengan mempertimbangkan
risiko dan pengendalian intern yang ada dan dilakukan oleh auditi yang bersangkutan.
Pendekatan ini disebut dengan pendekatan audit berbasis risiko atau risk based audit (RBA).
Namun, untuk auditan yang berdasarkan penilaian kematangan MR-nya ternyata berada di
level 4 (managed) dan level 5 (enabled), maka tim audit intern melakukan audit atas manajemen
risiko yang diterapkan oleh auditan yang bersangkutan. Pendekatan audit ini sering disebut
dengan pendekatan audit atas manajemen risiko atau risk management based audit (RMBA).
Terkait dengan modul ini, yang dibahas secara detil adalah RBA, sedangkan untuk RMBA
akan dibahas dalam modul tersendiri.
Hasil penugasan audit intern pada tahap pelaksanaan audit intern secara individu ini ada
dua yaitu: hasil penilaian kematangan MR auditi, dan hasil audit atas pelaksanaan
kegiatan/program auditan yang bersangkutan. Hasil audit intern ini, untuk selanjutnya akan
dikomunikasikan kepada auditi, dan selanjutnya harus ditindaklanjuti oleh auditan yang
bersangkutan.
A. PENILAIAN KEMATANGAN MANAJEMEN RISIKO AUDITABLE UNIT
Penilaian tingkat kematangan risiko selain dilakukan di tingkat organisasi secara keseluruhan
juga dilakukan terhadap tiap auditable unit. Hal tersebut selain untuk mengkonfirmasi hasil
penilaian kematangan risiko tingkat organisasi juga untuk mengetahui apakah penerapan
manajemen risiko juga telah dilaksanakan sampai dengan tingkat organisasi terbawah.
Penilaian kematangan risiko tingkat auditable unit menggunakan indikator dan skoring yang
sama dengan yang digunakan dalam penilaian kematangan risiko organisasi secara
keseluruhan, yaitu menggunakan kuesioner lima belas pertanyaan. Dengan demikian dapat
dihasilkan penilaian yang setara dan dapat dibandingkan dengan auditable unit lainnya.
Sedapat mungkin auditor harus dapat mendukung setiap jawaban atas lima belas pernyataan
itu dengan dokumentasi yang memadai sehingga simpulan akhir level maturitas manajemen
5
risiko setiap auditable unit tidak bias. Rincian lima belas pernyataan dalam kuesioner tersebut
disajikan sebagai berikut:
Tabel 1.1
Pernyataan Untuk Mengukur Tingkat Kematangan Manajemen Risiko

Skor
No Uraian
(0-2)
1 Tujuan organisasi terdokumentasi dan dipahami dengan baik
2 Pimpinan unit organisasi telah memahami risiko dan tanggung jawab

atas risiko tersebut
3 Proses identifikasi risiko telah ditetapkan dan dipatuhi
4 Sistem skoring untuk penilaian risiko telah ditetapkan
5 Seluruh risiko telah dinilai dengan sistem skoring yang telah

ditetapkan
6 Respon atas risiko telah ditetapkan dan diimplementasikan
7 Risk appetite telah ditetapkan dengan sistem skoring
8 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam

risk register
9 Pimpinan unit organisasi telah menetapkan model pemantauan atas

proses, respon dan action plan risiko.
10 Risk register di-update secara periodik (minimal sekali setahun)
11 Terdapat pelaporan kepada pimpinan puncak bila terdapat risiko

yang belum ditekan pada tingkat yang dapat diterima
12 Kegiatan yang bersifat program selalu dinilai risikonya
13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan

mengelolanya, termasuk dalam uraian tugas dan tanggung jawab
pegawai.
14 Pimpinan memberikan jaminan efektivitas pengelolaan risiko
15 Pimpinan dinilai kinerjanya dalam mengelola risiko
6
Level kematangan manajemen risiko setiap auditable unit dinilai dengan cara memberikan
skor pada lima belas daftar uji/pernyataan di atas. Sistem skoring pemenuhan pernyataan
kematangan manajemen risiko, diberikan skor nol untuk pernyataan yang dijawab tidak, skor
satu untuk jawaban sebagian, dan skor dua untuk jawaban iya. Lebih lengkap mengenai
sistem skoring ini, dapat menggunakan referensi sebagaimana tabel berikut:
Tabel 1.2
Sistem Skoring Level Kematangan Manajemen Risiko
Hasil Rekonfirmasi Kematangan Manajemen Risiko Skoring
Pernyataan dijawab tidak/belum dilaksanakan 0
Pernyataan dijawab iya sebagian/tidak lengkap/belum 1

sempurna
Pernyataan dijawab iya/sudah dilaksanakan/lengkap 2
Perlu digaris bawahi, bahwa penilaian tingkat kematangan manajemen risiko menggunakan
sistem penilaian building block, dimana pernyataan penilaian tingkat kematangan manajemen
risiko telah diurutkan sesuai tahapan pengembangan manajemen risiko. Sehingga, jika satu
pernyataan telah dinilai “Tidak” (skor 0), maka pernyataan selanjutnya tidak dapat
terkonfirmasi dengan baik (tidak bisa dijawab “Ya” atau skor 2). Jika satu pernyataan dijawab
1, maka penyataan selanjutnya, tidak dapat dijawab lebih tinggi dari 1 (kemungkinannya
hanya 0 dan 1). Misalnya pernyataan 1 sampai dengan 3 dijawab “Ya” (skor 2), kemudian
pernyataan 4 dijawab “Tidak” (skor 0), maka pernyataan selanjutnya (pernyataan 5 s.d. 15)
tidak bisa dijawab “Ya”. Sehingga skor maksimal yang bisa diperoleh auditable unit hanyalah
6 (3 x 2).
Pernyataan nomor 4 yang berbunyi: “sistem skoring untuk penilaian risiko telah ditetapkan”,
merupakan pernyataan kunci sebelum dapat melanjutkan ke pernyataan selanjutnya.
Artinya, ketika pernyataan nomor 4 dijawab “Tidak “(skor 0), maka pernyataan selanjutnya
belum dapat dijawab dengan “Ya” (skor 2). Hal ini disebabkan sistem skoring dalam
penilaian risiko merupakan dasar bagi implementasi manajemen risiko yang diuji dalam
pernyataan selanjutnya (pernyataan 5 sampai dengan 15).
Selanjutnya, jumlahkan total skor untuk lima belas pernyataan itu untuk dapat
menyimpulkan level maturitas manajemen risiko auditable unit. Kriteria untuk mengkonversi
total skor rekonfirmasi dalam penentuan level maturitas manajemen risiko auditable unit,
dapat menggunakan tabel referensi sebagai berikut:
7
Tabel 1.3
Simpulan Level Kematangan Manajemen Risiko
Total Skor Hasil Rekonfirmasi Kematangan MR Simpulan Level
0-7 Risk Naive (Level 1)
8 - 14 Risk Aware (Level 2)
15 – 20 Risk Defined (Level 3)
21 – 25 Risk Managed (Level 4)
26 atau lebih Risk Enabled (Level 5)
Langkah kerja dalam melakukan pengujian 15 pernyataan di atas, berupa kertas kerja hasil
rekonfirmasi tingkat kematangan manajemen risiko. Setiap pernyataan dalam daftar uji harus
didukung dengan analisis dan dokumen yang memadai, misalnya pernyataan pertama,
‘tujuan organisasi telah terdokumentasi dan di pahami dengan baik’. Pengujian atas
pernyataan ini dilakukan dengan mempertanyakan: tujuan auditable unit apa saja?
Terdokumentasi dimana tujuan tersebut? Apakah sudah disosialisasikan kepada seluruh
pegawai? Lakukan pengujian terhadap salah satu pegawai kunci, terkait pemahaman yang
bersangkutan mengenai tujuan organisasi. Secara umum, prosedur perolehan bukti dapat
dilakukan melalui wawancara mendalam, observasi, analisis dokumen, survey dan lain
sebagainya. Langkah kerja dan dokumentasi pengujian inilah yang perlu diperhatikan oleh
auditor yang akan ditugaskan untuk melakukan penilaian kematangan manajamen risiko
agar hasil penilaian konsisten dengan apa yang sebenarnya terjadi di lapangan. Jika ada
pernyataan yang tidak diperoleh pembuktiannya, auditor perlu menyiapkan pembuktian
alternatif, misalnya melalui pertimbangan auditor berdasarkan professional judgement.
Langkah kerja lebih rinci dalam rekonfirmasi kematangan maturitas manajemen risiko
sebagai berikut:
Tabel 1.4
Langkah Kerja Rekonfirmasi Kematangan Manajemen Risiko

No Uraian Penjelasan Kriteria Skoring
1 Tujuan organisasi 1. Lakukan pengujian • Skor 0 jika tujuan

terdokumentasi apakah tujuan organisasi organisasi belum
telah ditetapkan oleh ditetapkan oleh
pimpinan, pimpinan
8
dan dipahami dikomunikasikan kepada • Skor 1 jika tujuan

dengan baik seluruh pegawai dan organisasi telah
terdokumentasi, misalnya ditetapkan oleh
berupa dokumen rencana pimpinan namun belum
strategis. dikomunikasikan dan
2. Lakukan pengujian juga terdokumentasi
apakah sasaran dan target • Skor 2 jika tujuan
turunannya konsisten organisasi telah
dengan tujuan organisasi ditetapkan oleh
secara keseluruhan. pimpinan,
dikomunikasikan dan
terdokumentasi serta
telah konsisten dengan
sasaran dan target
turunannya
2 Pimpinan unit 1. Lakukan wawancara • Skor 0 jika pimpinan
organisasi telah kepada tidak paham terhadap
memahami risiko pimpinan/manajemen risiko organisasi
dan tanggung untuk menguji • Skor 1 jika pimpinan
jawab atas risiko pemahaman mereka paham dengan risiko
tersebut terhadap risiko. organisasi namun tidak
2. Lakukan wawancara tahu bagaimana
kepada menyikapi risiko
pimpinan/manajemen tersebut
untuk menguji bagaimana • Skor 2 jika pimpinan
mereka menyikapi risiko paham dengan risiko
tersebut. organisasi dan tahu
bagaimana menyikapi
risiko tersebut
3 Proses identifikasi 1. Cek bahwa proses • Skor 0 jika proses
risiko telah identifikasi risiko yang identifikasi risiko belum
ditetapkan dan cukup untuk mendeteksi ditetapkan
dipatuhi seluruh risiko, telah • Skor 1 jika proses
ditetapkan. identifikasi risiko telah
2. Cek bahwa proses ditetapkan namun belum
identifikasi risiko tersebut dilaksanakan
dilaksanakan/ dipatuhi • Skor 2 jika proses
identifikasi risiko telah
ditetapkan dan telah
dilaksanakan
9
4 Sistem skoring Cek bahwa sistem skoring • Skor 0 jika sistem skoring
untuk penilaian dalam penilaian risiko untuk penilaian risiko
risiko telah secara kuantitatif (termasuk belum ditetapkan
ditetapkan dalam penentuan kriteria • Skor 1 jika sistem
tingkat frekuensi/ skoring untuk penilaian
probabilitas dan kriteria risiko telah ditetapkan
dampak), telah ditetapkan, namun belum kuantitatif
• Skor 2 jika sistem skoring
serta menggunakan
untuk penilaian risiko
heatmap dalam penilaian
telah ditetapkan dan
risiko sudah kuantitatif
5 Seluruh risiko telah Cek bahwa seluruh risiko • Skor 0 jika seluruh risiko
dinilai dengan telah dinilai dengan sistem belum dinilai dengan
sistem skoring yang skoring yang telah sistem skoring yang telah
telah ditetapkan ditetapkan secara kuantitatif ditetapkan secara
kuantitatif
• Skor 1 jika sebagian
risiko telah dinilai
dengan sistem skoring
yang telah ditetapkan
secara kuantitatif
• Skor 2 jika seluruh risiko
telah dinilai dengan
sistem skoring yang telah
ditetapkan secara
kuantitatif
6 Respon atas risiko Lakukan pengujian dalam • Skor 0 jika respon atas
telah ditetapkan register risiko apakah risiko belum ditetapkan
dan respon atas • Skor 1 jika respon atas
diimplementasikan risiko/pengendalian/ risiko telah ditetapkan
mitigasi risiko yang tepat namun belum
telah ditetapkan pada diimplementasikan
seluruh risiko serta • Skor 2 jika respon atas
risiko telah ditetapkan
diimplementasikan
dan telah
diimplementasikan
7 Risk appetite telah Lakukan pengujian apakah • Skor 0 jika Risk appetite
ditetapkan dengan pimpinan/manajemen telah belum ditetapkan
sistem skoring menetapkan risk appetite dengan sistem skoring
dengan sistem skoring
10
• Skor 2 jika Risk appetite

telah ditetapkan dengan
sistem skoring
8 Risiko telah dibagi Lakukan pengujian • Skor 0 jika seluruh risiko
tanggung jawabnya terhadap register risiko belum
dan apakah seluruh risiko telah dialokasikan/dibagi
didokumentasikan dialokasikan/dibagi tanggung jawabnya
dalam risk register tanggung jawabnya kepada kepada pejabat/pegawai
pejabat/pegawai yang yang ditunjuk/relevan
• Skor 1 jika sebagian
ditunjuk/relevan
risiko telah
dialokasikan/dibagi
tanggung jawabnya
kepada pejabat/pegawai
yang ditunjuk/relevan
• Skor 2 jika seluruh risiko
telah
dialokasikan/dibagi
tanggung jawabnya
kepada pejabat/pegawai
yang ditunjuk/relevan
9 Pimpinan unit Lakukan wawancara • Skor 0 jika pimpinan/
organisasi telah terhadap manajemen tidak tahu
menetapkan model pimpinan/manajemen bagaimana bertindak
pemantauan atas bagaimana jika mitigasi apabila mitigasi
proses, respon dan risiko/pengendalian yang risiko/pengendalian
action plan risiko. ada gagal (tidak sesuai yang ada gagal (tidak
sesuai harapan untuk
harapan untuk mengurangi
mengurangi nilai risiko).
nilai risiko)
• Skor 2 jika pimpinan/
manajemen tahu
bagaimana bertindak
apabila mitigasi
risiko/pengendalian
yang ada gagal (tidak
sesuai harapan untuk
mengurangi nilai risiko).
10 Risk register di- Lakukan pengujian apakah • Skor 0 jika register risiko
update secara register risiko selalu baru dimutakhirkan
periodik (minimal dimutakhirkan secara setelah 2 tahun yang lalu
sekali setahun) periodik (minimal sekali atau lebih dari 2 tahun
yang lalu
11
setahun) melalui proses • Skor 1 jika register risiko

reviu yang memadai selalu dimutakhirkan
secara periodik (minimal
sekali setahun) namun
belum melalui proses
reviu yang memadai
• Skor 2 jika register risiko
selalu dimutakhirkan
secara periodik (minimal
sekali setahun) dan telah
melalui proses reviu
yang memadai
11 Terdapat pelaporan Lakukan pengujian • Skor 0 jika pimpinan/
kepada pimpinan terhadap risiko yang manajemen belum
puncak bila bernilai di atas risk appetite menginformasikan risiko
terdapat risiko apakah pimpinan/ yang bernilai di atas risk
yang belum ditekan manajemen telah appetite kepada pihak-
pada tingkat yang menginfor-masikannya pihak yang
berkepentingan
dapat diterima kepada pihak-pihak yang
• Skor 2 jika pimpinan/
berkepentingan.
manajemen belum
menginformasikan risiko
yang bernilai di atas risk
appetite kepada pihak-
pihak yang
berkepentingan
12 Kegiatan yang Lakukan pengujian • Skor 0 jika tidak terdapat
bersifat program terhadap usulan semua analisis risiko yang
selalu dinilai kegiatan baru yang mengancam tujuan
risikonya signifikan apakah terdapat organisasi pada usulan
analisis risiko yang semua kegiatan baru
mengancam tujuan yang signifikan.
• Skor 2 jika terdapat
organisasi.
analisis risiko yang
mengancam tujuan
organisasi pada usulan
semua kegiatan baru
yang signifikan.
13 Uraian tanggung Lakukan pengujian • Skor 0 jika tidak terdapat
jawab menetapkan terhadap uraian jabatan/job identifikasi/analisis
risiko, menilai description apakah terdapat risiko pada seluruh
12
risiko dan identifikasi/analisis uraian jabatan/job

mengelolanya, risikonya. description
termasuk dalam • Skor 1 jika terdapat
uraian tugas dan identifikasi/analisis
tanggung jawab risiko pada sebagian
pegawai. uraian jabatan/job
description
• Skor 2 jika terdapat
identifikasi/analisis
risiko pada seluruh
uraian jabatan/job
description
14 Pimpinan Lakukan pengujian • Skor 0 jika
memberikan terhadap seluruh risiko pengendalian/mitigasi
jaminan efektivitas strategis/utama, apakah atas risiko
pengelolaan risiko pengendalian/mitigasi strategis/utama beserta
risikonya beserta pemantauannya belum
pemantauannya telah dilaksanakan.
• Skor 1 jika
dilaksanakan.
pengendalian/mitigasi
atas risiko
strategis/utama telah
dilaksanakan namun
belum dilakukan
pemantauannya.
• Skor 2 jika
pengendalian/mitigasi
atas risiko
strategis/utama beserta
pemantauannya telah
dilaksanakan.
15 Pimpinan dinilai Lakukan pengujian • Skor 0 jika tidak terdapat
kinerjanya dalam terhadap bukti bahwa bukti bahwa manajemen
mengelola risiko manajemen risiko dijadikan risiko dijadikan dasar
dasar penilaian kinerja penilaian kinerja
pimpinan/manajemen pimpinan/manajemen
• Skor 2 jika terdapat bukti
bahwa manajemen risiko
dijadikan dasar penilaian
kinerja
pimpinan/manajemen
13
Setelah diperoleh level kematangan manajemen risiko dari hasil penilaian tingkat
kematangan risiko, selanjutnya tim audit intern perlu memberikan saran bagi manajemen
atas hasil penilaian kematangan tingkat maturitas MR tersebut. Saran perbaikan atas
efektivitas implementasi MR auditan, sesuai dengan hasil pengisian 15 (lima belas)
pernyataan pada saat rekonfirmasi tingkat kematangan MR auditan. Hal ini merupakan salah
satu bentuk nilai tambah dari APIP (tim audit) bagi perbaikan atas implementasi MR auditan
pada khususnya, dan implementasi MR bagi organisasi pemerintahan dimana auditan
tersebut berada pada umumnya.
Selain itu, level maturitas manajemen risiko auditan hasil rekonfirmasi MR auditan tersebut
perlu dibandingkan dengan level maturitas manajemen risiko yang dihasilkan pada tahap
penyusunan PKPT, sehingga pembandingan kedua data tersebut dapat digunakan sebagai
dasar untuk mengoreksi strategi pengawasan intern yang akan dilaksanakan. Kriteria dalam
proses pembandingan tersebut, dapat disajikan sebagai berikut:
1. Jika level maturitas manajemen risiko hasil rekonfirmasi sama dengan level maturitas
manajemen risiko pada saat perencanaan (penyusunan PKPT), maka pengawasan
individu dilaksanakan sesuai dengan perencanaan awal;
2. Jika level maturitas manajemen risiko hasil rekonfirmasi ternyata lebih rendah dari level
maturitas manajemen risiko saat perencanaan (penyusunan PKPT), maka diperlukan
penyesuaian strategi pengawasan. Misalnya, tadinya tahap perencanaan menyimpulkan
auditable unit sudah level 3, sehingga APIP mencantumkan dalam PKPT akan
melaksanakan assurance atas efektivitas pengendalian dan assurance dengan jenis tertentu
(misalnya audit kinerja). Namun, hasil rekonfirmasi ternyata maturitas auditable unit
masih level 2. Kondisi tersebut menyebabkan APIP perlu menyesuaikan lingkup
pengawasannya, hanya melaksanakan assurance jenis tertentu saja (misalnya audit
kinerja), karena belum memungkinkan bagi APIP untuk melakukan assurance atas
efektivitas pengendalian (karena maturitas MR masih level 2). Dengan asumsi
menggunakan sumber daya yang sama sebagaimana ditetapkan dalam PKPT, maka
sampel untuk audit kinerja bisa diperluas dan diharapkan hasil pengawasannya lebih
berkualitas;
3. Jika level maturitas manajemen risiko hasil rekonfirmasi ternyata lebih tinggi dari
penilaian saat perencanaan (penyusunan PKPT), maka strategi pengawasan perlu
disesuaikan mengikuti level maturitas auditable unit dari hasil assessment yang terakhir.
Misalnya, saat perencanaan diketahui bahwa maturitas manajemen risiko auditable unit
adalah level 3, namun selang 6 bulan kemudian, saat dilakukan rekonfirmasi kematangan
manajemen risiko ternyata organisasi telah mengembangkan manajemen risiko
terintegrasi dan penerapannya di dukung teknologi informasi sehingga pemantauan atas
implementasi manajemen risiko semakin mudah. Oleh karenanya, hasil rekonfirmasi
menyimpulkan bahwa auditable unit telah berada di level 4. Karena adanya perkembangan
ini, maka lingkup assurance yang dilaksanakan oleh APIP dapat diperluas tidak hanya
menilai efektivitas pengendalian saja tapi memungkinkan untuk menilai efektivitas
14
manajemen risiko secara keseluruhan karena manajemen risiko telah diterapkan secara
terintegrasi. Dengan asumsi, sumber daya pengawasan yang digunakan sama dengan
yang telah ditetapkan dalam PKPT, maka untuk dapat melaksanakan penilaian efektivitas
manajemen risiko secara keseluruhan, maka lingkup assurance alternatif sebagaimana
direncanakan dalam PKPT perlu disesuaikan, misalnya jumlah sampel dikurangi,
sehingga sisa sumber daya dapat digunakan untuk melaksanakan assurance atas
efektivitas Manajemen Risiko secara keseluruhan. Terkait dengan assurance atas efektivitas
manajemen risiko yang sering disebut dengan pendekatan audit berbasis manajemen
risiko (risk management based audit/RMBA), akan dibahas dalam modul tersendiri.
Selain untuk menentukan strategi pengawasan individu, level maturitas manajemen risiko
juga dapat dimanfaatkan untuk memfokuskan kegiatan pengawasan APIP, yang terdiri dari
kegiatan assurance dan consulting. Misalnya, berdasarkan level kematangan manajemen risiko,
auditable unit dikelompokkan dalam tiga kategori, yaitu kelompok auditable unit dengan
kematangan rendah (level 1 dan 2), kematangan sedang (level 3), dan kematangan tinggi
(level 4 dan 5). Masing-masing kelompok akan dilakukan assurance dengan pendekatan yang
disesuaikan dengan tingkat kematangan manajemen risiko masing-masing. Berkaitan dengan
kegiatan fasilitasi, kegiatan akan lebih efektif jika dilaksanakan dengan cara mengumpulkan
auditable unit berdasarkan kelompok tingkat maturitas manajemen risikonya untuk difasilitasi
secara bersamaan. Dengan level kematangan manajemen risiko yang relatif sama, sehingga
pelaksanaan fasilitasi dapat lebih fokus dan disesuaikan dengan kebutuhan auditable unit
bersangkutan. Diharapkan, antar auditable unit juga saling berinteraksi dan memperoleh
manfaat dari pembelajaran bersama, sehingga komitmen untuk menerapkan manajemen
risiko lebih tinggi.
Berikut pendekatan kegiatan pengawasan intern untuk setiap level maturitas manajemen
risiko:
Tabel 1.5
Pendekatan Pengawasan Berdasarkan Level Maturitas MR

Risk
Risk Naive Risk Aware Risk Defined Risk Managed
No Uraian Enabled
Level 1 Level 2 Level 3 Level 4
Level 5
1 Karakteristik Belum Penerapan Kebijakan dan Pendekatan Manajemen

Utama mengembangkan manajemen strategi MR MR secara risiko dan
pendekatan risiko masih sudah menyeluruh pengendalian
formal dalam silo (terpisah- dibangun dan telah intern telah
penerapan pisah) dikomunikasi- dikembangkan terintegrasi
manajemen kan, selera dan dikomuni- sepenuhnya
risiko risiko juga kasikan dalam proses
bisnis
15
Risk
Risk Naive Risk Aware Risk Defined Risk Managed
No Uraian Enabled
Level 1 Level 2 Level 3 Level 4
Level 5
telah
ditetapkan
2 Pendekatan • Mendorong • Mendorong • Fasilitasi Asuran Asuran

Pengawasan penerapan penerapan untuk
manajemen manajemen internalisasi atas Proses atas Proses
Intern
risiko. risiko manajemen
Manajemen Manajemen
• Asuran dengan terintegrasi. risiko.
pendekatan • Asuran • Asuran Risiko (risk Risiko (risk
risiko (risk based dengan dengan management management
audit). pendekatan pendekatan based audit) based audit)
risiko (risk risiko (risk
based audit). based audit).
B. PELAKSANAAN AUDIT INTERN ATAS AUDITABLE UNIT
Menurut Standar Audit yang disusun oleh Asosiasi Auditor Intern Pemerintah Indonesia
(AAIPI) atau yang disingkat SAIPI, tahapan penugasan auditor internal baik penugasan
assurance maupun konsultansi secara umum terbagi dalam tiga tahap utama, yaitu:
perencanaan, pelaksanaan, dan pelaporan. Dalam praktiknya tidak ada garis tegas yang
membagi ketiga tahap ini. Tahap perencanaan tidak berhenti saat dimulainya tahap
pelaksanaan, karena penyesuaian rencana perlu dilakukan saat ditemukan adanya
penyimpangan. Penyampaian simpulan (tahap pelaporan) tidak harus setelah tahap
pelaksanaan penugasan selesai, namun dapat dilakukan saat ditemukan adanya masalah
yang perlu penanganan segera.
Pada bab ini, yang menjadi pembahasan lebih lanjut adalah penugasan assurance, sedangkan
penugasan consulting akan dibahas dalam modul tersendiri. Penugasan assurance bervariasi
sesuai tujuan dan lingkupnya, namun dengan tahapan penugasan relatif sama. Menurut
SAIPI, penugasan asuran meliputi tugas audit (audit keuangan, audit kinerja, audit tujuan
tertentu), reviu, evaluasi, dan pemantauan. Tahapan‐tahapan berikut pada umumnya
dilakukan di setiap kegiatan penugasan assurance, dengan sedikit penyesuaian pelaksanaan.
Tahapan kegiatan assurance secara umum dapat dirangkum sebagai berikut:
I. Tahap Perencanaan
a. Penetapan tujuan dan lingkup penugasan.
b. Pemahaman auditi.
c. Identifikasi dan penilaian risiko.
16
d. Identifikasi pengendalian kunci.
e. Evaluasi pengendalian.
f. Penyusunan rencana pengujian.
g. Penyusunan program audit.
h. Pengalokasian sumber daya.
II. Tahap Pelaksanaan

a. Pengujian dan pengumpulan bukti.
b. Evaluasi bukti dan pengambilan kesimpulan.
c. Pengembangan temuan dan rekomendasi.
III. Tahap Pelaporan

a. Penyampaian simpulan sementara.
b. Penyusunan laporan.
c. Distribusi laporan.
d. Monitoring tindak lanjut.
Secara lebih detil, bagaimana proses pelaksanaan penugasan asuran yang sesuai SAIPI
dibahas pada bab-bab berikut ini.
17
Bab II
TAHAP PERENCANAAN AUDIT
Setelah mengikuti proses pembelajaran bab ini, peserta diklat diharapkan akan mampu melaksanakan
perencanaan audit berbasis risiko secara baik sesuai dengan standar audit intern pemerintah Indonesia
Sesuai dengan Standar Audit Intern Pemerintah Indonesia (SAIPI), tahap perencanaan
pengawasan individu, perlu memperhatikan beberapa hal, antara lain: penetapan
pertimbangan dalam perencanaan, penetapan sasaran, ruang lingkup, metodologi, dan
alokasi sumber daya, penyusunan program kerja pengawasan, evaluasi sistem pengendalian
intern, serta evaluasi ketidakpatuhan auditi terhadap peraturan perundangan, kecurangan
dan ketidakpatutan.
Hal tersebut diatur dalam SAIPI paragraf 3200 – Perencanaan Penugasan Audit Intern, yaitu
Auditor harus mengembangkan dan mendokumentasikan rencana untuk setiap penugasan,
termasuk tujuan, ruang lingkup, waktu, dan alokasi sumber daya penugasan. Secara rinci,
standar terkait perencanaan pengawasan individu, disajikan sebagai berikut:
Tabel 2.1
Standar Audit Intern Terkait Perencanaan
No Paragraf Uraian
1 3210 Pertimbangan dalam Perencanaan.
Dalam merencanakan penugasan audit intern, Auditor harus

mempertimbangkan berbagai hal, termasuk sistem pengendalian
intern dan ketidakpatuhan auditi terhadap peraturan perundang-
undangan, kecurangan, dan ketidakpatutan (abuse).
2 3220 Penetapan Sasaran, Ruang Lingkup, Metodologi, dan Alokasi

Sumber Daya.
Dalam membuat rencana penugasan audit intern, Auditor harus

menetapkan sasaran, ruang lingkup, metodologi, dan alokasi
sumber daya.
3 3230 Program Kerja Penugasan.
18
Auditor harus mengembangkan dan mendokumentasikan
program kerja penugasan untuk mencapai tujuan penugasan.
4 3240 Evaluasi terhadap Sistem Pengendalian Intern.
Auditor harus memahami rancangan sistem pengendalian intern

dan menguji penerapannya serta memberikan rekomendasi yang
diperlukan.
5 3250 Evaluasi atas Ketidakpatuhan Auditi terhadap Peraturan

Perundang-undangan, Kecurangan, dan Ketidakpatutan (Abuse).
Auditor harus merancang audit internnya untuk mendeteksi

adanya ketidakpatuhan terhadap peraturan perundang-
undangan, kecurangan, dan ketidakpatutan (abuse).
Flow chart bagaimana tahapan perencanaan audit intern tersebut diimplementasikan adalah
sebagai berikut:
Gambar 2.1
Flow Chart Perencanaan Audit Intern
19
A. PENETAPAN TUJUAN DAN LINGKUP PENUGASAN
Tujuan Penugasan
Langkah pertama dalam memulai suatu penugasan adalah menentukan tujuan (apa yang
akan dicapai) dan lingkup penugasan (apa yang akan diuji). Pembagian penugasan assurance
baik itu audit, reviu, evaluasi dan pemantauan berdasarkan tujuan dan lingkup penugasan.
Misalnya, jika sebuah penugasan bertujuan untuk memberikan positive assurance (keyakinan
memadai) maka jenis penugasannya adalah ‘audit’. Keyakinan memadai yang diberikan
membawa konsekuensi bahwa penugasan akan menggunakan sumber daya lebih terkait
banyaknya jumlah bukti yang harus diuji.
Audit dapat dikelompokkan lebih lanjut sesuai tujuannya, misalnya sebagai berikut.
1) Audit yang bertujuan untuk memberi opini atas laporan keuangan disebut Audit
Keuangan.
2) Audit yang bertujuan untuk menilai efektifitas dan efisiensi sebuah
kegiatan/program disebut Audit Kinerja.
3) Audit yang bertujuan untuk menilai ketaatan terhadap peraturan tertentu
(compliance audit) disebut Audit Kinerja.
4) Audit yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan yang
melawan hukum disebut Audit Investigasi (audit tujuan tertentu).
Dalam hal keterbatasan sumber daya atau cukup dengan jaminan terbatas, jenis
penugasan dapat disesuaikan. Penugasan dapat dilakukan dalam bentuk reviu, evaluasi atau
pemantauan, yang hanya memberikan negative assurance (keyakinan terbatas). Pemberian
keyakinan terbatas ini dapat dikelompokkan lagi berdasar tujuannya, misalnya sebagai
berikut:
1) Penelaahan ulang bukti‐bukti suatu kegiatan yang bertujuan untuk memastikan

bahwa kegiatan telah dilaksanakan sesuai dengan ketentuan disebut Reviu.
2) Kegiatan yang bertujuan untuk menilai kemajuan suatu program/kegiatan dalam
mencapai tujuan yang telah ditetapkan disebut Pemantauan.
3) Rangkaian kegiatan yang bertujuan membandingkan hasil/prestasi suatu kegiatan
dengan standar, rencana, atau norma disebut Evaluasi.
Tujuan audit harus dirumuskan dan dinyatakan dengan jelas. Penulisan tujuan audit dapat
dimulai dengan beberapa frasa, antara lain:
a. Melakukan evaluasi atas desain pengendalian ..

b. Menentukan efektivitas dan efisiensi operasional …
20
c. Menilai ketaatan terhadap …
d. Menilai capaian kinerja …
e. Melakukan evaluasi atas akurasi dari ..
Tujuan audit akan menentukan jenis audit yang akan dilaksanakan. Untuk mengingatkan,
jenis audit yang telah diuraikan pada bagian awal modul, antara lain, yaitu:
1) Audit yang bertujuan untuk memberi opini atas laporan keuangan disebut audit
keuangan.
2) Audit yang bertujuan untuk menilai efektifitas dan efisiensi sebuah kegiatan/program
disebut audit kinerja atau audit operasional.
3) Audit yang bertujuan untuk menilai ketaatan terhadap peraturan tertentu disebut audit
kepatuhan (compliance audit).
4) Audit yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan yang
melawan hukum disebut audit investigasi.
Ruang lingkup Penugasan
Lingkup penugasan adalah batasan hal‐hal yang akan diuji. Batasan tersebut dapat berupa
proses tertentu, tingkatan tertentu, periode waktu dan/atau wilayah tertentu. Keputusan
menentukan lingkup penugasan memerlukan professional judgement dari pimpinan instansi
auditor internal. Penentuan lingkup penugasan yang jelas, membantu tim audit untuk lebih
fokus pada pengujian tertentu. Bagi pembaca laporan, pernyataan lingkup penugasan yang
jelas dapat mempermudah untuk memahami permasalahan dan simpulan yang disampaikan
dalam laporan.
B. PEMAHAMAN AUDITI
Dalam merencanakan penugasan, auditor internal harus memahami auditi (tujuan, proses
dan area yang menjadi lingkup penugasan). Kegagalan dalam memahami auditi dapat
berakibat pengujian yang tidak lengkap atau kesalahan pengalokasian sumber daya. Yang
pertama harus dipahami oleh auditor internal adalah tujuan organisasi. Tujuan organisasi
dapat diartikan sebagai sesuatu yang diupayakan untuk dicapai oleh organisasi. Tujuan
auditi merupakan tujuan pada tingkat organisasi (auditi) dan selanjutnya dijabarkan pada
tujuan-tujuan pada tingkat proses atau area, termasuk program, kegiatan, fungsi, sistem dan
prosedur, yang akan menjadi lingkup audit. Pada PP Nomor 60 Tahun 2008 disebutkan
tujuan pada tingkat instansi dan tujuan pada tingkatan kegiatan.
21
Auditor, pada langkah awal, dapat menggunakan berbagai macam dokumen sebagai sumber
data dan informasi untuk memahami organisasi (auditi) dan proses yang dilakukannya
(program, kegiatan, fungsi, sistem, dan prosedur). Auditor juga perlu memperoleh informasi
tentang pernyataan (assertion) auditi berkaitan dengan tujuan organisasi dan proses yang
dilakukan manajemen (auditi) dalam mencapainya.
Pada sektor publik dapat digunakan dokumen dan data, antara lain:
a. Dokumen rencana strategis (Renstra) organisasi (satuan kerja).

b. Dokumen anggaran, seperti Daftar Isian Pelaksanaan Anggaran (DIPA) atau Dokumen
Pelaksanaan Anggaran (DPA), dan Rencana Kerja dan Anggaran (RKA).
c. Prosedur baku yang telah ditetapkan.
d. Struktur organisasi dan uraian tugas masing‐masing pegawai yang terlibat
e. Peraturan perundang-undangan yang mendasari organisasi (satuan kerja) atau program
atau kegiatan atau fungsi.
f. Peraturan perundang-undangan lainnya yang berlaku umum dalam penyelenggaran
pemerintahan, misalnya tentang keuangan dan perbendaharaan negara.
g. Laporan-laporan yang dihasilkan, termasuk laporan keuangan dan laporan kinerja, serta
aporan dan dokumen yang dihasilkan oleh sistem dan prosedur yang dilaksanakan oleh
organisasi pemerintahan.
h. Dokumentasi lain misalnya laporan efektifitas internal control dan manajemen risiko.
Selain dari dokumen, auditor sangat mungkin memerlukan keterangan tambahan dari para
personil auditi dalam memahami tujuan dan proses yang dilakukan. Perkembangan
teknologi dalam pengelolaan organisasi dan kegiatan-kegiatan lainnya dapat dimanfaatkan
oleh auditor untuk mempermudah pelaksanaan tugas dalam memahami organisasi (auditi).
Dengan memanfaatkan sistem informasi yang ada, auditor dapat lebih mudah memperoleh
berbagai data dan informasi.
Untuk lebih lebih memahami proses dan bagaimana proses dilakukan serta hasil dari proses
tersebut, auditor juga perlu melakukan prosedur analitis (analytical procedures), termasuk
reviu dan evaluasi, terhadap data dan informasi yang diperoleh (keuangan dan non-
keuangan).
Setelah data dan informasi dikumpulkan, auditor perlu membuat dokumentasi berkaitan
pemahaman atas proses-proses pada organisasi (auditi). Dokumentasi atas proses tersebut
akan sangat berguna untuk langkah audit selanjutnya, serta merupakan bagian dari kertas
kerja yang dibuat auditor dan sarana untuk reviu oleh pengawas tim audit (pengendali
teknis) selama perencanaan audit. Dokumentasi atas proses dapat dituangkan dalam bentuk:
22
a. Process maps, menggambarkan suatu proses secara umum mulai dari masukan, proses
atau aktivitas, hubungan dengan proses lainnya, dan keluaran. Gambaran ini hanya
akan menjadi kerangka dalam memahami kegiatan dan prosesnya.
b. Flowchart, menggambarkan suatu dengan lebih rinci, termasuk jenis proses, sistem, dan
prosedur yang digunakan, arus dokumen, pihak-pihak yang terlibat, serta risiko dan
pengendalian yang ada pada proses tersebut.
c. Narrative memoranda, menggambarkan proses menggunakan kalimat atau narasi, dan
biasanya merupakan dokumentasi atau catatan tambahan (pelengkap) berkaitan proses
tersebut.
Auditor juga perlu memahami bagaimana manajemen auditi melakukan pemantauan atau
proses dan fungsi yang ada dan kinerjanya. Organisasi mungkin mengembangkan
indikator kinerja utama (IKU) atau key performance indicators (KPIs) sebagai sarana untuk
pemantauan.
C. IDENTIFIKASI DAN PENILAIAN RISIKO
Langkah identifikasi dan penilaian risiko dalam tahap perencanaan audit, sangat berkaitan
dengan proses manajemen risiko yang diterapkan oleh auditi.
Untuk auditi dengan kondisi risk managed dan risk enabled, auditor mendapat informasi risiko
yang dihadapi organisasi dari daftar risiko dari hasil proses manajemen risiko organisasi.
Pada kondisi risk defined, auditor cukup dengan melakukan verifikasi apakah proses
manajemen risiko sudah berjalan dengan efektif. Bila proses manajemen risiko sudah berjalan
dengan baik, auditor dapat menggunakan daftar risiko organisasi.
Namun, bila ternyata kematangan manajemen risiko organisasi masih pada tingkat risk naive
dan risk aware, auditor bersama manajemen organisasi perlu melakukan identifikasi dan
penilaian proses dan penerapan manajemen risiko bagi organisasi. Auditor harus melibatkan
manajemen dalam proses identifikasi dan penilaian risiko ini. Hal ini dilakukan untuk
menghindari kesalahpahaman pihak manajemen yang menganggap bahwa auditor ikut
bertanggung jawab terhadap pengelolaan (manajemen) risiko organisasi.
Berikut akan diuraikan secara singkat proses identifikasi risiko dan penilaian risiko pada
organisasi (auditi).
23
1. Identifikasi Risiko
Identifikasi risiko merupakan langkah lanjutan setelah auditor memahami auditi,

khususnya pemahaman terhadap tujuan auditi dan bagaimana auditi melakukan proses
(program, kegiatan, fungsi) dalam mencapai tujuannya. Identifikasi risiko adalah proses
menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu risiko dapat terjadi,
sebelum risiko timbul dan berdampak negatif terhadap pencapaian tujuan. Hasil
identifikasi risiko adalah suatu daftar risiko‐risiko yang berpotensi mengancam
pencapaian tiap tujuan organisasi atau program dan kegiatan.
Dalam rangka menjamin perolehan hasil identifikasi risiko yang akurat, identifikasi risiko
harus menggunakan metodologi yang tepat dan melibatkan para pemilik risiko yang
terkait dengan kegiatan yang dinilai risikonya. Metodologi yang tepat akan mengarahkan
ketepatan proses penilaian, sedang keterlibatan para pemilik risiko penting karena
mereka yang paling mengerti kegiatan dan menjadi pihak yang terkena dampak atas
kegagalan pencapaian tujuan karena terjadinya risiko.
Identifikasi dilakukan melalui wawancara dengan para pihak yang terkait dengan
kegiatan yang dinilai risikonya, evaluasi dokumen, pengamatan dan pendekatan lainnya
untuk menggali risiko yang ada. Finalisasi hasil identifikasi dilakukan melalui proses
kelompok diskusi atau focus group discussion (FGD) untuk mengonfirmasi ulang risiko
yang telah teridentifikasi dan untuk meminta masukan atas risiko‐risiko baru yang
sebelumnya belum teridentifikasi.
PP Nomor 60 Tahun 2008 menyebutkan bahwa sumber risiko dapat dikelompokkan

menjadi dua faktor, yaitu faktor internal dan faktor eksternal. Yang termasuk dalam
faktor ekstern misalnya, antara lain, peraturan perundang-undangan baru,
perkembangan teknologi, bencana alam, dan gangguan keamanan. Sedangkan yang
termasuk dalam faktor internal misalnya, antara lain, keterbatasan dana operasional,
sumber daya manusia yang tidak kompeten, peralatan yang tidak memadai, kebijakan
dan prosedur yang tidak jelas, dan suasana kerja yang tidak kondusif.
Terdapat kemungkinan adanya faktor lain yang dapat meningkatkan risiko. Perlu
dipertimbangkan seluruh risiko akibat kegagalan pencapaian tujuan dan keterbatasan
anggaran yang pernah terjadi antara lain disebabkan oleh pengeluaran program yang
tidak tepat, pelanggaran terhadap pengendalian dana, dan ketidaktaatan terhadap
peraturan perundang-undangan. Selain itu, perlu dilakukan identifikasi setiap risiko
yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap
program atau kegiatan spesifik yang dilaksanakan.
24
Output identifikasi risiko adalah daftar risiko yang sekurang‐kurangnya memuat
informasi tentang tujuan terkait risiko, pernyataan risiko pemilik risiko, sumber risiko, dan
pengendalian yang ada. Hasil identifikasi risiko dapat dituangkan dalam format berikut:
Tabel 2.2
Format Daftar Risiko
2. Penilaian Risiko
Penilaian risiko, atau analisis risiko, pada dasarnya merupakan penentuan tingkat
kemungkinan terjadinya risiko serta dampak dari risiko yang telah diidentifikasi
terhadap pencapaian tujuan. Jadi, terdapat dua unsur yang menjadi dasar untuk
melakukan analisis risiko yaitu:
a. dampak risiko (consequences atau impact) atau besarnya efek bila risiko terjadi, dan
b. kemungkinan terjadinya suatu risiko (likelihood atau probability) atau tingkat
kemungkinan risiko akan terjadi.
Pengukuran yang dapat diberikan kepada dua unsur tersebut bisa dilakukan secara
kuantitatif dan kualitatif. Metode pengukuran secara kualitatif dilaksanakan dengan
menetapkan skala penilaian, dan kemudian diberikan angka (kuantitatif).
Misalnya, dampak diukur dengan skala kualitatif dan kuantitatif (angka), sebagai
berikut: sangat besar (5), besar (4), menengah (3), kecil (2), dan sangat kecil (1).
Sedangkan probabilitas diukur dengan skala: (5) hampir pasti, (4) cenderung terjadi, (3)
mungkin terjadi, (2) kadang‐kadang terjadi, dan (1) sangat jarang terjadi.
Metode kuantitatif menggunakan angka/nilai numerik untuk menyatakan besarnya
probabilitas dan dampak. Nilai yang digunakan dari berbagai sumber, salah satunya
adalah dari data historis selama beberapa tahun. Metode campuran menggunakan
gabungan metode kuantitatif dan metode kualitatif. Masing‐masing metode ini memiliki
kelebihan dan kekurangan, namun jika dilakukan dengan cara benar, ketiga metode ini
akan menghasilkan peringkat risiko yang relatif sama. Yang diperlukan di sini bukan
akurasi atau ketepatan nilainya tetapi hanya untuk memperkirakan peringkat risiko,
25
mana risiko yang melebihi batas toleransi dan seberapa besar pengaruh pengendalian
yang ada terhadap tingkat risiko.
Dalam melakukan penilaian risiko, perlu dipahami pengertian mengenai risiko yang ada
sebelum dan sesudah dilakukannya penanganan risiko, yaitu:
a. inherent risk (risiko melekat atau absolut), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko pada saat manajemen
belum melakukan suatu tindakan terhadap pengendalian intern; dan
b. residual risk (risiko bersih atau terkendali), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko setelah pengendalian
intern diberlakukan.
Dalam praktik, hal yang paling mudah dikerjakan adalah mengukur inherent risk pada
suatu kegiatan yang baru diimplementasikan, karena sangat besar kemungkinan belum
ada pengendalian intern yang ditetapkan. Sedangkan untuk kegiatan yang bersifat rutin
pada umumnya inherent risk akan lebih sulit untuk diukur, karenanya auditor akan
menilai residual risk‐nya.
Jika probabilitas risiko inheren tinggi, maka pengendalian yang bersifat preventif harus
diterapkan, dan jika dampak terjadinya risiko inheren besar, maka pengendalian mitigatif
yang diterapkan.
Gambar 2.2
Bentuk Pengendalian
Hasil dari penilaian risiko memberikan ukuran atau tingkat risiko untuk dampak dan
probalitasnya. Dari format identifikasi risiko bisa ditambahkan kolom untuk nilai atau
26
tingkat dampak dan probabilitasnya, dan diisi untuk masing-masing risiko yang telah
diidentifikasikan.
Untuk mempermudah penyampaian informasi, hasil penilaian risiko dituangkan dalam
peta risiko sebagai berikut:
Gambar 2.3
Peta Risiko
Masing‐masing risiko akan ditempatkan di posisi sesuai probabilitas dan dampaknya.

Hasil penilaian risiko akan memberikan arah bagi auditor untuk lebih fokus terhadap
risiko-risiko dengan tingkat atau level yang tinggi, yang selanjutnya akan dikaitkan
pengendalian yang dilakukan oleh organisasi (auditi).
D. IDENTIFIKASI PENGENDALIAN KUNCI
Pada langkah ini, perlu dilakukan identifikasi pengendalian yang paling berperan untuk
menekan atau mengurangi risiko sampai di level yang dapat diterima. Dalam praktik, banyak
kegiatan pengendalian yang diterapkan dalam suatu proses. Semua pengendalian ini
memiliki peran untuk menekan risiko, namun hanya beberapa yang benar-benar
berpengaruh. Pengendalian yang benar-benar berpengaruh ini selanjutnya disebut
pengendalian kunci.
27
Untuk menentukan pengendalian kunci, perlu dipahami berbagai jenis kegiatan
pengendalian, menurut Reding et al (2009), sebagai berikut:
a. Persetujuan (approving) dari pihak yang memiliki kewenangan. Misalnya persetujuan
untuk membayar sejumlah uang oleh pengguna anggaran (PA) atau kuasa pengguna
anggaran (KPA), persetujuan penghapusan barang milik negara (BMN) dari pengelola
BMN.
b. Perhitungan (calculating) atau perhitungan ulang angka yang didapat dari proses
sebelumnya. Misal, sebelum melakukan pembayaran, bendahara pengeluaran wajib
menghitung ulang jumlah tagihan yang harus dibayar.
c. Dokumentasi (documenting) berkaitan dengan penyimpanan sumber informasi atau
dokumen sumber (bukti) atau catatan terkait keputusan yang diambil. Misal, bukti
penerimaan barang, faktur, bukti pembayaran, atau catatan atas transaksi akrual.
d. Pengujian (examining) kelengkapan dokumen/bukti yang mendukung suatu kejadian.
Misal, menguji Berita Acara Serah Terima (BAST) untuk memastikan barang telah diterima
sesuai dengan spesifikasi yang ditentukan sebelum dilakukan pembayaran.
e. Pencocokan (matching) meliputi pembandingan dua dokumen berbeda untuk diproses
selanjutnya. Misal, pencocokan antara jumlah pembayaran dengan nilai kontrak dan
BAST.
f. Pemantauan (monitoring) adalah penilaian kemajuan atau pelaksanaan
program/kegiatan/anggaran dalam mencapai target yang telah ditetapkan. Misal,
pemantauan penyerapan anggaran apakah sesuai yang diharapkan dan tidak melebihi
pagu anggaran.
g. Pembatasan (restricting) kegiatan yang hanya dapat dilakukan oleh seseorang yang
berwenang. Misal, penandatangan kontrak barang/jasa tertentu hanya dapat dilakukan
oleh Pejabat Pembuat Komitmen (PPK).
h. Pemisahan (segregrating) kewenangan antar pihak yang terlibat dalam suatu kegiatan agar
timbul mekanisme check and re-check. Misal, pemisahan pihak yang menyetujui
pembayaran, mencatat pembayaran dan melakukan pembayaran.
i. Pengawasan (supervising) meliputi pengarahan dan pengaturan untuk meyakinkan bahwa
program/kegiatan dilaksanakan sesuai dengan perencanaannya. Misal, pengawasan atas
pelaksanaan anggaran sesuai dengan standar biaya, jenis dan mata anggarannya, serta
tujuannya.
Menurut COSO Internal Control — Integrated Framework Guidance on Monitoring,

pengendalian kunci (key controls) memiliki, setidaknya, salah satu dari dua karakteristik
pengendalian, sebagai berikut:
28
a. Kegagalan pengendalian kunci dapat berdampak material terhadap pencapaian tujuan
organisasi karena tidak dapat segera dideteksi oleh pengendalian lain.
b. Berfungsinya pengendalian kunci dapat mencegah kegagalan pengendalian lain sebelum
berdampak material.
Hal yang paling penting selanjutnya untuk dilakukan oleh auditor adalah menghubungkan
antara risiko yang telah diidentifikasi dan dinilai sebelumnya, dengan pengendalian kunci
yang ada dan diidentifikasikan.
E. EVALUASI PENGENDALIAN
Setelah pengendalian kunci dapat diidentifikasikan, langkah perencanaan audit selanjutnya

adalah melakukan evaluasi untuk memastikan bahwa pengendalian kunci telah didesain
dengan baik untuk menekan risiko di level yang dapat diterima.
Beberapa hal yang perlu dipertimbangkan dalam melakukan evaluasi kecukupan desain
pengendalian, sebagai berikut:
a. Tingkatan risiko yang dapat diterima (acceptable level) sesuai dengan selera risiko
manajemen (risk appetite) dan tingkat toleransi risiko (management’s risk tolerance levels).
b. Apakah risiko ditangani oleh satu (individually) atau beberapa (collectively) pengendalian
kunci.
c. Pengendalian tambahan (compensating control) dari proses lain yang turut menekan risiko
ke level yang dapat diterima.
d. Apakah desain pengendalian kunci, jika berjalan efektif, dapat menekan risiko ke level
yang dapat diterima.
e. Pengendalian didesain untuk meyakinkan bahwa operasi organisasi berjalan efektif dan
efisien, pelaporan yang andal, ketaatan pada hukum dan peraturan, serta pencapaian
tujuan strategis organisasi.
f. Kesenjangan atau hambatan yang mengganggu proses desain pengendalian, meliputi
jenis hambatan, dampak, dan penyebabnya (misalnya prosedur yang tidak memadai,
sistem yang tidak terintegrasi, atau kebijakan yang tidak jelas).
Tidak ada metode atau teknik khusus yang dilakukan auditor pada saat melakukan evaluasi
atas pengendalian kunci. Misalnya auditor saat mengevaluasi pengendalian kunci dapat
bertanya langsung (wawancara) kepada auditan, maupun melakukan cek kepada auditan
atas pemenuhan/pelaksanaan pengendalian kunci tersebut.
29
Setelah evaluasi desain pengendalian dilakukan dan diperoleh kesenjangan atau hambatan
desain pengendalian, akan dicatat sebagai hasil (observasi) audit sementara dan dibahas
dengan manajemen organisasi (auditi). Hasil evaluasi dapat dicatat pada Matriks Risiko dan
Pengendalian, sebagai berikut:
Tabel 2.3
Matriks Risiko dan Pengendalian
Hasil evaluasi desain pengendalian (kunci) akan menjadi dasar bagi auditor dalam menyusun
rencana pengujian. Hasil evaluasi atas desain pengendalian (kunci) akan mempengaruhi sifat,
luas, dan waktu pengujian yang direncanakan.
F. PENYUSUNAN RENCANA PENGUJIAN
Setelah seluruh proses pada organisasi (auditi) dipahami, risiko identifikasi dan dinilai, serta
pengendalian kunci juga diidentifikasi dan dievaluasi desainnya, maka langkah selanjutnya
adalah mengembangkan rencana pengujian. Rencana pengujian berisi prosedur audit dan
teknik audit yang akan dilaksanakan.
Rencana pengujian disusun untuk memperoleh bukti audit yang tepat dan cukup, untuk
mendukung hasil evaluasi atas pengendalian kunci. Pengujian yang akan dilakukan
merupakan pengujian atas pengendalian (control test) dan pengujian atas keterjadian risiko.
Hasil pengujian dan hasil evaluasi pengendalian akan memberikan simpulan berkaitan
dengan jaminan memadai bahwa tujuan organisasi akan tercapai.
Kaitan antara hasil evaluasi pengendalian kunci dengan rencana pengujian digambarkan
dalam tabel sebagai berikut:
30
Tabel 2.4
Evaluasi Pengendalian Kunci dan Rencana Pengujian
No Hasil evaluasi pengendalian kunci Rencana Pengujian
1 Pengendalian kunci tidak didesain Pengujian atas keterjadian risiko

dengan memadai
2 Pengendalian kunci didesain dengan Pengujian atas efektivitas
memadai, namun ada keterjadian pengendalian kunci, dan
risiko pengujian atas keterjadian risiko
3 Pengendalian kunci didesain dengan Tidak perlu diuji lebih lanjut

memadai, dan tidak ada keterjadian
risiko
Penyusunan rencana pengujian dimulai dengan menentukan pengendalian yang akan diuji,
mengembangkan pendekatan pengujian yang akan dilakukan, dan mendokumentasikan
pendekatan pengujian yang direncanakan.
1. Menentukan Pengendalian yang Diuji
Fokus utama pengujian adalah untuk menentukan apakah pengendalian kunci beroperasi
secara efektif untuk menyakinkan bahwa pengelolaan risiko dilakukan secara memadai.
Apabila tidak dimungkinkan untuk menguji seluruh pengendalian kunci yang

teridentifikasikan, beberapa faktor berikut dapat menjadi pertimbangan dalam
menentukan pengendalian yang akan diuji:
a. Pengendalian pada level yang lebih tinggi (higher-level controls) dan pengendalian pada
tingkat entitas (entity-level controls).
b. Pengendalian yang ditujukan untuk beberapa risiko.
c. Pengendalian yang didesain secara memadai dan pengendalian yang tidak didesain
secara memadai.
d. Pengendalian yang dilakukan secara periodik atau terus-menerus.
e. Perubahan operasional organisasi dan dampaknya terhadap pengendalian yang ada.
2. Mengembangkan Pendekatan Pengujian
Pendekatan pengujian meliputi sifat pengujian (nature of tests), luas pengujian (extent of
tests), dan waktu prosedur pengujian yang akan dilakukan (timing of tests).
31
a. Sifat pengujian mencakup berbagai jenis prosedur dan teknik audit yang akan
dilakukan. Prosedur dan teknik audit yang berbeda akan menghasilkan jenis bukti
audit yang berbeda, dengan tingkat asurans yang berbeda dan membutuhkan waktu
pelaksanaan pengujian yang berbeda juga.
b. Luas pengujian berkaitan jumlah data berkaitan dengan program atau kegiatan atau
proses yang akan diuji. Pengujian bisa dilakukan terhadap seluruh data (100%) atau
dilakukan secara uji petik.
c. Waktu pengujian menetukan saat pengujian akan dilakukan, apakah pada periode
waktu tertentu atau pengujian dilakukan beberapa kali. Hal ini tergantung pada
periode dan waktu penugasan audit, sifat dari pengendalian yang akan diuji, dan
jenis pengujiannya.
3. Mendokumentasikan Pendekatan Pengujian

Pendekatan pengujian yang direncanakan dapat didokumentasikan pada Matriks Risiko
dan Pengendalian, dengan menambah kolom untuk pendekatan pengujian sebagai
berikut:
Tabel 2.5
Dokumentasi Pendekatan Pengujian
G. PENYUSUNAN PROGRAM KERJA AUDIT
Seluruh pertimbangan dan simpulan yang diperoleh pada tahap perencanaan audit harus
didokumentasikan sebagai dasar atau pedoman untuk tahap audit selanjutnya, atau tahap
pelaksanaan dan komunikasi hasil audit. Dokumentasi tersebut disebut dengan program
kerja audit (PKA). Program kerja audit (PKA) adalah rancangan prosedur dan teknik audit
yang disusun secara sistematis yang harus diikuti dan dilaksanakan oleh auditor dalam
kegiatan audit untuk mencapai tujuan audit.
SAIPI (2014), Paragraf 3230 - Program Kerja Penugasan, menyatakan bahwa auditor harus
mengembangkan dan mendokumentasikan program kerja penugasan untuk mencapai tujuan
penugasan. Selanjutnya, program kerja penugasan harus:
32
a. mencakup prosedur untuk mengidentifikasi, menganalisis, mengevaluasi, dan
mendokumentasikan informasi selama penugasan,
b. mencakup metodologi yang digunakan, misalnya audit berbasis teknologi dan teknik
sampling,
c. direviu dan disetujui sebelum pelaksanaannya, serta setiap penyesuaian harus mendapat
persetujuan segera.
Format PKA bisa menggunakan berbagai bentuk sesuai dengan kebutuhan dan kebijakan
dari tiap organisasi auditor. Format PKA dapat menggunakan beberapa bentuk, sebagai
berikut:
a. Format atau pola standar berupa daftar uji (checklist) yang berisi langkah-langkah audit
yang akan dilaksanakan. Pada praktiknya, di lingkungan APIP, format ini yang biasa
digunakan. Format ini akan dapat memastikan bahwa seluruh langkah audit akan
dilaksanakan selama penugasan.
b. Bentuk memorandum, yang menguraikan langkah-langkah audit yang akan dilakukan.
Bentuk lebih bebas dan lebih tepat dalam situasi perencanaan audit yang dinamis dan
mungkin terdapat perubahan-perubahan yang signifikan.
c. Matriks risiko dan pengendalian, dengan penambahan kolom-kolom untuk pembagian
tugas bagi para auditor dan/atau keterangan lainnya.
d. PKA menggunakan kombinasi dari ketiga bentuk atau format tersebut di atas.
Secara umum, tugas atau langkah atau pekerjaan yang harus tertuang pada dokumen PKA
dan menjadi arahan bagi seluruh tim audit dalam bekerja, sebagai berikut:
a. Tugas yang bersifat administratif, misalnya perintah untuk membuat memorandum

perencanaan, penjadwalan personil, penetapan tanggal-tanggal penting, dan sebagainya.
b. Melakukan pembicaraan awal (entry meeting atau kickoff meeting) dengan manajemen
organisasi (auditi), untuk membahas tujuan dan lingkup audit, jadwal penugasan,
informasi yang diperlukan, dan harapan atau hasil yang diharapakan oleh auditi.
c. Tugas untuk melakukan perencanaan audit, sesuai dengan langkah-langkah yang sudah
diuraikan pada bab ini, meliputi pemahaman terhadap auditi, penilaian risiko, dan
pengendalian.
d. Tugas untuk melakukan pengujian atau prosedur dan tekni audit, sebagai bagian dari
pekerjaan lapangan (fieldwork) audit, seperti yang direncanakan pada Matrik Risiko dan
Pengendalian - Pengujian.
33
e. Penyelesaian penugasan audit, termasuk reviu atas pengujian yang telah dilakukan,
pembahasan (closing meeting atau exit meeting) dengan manajemen auditi, serta
pembenahan kertas kerja audit (KKA).
f. Tugas pelaporan hasil audit, mulai dari penyusunan konsep laporan, sampai dengan
penerbitan laporan hasil audit (LHA).
Berdasarkan uraian di atas, sebelum memulai perencanaan audit auditor harus sudah
membuat PKA awal yang, setidaknya, berisi tugas atau perintah untuk melakukan
pembicaraan awal dan langkah-langkah perencanaan audit. Pada akhir tahap perencanaan,
PKA untuk pengujian audit baru dikembangkan dan ditetapkan.
H. PENGALOKASIAN SUMBER DAYA
Langkah terakhir di tahap perencanaan audit adalah pengalokasian sumber daya penugasan
audit. Sumber daya penugasan audit mencakup sumber daya manusia (auditor dan/atau
profesional lainnya) dan anggaran biaya, serta sumber daya lainnya (misalnya peralalatan
dan teknologi tertentu, jika diperlukan) untuk dapat melaksanakan penugasan.
Pada tahap ini diperlukan pengalaman auditor dalam menentukan jumlah waktu, biaya, dan
jadwal agar penugasan dapat diselesaikan tepat waktu.
Hasil dari tahap ini adalah alokasi waktu untuk pelaksanaan audit, hari pengawasan (HP)
masing-masing auditor, alokasi biaya per auditor, dan jenis pengujian yang akan dilakukan.
Dengan kata lain, masing-masing prosedur pengujian tersebut ditetapkan auditor yang akan
melaksanakan disertai target waktu pelaksanaan dan dana bila diperlukan.
Dalam praktiknya, pada audit sektor publik, alokasi sumber daya penugasan sudah dimulai
pada awal penugasan dengan penerbitan surat tugas (ST) atau surat perintah tugas (SPT)
atau surat perintah (S-Prin) untuk melakukan audit. Langkah pengalokasian sumber daya
yang dilakukan pada akhir tahap perencanaan audit, bisa tetap dilaksanakan untuk
penyesuaian sumber daya yang sebenarnya diperlukan, setelah rencana pengujian
dikembangkan, disusun, dan ditetapkan pada PKA.
34
Bab III
TAHAP PELAKSANAAN AUDIT
Setelah mengikuti proses pembelajaran bab ini, peserta diklat diharapkan akan mampu melaksanakan audit
berbasis risiko secara baik sesuai dengan standar audit intern pemerintah Indonesia
Setelah perencanaan pengawasan berhasil diselesaikan, langkah selanjutnya adalah tahapan

pelaksanaan pengawasan individu. Pelaksanaan pengawasan individu, sesuai Standar
Audit Intern Pemerintah Indonesia (SAIPI), diatur dalam paragraf 3000 – Pelaksanaan
Penugasan Audit Intern, yaitu Auditor harus mengidentifikasi, menganalisis,
mengevaluasi, dan mendokumentasikan informasi yang memadai untuk mencapai tujuan
penugasan audit intern. Secara lebih rinci, paragraf yang terkait dengan pelaksanaan audit
intern sebagai berikut:
No Paragraf Uraian
1 3310 Mengidentifikasi Informasi.
Auditor harus mengidentifikasi informasi audit intern yang

cukup, kompeten, dan relevan.
2 3320 Menganalisis dan Mengevaluasi Informasi.
Auditor harus mendasarkan kesimpulan dan hasil penugasan

audit intern pada analisis dan evaluasi informasi yang tepat.
3 3330 Mendokumentasikan Informasi.
Auditor harus menyiapkan dan menatausahakan

pendokumentasian informasi audit intern dalam bentuk kertas
kerja audit intern. Informasi harus didokumentasikan dan
disimpan secara tertib dan sistematis agar dapat secara efektif
diambil kembali, dirujuk, dan dianalisis.
4 3340 Supervisi Penugasan.
Pada setiap tahap penugasan audit intern, auditor harus

disupervisi secara memadai untuk memastikan tercapainya
35
sasaran, terjaminnya kualitas, dan meningkatnya kompetensi
auditor.
Flowchart bagaimana tahapan pelaksanaan audit intern tersebut diimplementasikan adalah

sebagai berikut:
Gambar 3.1
Tahap Pelaksanaan Audit Intern
36
Pada tahapan pelaksanaan audit, auditor harus mengidentifikasi, menganalisis,
mengevaluasi, dan mendokumentasikan informasi, yang akan menjadi bukti audit yang
memadai, untuk mencapai tujuan penugasan audit.
A. PENGUJIAN DAN PENGUMPULAN BUKTI
Pada tahap pelaksanaan audit, auditor akan mulai melakukan pengujian (melaksanakan
prosedur dan teknik audit) untuk mengumpulkan bukti audit guna memenuhi tujuan audit
yang tetah ditetapkan. Terdapat dua aspek penting pada langkah audit ini, yaitu
melaksanakan prosedur audit untuk memperoleh bukti audit serta mendokumentasikan
seluruh prosedur yang dilaksanakan, bukti yang dikumpulkan, dan hasil audit yang
disimpulkan.
1. Pelaksanaan Pengujian
Inti dari pelaksanaan audit adalah pengujian. Auditor melakukan mengujian untuk
memperoleh dan mengumpulkan bukti audit guna mencapai tujuan audit. Pengujian
yang dilaksanakan adalah pengujian yang sudah dikembangkan pada tahap
perencanaan, serta sudah didokumentasikan pada pada Matriks Risiko dan
Pengendalian–Pendekatan Pengujian dan diformalkan pada program kerja audit (PKA).
Dalam bahasa standar audit, bukti audit seringkali dinyatakan sebagai informasi. SAIPI
(2014), Paragraf 3310 - Mengidentifikasi Informasi, menyebutkan bahwa auditor harus
mengidentifikasi informasi audit intern yang cukup, kompeten, dan relevan. Selanjutnya
nformasi (bukti audit) yang dikumpulkan oleh auditor tersebut akan digunakan untuk
mendukung kesimpulan, fakta, serta rekomendasi yang terkait.
Sedikit mengulang yang pernah dibahas sebelumnya, syarat bukti audit yang memadai,
yaitu:
a. Informasi yang cukup berkaitan dengan jumlah informasi yang dapat dijadikan
sebagai dasar untuk penarikan suatu kesimpulan. Untuk menentukan kecukupan
informasi, auditor harus menerapkan pertimbangan keahliannya secara profesional
dan objektif.
b. Informasi disebut kompeten jika informasi tersebut sah dan dapat diandalkan untuk
menjamin kesesuaian dengan faktanya. Informasi yang sah adalah Informasi yang
memenuhi persyaratan hukum dan peraturan perundangundangan. Informasi yang
dapat diandalkan berkaitan dengan sumber dan cara perolehan Informasi itu sendiri.
37
c. Informasi disebut relevan jika informasi tersebut secara logis mendukung atau
menguatkan pendapat atau argumen yang berhubungan dengan tujuan dan
kesimpulan.
Untuk memperoleh informasi sebagai bukti audit, auditor melaksanakan prosedur dan
teknik audit sebagai bentuk pengujian, sebagaimana direncanakan pada PKA. Teknik
audit tertentu dirancang untuk memperoleh jenis bukti audit tertentu, sebagai berikut:
a. Teknik-teknik audit yang dapat digunakan untuk mengumpulkan bukti dokumen
adalah:
▪ Verifikasi
▪ Cek
▪ Uji/test
▪ Footing
▪ Cross Footing
▪ Vouching
▪ Trasir
▪ Scanning
▪ Rekonsiliasi
b. Teknik-teknik audit yang dapat digunakan untuk mengumpulkan bukti pengujian

fisik adalah:
▪ Observasi/pengamatan
▪ Inventarisasi/opname
▪ Inspeksi
c. Teknik-teknik audit yang dapat digunakan untuk mengumpulkan bukti keterangan

adalah:
▪ Konfirmasi
▪ Permintaan keterangan
d. Teknik-teknik audit yang dapat digunakan untuk mengumpulkan bukti analisis

adalah:
▪ Analisis
▪ Evaluasi
▪ Investigasi
▪ Pembandingan
38
Pada saat melakukan pengujian, auditor dapat juga menggunakan hal-hal berikut
berkaitan dengan metodologi yang digunakan:
▪ Sampling audit
▪ Penggunaan teknologi informasi
▪ Auditor juga dapat menggunakan tenaga ahli apabila pengetahuan dan
pengalamannya tidak memadai untuk mendapatkan Informasi yang cukup,
kompeten, dan relevan. Untuk memahami apakah hasil kerja tenaga ahli dapat
mendukung kesimpulan, auditor harus mempelajari metode atau asumsi yang
digunakan oleh tenaga ahli tersebut.
Hasil pengujian yang dilakukan dapat dituliskan pada Matriks Risiko dan Pengendalian,
dengan menambahkan kolom Hasil Pengujian, sehingga menjadi Matriks Risiko dan
Pengendalian – Hasil Pengujian.
Tabel 3.1
Matriks Risiko-Pengendalian-Hasil Pengujian
2. Pengumpulan Bukti Audit dan Dokumentasinya

SAIPI (2014), Paragraf 3330 - Mendokumentasikan Informasi, menyatakan bahwa auditor
harus menyiapkan dan menatausahakan pendokumentasian informasi audit intern
dalam bentuk kertas kerja audit intern. Informasi harus didokumentasikan dan disimpan
secara tertib dan sistematis agar dapat secara efektif diambil kembali, dirujuk, dan
dianalisis.
Dokumentasi informasi audit menguraikan hal sebagai berikut:
a. Informasi yang berkaitan dengan perencanaan, pelaksanaan, dan pelaporan audit

intern harus berisi informasi yang cukup untuk memungkinkan auditor yang
39
berpengalaman tetapi tidak mempunyai hubungan dengan audit tersebut dapat
memastikan bahwa informasi tersebut dapat menjadi informasi yang mendukung
kesimpulan, fakta, dan rekomendasi auditor.
b. Bentuk dan isi informasi harus dirancang secara tepat sehingga sesuai dengan kondisi
masing-masing penugasan atau jenis audit intern. Informasi harus menggambarkan
catatan penting mengenai penugasan audit intern yang dilaksanakan oleh auditor
sesuai dengan standar audit dan kesimpulan auditor. Kuantitas, jenis, dan isi
informasi audit intern didasarkan atas pertimbangan profesional auditor.
c. Informasi pada KKA harus berisi:

- sasaran, lingkup, dan metodologi audit intern, termasuk kriteria pengambilan uji
petik (sampling) yang digunakan;
- dokumentasi penugasan yang dilakukan digunakan untuk mendukung
pertimbangan profesional dan fakta yang ditemukan;
- informasi tentang reviu dan supervisi terhadap penugasan yang dilakukan;
- penjelasan auditor mengenai standar audit yang tidak diterapkan, apabila ada,
alasan, dan akibatnya.
d. Penyusunan dokumentasi informasi harus cukup rinci untuk memberikan

pengertian yang jelas tentang sasaran, sumber, dan kesimpulan yang dibuat oleh
auditor, dan harus diatur secara jelas sehingga ada hubungan antara fakta dengan
kesimpulan yang ada dalam laporan hasil audit intern.
e. Setiap KKA harus dilakukan reviu secara berjenjang untuk memastikan bahwa kertas
kerja audit intern telah disusun dan memuat semua informasi yang berkaitan dengan
pelaksanaan program kerja penugasan.
f. Organisasi auditor harus menetapkan kebijakan dan prosedur yang wajar mengenai
pengamanan dan penyimpanan informasi audit intern selama waktu tertentu sesuai
dengan ketentuan peraturan perundang-undangan. Dokumentasi informasi
memungkinkan dilakukannya reviu terhadap kualitas pelaksanaan audit intern,
yaitu dengan memberikan informasi tersebut kepada pereviu, baik dalam bentuk
dokumen tertulis maupun dalam format elektronik. Apabila informasi audit intern
hanya disimpan secara elektronik, pimpinan APIP harus yakin bahwa informasi
40
elektronik tersebut dapat diakses sepanjang periode penyimpanan yang ditetapkan
dan akses terhadap informasi elektronik tersebut dijaga secara memadai.
B. EVALUASI BUKTI DAN PENGAMBILAN KESIMPULAN
Bukti dan/atau informasi audit yang telah diperoleh auditor harus selalu dilakukan evaluasi,
terutama berkaitan dengan syarat bukti yang memadai. Dalam melakukan evaluasi, auditor
selalu menggunakan asumsi professional sceptism.
SAIPI (2014), Paragraf 3320 - Menganalisis dan Mengevaluasi Informasi, menyatakan bahwa
auditor harus mendasarkan kesimpulan dan hasil penugasan audit intern pada analisis dan
evaluasi informasi yang tepat. Selain untuk mendukung simpulan auditor dan hasil
penugasan audit intern, informasi yang diidentifikasi, dianalisis, dan dievaluasi meliputi
pula informasi yang mendukung adanya kelemahan dalam sistem pengendalian intern serta
informasi yang mendukung adanya ketidakpatuhan terhadap peraturan perundang-
undangan, kecurangan dan ketidakpatutan (abuse).
Setelah bukti audit yang diperoleh sudah memadai, auditor dapat mengambil kesimpulan
berkaitan pengujian pengendalian dan dihubungkan dengan efektivitas penanganan risiko
yang diharapkan. Simpulan hasil pengujian dapat dituangkan pada Matrik Risiko dan
Pengendalian – Simpulan.
Tabel 3.2
Matriks Risiko-Pengendalian-Hasil Pengujian-Simpulan
Selain itu, pada setiap tahap penugasan audit intern, auditor harus disupervisi secara
memadai untuk memastikan tercapainya sasaran, terjaminnya kualitas, dan meningkatnya
kompetensi auditor.
41
Supervisi merupakan tindakan yang terus-menerus selama penugasan audit intern, mulai
dari perencanaan hingga dikomunikasikannya hasil akhir audit intern. Supervisi harus
diarahkan baik pada substansi maupun metodologi audit intern dengan tujuan antara lain
untuk mengetahui:
a. pemahaman tim audit intern atas rencana audit intern;

b. kesesuaian pelaksanaan penugasan audit intern dengan standar audit;
c. kelengkapan informasi yang terkandung dalam kertas kerja audit intern untuk
mendukung kesimpulan dan rekomendasi sesuai dengan jenis audit intern;
d. kelengkapan dan akurasi laporan hasil audit intern yang mencakup terutama pada
kesimpulan dan rekomendasi sesuai dengan jenis audit intern.
Semua penugasan audit intern harus direviu secara berjenjang sebelum hasil akhir
dikomunikasikan. Reviu secara berjenjang dan periodik dilakukan untuk memastikan bahwa:
a. tim audit intern memahami sasaran dan rencana audit intern;

b. audit intern dilaksanakan sesuai dengan standar audit;
c. prosedur audit intern telah diikuti;
d. kertas kerja audit intern memuat informasi yang mendukung fakta, simpulan, dan
rekomendasi; dan
e. sasaran audit telah dicapai.
C. PENGEMBANGAN TEMUAN DAN REKOMENDASI
Setelah dilakukan pengujian audit dan pengumpulan bukti audit, serta evaluasi bukti dan
simpulan hasil audit yang diperoleh, apabilan dijumpai adanya kondisi yang tidak sesuai
dengan kriteria secara signifikan, auditor menyusun dan mengembangkan temuan (finding),
serta merumuskan rekomendasi.
Reding et al (2009), sesuai dengan Practice Advisory 2410-1 pada IPPF – IIA, menyebut hal
tersebut dengan istilah observasi (observation), yaitu pernyataan yang berhubungan dengan
fakta setelah dilakukannya proses perbandingan antara kriteria (yang seharusnya) dengan
kondisi (yang terjadi). Observasi bisa juga disebut dengan atau meliputi: temuan (finding),
penetapan (determination), atau penilaian (judgment), yang diperoleh dari hasil pengujian
audit.
SAIPI (2014), secara umum, menyebutkan bahwa hasil identifikasi, analisis, dan evaluasi
informasi (bukti) audit adalah untuk mendukung kesimpulan, fakta, dan rekomendasi. SAIPI
(2014) belum menguraikan lebih lanjut fakta, yang disebut sebagai observasi pada Practice
42
Advisory 2410-1 (IPPF – IIA). Pada praktik audit sektor publik di Indonesia, hal tersebut
disebut sebagai temuan (hasil) audit.
Sebagaimana dinyatakan di atas, temuan merupakan hasil dari perbandingan antara kondisi
(apa yang sebenarnya terjadi) dengan kriteria (apa yang seharusnya terjadi). Selanjutnya
mencari penyebabnya serta mengungkap akibat yang ditimbulkan dari perbedaan kondisi
dan kriteria tersebut. Pengembangan temuan ikut menentukan keberhasilan tugas audit.
Untuk itu, auditor perlu memahami unsur-unsur temuan, sehingga pengembangan temuan
menjadi lebih efektif.
Berdasarkan pengertian temuan di atas, setiap temuan mengandung unsur-unsur, yaitu:

kondisi, kriteria, sebab, dan akibat, serta rekomendasi.
1. Kondisi (Kekurangan atau Kelemahan Apa yang Sebenarnya Terjadi)
Kondisi menunjukkan realitas yang ada dari suatu pelaksanaan kegiatan yang
menunjukkan adanya kekurangan atau kelemahan. Untuk menyatakan kondisi, auditor
harus mengumpulkan bukti yang relevan, kompeten, cukup, dan material.
2. Kriteria (Apa yang Seharusnya Terjadi)

Kriteria adalah standard, ukuran atau harapan (expectation), antara lain berupa:
a. Peraturan perundang-undangan yang berlaku.
b. Ketentuan manajemen yang harus ditaati/dilaksanakan.
c. Pengendalian manajemen yang andal.
d. Tolok ukur keberhasilan, efisiensi dan kehematan.
e. Standar dan norma/kaidah.
Kriteria yang diperoleh harus diuji dan dianalisis secara tepat dan setelah itu barulah
dapat digunakan sebagai tolok ukur atau pembanding dengan kondisi yang dijumpai.
Dalam praktik, auditi seringkali tidak memiliki kriteria jelas untuk kegiatan yang diaudit.
Secara teoretis penetapan kriteria yang jelas merupakan salah satu tanggung jawab auditi.
Apabila kriteria tidak atau belum tersedia, auditor dapat melakukan beberapa hal, antara
lain:
a. Melakukan konfirmasi kepada pihak ketiga (misalnya dalam hal harga barang/jasa).
b. Bersama dengan auditi melakukan penyusunan dan formulasi kriteria yang akan
dipakai sebagai tolok ukur.
c. Menggunakan norma standar yang sama atau sejenis dengan kegiatan auditi
sehingga norma/standar tersebut dapat digunakan sebagai pembanding.
d. Menggunakan keterangan tenaga ahli.
43
Selanjutnya kriteria yang diperoleh tersebut harus dibicarakan dengan pihak auditi
untuk memperoleh kesepakatan.
3. Sebab (Mengapa Terjadi Perbedaan Antara Kondisi dan Kriteria)

Materi penyebab merupakan hal yang penting apabila ditinjau dari tujuan audit yaitu
untuk menghasilkan rekomendasi ke arah perbaikan di masa datang. Penyebab ini
mengungkap tentang mengapa terjadi ketidaksesuaian antara kondisi dan kriteria.
4. Akibat dan Dampak (Apa Akibat dan Dampak yang Ditimbulkan dari Adanya
Perbedaan Antara Kondisi dan Kriteria).
5. Rekomendasi (Apa yang Dapat Dilakukan untuk Memperbaikinya).
Rekomendasi adalah usulan rencana perbaikan yang diberikan oleh auditor untuk
menutup kesenjangan antara kondisi dan kriteria.
Materi rekomendasi harus dirancang guna:
a. Memerbaiki kelemahan (menghilangkan penyebab).

b. Meminimalisasi akibat dari kelemahan yang ada.
Rekomendasi harus jelas:
a. Ditujukan kepada siapa.

b. Mengarah pada tindakan nyata.
c. Konsekuensi yang akan timbul apabila tindak lanjut atas rekomendasi tidak dilakukan.
d. Dapat dilaksanakan oleh auditi.
e. Apabila ada altenatif perbaikan tuangkan semua alternatif berikut alasannya masing-
masing.
Dalam memberikan dan merumuskan rekomendasi, auditor harus memerhatikan:
a. Biaya yang akan terjadi dalam mengimplementasikan rekomendasi harus tidak

melebihi manfaat yang akan diperolehnya.
b. Jika terdapat beberapa alternatif rekomendasi dengan biaya yang terkait, harus
diusulkan.
c. Rekomendasi harus dapat dilaksanakan.
44
Bab IV
TAHAP PELAPORAN HASIL AUDIT
Setelah mengikuti proses pembelajaran bab ini, peserta diklat diharapkan akan mampu melaksanakan pelaporan
audit berbasis risiko secara baik sesuai dengan standar audit intern pemerintah Indonesia
Hasil pengawasan intern perlu disampaikan dalam format yang tepat, kepada pihak yang
tepat, pada waktu yang tepat, serta dimonitoring tindak lanjutnya secara berkesinambungan.
Komunikasi hasil audit intern, diatur dalam SAIPI paragraf 4000 – Komunikasi Hasil
Penugasan Audit Intern, yaitu Auditor harus mengomunikasikan hasil penugasan audit
intern. Secara lebih rinci, paragraf yang terkait dengan komunikasi hasil audit intern, sebagai
berikut:
No Paragraf Uraian
1 4010 Kriteria Komunikasi Hasil Penugasan Audit Intern.
Komunikasi hasil penugasan audit intern harus mencakup

sasaran dan ruang lingkup penugasan audit intern serta
kesimpulan yang berlaku, rekomendasi, dan rencana aksi.
2 4011 Komunikasi atas Kelemahan Sistem Pengendalian Intern.
Auditor harus melaporkan adanya kelemahan atas sistem

pengendalian intern auditi.
3 4012 Komunikasi atas Ketidakpatuhan Auditi terhadap Peraturan

Perundang-undangan, Kecurangan, dan Ketidakpatutan (Abuse).
Auditor harus melaporkan adanya ketidakpatuhan terhadap

peraturan perundang-undangan, kecurangan, dan
ketidakpatutan (abuse).
4 4020 Kualitas Komunikasi.
Komunikasi hasil penugasan audit intern harus tepat waktu,

lengkap, akurat, objektif, meyakinkan, konstruktif, jelas, serta
ringkas dan singkat.
5 4030 Metodologi, Bentuk, Isi, dan Frekuensi Komunikasi.
45
No Paragraf Uraian
Komunikasi audit harus dibuat secara tertulis berupa laporan dan

harus segera, yaitu pada kesempatan pertama setelah berakhirnya
pelaksanaan audit.
6 4040 Tanggapan Auditi.
Auditor harus meminta tanggapan/pendapat auditi terhadap

kesimpulan, fakta, dan rekomendasi termasuk tindakan
perbaikan yang direncanakan, secaratertulis dari pejabat auditi
yang bertanggung jawab.
7 4050 Kesesuaian dengan Standar Audit.
Auditor diharuskan untuk menyatakan dalam setiap laporan

bahwa kegiatan-kegiatannya “dilaksanakan sesuai dengan
standar”.
8 4060 Pendistribusian Hasil Audit Intern.
Auditor harus mengomunikasikan dan mendistribusikan hasil

penugasan audit intern kepada pihak yang tepat, sesuai dengan
ketentuan peraturan perundang-undangan.
9 4100 Pemantauan Tindak Lanjut.
Auditor harus memantau dan mendorong tindak lanjut atas

simpulan, fakta, dan rekomendasi audit.
46
Flowchart bagaimana tahapan komunikasi hasil audit intern tersebut diimplementasikan
adalah sebagai berikut:
Gambar 4.1
Tahapan Pelaporan Audit Intern
Pada proses penyelesaian tahapan audit, auditor harus menyusun simpulan dan
rekomendasi hasil audit serta mengomunikasikan hasil audit tersebut kepada manajemen
auditi. Secara umum komunikasi hasil audit tersebut mencakup dua bentuk komunikasi,
yaitu komunikasi lisan dan tulisan. Komunikasi lisan harus dilakukan sebelum
komunikasi tulisan dalam bentuk laporan hasil audit (LHA) yang resmi diterbitkan.
47
SAIPI (2014) menyebutkan, berkaitan dengan komunikasi hasil audit, bahwa auditor
harus mengomunikasikan hasil penugasan audit intern.
Komunikasi hasil audit berguna untuk:
a. mengomunikasikan hasil penugasan audit intern kepada auditi dan pihak lain yang
berwenang berdasarkan peraturan perundang-undangan,
b. menghindari kesalahpahaman atas hasil penugasan audit intern,
c. menjadi bahan untuk melakukan tindakan perbaikan bagi auditi dan instansi terkait,
dan
d. memudahkan pemantauan tindak lanjut untuk menentukan pengaruh tindakan
perbaikan yang semestinya telah dilakukan.
Hasil penugasan audit intern pada tahap pelaksanaan audit intern secara individu ini ada
dua yaitu: hasil penilaian kematangan MR auditan, dan hasil audit atas pelaksanaan
kegiatan/program auditan yang bersangkutan. Hasil audit intern ini, untuk selanjutnya akan
dikomunikasikan kepada auditan, dan harus ditindaklanjuti oleh auditan yang
bersangkutan.
Tahap komunikasi hasil audit, dengan tugas utama penyusunan laporan hasil audit,
merupakan fungsi dari ketua tim audit. Oleh karena itu, pembahasan pada bab ini tidak
dilakukan secara mendalam, tapi hanya memperkenalkan langkah-langkahnya, agar anggota
tim audit dapat membantu ketua tim dalam menyusun laporan hasil audit.
Proses penyelesaian audit dan tahapan komunikasi hasil audit dapat dilakukan melalui
langkah-langkah: evaluasi temuan dan pengembangan lebih lanjut, penyampaian simpulan
hasil audit dan pembahasan, penyusunan dan pendistribusian laporan hasil audit, serta
pemantauan tindak lanjut.
A. EVALUASI TEMUAN DAN PENGEMBANGAN TEMUAN LEBIH LANJUT
Setelah temuan hasil audit dikembangkan dan rekomendasi dirumuskan, perlu dilakukan
evaluasi dan pengembangan lebih lanjut. Hasil evaluasi dan pengembangan lebih lanjut ini
akan menentukan bentuk komunikasi hasil audit yang akan dilakukan.
Reding et al (2009) merumuskan proses evaluasi temuan dan pengembangannya (observation

evaluation and escalation process), sebagai berikut:
48
a. Apabila terdapat satu atau beberapa temuan, masing-masing perlu dikaitkan dengan
risiko dan pengendalian yang bermasalah dan dihubungkan dengan kategori tujuan
organisasi (proses atau kegiatan), yaitu operasional, kepatuhan, atau pelaporan.
b. Kemudian masing-masing temuan (observasi) diklasifikasikan, apakah berkaitan
dengan desain pengendaian yang lemah atau operasional pengendalian yang tidak
efektif.
c. Proses selanjutnya adalah menentukan dampak dan kemungkinan dari setiap temuan
(observasi). Hasil dari proses ini akan menentukan atau menilai tingkat pentingnya atau
signifikansi dari temuan yang ada, sebagai berikut:
- Insignificant
- Significant
- Material
d. Tingkat signifikansi temuan (observasi) akan menentukan bentuk komunikasi hasil
audit yang dapat dilakukan, sebagai berikut:
- Kalau temuan dinilai insignificant dan tidak berkaitan dengan kegiatan
pengendalian kunci, maka komunikasi atas temuan tersebut dapat dilakukan secara
informal.
- Kalau temuan dinilai insignificant dan berkaitan dengan kegiatan pengendalian
kunci, maka komunikasi atas temuan tersebut dilakukan secara formal.
- Kalau temuan dinilai significant, sudah tentu berkaitan dengan kegiatan
pengendalian kunci, maka komunikasi atas temuan tersebut dilakukan secara
formal kepada pimpinan auditi.
- Kalau temuan dinilai material, sudah tentu berkaitan dengan kegiatan
pengendalian kunci, maka komunikasi atas temuan tersebut dilakukan secara
formal kepada pimpinan auditi dan pihak lain yang berkepentingan.
Dalam evaluasi temuan dan pengembangan lebih lanjut, Reding et al (2009) juga
mengembangkan adanya format penilaian observasi (temuan). Pada format tersebut,
observasi (temuan) diuraikan secara rinci, termasuk unsur-unsurnya, meliputi:
1) Judul,
2) Kondisi,
3) Kriteria,
4) Sebab,
5) Akibat,
6) Pengendalian Kompensasi,
7) Simpulan,
8) Rekomendasi,
49
9) Rencana aksi (action plan atau management solution), dan
10) Hasil Evaluasi.
Pada praktik audit sektor publik di Indonesia, evaluasi temuan dapat dilakukan untuk
meyakinkan bahwa permasalahan yang ditemukan memenuhi syarat sebagai temuan dan
memenuhi unsur-unsur temuan. Permasalahan yang tidak memenuhi syarat dan unsur
temuan, namun cukup penting untuk dikomunikasikan kepada auditi, dapat disampaikan
sebagai Hal Lain yang Perlu Diperhatikan.
B. PENYAMPAIAN SIMPULAN SEMENTARA
Komunikasi hasil audit merupakan bagian tidak terpisahkan dari seluruh proses dan
tahapan penugasan audit. Selama pelaksanaan penugasan, auditor secara teratur
berkomunikasi dengan manajemen dan personil auditi. Pada umumnya komunikasi
dilakukan dalam bentuk tatap muka atau media komunikasi lainnya untuk menyampaikan
permasalahan-permasalahan yang ditemui.
Komunikasi selama proses penugasan dapat membantu auditor internal untuk bahwa
memastikan data dan informasi yang ditemukan benar-benar akurat. Apabila terdapat hasil
audit (observasi, temuan, hal-hal lain yang perlu diperhatikan) yang penting dan mendesak,
dapat disegera disampaikan kepada manajemen (auditi), untuk dapat diperoleh rekomendasi
dan langkah koreksi terbaik dan segera.
Apabila pembicaraan tidak dilakukan secara bertahap, dikhawatirkan setelah auditor

melangkah jauh dengan waktu yang cukup lama ternyata setelah materi simpulan atau
temuan dibicarakan dengan pihak auditi, barulah terungkap adanya bukti lain atau kebijakan
manajemen lain yang ternyata dapat menggugurkan simpulan atau temuan tersebut.
SAIPI (2014), pada paragraf 4040 - Tanggapan Auditi, menyebutkan bahwa auditor harus
meminta tanggapan/pendapat auditi terhadap kesimpulan, fakta, dan rekomendasi
termasuk tindakan perbaikan yang direncanakan, secara tertulis dari pejabat auditi yang
bertanggung jawab.
Selanjutnya, berkaitan dengan tanggapan dari auditi, auditor harus melakukan hal-hal
sebagai berikut:
a. Tanggapan auditi harus dievaluasi dan dipahami secara seimbang dan objektif, serta
disajikan secara memadai dalam laporan hasil audit intern. Tanggapan yang diberikan,
seperti janji atau rencana tindakan perbaikan, harus dicantumkan dalam laporan hasil
50
audit intern, tetapi tidak dapat diterima sebagai pembenaran untuk menghilangkan fakta
dan rekomendasi yang berhubungan dengan fakta tersebut.
b. Auditor harus melaporkan tanggapan pejabat auditi yang bertanggung jawab mengenai
kesimpulan, fakta, dan rekomendasi auditor, serta perbaikan yang direncanakan. Salah
satu cara yang paling efektif untuk memastikan bahwa suatu laporan hasil audit intern
dipandang adil, lengkap, dan objektif adalah adanya reviu dan tanggapan dari pejabat
yang bertanggung jawab, sehingga dapat diperoleh suatu laporan yang tidak hanya
mengemukakan fakta dan pendapat auditor saja, melainkan memuat pula pendapat dan
rencana yang akan dilakukan oleh pejabat yang bertanggung jawab tersebut.
c. Apabila tanggapan dari auditi bertentangan dengan kesimpulan, fakta, dan rekomendasi
hasil audit, dan menurut pendapat auditor tanggapan tersebut tidak benar, maka auditor
harus menyampaikan ketidaksetujuannya atas tanggapan tersebut beserta alasannya
secara seimbang dan objektif. Sebaliknya, auditor harus memerbaiki laporannya, apabila
auditor berpendapat bahwa tanggapan tersebut benar.
d. Pembahasan akhir atas hasil audit dan tanggapan auditi harus tuntas. Oleh karena itu,
sebaiknya sebelum pembahasan akhir, tim auditor berkonsultasi dulu dengan pengendali
teknis (pengawas/supervisor) dan/atau pengendali mutu (penanggung jawab audit)
supaya ada keseragaman pendapat mengenai masalah yang dibahas dengan auditi.
Pada praktiknya, seringkali pembahasan akhir atas simpulan dan temuan audit harus
dilaksanakan oleh tim audit sebelum direviu oleh pengendali teknis dan pengendali mutu,
misalnya karena lokasi auditi jauh di luar kota. Hal ini mengandung risiko, karena setelah
direviu, materi simpulan dan temuan dapat saja berubah sehingga tidak lagi sesuai dengan
apa yang telah dibahas dengan auditi. Apabila terjadi perubahan materi laporan yang telah
dibicarakan dengan auditi tanpa memberi informasi terlebih dulu kepada auditi, dapat
menimbulkan citra yang kurang baik terhadap auditor. Tim audit, pengendali teknis, dan
pengendali mutu dapat memanfaatkan teknologi informasi dan komunikasi untuk mengatasi
permasalahan tersebut.
Hasil komunikasi ini (penyampaian simpulan dan pembahasan) akan dimanfaatkan untuk
penyusunan simpulan dan temuan final yang akan dimuat dalam LHA.
C. PENYUSUNAN LAPORAN
Komunikasi hasil audit harus dibuat secara tertulis berupa laporan dan segera, yaitu pada
kesempatan pertama setelah berakhirnya pelaksanaan audit (Paragraf 4030 – SAIPI). LHA
51
harus mencakup sasaran dan ruang lingkup penugasan audit serta kesimpulan yang berlaku,
rekomendasi, dan rencana aksi.
Laporan hasil audit (LHA) harus memenuhi syarat kualitas komunikasi hasil audit yang baik,
yaitu tepat waktu, lengkap, akurat, objektif, meyakinkan, konstruktif, jelas, serta ringkas dan
singkat (Paragraf 4020 – SAIPI).
a. LHA harus tepat waktu, berdasarkan pada pentingnya masalah dan memungkinkan
manajemen untuk mengambil tindakan korektif yang tepat.
Agar suatu informasi bermanfaat secara maksimal, maka harus dikomunikasikan tepat
waktu. Informasi berupa laporan hasil audit jika dibuat dengan hati-hati tetapi terlambat
disampaikan, nilainya menjadi kurang bagi pengguna hasil penugasan audit. Oleh
karena itu, auditor harus mengomunikasikan hasil audit dengan semestinya dan
melakukan audit berdasar pemikiran tersebut.
Selama penugasan audit, auditor dapat mengomunikasikan fakta yang ditemukan secara
lisan dan tulisan dengan auditi dan auditor juga harus mempertimbangkan adanya
simpulan hasil audit sementara untuk hal yang material kepada auditi dan/atau kepada
pihak lain yang terkait. Simpulan hasil audit sementara tersebut untuk mengingatkan
kepada pejabat terkait terhadap hal yang membutuhkan perhatian segera dan
memungkinkan pejabat tersebut untuk memperbaikinya sebelum laporan hasil audit
akhir diselesaikan.
b. LHA harus lengkap, artinya tidak kekurangan apapun hal yang penting dan mencakup
semua informasi penting dan relevan serta pengamatan untuk mendukung rekomendasi
dan kesimpulan.
Agar laporan hasil audit menjadi lengkap maka harus memuat semua informasi yang
dibutuhkan untuk memenuhi sasaran audit intern, memberikan pemahaman yang benar
dan memadai atas hal yang dilaporkan, dan memenuhi persyaratan isi laporan hasil
penugasan audit intern. Hal ini juga berarti bahwa hasil penugasan audit intern harus
memasukkan informasi mengenai latar belakang permasalahan secara memadai, harus
memberikan perspektif yang wajar mengenai aspek kedalaman, dan signifikansi fakta
yang ditemukan dalam audit intern seperti hubungan antara fakta dengan kegiatan
auditi. Hal ini diperlukan agar pembaca mendapat pemahaman yang benar dan
memadai.
Umumnya, satu kasus kekurangan/kelemahan saja tidak cukup untuk mendukung suatu
simpulan yang luas atau rekomendasi yang berhubungan dengan simpulan tersebut.
Satu kasus itu hanya dapat diartikan sebagai adanya kelemahan, kesalahan, atau
52
kekurangan data pendukung oleh karenanya informasi yang terinci perlu diungkapkan
dalam hasil penugasan audit intern untuk meyakinkan pengguna laporan hasil
penugasan audit intern tersebut.
c. LHA harus akurat, artinya bebas dari kesalahan dan distorsi dan sesuai kepada fakta-
fakta yang mendasari.
Perlunya keakuratan didasarkan atas kebutuhan untuk memberikan keyakinan kepada

pengguna bahwa apa yang dilaporkan memiliki kredibilitas dan dapat diandalkan. Satu
ketidakakuratan dalam laporan hasil penugasan audit intern dapat menimbulkan
keraguan atas keandalan hasil penugasan audit intern dan dapat mengalihkan perhatian
pengguna dari substansi laporan. Demikian pula laporan hasil penugasan audit intern
yang tidak akurat dapat merusak kredibilitas APIP yang menerbitkan laporan dan
mengurangi efektivitas laporan hasil penugasan audit intern.
Laporan hasil penugasan audit intern harus memuat informasi, yang didukung oleh
bukti yang cukup, kompeten, dan relevan dalam kertas kerja audit intern. Apabila
terdapat data yang material terhadap fakta yang ditemukan tetapi auditor tidak
melakukan pengujian terhadap data tersebut, maka auditor harus secara jelas
menunjukkan dalam laporan bahwa data tersebut tidak diperiksa dan tidak membuat
simpulan atau rekomendasi berdasarkan data tersebut.
Bukti yang dicantumkan dalam laporan hasil penugasan audit intern harus masuk akal
dan mencerminkan kebenaran mengenai masalah yang dilaporkan. Penggambaran yang
benar berarti penjelasan secara akurat tentang lingkup dan metodologi, serta penyajian
fakta yang konsisten dengan lingkup audit intern. Salah satu cara untuk meyakinkan
bahwa hasil penugasan audit intern telah memenuhi standar pelaporan adalah dengan
menggunakan proses pengendalian mutu, seperti proses referensi.
Proses referensi adalah proses di mana seorang auditor yang tidak terlibat dalam proses
audit tersebut menguji bahwa suatu fakta, angka, atau tanggal telah dilaporkan dengan
benar, bahwa fakta telah didukung dengan dokumentasi audit, dan bahwa simpulan dan
rekomendasi secara logis didasarkan pada data pendukung.
d. LHA harus objektif, yaitu adil, tidak memihak, tidak bias, serta merupakan hasil dari
penilaian adil dan seimbang dari semua fakta dan keadaan yang relevan. Kredibilitas
suatu laporan ditentukan oleh penyajian bukti yang tidak memihak, sehingga pengguna
laporan hasil audit dapat diyakinkan oleh fakta yang disajikan.
Laporan hasil audit harus adil dan tidak menyesatkan. Ini berarti auditor harus menyajikan
hasil audit secara netral dan menghindari kecenderungan melebih-lebihkan kekurangan
53
yang ada. Dalam menjelaskan kekurangan suatu kinerja, auditor harus menyajikan
penjelasan pejabat yang bertanggung jawab, termasuk pertimbangan atas kesulitan yang
dihadapi entitas yang diperiksa.
Redaksi laporan harus mendorong pengambil keputusan untuk bertindak atas dasar fakta
dan rekomendasi auditor. Meskipun fakta yang ditemukan auditor harus disajikan dengan
jelas dan terbuka, auditor harus ingat bahwa salah satu tujuannya adalah untuk
meyakinkan. Cara terbaik untuk itu adalah dengan menghindari bahasa laporan yang
menimbulkan adanya sikap membela diri dan menentang dari entitas yang diaudit.
Meskipun kritik terhadap kinerja yang telah lalu seringkali dibutuhkan, namun laporan
hasil audit intern harus menekankan perbaikan ke depan yang diperlukan.
e. LHA harus meyakinkan, maka harus dapat menjawab sasaran audit, menyajikan fakta,
kesimpulan, dan rekomendasi yang logis. Informasi yang disajikan harus cukup
meyakinkan pengguna untuk mengakui validitas fakta tersebut dan manfaat penerapan
rekomendasi. Laporan yang disusun dengan cara ini dapat membantu pejabat yang
bertanggung jawab untuk memusatkan perhatiannya atas hal yang memerlukan
perhatian, dan dapat membantu untuk melakukan perbaikan sesuai rekomendasi dalam
laporan hasil audit.
f. LHA harus bersifat konstruktif adalah yang membantu auditi dan mengarah pada
perbaikan yang diperlukan.
g. LHA yang jelas adalah mudah dipahami dan logis, menghindari bahasa teknis yang
tidak perlu dan menyediakan semua informasi yang signifikan dan relevan.
Laporan harus mudah dibaca dan dipahami. Laporan harus ditulis dengan bahasa yang
jelas dan sesederhana mungkin. Penggunaan bahasa yang lugas dan tidak teknis sangat
penting untuk menyederhanakan penyajian. Jika digunakan istilah teknis, singkatan, dan
akronim yang tidak begitu dikenal, maka hal itu harus didefinisikan dengan jelas.
Akronim agar digunakan sejarang mungkin.
h. Apabila diperlukan, auditor dapat membuat ringkasan laporan untuk menyampaikan

informasi yang penting sehingga diperhatikan oleh pengguna laporan. Ringkasan
54
tersebut memuat jawaban terhadap sasaran audit, fakta-fakta yang paling material, dan
rekomendasi.
Pengorganisasian laporan secara logis, keakuratan, dan ketepatan dalam menyajikan
fakta, merupakan hal yang penting untuk memberi kejelasan dan pemahaman bagi
pengguna laporan. Penggunaan judul, sub judul, dan kalimat topik (utama) akan
membuat laporan lebih mudah dibaca dan dipahami. Alat bantu visual (seperti gambar,
bagan, grafik, dan peta) dapat digunakan untuk menjelaskan dan memberikan resume
terhadap suatu masalah yang rumit.
i. LHA yang singkat adalah langsung ke titik masalah dan menghindari elaborasi yang
tidak perlu, detail berlebihan, redundansi, dan membuang-buang kata. Laporan yang
ringkas adalah laporan yang tidak lebih panjang dari pada yang diperlukan untuk
menyampaikan dan mendukung pesan. Laporan yang terlalu rinci dapat menurunkan
kualitas laporan, bahkan dapat menyembunyikan pesan yang sesungguhnya dan dapat
membingungkan atau mengurangi minat pembaca. Pengulangan yang tidak perlu juga
harus dihindari.
Meskipun banyak peluang untuk mempertimbangkan isi laporan, laporan yang lengkap
tetapi ringkas akan mencapai hasil yang lebih baik.
Proses penyusunan laporan diawali dengan penyusunan konsep laporan oleh Ketua Tim
Audit. Selanjutnya diserahkan kepada pengendali teknis atau pengawas audit untuk
dilakukan reviu. Kemudian konsep laporan diserahkan kepada pengendali mutu atau
penanggung jawab audit (bisa juga melalui pembantu penanggung jawab lebih
dahulu) untuk direviu dan disetujui sebagai laporan final.
Laporan hasil audit (LHA) harus dibuat dalam bentuk dan isi yang dapat dimengerti oleh
auditi dan pihak lain yang terkait. LHA, pada praktik di lingkungan APIP, dapat disusun
dalam dua bentuk, yaitu bentuk surat dan bentuk bab.
a. LHA Bentuk Surat
Laporan menyajikan informasi pelaksanaan dan hasil audit dalam pokok-pokok

berbentuk surat. Laporan bentuk surat biasanya digunakan apabila materi laporan relatif
sedikit, tidak diketemukan banyak fakta yang signifikan, dan/atau harus disampaikan
dengan segera.
55
b. LHA Bentuk Bab
Laporan menyajikan informasi pelaksanaan dan hasil audit dan dikelompokkan dalam
beberapa bab. Ketentuan mengenai bentuk bab biasanya sudah ditetapkan oleh
organisasi auditor. Penyusunan LHA dalam bentuk bab lebih sesuai untuk
menyampaikan informasi audit dengan jumlah materi yang banyak dan signifikan.
Komunikasi hasil penugasan audit intern harus mencakup sasaran dan ruang lingkup
penugasan audit intern serta kesimpulan yang berlaku, rekomendasi, dan rencana aksi.
Laporan hasil audit, baik bentuk surat maupun bab, setidaknya harus memuat:
- dasar melakukan audit,

- identifikasi atau informasi tentang auditi,
- tujuan/sasaran, lingkup, dan metodologi audit,
- pernyataan bahwa audit dilaksanakan sesuai dengan standar audit,
- kriteria yang digunakan untuk mengevaluasi,
- hasil audit intern berupa kesimpulan, fakta (termasuk adanya kelemahan dalam
sistem pengendalian intern serta adanya ketidakpatuhan terhadap peraturan
perundang-undangan, kecurangan, dan ketidakpatutan atau abuse), dan
rekomendasi,
- tanggapan dari pejabat auditi yang bertanggung jawab,
- pernyataan adanya keterbatasan dalam audit serta pihak-pihak yang menerima
laporan,
- pelaporan informasi rahasia apabila ada.
D. DISTRIBUSI LAPORAN DAN MONITORING TINDAK LANJUT
1. Distribusi Laporan
Setelah laporan hasil audit disusun, selanjutnya melalui proses reviu, dan disetujui oleh
penanggung jawab audit, laporan tersebut harus segera dikomunikasikan dan
didistribusikan kepada pada pihak yang berkepentingan.
SAIPI (2014), Paragraf 4060 – Pendidtribusian Hasil Audit Intern, menyebutkan bahwa
auditor harus mengomunikasikan dan mendistribusikan hasil penugasan audit intern
kepada pihak yang tepat sesuai dengan ketentuan peraturan perundangundangan.
Selanjutnya, diuraikan bahwa:
56
a. Pengomunikasian dan distribusi hasil penugasan audit intern harus dilaksanakan
tepat waktu kepada pemberi tugas dan pihak yang berkepentingan sesuai dengan
ketentuan peraturan perundang-undangan.
b. Dalam hal yang diaudit merupakan rahasia negara, karena untuk tujuan keamanan
atau dilarang disampaikan kepada pihak-pihak tertentu atas dasar ketentuan
peraturan perundang-undangan, auditor dapat membatasi pendistribusian laporan
hasili audit.
c. Apabila suatu audit dihentikan sebelum berakhir, tetapi auditor tidak mengeluarkan
laporan hasil audit, auditor harus membuat catatan yang mengikhtisarkan hasil
auditnya sampai tanggal penghentian dan menjelaskan alasan penghentian. Auditor
juga harus mengomunikasikan dan mendistribusikan secara tertulis alasan
penghentian audit tersebut kepada auditi dan pejabat lain yang berwenang.
2. Monitoring Tindak Lanjut

Penugasan audit tidak berakhir saat laporan hasil audit sudah didistribusikan. Auditor
akan melakukan pemantauan atas tindak lanjut yang dilakukan oleh auditi berkaitan
dengan simpulan, temuan, dan rekomendasi hasil audit. SAIPI (2014), Paragraf 4100 –
Pemantauan Tindak Lanjut, menyebutkan bahwa auditor harus memantau dan
mendorong tindak lanjut atas simpulan, fakta, dan rekomendasi audit.
Pemantauan tindak lanjut hasil harus dilakukan agar auditi memahami dan memperbaiki
kelemahan dan kesalahan yang ada sehingga mampu meningkatkan kinerja
organisasinya.
Selain itu, auditor dan institusinya (APIP) harus memantau pelaksanaan tindak lanjut
yang dilakukan auditi untuk memastikan bahwa semua rekomendasi sudah
dilaksanakan dengan tepat, sehingga keefektifan pelaksanaan audit bisa tercapai.
Kewajiban untuk melaksanakan tindak lanjut berada pada pimpinan auditi. PP Nomor
60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah, pasal 43, menyatakan
bahwa “pimpinan instansi pemerintah wajib melakukan tindak lanjut atas rekomendasi
hasil audit dan reviu lainnya”. Pelaksanaan tindak lanjut tersebut merupakan bagian
kegiatan pemantauan sistem pengendalian intern yang ada. Di sisi lain, APIP
berkewajiban untuk memantau pelaksanaan tindak lanjut untuk menjamin keefektifan
pelaksanaan audit. APIP harus memasukkan kegiatan pemantauan tindak lanjut dalam
rencana strategis maupun tahunan.
57
Pelaksanaan tindak lanjut merupakan kewajiban manajemen (auditi). Sedangkan
pemantauan atas pelaksanaan tindak lanjut tersebut menjadi tanggung jawab auditor
(APIP).
Sangat penting bagi auditor untuk memastikan bahwa rekomendasi telah ditindaklanjuti
oleh manajemen. Setiap institusi auditor (APIP) harus mengembangkan sistem
monitoring tindak lanjut hasil penugasan. Agar pemantauan tersebut bisa berjalan
dengan efektif, APIP harus membuat prosedur pemantauan pelaksanaan tindak lanjut
yang didasarkan pada tingkat kesulitan, ketepatan waktu, pertimbangan risiko dan
kerugian. Untuk temuan audit yang sangat penting, auditi harus melaksanakan tindak
lanjut secepat mungkin dan APIP harus terus memantau tindak lanjut yang dilaksanakan
oleh auditi tersebut karena dampak dari temuan tersebut sangat besar.
SAIPI (2014) menyebutkan beberapa hal yang harus dilakukan auditor berkaitan dengan
pemantauan tindak lanjut, yaitu:
a. Auditor harus mendokumentasikan fakta untuk keperluan pemantauan tindak lanjut
dan memutakhirkan fakta sesuai dengan informasi tentang tindak lanjut yang telah
dilaksanakan auditi.
b. Pemantauan dan penilaian tindak lanjut bertujuan untuk memastikan bahwa
tindakan yang tepat telah dilaksanakan oleh auditi sesuai rekomendasi. Manfaat
audit tidak hanya terletak pada banyaknya fakta yang dilaporkan, namun juga
terletak pada efektifitas tindak lanjut rekomendasi tersebut. Rekomendasi yang tidak
ditindaklanjuti dapat merupakan indikasi lemahnya pengendalian auditi dalam
mengelola sumber dayanya.
Apabila auditi telah menindaklanjuti rekomendasi dengan cara yang berlainan

dengan rekomendasi yang diberikan, auditor harus menilai efektifitas penyelesaian
tindak lanjut tersebut. Auditor tidak harus memaksakan rekomendasinya
ditindaklanjuti namun harus dapat menerima langkah lain yang ternyata lebih
efektif.
c. Pada saat pelaksanaan kegiatan audit, auditor harus memeriksa tindak lanjut atas
rekomendasi audit sebelumnya. Apabila terdapat rekomendasi yang belum
ditindaklanjuti, auditor harus memperoleh penjelasan yang cukup mengenai sebab
rekomendasi belum dilaksanakan, dan selanjutnya auditor wajib
mempertimbangkan kejadian tersebut dalam program kerja penugasan yang akan
disusun. Demikian pula terhadap tindak lanjut yang sudah dilaksanakan harus pula
menjadi perhatian dalam penyusunan program kerja penugasan.
58
d. Auditor harus menilai pengaruh simpulan, fakta, dan rekomendasi yang tidak atau
belum ditindaklanjuti terhadap simpulan atau pendapat atas audit yang sedang
dilaksanakan.
Agar pelaksanaan tindak lanjut efektif, perlu dilakukan hal‐hal sebagai berikut:
a. Tanggapan auditi diterima dan dievaluasi selama audit berlangsung atau dalam waktu
yang wajar setelah audit berakhir, serta telah dilakukan pembahasan hasil audit
dengan auditi.
b. Laporan hasil audit ditujukan kepada tingkatan manajemen yang dapat melakukan
tindak lanjut.
c. Status tindak lanjut dari pelaksanaan tindak lanjut dilaporkan kepada pimpinan
auditi.
d. Laporan perkembangan kemajuan tindak lanjut yang diterima dari auditi dibuat
secara periodik dan diakhiri dengan laporan penyelesaian tindak lanjut.
Hal yang perlu diperhatikan dalam pemantauan tindak lanjut hasil audit:
a. Semua formulir dan bukti pendukung yang terkait dengan tindak lanjut temuan audit
harus didokumentasikan dengan baik dan dipisahkan antara temuan yang
rekomendasinya sudah tuntas diselesaikan dengan temuan yang masih terbuka (yang
rekomendasinya belum atau belum seluruhnya ditindaklanjuti).
b. Tim pemantau tindak lanjut melakukan pemutakhiran tindak lanjut atas saldo temuan
yang belum ditindaklanjuti dan tindak lanjut yang masih kurang. Pemutakhiran
tersebut dilakukan secara periodik (setidaknya sekali dalam setahun) dan dituangkan
dalam sebuah berita acara yang ditandatangani pimpinan auditi dan tim pemantau
tindak lanjut.
59

JUDUL

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

JUDUL

Diunggah oleh

Hak Cipta:

Format Tersedia

Modul 3

PELAKSANAAN AUDIT INTERN

PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN

Edisi : Tahun 2019

Penyusun : Adi Widodo, SE, MSi

Dilarang mengutip, menjiplak, memperjualbelikan, dan menggandakan

Ciawi, 31 Desember 2019

Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 i

Kata Pengantar …………………………………………………………………… I

Daftar Isi …………………………………………………………………… ii

Daftar Gambar …………………………………………………………………… iv

Daftar Tabel …………………………………………………………………… v

Tinjauan Diklat …………………………………………………………………… 1

A. Latar Belakang …………………………………………………. 1

B. Kompetensi Dasar dan Indikator Keberhasilan ……………. 2

C. Sistematika Modul …………………………………….............. 2

D. Metodologi Pembelajaran …………………………………….. 3

BAB I PENILAIAN KEMATANGAN MANAJEMEN RISIKO 4

A. Penilaian Kematangan Manajemen Risiko Auditable Unit … 5

B. Pelaksanaan Audit Intern Atas Auditable Unit ……………… 16

BAB II TAHAP PERENCANAAN AUDIT 18

A. Penetapan Tujuan dan Lingkup Penugasan ………………… 20

B. Pemahaman Auditi ……………………………………………. 21

C. Identifikasi dan Penilaian Risiko …………………………….. 23

D. Identifikasi Pengendalian Kunci ……………………………... 27

E. Evaluasi Pengendalian ………………………………………... 29

F. Penyusunan Rencana Pengujian ……………………………... 30

G. Penyusunan Program Kerja Audit …………………………… 32

H. Pengalokasian Sumber Daya …………………………………. 34

Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 ii

A. Pengujian dan Pengumpulan Bukti ………………………….. 37

B. Evaluasi Bukti dan Pengambilan Kesimpulan ……………… 41

C. Pengembangan Temuan dan Rekomendasi ………………… 42

BAB IV TAHAP PELAPORAN HASIL AUDIT 45

A. Evaluasi Temuan dan Pengembangan Temuan Lebih 48

C. Penyusunan Laporan …………………………………………. 51

D. Distribusi Laporan dan Monitoring Tindak Lanjut ………… 56

Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 iii

Gambar 1.1 Flow Chart Pelaksanaan Audit Intern Individu ……………….. 4

Gambar 2.1 Flow Chart Perencanaan Audit Intern …………………………. 19

Gambar 2.2 Bentuk Pengendalian …………………………………………….. 26

Gambar 2.3 Peta Risiko ………………………………………………………… 27

Gambar 3.1 Tahap Pelaksanaan Audit Intern ……………………………….. 36

Gambar 4.1 Tahapan Pelaporan Audit Intern ……………………………….. 47

Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 iv

Tabel 1.1 Pernyataan Untuk Mengukur Tingkat Kematangan 6

Tabel 1.3 Simpulan Level Kematangan Manajemen Risiko ……………… 8

Tabel 1.4 Langkah Kerja Rekonfirmasi Kematangan Manajemen Risiko 8

Tabel 1.5 Pendekatan Pengawasan Berdasarkan Level Maturitas 15

Tabel 2.2 Format Daftar Risiko ……………………………………………… 25

Tabel 2.3 Matriks Risiko dan Pengendalian ……………………………….. 30

Tabel 2.4 Evaluasi Pengendalian Kunci dan Rencana Pengujian ………... 31

Tabel 2.5 Dokumentasi Pendekatan Pengujian ……………………………. 32

Tabel 3.1 Matriks Risiko-Pengendalian-Hasil Pengujian ………………... 39

Tabel 3.2 Matriks Risiko-Pengendalian-Hasil Pengujian-Simpulan ……. 41

Pelaksanaan Audit Intern Berbasis Risiko - Modul 3 v

Kompetensi dasar yang diharapkan setelah mempelajari Modul Pelaksanaan Audit

a. memahami dan mengimplementasikan penilaian kematangan manajemen risiko

BAB I : PENILAIAN KEMATANGAN MANAJEMEN RISIKO

Bab ini menguraikan tentang penilaian kematangan manajemen risiko auditable

BAB II : TAHAP PERENCANAAN AUDIT

Bab ini membahas penetapan tujuan dan lingkup penugasan; pemhaman

BAB III : TAHAP PELAKSANAAN AUDIT