A Uidit

AUDIT INTERNAL
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN

BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
2014
Audit Internal
Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP
dalam rangka Diklat Fungsional Auditor – Diklat Pembentukan Auditor Terampil dan Ahli
Edisi Pertama : Tahun 2014
Penyusun : M. Fahrudin, S.E., M.Acc.

Pereviu : Agus Tri Prasetyo, Ak., M.E.
Narasumber : Wakhyudi, Ak., M.Comm.
Penyunting : Kusmayawati
Penata Letak Didik Hartadi, S.E.
Pusdiklatwas BPKP
Jl. Beringin II, Pandansari, Ciawi, Bogor 16720
Telp. (0251) 8249001 ‐ 8249003
Fax. (0251) 8248986 ‐ 8248987
Email : pusdiklat@bpkp.go.id
Website : http://pusdiklatwas.bpkp.go.id
e‐Learning : http://lms.bpkp.go.id
Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau

seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari
Pusat Pendidikan dan Pelatihan Pengawasan BPKP.
Kata Pengantar
Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu
manajemen untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan
(assurance activities) dan layanan konsultansi (consulting activities) sesuai standar, sehingga
memberikan perbaikan efisiensi dan efektivitas atas tata kelola, manajemen risiko, dan
pengendalian intern organisasi. Selain itu, Peraturan Pemerintah Nomor 60 Tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah mengatur bahwa pelaksanaan audit intern di
lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai tugas
melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor.
Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang
transparan dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek
pelaksanaan tugas umum pemerintahan dan pembangunan yang dituangkan dalam Undang‐
Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN.
Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah
pendidikan dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan
pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi
tertentu sesuai dengan perannya sesuai dengan keputusan bersama Kepala Pusat Pembinaan
Jabatan Fungsional Auditor dan Kepala Pusat Pendidikan dan Pelatihan Pengawasan Badan
Pengawasan Keuangan dan Pembangunan Nomor KEP‐82/JF/1/2014 dan Nomor KEP‐
168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional Auditor.
Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan
dengan sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk
menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini
ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi
auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi
auditor.
Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan
kontribusi atas terwujudnya modul ini.
Ciawi, 30 April 2014

Kepala Pusdiklat Pengawasan BPKP
Nurdin, Ak., M.B.A.
Audit Int i
ii 2014 |Pusdiklatwas
BPKP
Daftar Isi
Kata Pengantar ..................................................................................................................................i

Daftar Isi...........................................................................................................................................iii
Daftar Gambar dan Tabel .................................................................................................................v
Bab I PENDAHULUAN ................................................................................................................. 1
A. Latar Belakang ..................................................................................................................................1
B. Kompetensi Dasar ...........................................................................................................................1
C. Indikator Keberhasilan ...................................................................................................................2
D. Sistematika Modul ..........................................................................................................................2
E. Metode Pembelajaran ...................................................................................................................3
Bab II GAMBARAN UMUM .......................................................................................................... 5
A. Pengertian Internal Audit ..............................................................................................................5
B. Perubahan Paradigma APIP ..........................................................................................................8
C. Perkembangan Risk Based Audit ................................................................................................9
D. Kegiatan Assurance dan Konsultansi .......................................................................................13
E. Tahapan Penugasan Audit Internal ..........................................................................................22
Bab III PERENCANAAN PENUGASAN ASSURANCE...................................................................... 25
A. Penetapan Tujuan dan Lingkup Penugasan ...........................................................................30
B. Pemahaman Proses Kerja Auditi ...............................................................................................32
C. Identifikasi dan Penilaian Risiko ................................................................................................35
D. Identifikasi Pengendalian Kunci ................................................................................................42
E. Evaluasi Pengendalian..................................................................................................................45
F. Penyusunan Rencana Pengujian ...............................................................................................46
G. Penyusunan Program Kerja ........................................................................................................52
H. Pengalokasian Sumber Daya ......................................................................................................56
Bab IV PELAKSANAAN PENUGASAN ASSURANCE....................................................................... 57
A. Pengujian Dan Pengumpulan Bukti ..........................................................................................57
B. Evaluasi Bukti dan Pengambilan Kesimpulan ........................................................................64
C. Pengembangan Temuan dan Rekomendasi ..........................................................................66
Bab V PELAPORAN PENUGASAN ASSURANCE ........................................................................... 73
A. Penyampaian Simpulan Sementara .........................................................................................74
B. Penyusunan Laporan ....................................................................................................................75
C. Monitoring Tindak Lanjut............................................................................................................78
Audit Int 3
Bab VI PENUGASAN KONSULTANSI............................................................................................. 81
A. Jenis Jasa Konsultansi .................................................................................................................. 81
B. Pemilihan Penugasan Konsultansi ........................................................................................... 83
C. Proses Penugasan Konsultansi.................................................................................................. 84
D. Perencanaan Penugasan Konsultansi ..................................................................................... 85
E. Pelaksanaan Penugasan Konsultansi ...................................................................................... 87
F. Komunikasi dan Tindak Lanjut .................................................................................................. 88
G. Perubahan Jasa Konsultansi ...................................................................................................... 89
H. Kapabilitas yang Diperlukan ...................................................................................................... 89
Bab VII PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI .................................................. 91
A. Perkembangan Teknologi Informasi ....................................................................................... 91
B. Pemanfaatan Teknologi Informasi oleh Organisasi Pemerintah .................................... 91
C. Pemanfaatan Teknologi Informasi Bagi Auditor Internal ................................................. 93
Daftar Pustaka................................................................................................................................ 99
iv 2014 |Pusdiklatwas
BPKP
Daftar Gambar dan Tabel
Gambar
Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI..............................................13
Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran...........................................34
Gambar 3.2 Pengendalian Mitigative dan Preventive ................................................................39
Gambar 3.3 Peta Risiko...............................................................................................................41
Gambar 4.1 Contoh Hubungan PKA dengan KKA .......................................................................60
Gambar 4.2 Hubungan Antara Sampling Error Dengan Jumlah Sampling .................................61
Gambar 6.1 Jenis Jasa Konsultansi .............................................................................................81
Gambar 7.1 Sistem Akuntansi Manual dan Sistem Akuntansi Berbasis komputer ....................92
Tabel
Tabel 2.1 Perubahan Paradigma Auditor Internal....................................................................8
Tabel 2.2 Tingkatan Risk Maturity dan Langkah yang akan diambil Auditor Internal............11
Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi ...............20
Tabel 3.1 Tahapan Penugasan Assurance...............................................................................25
Tabel 3.2 Format Hasil Identifikasi Risiko...............................................................................36
Tabel 3.3 Format Hasil Penilaian Risiko..................................................................................39
Tabel 3.4 Format Tahap Matriks Risiko dan Pengendalian ....................................................53
Tabel 3.5 Format Program Kerja Audit ...................................................................................54
Tabel 4.1 Jumlah Populasi dan Sampel (Krejcie dan Morgan) ...............................................62
Tabel 4.2 Format Matriks Risiko dan Pengendalian serta Hasil Pengujian ............................63
Tabel 4.3 Matriks Risiko dan Pengendalian serta judgement yang diambil...........................65
Tabel 6.1 Tahap Penugasan Konsultansi ................................................................................84
Audit Int 5
vi 2014 |Pusdiklatwas
BPKP
Bab I
PENDAHULUAN
A. LATAR BELAKANG
Perkembangan jasa yang diberikan oleh aparat pengawasan internal (auditor internal) dewasa
ini mengalami peningkatan yang luar biasa, untuk merefleksikan pemberdayaan kedudukan unit
pengawasan internal dalam suatu organisasi. Peran sebagai watchdog yang selama ini menjadi
ciri khas unit pengawasan internal telah mengalami pergeseran dan perluasan menjadi
konsultan dan katalis bagi organisasi.
The Institute of Internal Auditors (IIA) sebagai institusi profesi auditor internal telah menetapkan
standar profesional pelaksanaan audit internal yang menyatakan, bahwa aktivitas audit internal
dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Auditor
internal membantu organisasi dalam mencapai tujuannya dengan menggunakan pendekatan
yang sistematis dan disiplin, untuk mengevaluasi dan meningkatkan efektivitas pengelolaan
risiko, pengendalian dan proses tata kelola.
Modul ini disusun untuk membekali para auditor/calon auditor agar dapat melaksanakan
penugasan sebagai auditor internal. Lingkup tugas sebagai auditor internal cukup luas, yang
terdiri dari penugasan assurance berupa audit, evaluasi, reviu, dan pemantauan serta
penugasan konsultansi berupa asistensi, bimbingan teknis, konsultan dan penugasan lain. Hal‐
hal yang perlu diketahui calon auditor mengenai kegiatan auditor internal berusaha dicakup
dalam modul ini, namun para auditor/calon auditor internal harus memperkaya
pengetahuannya dengan mencari sumber pengetahuan lain.
B. KOMPETENSI DASAR
Kompetensi dasar yang diharapkan setelah mempelajari modul Audit Internal ini adalah
peserta diklat diharapkan mampu menjelaskan konsepsi pelaksanaan audit intern.
2 Audit Int 2014 |Pusdiklatw 1

C. INDIKATOR KEBERHASILAN
Setelah mengikuti proses pembelajaran ini, peserta diklat diharapkan memiliki

pengetahuan mengenai:
1. prinsip‐prinsip audit kinerja, audit atas aspek keuangan tertentu, audit untuk tujuan
tertentu, dan audit khusus/ investigasi/berindikasi tindak pidana korupsi;
2. prinsip‐prinsip kegiatan pengawasan lain, antara lain kegiatan sosialisasi mengenai

pengawasan, pendidikan dan pelatihan pengawasan, pembimbingan dan konsultansi,
pengelolaan hasil pengawasan, dan pemaparan hasil pengawasan;
3. praktik‐praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan

pengawasan lain;
4. sistem teknologi informasi dalam melaksanakan kegiatan audit intern; dan
5. metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain.
D. SISTEMATIKA MODUL
Modul Audit Internal disajikan dengan sistematika sebagai berikut.
Bab I Pendahuluan
Bab ini berisi latar belakang, kompetensi dasar, indikator keberhasilan, deskripsi
singkat, serta metode pembelajaran.
Bab II Gambaran Umum
Bab ini menjelaskan mengenai pengertian internal audit, perubahan paradigma APIP,
perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan
penugasan audit internal.
Bab III Perencanaan Penugasan Assurance
Bab ini menjelaskan mengenai penetapan tujuan dan lingkup assurance audit
internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko,
identifikasi

pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian,
penyusunan program kerja dan pengalokasian sumber daya.
Bab IV Pelaksanaan Penugasan Assurance
Bab ini menjelaskan mengenai pengujian dan pengumpulan bukti, evaluasi bukti dan
pengambilan kesimpulan serta pengembangan temuan dan rekomendasi.
Bab V Pelaporan Penugasan Assurance
Bab ini menjelaskan mengenai penyampaian simpulan sementara, penyusunan

laporan, dan monitoring tindak lanjut.
Bab VI Penugasan Konsultansi
Bab ini menjelaskan mengenai jenis, pemilihan, dan proses serta praktik penugasan
konsultansi selain itu juga menjelaskan mengenai perubahan jasa konsultansi dan
kapabilitas yang diperlukan.
Bab VII Pengaruh Perkembangan Teknologi Informasi
Bab ini menjelaskan mengenai perkembangan teknologi informasi dan pemanfaatan

teknologi informasi oleh organisasi pemerintah dan bagi auditor internal.
E. METODE PEMBELAJARAN
Metode yang digunakan untuk mencapai tujuan pembelajaran adalah:
1. Ceramah
Widyaiswara/instruktur menjelaskan mengenai Audit Internal atau bersifat deskriptif.

Modul ini secara umum hanya membagi kegiatan audit internal dalam dua kelompok,
yaitu assurance dan konsultansi. Rincian lebih lanjut masing‐masing jenis kegiatan
assurance dan konsultansi tidak dibahas mendalam. Alasannya, uraian lebih lanjut
mengenai berbagai jenis kegiatan ( misalnya audit investigasi, audit pengadaan barang
dan kegiatan lain) akan di bahas di diklat substantive lebih lanjut.

2. Tanya Jawab dan diskusi
Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang

terkait dengan permasalahan dalam kegiatan audit internal.
3. Latihan
Peserta berlatih menyelesaikan soal‐soal yang terkait dengan audit internal.

Bab II
GAMBARAN UMUM
Indikator Keberhasilan
Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai
pengertian internal audit, perubahan paradigma APIP, perkembangan risk based audit,
kegiatan assurance dan konsultansi, serta tahapan penugasan audit internal.
A. PENGERTIAN INTERNAL AUDIT
Internal audit di seluruh dunia melakukan kegiatan yang cukup bervariasi tergantung pada
kondisi dan kebutuhan organisasi. Akibatnya muncul beberapa definisi internal audit antara lain
sebagai berikut.
Definisi menurut American Accounting Association (AAA) adalah:
Internal audit adalah proses sistematis untuk secara objektif memperoleh dan
mengevaluasi asersi mengenai tindakan dan kejadian‐kejadian ekonomis untuk
meyakinkan derajat kesesuaian antara asersi ini dengan kriteria yang ditetapkan dan
mengomunikasikannya ke pengguna yang berkepentingan.
Definisi Internal Audit menurut Sawyer (2005: 10) adalah:
Internal audit adalah sebuah penilaian yang sistematis dan objektif yang dilakukan auditor
internal terhadap operasi dan kontrol yang berbeda‐beda dalam organisasi untuk
menentukan apakah: (1) informasi keuangan dan operasi telah akurat dan dapat
diandalkan; (2) risiko yang dihadapi organisasi telah diidentifikasi dan diminimalisasi; (3)
peraturan eksternal serta kebijakan dan prosedur internal yang bisa diterima telah diikuti;
(4) kriteria operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan
secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif—semua
dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu
anggota organisasi dalam menjalankan tanggung jawabnya secara efektif.
Definisi Audit Internal (Pengawasan intern) menurut Standar Audit Aparat Pengawasan Intern
Pemerintah (APIP) adalah:
Pengawasan intern adalah seluruh proses kegiatan audit, reviu, pemantauan, evaluasi,
dan kegiatan pengawasan lainnya berupa asistensi, sosialisasi dan konsultansi terhadap

penyelenggaraan tugas dan fungsi organisasi dalam rangka memberikan keyakinan yang
memadai bahwa kegiatan telah dilaksanakan sesuai dengan tolok ukur yang telah
ditetapkan secara efektif dan efisien untuk kepentingan pimpinan dalam mewujudkan
kepemerintahan yang baik.
Definisi internal audit menurut The Institute of Internal Auditor’s (IIA) adalah:
Internal auditing is an independent, objective assurance and consulting activity designed to

add value and improve an organization's operations. It helps an organization accomplish
its objectives by bringing a systematic, disciplined approach to evaluate and improve the
effectiveness of risk management, control, and governance processes.
Internal Audit adalah kegiatan konsultasi dan assurance independen yang dirancang untuk
memberikan nilai tambah dan perbaikan operasi organisasi. Internal audit membantu
organisasi untuk mencapai tujuannya melalui pendekatan yang sistematis dan disiplin
dalam mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendali‐an, dan
proses tata kelola.
Kedua definisi pertama, yaitu definisi menurut AAA dan Sawyer, belum memasukkan peran
auditor internal sebagai konsultan. Sementara dalam praktik, terjadi peningkatan signifikan
peran auditor internal sebagai konsultan yang memberikan nilai tambah bagi organisasi. Maka
definisi yang akan digunakan modul ini adalah dua definisi terakhir, yaitu definisi menurut
Standar Audit APIP dan definisi menurut IIA. Kedua definisi ini serupa dimana membagi peran
auditor internal ke dalam dua kelompok assurance dan consulting (dalam Standar Audit APIP
disebut : pengawasan lainnya).
Analisis lebih lanjut terhadap definisi Internal Auditing dilakukan dengan analisis masing‐masing
kata kunci definisi internal audit menurut IIA sebagai berikut.
Internal Audit
Audit merupakan suatu proses penilaian terhadap informasi, kondisi, operasi dan/atau
pengendalian, yang dilakukan secara objektif oleh pihak yang kompeten dan independen. Kata
internal dapat diartikan bahwa kegiatan audit dilaksanakan sendiri oleh organisasi atau oleh
pegawai organisasi tersebut. Hal ini untuk membedakan dengan audit eksternal yang
dilaksanakan oleh akuntan publik atau Badan Pemeriksa Keuangan (BPK).

Assurance
Peran assurance dilakukan dengan memberikan penilaian/pendapat objektif terkait suatu

entitas, operasi, fungsi, proses, sistem, atau subjek lainnya. Sifat dan lingkup kegiatan assurance
ditentukan oleh auditor internal. Dalam Standar Audit APIP, kegiatan assurance terbagi dalam
kegiatan audit, reviu, pemantauan, dan evaluasi.
Konsultansi
Peran sebagai konsultan muncul setelah terjadi perubahan paradigma auditor internal.
Paradigma lama auditor internal sebagai watchdog, telah bertambah dengan peran sebagai
konsultan dan catalist. Peran konsultan pada umumnya bersifat pemberian saran, atau layanan
lain dengan sifat dan ruang lingkup berdasar kesepakatan antara auditor dengan yang
disepakati dengan manajemen. Layanan konsultasi ini bertujuan untuk memberi nilai tambah
dan meningkatkan tata kelola, manajemen risiko dan pengendalian organisasi. Dalam Standar
Audit APIP, kegiatan konsultansi ini disebut dengan kegiatan pengawasan lainnya, yang terbagi
dalam kegiatan berupa asistensi, sosialisasi dan konsultansi.
Independen
Independen adalah suatu kondisi dimana auditor internal terbebas dari segala kondisi yang
mengancam kemampuannya dalam bertindak objektif/tidak bias.
Membantu Organisasi untuk Mencapai Tujuannya
dalam definisi IIA ditegaskan bahwa tujuan auditor internal adalah membantu organisasi dalam
mencapai tujuannya. Hal ini dapat dilakukan melalui meningkatkan efektivitas manajemen risiko
(dimana risiko yang mengganggu pencapaian tujuan organisasi merupakan fokus utama),
pengendalian internal (untuk memastikan bahwa tujuan organisasi terwujud), dan proses tata
kelola (organisasi tanpa tata kelola yang baik tidak akan berhasil mencapai tujuannya).
Pendekatan yang Sistematis dan Disiplin
Auditor internal telah memiliki standar audit dan standar perilaku yang jelas, sehingga dapat
dijamin bahwa auditor internal telah bekerja dengan sistematis dan disiplin.

B. PERUBAHAN PARADIGMA APIP
Peran auditor internal pada awal keberadaannya berperan utama sebagai watchdog, namun
sejak tahun 1970‐an telah mengalami pergeseran menjadi konsultan. Adapun peran auditor
internal sebagai katalis, baru berkembang sekitar tahun 1990‐an. Perubahan paradigma ini tidak
berarti bahwa peran sebagai watchdog ditinggalkan, tetapi justru peran auditor internal meluas.
Tabel berikut ini menggambarkan secara singkat perubahan paradigma auditor internal.
URAIAN WATCHDOG CONSULTANT CATALYST

Audit kepatuhan
Proses Audit operasional Assurance
(Compliance Audit)
Adanya Variasi
Penggunaan sumber daya
Fokus (penyimpangan, kesalahan Nilai (Values)
(resources)
atau kecurangan dll)
Impact Jangka pendek Jangka menengah Jangka panjang
Tabel 2.1 Perubahan Paradigma Auditor Internal
Peran watchdog meliputi aktivitas inspeksi, observasi, perhitungan, pengujian transaksi yang
bertujuan untuk memastikan ketaatan terhadap ketentuan, peraturan atau kebijakan yang telah
ditetapkan. Audit yang dilakukan adalah audit kepatuhan (compliance audit) dan apabila
dijumpai penyimpangan dapat dilakukan koreksi atas sistem pengendalian manajemen. Peran
watchdog umumnya menghasilkan rekomendasi yang mempunyai dampak jangka pendek, yaitu
perbaikan atas kesalahan yang sudah terjadi.
Peran auditor internal sebagai konsultan diharapkan dapat memberikan manfaat berupa
nasehat (advice) dalam pengelolaan sumber daya (resources) organisasi, sehingga dapat
membantu tugas para pimpinan di tingkat operasional. Audit yang dilakukan adalah audit
operasional yaitu untuk meyakini apakah organisasi telah memanfaatkan sumber daya
organisasi secara ekonomis, efisien, dan efektif, sehingga dapat dinilai apakah manajemen telah
menjalankan aktivitas organisasi yang mengarah kepada tujuannya. Rekomendasi yang dibuat
umumnya bersifat jangka menengah, yaitu memperbaiki dan meningkatkan efektifitas dan
efisiensi operasi organisasi.
Peran auditor internal sebagai katalis berkaitan dengan jaminan kualitas (quality assurance).
Auditor diharapkan dapat membimbing manajemen dalam mengenali berbagai risiko yang
mengancam pencapaian tujuan organisasi. Pemberian jasa jaminan kualitas bertujuan untuk
meyakinkan bahwa aktivitas organisasi yang dijalankan, telah menghasilkan keluaran (output)

yang dapat memenuhi kebutuhan penggunanya. Dalam memainkan perannya sebagai katalis,
auditor internal berperan sebagai fasilitator dan agen perubahan (agent of change). Dampak
dari peran ini bersifat jangka panjang karena fokus katalis adalah nilai jangka panjang (long‐term
values) dari organisasi, terutama berkaitan dengan tujuan organisasi yang dapat memenuhi
kepuasan pelanggan (customer satisfaction) dan masyarakat (stakeholders).
C. PERKEMBANGAN RISK BASED AUDIT
Mengapa Risiko menjadi pusat perhatian Auditor Internal?
Definisi Risiko menurut Peraturan Pemerintah Nomor 60 Tahun 2008 adalah Kemungkinan
kejadian yang mengancam pencapaian tujuan instansi pemerintah. Sementara itu, tujuan
auditor internal adalah membantu organisasi untuk mencapai tujuannya, maka sudah
seharusnya risiko organisasi menjadi pusat perhatian auditor internal organisasi tersebut.
Pemahaman auditor terkait risiko yang dihadapi organisasi memegang peranan penting dalam
perencanaan dan pelaksanaan setiap penugasan. Auditor harus memaksimalkan segala
sumberdaya, waktu, tenaga dan biaya yang terbatas pada area pemeriksaan yang berisiko
tinggi. Pemahaman auditor terkait risiko organisasi dapat diperoleh dari risk register (daftar
risiko) yang disusun oleh manajemen. Namun, sebelum auditor memanfaatkan daftar risiko
tersebut, terlebih dahulu harus menilai tingkatan risk maturity (kematangan manajemen risiko)
organisasi.
Manajemen Risiko
Menurut Peraturan Pemerintah Nomor 60 Tahun 2008, pemimpin instansi pemerintah wajib
melakukan penilaian risiko secara periodik dan komprehensif. Risiko‐risiko tersebut harus
dipertimbangkan dalam setiap pengambilan keputusan. Penilaian risiko adalah kegiatan
penilaian atas kemungkinan dan dampak kejadian yang dapat mengancam pencapaian tujuan
Instansi Pemerintah. Langkah penilaian risiko terdiri dari:
1. Identifikasi risiko: untuk mengenali risiko‐risiko yang mengancam tujuan organisasi yang
bersumber dari eksternal dan internal serta faktor lain yang dapat meningkatkan risiko.
2. Analisis risiko: untuk menentukan tingkat (scoring) probabilitas dan dampak dari risiko
yang telah diidentifikasi terhadap pencapaian tujuan Instansi Pemerintah.

Risiko‐risiko ini merupakan tanggung jawab manajemen selaku pemilik risiko. Manajemen harus
membangun pengendalian internal (internal control) untuk menjaga agar risiko‐risiko tetap
berada di tingkat yang dapat ditolerir (dibawah risk appetite). Serangkaian proses sejak
identifikasi, analisis, pengelolaan, dan pengendalian risiko untuk memberikan keyakinan
yang memadai tentang pencapaian tujuan adalah kegiatan manajemen risiko.
Risk Maturity
Risk Maturity Level adalah tingkatan sejauh mana manajemen risiko telah diadopsi dan
diterapkan di seluruh organisasi untuk mengidentifikasi, menganalisis, menentukan response
risiko dan melaporkan peluang/ancaman yang dapat mempengaruhi pencapaian tujuan
organisasi. Tingkat risk maturity berpengaruh pada rencana audit yang disusun auditor internal.
Untuk mengetahui sejauh mana tingkat risk maturity suatu organisasi auditor internal dapat
melakukan hal‐hal sebagai berikut.
1. Melakukan wawancara dengan jajaran pimpinan organisasi untuk mengatahui proses yang
telah diterapkan untuk meningkatkan manajemen risiko. Proses yang telah dilakukan oleh
manajemen dapat berupa pelatihan, workshop, membuat questionnaire tentang risiko dan
wawancara dengan pemilik risiko. Hasil akhir dari proses ini adalah risk register yang
komprehensif dan kesimpulan bagaimana risk manajemen tertanam dalam organisasi.
2. Mengumpulkan informasi/bukti yang mendukung simpulan diatas antara lain berupa:
a. tujuan organisasi;
b. kertas kerja penilaian risiko berupa scoring dampak dan probabilitas untuk
menyusun peringkat risiko;
c. tingkat risk appetite yang ditetapkan pimpinan operasi;
d. prosedur yang digunakan manajemen untuk mengidentifikasi risiko;
e. bukti bahwa manajemen mempertimbangkan risiko dalam pengambilan keputusan;
f. daftar risiko organisasi yang menunjukkan hubungan antara tujuan, risiko, pemilik
risiko, score dampak dan probabilitas untuk inherent risk dan residual risk. termasuk
risk response dan pengendalian yang telah diterapkan serta tingkat risk appetite
yang dikehendaki pimpinan organisasi; dan

g. dokumen lain yang membuktikan adanya komitmen pimpinan terhadap penerapan
manajemen risiko.
Tingkat risk maturity auditi mempengaruhi langkah audit yang akan diambil. Dalam table berikut
digambarkan tingkatan risk maturity dan langkah yang akan diambil auditor internal.
Risk Maturity Karakteristik kunci Pendekatan Internal Audit

Memfasilitasi organisasi membangun
Organisasi belum menerapkan manajemen risiko.
Risk Naive
Manajemen Risiko secara formal Auditor melakukan penilaian risiko dengan
keterlibatan manajemen.
Memfasilitasi organisasi membangun
Penerapkan Manajemen Risiko manajemen risiko.
Risk Aware Organisasi secara acak (scattered silo
approach) Auditor melakukan penilaian risiko dengan
keterlibatan manajemen.
Strategi dan kebijakan manajemen
Memfasilitasi penyempurnaan manajemen
risiko telah dikomunikasikan dan
Risk Defined risiko. Audit memanfaatkan hasil penilaian
tingkatan risiko yang dapat ditolerir
risiko yang dilakukan manajemen
(risk appetite) telah ditetapkan
Risk manajemen telah diterapkan dan Penekanan audit pada proses manajemen
Risk Managed dan telah dikomunikasikan ke seluruh risiko. Perhatian khusus diberikan untuk
anggota organisasi. memverifikasi pemantauan risiko utama.
Penekanan audit pada proses manajemen

Organisasi telah mengintegrasikan
Risk Enabled risiko. Perhatian khusus diberikan untuk
manajemen risiko dan internal control
memverifikasi pemantauan risiko utama.
Tabel 2.2 Tingkatan risk maturity dan langkah yang akan diambil auditor internal
Hasil penilaian tingkat risk maturity dapat digunakan sebagai bahan pertimbangan dalam
menentukan pendekatan audit yang akan digunakan oleh auditor internal sebagai berikut.
1. Jika risk maturity organisasi berada pada level risk aware (penerapan manajemen risiko
secara acak) dan risk naive (manajemen resiko belum diterapkan secara formal), maka
auditor tidak dapat meyakini risk register organisasi. Dalam kondisi seperti ini, internal
auditor dapat menjalankan peran konsultatifnya, yaitu bertindak sebagai konsultan dalam
proses pemahaman dan penerapan manajemen risiko bagi organisasi.

Auditor internal dimungkinkan untuk melakukan audit berbasis risiko setelah dilakukan
fasilitasi penyusunan risk register organisasi. Auditor internal tidak dapat menetapkan
risiko tanpa keterlibatan pihak manajemen, karena pemilik dan penanggung jawab risiko
adalah manajemen. Hal ini dilakukan untuk menghindari kesalahpahaman pihak
manajemen yang menganggap bahwa auditor internal yang bertanggung jawab terhadap
risiko organisasi.
2. Pada kondisi risk defined (strategi dan kebijakan manajemen risiko telah ditetapkan),
pekerjaan audit diawali dengan verifikasi apakah proses manajemen risiko sudah berjalan
dengan efektif. Pekerjaan audit lebih detail diperlukan untuk meyakinkan bahwa semua
risiko sudah diidentifikasi dan pengendalian terhadap risiko telah berjalan efektif.
3. Pada kondisi risk managed dan risk enabled, pekerjaan audit tidak lagi diarahkan untuk
menemukan kesalahan penetapan risiko atau kelemahan pengendalian. Perhatian khusus
diarahkan pada proses manajemen risiko dan verifikasi terhadap pemantauan manajemen
atas risiko‐risiko kunci dalam organisasi.
Audit Universe (Peta Objek Audit)
Dari hasil penilaian risk maturity, dapat diperoleh daftar risiko (risk register) organisasi. Dalam
konteks kondisi manajemen risiko yang masih naïve dan aware, daftar ini dapat diperoleh dari
hasil fasilitasi penyusunan risk register. Bila manajemen risiko organisasi telah mencapai level
managed dan enabled, auditor dapat menggunakan daftar risiko yang dihasilkan manajemen.
Daftar risiko ini merupakan sumber penyusunan audit universe yang akan digunakan dalam
proses perencanaan dan pelaksanaan audit selanjutnya.
Audit Universe (peta audit) merupakan daftar semua kemungkinan audit yang dapat dilakukan
dan dimanfaatkan untuk perencanaan audit jangka panjang (lebih dari satu tahun), menyusun
strategi audit, dan aktivitas audit lainnya. Peta audit adalah risk register yang telah
dikembangkan lebih lanjut yang memuat informasi sebagai berikut.
• Risiko yang telah teridentifikasi dan telah dilengkapi dengan score.
• Tujuan yang terancam oleh masing‐masing risiko.
• Pemilik Risiko (risk owner).
• Pengendalian yang diterapkan oleh manajemen.

• Simpulan hasil audit sebelumnya mengenai efektifitas pengendalian setiap risiko.
• Informasi mengenai audit‐audit yang telah dan akan dilakukan.
• Informasi lain terkait pengendalian dan risiko.
Peta Audit sebaiknya disimpan dalam bentuk data base (misalnya Access), bukan spreadsheet
(misalnya Excel). Keuntungan penggunaan data base adalah data yang disimpan relatif lebih
terjaga keamanan, konsistensi dan integritasnya. Dalam bentuk data base, peta audit lebih
mudah dalam menghasilkan laporan misalnya:
• Penugasan‐penugasan audit yang sedang berlangsung.
• Risiko‐risiko yang mengancam tujuan tertentu.
• Rincian risiko‐risiko yang diurutkan berdasar score‐nya.
• Beragam laporan lain sesuai data‐data yang disimpan dalam data base.
D. KEGIATAN ASSURANCE DAN KONSULTANSI
Gambaran lingkup penugasan auditor internal menurut Draft Standar Audit Intern Pemerintah
Indonesia yang disusun Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI), dapat
digambarkan dalam skema sebagai berikut.
Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI

Peran Auditor Internal
Peran audit internal menurut Standar Audit APIP dan IIA dapat dibagi dalam dua kelompok,
yaitu assurance dan konsultansi. Standar audit APIP menyatakan bahwa pengawasan intern
adalah seluruh proses kegiatan (assurance) audit, reviu, pemantauan, evaluasi, dan kegiatan
pengawasan lainnya (konsultansi) berupa asistensi, sosialisasi dan konsultansi. Hal ini senada
dengan IIA yang membagi secara tegas tugas auditor internal dengan pernyataan bahwa:
“Internal auditing is an independent, objective assurance and consulting activity”.
IIA dalam International Standards for the Professional Practice of Internal Auditing (IPPF‐2013)
mendefinisikan kedua peran ini sebagai berikut.
Assurance services : An objective examination of evidence for the purpose of providing an

independent assessment on governance, risk management, and control processes for the
organization. Examples may include financial, performance, compliance, system security,
and due diligence engagements.
Terjemahannya: Kegiatan Penjaminan adalah pemeriksaan bukti‐bukti secara objektif

untuk memberikan penilaian independen tentang manajemen risiko, pengendalian, dan
proses tata kelola. Contohnya dapat berupa penugasan terkait keuangan, kinerja,
ketaatan, dan keamanan sistem
Consulting Services : Advisory and related client service activities, the nature and scope of
which are agreed with the client, are intended to add value and improve an organization’s
governance, risk management, and control processes without the internal auditor
assuming management responsibility. Examples include counsel, advice, facilitation, and
training.
Terjemahannya : Kegiatan konsultansi adalah pemberian saran terkait aktivitas organisasi.

Sifat dan lingkup penugasan disepakati bersama untuk memberikan nilai tambah dan
perbaikan risiko, pengendalian, dan proses tata kelola organisasi. Contohnya dapat berupa
konsultansi, pemberian saran, fasilitasi dan pelatihan.
Persamaan dan Perbedaan Assurance dan Konsultansi
Persamaan kedua peran ini adalah bertujuan untuk meningkatkan governance, risk
management, and control (GRC) organisasi. Bedanya, assurance dilakukan melalui pemeriksaan
bukti‐bukti yang bertujuan menilai GRC, sedangkan konsultansi dilakukan melalui kegiatan
pemberian saran perbaikan GRC.

Perbedaan mendasar antara kedua peran ini adalah sebagai berikut.
1. Pihak‐pihak yang Terlibat
Dalam kegiatan konsultansi, pihak yang terlibat hanya dua pihak, yaitu pihak manajemen
selaku peminta/penerima saran dan auditor internal selaku pemberi saran. Dalam
kegiatan assurance ada tiga pihak terlibat, yaitu manajemen selaku auditi, auditor internal
selaku pelaksana kegiatan dan pihak ketiga yang memanfaatkan hasil kegiatan assurance
ini.
2. Standar Pelaksanaan
Standar audit APIP sementara ini belum mengatur kegiatan konsultansi, namun IIA
menerbitkan standar pelaksanaan berupa IPPF‐2013. Dalam standar ini, Attribute
Standard dan Performance Standard berlaku pada semua kegiatan Assurance dan
Konsultansi, dengan perbedaan standard untuk masing masing peran.
3. Tujuan Kegiatan
Kegiatan assurance bertujuan untuk memberikan penilaian independen dengan lingkup

dan sifat kegiatan yang ditentukan oleh auditor. Sedangkan kegiatan konsultansi
bertujuan untuk memberikan saran, pelatihan dan fasilitasi. Sifat dan lingkup kegiatan
konsultansi ditetapkan sesuai kesepakatan antara manajemen dan auditor internal.
4. Penyampaian Hasil Kegiatan.
Jenis informasi yang disampaikan untuk berbagai kegiatan assurance relative sama,
sehingga format laporan dapat dikatakan tidak jauh berbeda. Keseragaman format ini
mempermudah pembaca laporan untuk mencari informasi tertentu yang mereka
butuhkan. Laporan kegiatan konsultansi sebaliknya, sangat berbeda tergantung jenis dan
lingkup penugasan yang disepakati. Bentuk dan isi laporan konsultansi disesuaikan dengan
kebutuhan, dalam bentuk yang dianggap paling efektif dan efisien dalam menyampaikan
pesan.

Jenis Kegiatan Assurance
Menurut Draft Standar Audit Intern Pemerintah Indonesia (AAIPI), kegiatan assurance yang
dilakukan oleh APIP meliputi kegiatan berikut ini.
1. Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara
independen, objektif dan profesional berdasarkan standar audit, untuk menilai kebenaran,
kecermatan, kredibilitas, efektifitas, efisiensi, dan keandalan informasi pelaksanaan tugas
dan fungsi instansi pemerintah. Jenis audit yang dapat dilakukan APIP dapat terbagi dalam
tiga kelompok, yaitu:
a. Audit keuangan adalah audit atas laporan keuangan, yang terbagi atas:
1) Audit keuangan yang bertujuan untuk memberikan opini atas kewajaran

penyajian laporan keuangan sesuai dengan prinsip akuntansi yang diterima
umum. Dalam penugasan ini auditor wajib menggunakan Standar Pemeriksaan
Keuangan Negara (SPKN) dan/atau Standar Profesional Akuntan Publik (SPAP).
2) Audit terhadap aspek keuangan tertentu (audit atas laporan keuangan bukan
untuk memberikan opini), contohnya antara lain:
a) audit atas bagian dari laporan keuangan/informasi keuangan;
b) audit atas laporan pendapatan dan biaya;
c) audit atas laporan penerimaan dan pengeluaran kas;
d) audit atas laporan aktiva tetap, permintaan anggaran;
e) audit pengelolaan keuangan dana dekonsentrasi; dan
f) audit Keuangan Lainnya.
b. Audit kinerja adalah audit atas pelaksanaan tugas dan fungsi instansi pemerintah
yang terdiri atas audit aspek ekonomi, efisiensi, dan audit aspek efektivitas, serta
ketaatan pada peraturan. Contoh Audit kinerja antara lain:
1) audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada
peraturan;
2) post audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan
pada peraturan;

3) audit kinerja atas penyusunan dan pelaksanaan anggaran;
4) audit kinerja atas penerimaan, penyaluran, dan penggunaan dana;
5) audit kinerja atas pengelolaan aset dan kewajiban;
6) audit operasional program/kegiatan;
7) audit akuntabilitas kinerja; dan
8) audit sistem informasi.
c. Audit dengan tujuan tertentu adalah audit di luar audit keuangan dan audit kinerja
yang bertujuan untuk memberikan simpulan atas suatu hal yang diaudit. Yang
termasuk dalam kategori ini antara lain:
1) audit investigatif adalah proses mencari, menemukan, dan mengumpulkan

bukti secara sistematis yang bertujuan mengungkapkan terjadi atau tidaknya
suatu perbuatan dan pelakunya guna dilakukan tindakan hukum selanjutnya;
2) audit terhadap masalah yang menjadi fokus perhatian pimpinan organisasi;
3) audit ketaatan (compliance audit);
4) audit atas tindak kecurangan/fraud audit;
5) audit atas kegiatan melawan hukum/illegal act audit;
6) mengumpulkan data dan/atau informasi intelijen;
7) fraud audit/illegal act audit/audit atas tindak kecurangan/KKN/audit forensik/

audit investigatif;
8) memproses penyelesaian TP/TGR;
9) audit atas berbagai indikasi pemborosan (waste, abuse);
10) audit khusus terhadap adanya pengaduan masyarakat terkait dugaan

penyimpangan dalam pengelolaan aset, pelayanan publik atau pelaksanaan
pemerintahan;

11) membantu aparat penegak hukum (APH) untuk memberikan keterangan
ahli/pendampingan pemberian keterangan ahli dalam peradilan kasus hasil
pengawasan;
12) membantu aparat penegak hukum (APH) untuk melakukan penghitungan

kerugian keuangan negara (audit PKKN);
13) audit atas pengelolaan aset;
14) audit atas kepegawaian;
15) memberikan kesaksian dalam peradilan kasus hasil pengawasan non keuangan
seperti kasus perceraian, indisipliner pegawai, dan kasus perselingkuhan;
16) mengkaji sistem pengendalian manajemen objek pengawasan;
17) pengendalian intern terhadap ketaatan hukum dan peraturan atas proses
tender, akuntansi, hibah, bantuan, dan kontrak;
18) audit ketaatan atas hukum dan peraturan;
19) audit penyesuaian harga;
20) audit klaim;
21) audit lingkungan;
22) audit sosial, audit atas efektifitas bantuan sosial (misalnya: bantuan langsung
tunai/BLT);
23) audit khusus dalam rangka serah terima jabatan (sertijab)/alih jabatan;
24) pemeriksaan dalam rangka berakhirnya masa jabatan kepala daerah;
25) audit atas catatan‐catatan akuntansi intern (internal accounting records);
26) audit buril, seperti: melaksanakan verifikasi, serta pengujian dan penilaian
dokumen; dan
27) audit yang bersifat khas lainnya.

2. Reviu adalah penelaahan ulang bukti‐bukti suatu kegiatan untuk memastikan bahwa
kegiatan tersebut telah dilaksanakan sesuai dengan ketentuan, standar, rencana, atau
norma yang telah ditetapkan. Contoh reviu antara lain:
a. reviu atas laporan keuangan;
b. reviu atas sistem pengendalian intern pemerintah (SPIP);
c. reviu atas rencana kegiatan dan anggaran (RKA);
d. reviu atas usulan revisi yang mengubah plafon anggaran;
e. reviu atas aspek keuangan tertentu;
f. reviu aspek kinerja tertentu;
g. reviu periodik atas pengelolaan keuangan;
h. reviu atas aspek tertentu penyelenggaraan pemerintahan dan pembangunan; dan
i. reviu atas hasil kajian pengawasan tertentu.
3. Pemantauan adalah proses penilaian kemajuan suatu program/kegiatan dalam mencapai

tujuan yang telah ditetapkan. Contoh pemantauan antara lain:
a. pemantauan tindak lanjut hasil pemeriksaan;
b. pemantauan terhadap pelaksanaan kebijakan;
c. pemantauan realisasi penyerapan anggaran;
d. pemantauan capaian kinerja instansi pemerintah;
e. monitoring dana dekonsentrasi; dan
f. pemantauan persidangan perkara pidana.
4. Evaluasi adalah rangkaian kegiatan membandingkan hasil/prestasi suatu kegiatan dengan

standar, rencana, atau norma yang telah ditetapkan, dan menentukan faktor‐ faktor yang
mempengaruhi keberhasilan atau kegagalan suatu kegiatan dalam mencapai tujuan.
Contoh evaluasi antara lain:
a. evaluasi dan penilaian atas efektivitas proses tata kelola;
b. evaluasi dan penilaian atas efektivitas manajemen risiko;
c. evaluasi dan penilaian atas efektivitas penerapan sistem pengendalian intern;

d. evaluasi atas efektivitas suatu program;
e. evaluasi kelembagaan;
f. evaluasi kebijakan;
g. evaluasi strategi pelaksanaan kegiatan;
h. evaluasi akuntabilitas kinerja instansi pemerintah (AKIP); dan
i. evaluasi hasil pengembangan sistem informasi.
Masing‐masing kegiatan assurance (audit, reviu, pemantauan dan evaluasi) memiliki derajat
assurance yang berbeda sesuai sifat dan jumlah bukti yang akan diuji. Derajat assurance
berbanding lurus dengan jumlah bukti yang dikumpulkan dan dievaluasi, sebagaimana
tergambar dalam table berikut.
Jenis Penugasan Derajat Assurance Jumlah Bukti Dikumpukan Sifat Assurance

Audit Tinggi Banyak Positif
Reviu Sedang Cukup Banyak Negatif
Assurance Lain Bervariasi Bervariasi Negatif
Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi
Positive assurance (biasa disebut reasonable assurance/jaminan memadai) diberikan oleh

auditor internal untuk memberikan keyakinan bahwa informasi yang diaudit telah sesuai dengan
kriteria/ketentuan. Contoh:
• Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam
bentuk: “Dari hasil audit yang telah dilakukan, disimpulkan bahwa pelaksanaan tugas dan
fungsi Satker XYZ telah dilaksanakan dengan efektif dalam mencapai tujuan organisasi”.
Negative assurance/jaminan terbatas yang diberikan oleh auditor ‘hanya’ memberi keyakinan
bahwa tidak ditemukan adanya penyimpangan/bukti adanya penyimpangan dari kriteria yang
digunakan. Contoh :
• Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam
bentuk: “Dari hasil evaluasi yang telah dilakukan, tidak ditemukan bukti bahwa
pelaksanaan tugas dan fungsi Satker XYZ dilaksanakan dengan tidak efektif”.

Jenis Kegiatan Konsultansi
Kegiatan konsultasi sangat bervariasi baik bentuk dan sifatnya, disesuaikan dengan kesepakatan
antara auditor dan manajemen. Kegiatan ini dapat didesain sesuai kebutuhan manajemen untuk
mengatasi masalah tertentu. Walaupun demikian, kegiatan ini hanya dapat dilaksanakan
sepanjang tidak mengganggu independensi dan objektifitas auditor internal.
Kegiatan konsultansi dapat berbentuk pemberian saran (advisory role), pelatihan (training role),
dan bimbingan teknis (facilitative role). Namun, dalam praktik kegiatan konsultansi tidak dapat
dipisahkan secara tegas antara advisory role, training role, dan facilitative role. Misalnya dalam
kegiatan facilitative, auditor juga berperan advisory. Demikian juga dalam kegiatan training role,
auditor internal juga memberika saran (advisory role)
1. Advisory Role
Pada umumnya, kegiatan konsultansi bersifat memberikan saran kepada manajemen.

Kegiatan dapat dilakukan dalam bentuk kajian dan penyampaian rekomendasi. Setiap
organisasi tentu mengalami berbagai tantangan, untuk menghadapinya manajemen dapat
meminta auditor untuk memberikan saran misalnya dalam hal‐hal berikut.
a. Membangun desain pengendalian internal.
b. Membangun prosedur dan kebijakan.
c. Memberikan saran tentang kegiatan yang berisiko tinggi.
d. Membangun manajemen risiko.
2. Training Role
Auditor pada umumnya berpengalaman melaksanakan tugas assurance dan memiliki

pengetahuan yang dapat dibagi dengan manajemen. Pengetahuan auditor yang dapat
diberikan terkait berbagai kriteria/peraturan, manajemen risiko, pengendalian internal
dan best practices. Auditor dapat membagikan/menyebarkan/mendesiminasikan
pengetahuan tersebut atas permintaan manajemen melalui pelatihan, workshop, atau
sosialisasi.

3. Facilitative Role
Manajemen juga bisa meminta auditor internal untuk terlibat lebih jauh, misalnya sebagai
fasilitator (facilitative role). Peran fasilitator ini dilaksanakan dalam bentuk pendampingan
asistensi dan bimbingan teknis pendampingan. Internal auditor telah berpengalaman
dalam melakukan analisis pengendalian yang diperlukan untuk menangani sebuah risiko.
Internal auditor dapat membimbing manajemen untuk menemukan ‘kelemahan’ sebuah
pengendalian dan membimbing manajemen membangun pengendalian untuk menutup
kelemahan tersebut.
Selaku fasilitator, auditor internal terlibat langsung dalam kegiatan manajemen. Yang
harus diperhatikan adalah dalam melakukan asistensi, internal auditor tidak boleh
bertindak sebagai pengambil keputusan yang menjadi tanggung jawab manajemen.
Standar IPPF mengatur bahwa ketika membantu manajemen, auditor internal harus
menghindari asumsi dari manajemen, bahwa auditor telah mengambil alih tanggung
jawab manajemen selaku penanggung jawab risiko.
E. TAHAPAN PENUGASAN AUDIT INTERNAL

1
Menurut Institut of Internal Auditors ‐ Research Foundation (IIA‐RF) , tahapan penugasan
auditor internal baik penugasan assurance maupun konsultansi secara umum terbagi dalam tiga
tahap utama, yaitu: perencanaan, pelaksanaan dan pelaporan. Dalam praktik tidak ada garis
tegas yang membagi ketiga tahap ini. Tahap perencanaan tidak berhenti saat dimulainya tahap
pelaksanaan, karena penyesuaian rencana perlu dilakukan saat ditemukan adanya
penyimpangan. Penyampaian simpulan (tahap pelaporan) tidak harus setelah tahap
pelaksanaan penugasan selesai, namun dapat dilakukan saat ditemukan adanya masalah yang
perlu penanganan segera.
Penugasan Assurance
Penugasan assurance bervariasi sesuai tujuan dan lingkupnya, namun dengan tahapan
penugasan relatif sama. Tahapan‐tahapan berikut pada umumnya dilakukan di setiap kegiatan
assurance, dengan sedikit penyesuaian pelaksanaan. Tahapan kegiatan assurance dapat dirinci
sebagai berikut.
1
Kurt F Reding et al (IIA-RF), 2009, Internal Auditing: Assurance and Consulting Services, 2nd Edition

1. Perencanaan
a. Penetapan tujuan dan lingkup penugasan.
b. Pemahaman auditi.
c. Identifikasi dan penilaian risiko.
d. Identifikasi pengendalian kunci.
e. Evaluasi pengendalian.
f. Penyusunan rencana pengujian.
g. Penyusunan program audit.
h. Pengalokasian sumber daya.
2. Pelaksanaan
a. Pengujian dan pengumpulan bukti.
b. Evaluasi bukti dan pengambilan kesimpulan.
c. Pengembangan temuan dan rekomendasi.
3. Pelaporan
a. Penyampaian simpulan sementara.
b. Penyusunan laporan.
c. Distribusi laporan.
d. Monitoring tindak lanjut.
Penugasan Konsultansi
Berbeda dengan kegiatan assurance, kegiatan konsultansi berbeda tahapannya untuk setiap
kegiatan. Hal ini disebabkan lingkup, sifat dan metode kegiatan ditetapkan berdasar
kesepakatan antara auditor dan manajemen. Dengan kata lain, bentuk penugasan konsultansi
sangat bergantung kebutuhan manajemen. Berikut adalah tahapan kegiatan konsultansi secara
umum penerapannya disesuaikan lingkup dan tujuan penugasan. Tahapan kegiatan konsultansi
dapat dirinci sebagai berikut.

1. Perencanaan
a. Penentuan tujuan dan lingkup.
b. Permintaan persetujuan tujuan dan lingkup penugasan dari manajeman.
c. Pemahaman lingkup penugasan dan proses bisnis.
d. Pemahaman risiko yang terkait (jika diperlukan).
e. Pemahaman pengendalian terkait (jika diperlukan).
f. Evaluasi desain pengendalian.
g. Penyusunan rencana penugasan.
h. Pengalokasian sumber daya.
2. PELAKSANAAN
a. Penugasan Advisory
1) Pengumpulan dan evaluasi bukti.
2) Penyusunan saran.
b. Penugasan Training dan Fasilitative
1) Penutupan bahan fasilitasi/training.
2) Pelaksanaan fasilitasi/training.
3) Evaluasi efektifitas.
3. PELAPORAN
a. Penyampaian simpulan sementara.
b. Penyusunan laporan.
c. Distribusi laporan.
d. Monitoring tindak lanjut (jika diperlukan).

Bab III
PERENCANAAN PENUGASAN ASSURANCE
tahapan praktik perencanaan assurance audit internal yaitu: penetapan tujuan dan
lingkup assurance audit internal, pemahaman proses kerja auditi, identifikasi dan penilaian
risiko, identifikasi pengendalian kunci, evaluasi pengendalian, penyusunan rencana
pengujian, penyusunan program kerja dan pengalokasian sumber daya.
Kegiatan assurance merupakan penilaian objektif yang dilakukan auditor internal atas bukti
untuk memberikan pendapat independen mengenai tata kelola, manajemen risiko dan proses
pengendalian. Jenis dan lingkup penugasan assurance ditentukan oleh instansi auditor internal
(APIP). Telah dibahas sebelumnya bahwa kegiatan assurance dapat dilaksanakan dalam
berbagai bentuk antara lain: audit keuangan, audit kinerja, audit dengan tujuan tertentu,
evaluasi, reviu dan pemantauan/monitoring. Tahapan seluruh kegiatan ini dapat digambarkan
sebagai berikut.
Tabel 3.1 Tahapan Penugasan Assurance

Dalam praktik, beberapa penugasan assurance tidak menggunakan tahapan tersebut di atas. Hal
ini disebabkan, ada beberapa penugasan yang telah diatur dengan ketentuan khusus. Misalnya
penugasan‐penugasan sebagai berikut.
1. Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (AKIP)
Evaluasi AKIP diatur dengan Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi
Pemerintah (Juklak Evaluasi AKIP) yang setiap tahun diterbitkan oleh Menteri
Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (MenPanRB). Salah satunya
adalah Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi
Nomor 20 Tahun 2013 tentang Perubahan Lampiran Peraturan Menteri Pendayagunaan
Aparatur Negara dan Reformasi Birokrasi Nomor 25 Tahun 2012 Tentang Petunjuk
Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah.
Evaluasi AKIP adalah aktivitas analisis yang sistematis, pemberian nilai, atribut, apresiasi,
dan pengenalan permasalahan, serta pemberian solusi atas masalah yang ditemukan
untuk tujuan peningkatan kinerja dan akuntabilitas instansi/unit kerja pemerintah.
Metodologi yang digunakan untuk melakukan evaluasi akuntabilitas kinerja instansi
dengan menggunakan teknik "criteria referenced survey", dengan cara menilai secara
bertahap langkah demi langkah (step by step assessment) setiap komponen dan
selanjutnya menilai secara keseluruhan (overall assessment) dengan kriteria evaluasi dari
masing‐masing komponen yang telah ditetapkan sebelumnya. Kriteria evaluasi kinerja
instansi pemerintah ditentukan dengan berdasarkan kepada:
a. kebenaran normatif sebagaimana yang ditetapkan dalam pedoman penyusunan

laporan akuntabilitas kinerja instansi pemerintah;
b. kebenaran normatif yang bersumber pada modul‐modul atau buku‐buku petunjuk

mengenai sistem AKIP;
c. kebenaran normatif yang bersumber pada best practice baik di Indonesia maupun di
luar negeri;
d. kebenaran normatif yang bersumber pada berbagai praktik manajemen strategis,

manajemen kinerja, dan sistem akuntabilitas yang baik.

Penilaian apakah suatu instansi telah memenuhi suatu kriteria, harus didasarkan pada
fakta objektif dan professional judgement dari para evaluator. Teknik evaluasi pada
dasarnya merupakan cara/alat/metode yang digunakan untuk pengumpulan dan analisis
data. Berbagai teknik evaluasi dapat dipilih untuk digunakan dalam evaluasi ini, namun
demikian pada akhirnya teknik yang digunakan harus dapat mendukung penggunaan
metode evaluasi yang telah ditetapkan, sehingga mampu menjawab tujuan dilakukannya
evaluasi ini. Berbagai teknik pengumpulan data antara lain: kuisioner, wawancara,
observasi, studi dokumentasi atau kombinasi beberapa teknik tersebut. Sedangkan teknik
analisis data antara lain: telaahan sederhana, berbagai analisis dan pengukuran, metode
statistik, pembandingan, analisis logika program dan sebagainya.
Ruang lingkup evaluasi AKIP meliputi kegiatan evaluasi terhadap perencanaan strategis
dan perencanaan kinerja tahunan, pelaksanaan program dan kegiatan, pengukuran
capaian kinerja, serta pelaporan kinerja, informasi kinerja yang dipertanggungjawabkan
dalam LAKIP bukanlah satu‐satunya yang digunakan dalam menentukan nilai evaluasi,
akan tetapi juga termasuk berbagai hal yang dapat dihimpun guna mengukur keberhasilan
ataupun keunggulan instansi.
Untuk keberhasilan pelaksanaan evaluasi, terlebih dahulu perlu didefinisikan kepentingan

pihak‐pihak pengguna hasil evaluasi. Informasi yang dihasilkan dari suatu evaluasi antara
lain mencakup:
a. informasi untuk mengetahui tingkat kemajuan/perkembangan (progress);
b. informasi untuk membantu agar kegiatan tetap dalam alurnya; dan
c. informasi untuk meningkatkan efisiensi.
2. Audit Investigatif
Audit Investigastif dilakukan berdasar Peraturan Menteri Pendayagunaan Aparatur Negara

(Permen PAN) Nomor PER/05/M.PAN/03/2008 tentang Standar Audit Aparat Pengawasan
Internal Pemerintah, juga harus berpedoman pada Peraturan Kepala BPKP Nomor PER‐
1314/K/D6/2012 tentang Pedoman Penugasan Bidang Investigasi (PPBI).
Audit Investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara
sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan
pelakunya guna dilakukan tindakan hukum selanjutnya. Berdasarkan pengertian audit

investigatif di atas, maka dalam audit investigatif terdapat proses pengungkapan terjadi
atau tidaknya suatu perbuatan dan pelakunya dengan tujuan untuk membuktikan ada
atau tidaknya perbuatan melanggar hukum.
Dengan demikian, terkait dengan pengelolaan keuangan negara, audit investigatif

merupakan suatu upaya untuk membuktikan ada tidaknya suatu perbuatan yang
melanggar hukum sehingga apabila perbuatan terbukti, maka akan dikualifikasikan apakah
perbuatan tersebut termasuk kesalahan administrasi yang nantinya akan dilakukan
tuntutan ganti rugi/tuntutan perbendaharaan atau terdapat indikasi tindak pidana
korupsi/terdapat indikasi tindak pidana lain.
Tahapanan kegiatan audit investigasi adalah sebagai berikut.
a. Pra‐perencanaan
Pra‐perencanaan dalam audit investigatif meliputi proses pengidentifikasian

masalah dalam kegiatan yang memerlukan audit investigatif, penyusunan hipotesis
awal atas masalah yang diidentifikasi, dan pengolahan hipotesis, hingga
ditetapkannya simpulan berupa layak atau tidaknya dilakukan suatu audit
investigatif terhadap masalah tersebut.
b. Perencanaan
Penyusunan rencana penugasan audit meliputi kegiatan penetapan sasaran dan

ruang lingkup audit investigatif serta melakukan alokasi sumber daya dalam rangka
melaksanakan penugasan tersebut.
c. Pengumpulan dan Evaluasi Bukti
Pelaksanaan pengumpulan dan evaluasi bukti harus difokuskan pada upaya

pengujian hipotesis untuk mengungkapkan: fakta‐fakta dan proses kejadian (modus
operandi), sebab dan dampak penyimpangan, serta pihak‐pihak yang diduga
terlibat/bertanggung jawab atas kerugian keuangan negara/daerah.
d. Pelaporan
Proses dokumentasi atas hasil pelaksanaan audit investigatif merupakan tahap yang
sama pentingnya dengan tahapan lain dalam audit investigatif atas suatu kasus.

Biasanya bentuk dokumentasi tersebut berupa laporan tertulis. Laporan tertulis
merupakan suatu bukti bahwa audit investigasi telah dilaksanakan sesuai dengan
prosedur yang berlaku.
Auditor harus mempertimbangkan bahwa laporan hasil audit investigasi akan dibaca
oleh banyak pihak termasuk pihak‐pihak mempunyai kepentingan yang
bertentangan dengan auditor. Dengan demikian, dalam menyusun laporannya
auditor harus mampu bertahan dengan apa yang sudah ditulisnya. Untuk itu, ia
harus dapat meyakinkan bahwa laporan telah dibuat sesuai dengan prosedur dan
telah menjawab pertanyaan klasik yaitu: siapa, apa, mengapa, dimana, bilamana,
dan bagaimana.
3. Reviu Laporan Keuangan
Reviu atas laporan keuangan pemerintah diatur dengan Peraturan Menteri Keuangan
Nomor 41/PMK.09/2010 tentang Standar Reviu atas Laporan Keuangan Kementerian
Negara/Lembaga dan Peraturan Menteri Dalam Negeri Nomor 4 Tahun 2008 tentang
Pedoman Pelaksanaan Reviu atas Laporan Keuangan Pemerintah Daerah.
Reviu atas laporan keuangan adalah proses penelaahan atas penyelenggaraan akuntansi
dan penyajian laporan keuangan kementerian/lembaga/pemerindah daerah (K/L/D) yang
dilakukan oleh aparat pengawasan intern pemerintah (APIP) yang kompeten untuk
memberikan keyakinan terbatas bahwa akuntansi telah diselenggarakan berdasarkan
sistem akuntansi dan telah disajikan sesuai dengan standar akuntansi pemerintah.
Laporan keuangan pemerintah dimaksud terdiri atas:
a. laporan realisasi anggaran;
b. neraca;
c. laporan arus kas; dan
d. catatan atas laporan keuangan.
Tahapan reviu laporan keuangan adalah sebagai berikut.
a. Perencanaan, kegiatan yang dilakukan dalam tahap ini berupa penentuan objek,
proses dan akun yang akan direviu serta pemilihan langkah‐langkah reviu.

b. Pelaksanaan, kegiatan yang dilakukan dalam tahap ini penelaahan atas
penyelenggaraan akuntansi dan laporan keuangan K/L pada unit reviu penyusunan
KKR.
c. Pelaporan berupa penyusunan:
1) catatan hasil reviu;
2) ikhtisar hasil reviu; dan
3) laporan hasil reviu.
d. Pendampingan selama pemeriksaan BPK. Yang dapat dilakukan oleh APIP dalam
tahap ini adalah:
1) menjelaskan kepada BPK mengenai hasil reviu atas laporan keuangan K/L agar
dapat digunakan oleh BPK;
2) mendukung kelancaran pelaksanaan pemeriksaan BPK;
3) mengantisipasi permasalahan/kendala yang dihadapi oleh unit akuntansi pada

saat pelaksanaan pemeriksaan oleh BPK;
4) membantu penyamaan persepsi unit akuntansi terhadap temuan hasil

pemeriksaan BPK;
5) mendampingi unit akuntansi dalam pertemuan akhir dengan BPK untuk

membahas hasil pemeriksaan; dan
6) Mendorong unit akuntansi untuk segera memperbaiki laporan keuangan

berdasarkan hasil pemeriksaan BPK.
A. PENETAPAN TUJUAN DAN LINGKUP PENUGASAN
Langkah pertama dalam memulai suatu penugasan adalah menentukan tujuan (apa yang akan
dicapai) dan lingkup penugasan (apa yang akan diuji). Pada bagian sebelumnya telah disebutkan
bahwa kegiatan assurance dapat berbentuk audit, reviu, evaluasi dan pemantauan. Pembagian
penugasan ini berdasarkan tujuan dan lingkup penugasan. Misalnya, jika sebuah penugasan
bertujuan untuk memberikan positive assurance (keyakinan memadai) maka jenis

penugasannya adalah ‘audit’. Keyakinan memadai yang diberikan membawa konsekuensi
bahwa penugasan akan menggunakan sumber daya lebih terkait banyaknya jumlah bukti yang
harus diuji. Audit dapat dikelompokkan lebih lanjut sesuai tujuannya, misalnya sebagai berikut.
1. Audit yang bertujuan untuk memberi opini atas laporan keuangan disebut Audit
Keuangan.
2. Audit yang bertujuan untuk menilai efektifitas dan efisiensi sebuah kegiatan/program
disebut Audit Kinerja.
3. Audit yang bertujuan untuk menilai ketaatan terhadap peraturan tertentu (compliance
audit) disebut Audit Kinerja.
4. Audit yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan yang
melawan hukum disebut Audit Investigasi (audit tujuan tertentu).
Dalam hal keterbatasan sumber daya atau cukup dengan jaminan terbatas, jenis penugasan
dapat disesuaikan. Penugasan dapat dilakukan dalam bentuk reviu, evaluasi atau pemantauan,
yang hanya memberikan negative assurance (keyakinan terbatas). Pemberian keyakinan
terbatas ini dapat dikelompokkan lagi berdasar tujuannya, misalnya sebagai berikut.
1. Penelaahan ulang bukti‐bukti suatu kegiatan yang bertujuan untuk memastikan bahwa
kegiatan telah dilaksanakan sesuai dengan ketentuan disebut Reviu.
2. Kegiatan yang bertujuan untuk menilai kemajuan suatu program/kegiatan dalam

mencapai tujuan yang telah ditetapkan disebut Pemantauan.
3. Rangkaian kegiatan yang bertujuan membandingkan hasil/prestasi suatu kegiatan dengan

standar, rencana, atau norma disebut Evaluasi.
Lingkup penugasan adalah batasan hal‐hal yang akan diuji. Batasan tersebut dapat berupa
proses tertentu, tingkatan tertentu, periode waktu dan/atau wilayah tertentu. Keputusan
menentukan lingkup penugasan memerlukan professional judgement dari pimpinan instansi
auditor internal. Penentuan lingkup penugasan yang jelas, membantu tim audit untuk lebih
fokus pada pengujian tertentu. Bagi pembaca laporan, pernyataan lingkup penugasan yang jelas
dapat mempermudah untuk memahami permasalahan dan simpulan yang disampaikan dalam
laporan.

Contoh kasus:
Pada tahun 2014, sebuah Satuan Kerja XYZ melaksanakan pengadaan 300 set komputer
dan 15.000 eksemplar buku untuk 150 sekolah yang tersebar di 15 kecamatan. Pengadaan
ini menggunakan dana APBN yang bersumber dari DIPA Satker XYZ. Auditor internal
ditugaskan untuk memastikan bahwa kegiatan pengadaan komputer tersebut telah sesuai
peraturan yang berlaku tentang pengadaan barang/jasa instansi pemerintah.
Atas penugasan tersebut auditor internal menetapkan tujuan dan lingkup sebagai berikut.
• Tujuan penugasan: memberi positive assurance bahwa pengadaan komputer
tersebut telah sesuai ketentuan yang berlaku.
• Lingkup penugasan: pengadaan komputer pada satker XYZ pada tahun 2014.
• Nama penugasan: audit kinerja atas pengadaan komputer pada Satker XYZ tahun
2014.
B. PEMAHAMAN PROSES KERJA AUDITI
Dalam merencanakan penugasan, auditor internal harus memahami auditi (tujuan, proses dan
area yang menjadi lingkup penugasan). Kegagalan dalam memahami auditi dapat berakibat
pengujian yang tidak lengkap atau kesalahan pengalokasian sumber daya. Yang pertama harus
dipahami oleh auditor internal adalah tujuan organisasi. Tujuan organisasi dapat diartikan
sebagai sesuatu yang diupayakan untuk dicapai oleh organisasi. Informasi yang diuji pada
umumnya terkait pernyataan (assertion) auditi sejauh mana tujuan organisasi telah tercapai dan
proses yang dilakukan manajemen dalam mencapainya.
Auditor internal dapat menggunakan berbagai sumber untuk memahami auditi. Salah satunya
dengan memanfaatkan data yang telah tersedia, misalnya data‐data sebagai berikut.
1. Renstra
2. Kebijakan
3. Prosedur Baku
4. Uraian tugas masing‐masing pegawai yang terlibat
5. Process Map/Flow Chart keseluruhan proses
6. Dokumentasi lain misalnya laporan efektifitas internal control

Atas data‐data tersebut dapat dilakukan prosedur analitis lebih lanjut dengan langkah sebagai
berikut.
1. Membandingkan data tahun ini dengan data tahun sebelumnya.
2. Analisis rasio misalnya tingkat penyerapan anggaran (realisasi/anggaran).
3. Mengukur tingkat kemandirian keuangan pemerintah daerah (PAD/total pendapatan).
4. Mengukur tingkat capaian kinerja, baik kinerja keuangan maupun kinerja non keuangan.
Perkembangan teknologi dalam pengelolaan keuangan pemerintah dan kegiatan lainnya dapat
dimanfaatkan oleh auditor untuk mempermudah pelaksanaan tugas. Misalnya dengan
memanfaatkan sistem informasi yang ada, auditor internal dapat dengan mudah memperoleh
informasi sebagai berikut.
1. Jumlah atau persentase pembayaran yang dilakukan setelah tanggal jatuh tempo.
2. Pengelompokkan data berdasar jumlah pembayaran atau penerima pembayaran.
3. Pembayaran dengan jumlah yang sama terhadap rekanan yang sama.
Contoh kasus:
Melanjutkan kasus Satker XYZ tersebut di atas, dilakukan pemahaman tujuan dan proses
pengadaan komputer. Yang pertama harus dilakukan oleh auditor adalah memahami
‘tujuan auditi’. Tujuan auditi secara umum terlukis dalam dokumen Rencana Strategis
(Renstra). Dari tujuan tingkat organisasi, manajemen menjabarkan dalam tujuan kegiatan.
Informasi tujuan kegiatan dapat di peroleh dari dokumen Daftar Isian Pelaksanaan
Anggaran (DIPA) untuk APBN, dan Dokumen Pelaksanaan Anggaran (DPA‐SKPD). Gambar
berikut adalah petikan DIPA lampiran 1.a tentang Jabaran Anggaran, terdapat informasi
mengenai indikator kinerja output dan outcome tingkat program dan kegiatan.

Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran
Tujuan Satker XYZ yang tertuang dalam Renstra adalah “Mewujudkan perluasan dan
pemerataan kesempatan memperoleh pendidikan yang bermutu di Kota XYZ”. Tujuan
tingkat organisasi ini di jabarkan lebih lanjut dalam indikator kegiatan pengadaan
komputer, yaitu “Tersedianya komputer di sekolah sebagai sarana peningkatan
kemampuan siswa dalam bidang teknologi informasi”.
Prosedur pelaksanaan kegiatan (Standard Operating Procedure – SOP) dapat diperoleh

dari Satker XYZ. Sebagai auditor internal sudah selayaknya memiliki akses untuk
memperoleh dokumen tersebut. Dalam contoh kasus Pengadaan Barang dan Jasa (PBJ) ini,
prosedur pengadaan sudah ditetapkan dalam Peraturan Presiden Republik Indonesia
Nomor 54 Tahun 2010 dan perubahannya tentang Pengadaan Barang/Jasa Pemerintah.
Dalam tahap pemahaman auditi ini, auditor internal berusaha mengumpulkan berbagai
informasi terkait kegiatan yang dilakukan Satker XYZ. Misalnya: spesifikasi komputer,
pengadaan tahun sebelumnya, pengadaan sejenis yang dilakukan oleh satker lain dan
informasi lain yang relevan. Proses PBJ yang sudah dilaksanakan dengan metode e‐
procurement, melalui LPSE (lembaga pengadaan secara elektronik), memberi auditor
internal banyak keuntungan. Auditor dapat memperoleh berbagai informasi terkait proses
PBJ, misalnya:

1. harga perkiraan sendiri (HPS);
2. dokumen pengadaan (spesifikasi dan syarat‐syarat lain);
3. peserta yang mendaftar dan peserta yang melakukan penawaran;
4. tanya jawab yang terjadi dalam proses pemberian penjelasan;
5. hasil evaluasi kualifikasi, teknis, dan harga; dan
6. pemenang lelang.
Pemanfaatan teknologi informasi dalam kegiatan manajemen sangat membantu auditor

internal. Dalam contoh audit PBJ ini, auditor memperoleh banyak informasi penting
dengan mudah. Demikian pula penggunaan sistem informasi lainnya seperti SIMDA, SAK,
SIMAK BMN, dan sistem informasi lainnya dapat memberi informasi penting dengan cara
mudah.
C. IDENTIFIKASI DAN PENILAIAN RISIKO
Dalam bagian sebelumnya telah dijelaskan konsep risk maturity. Auditor internal idealnya telah
melakukan pengujian dan memiliki informasi risk maturity level setiap organisasi/satuan kerja
yang menjadi lingkup pengawasannya. Informasi ini sangat bermanfaat dalam penugasan tahap
ini (identifikasi dan penilaian risiko).
Pada kondisi risk managed dan risk enabled, auditor internal mendapat informasi risiko yang
dihadapi organisasi dari daftar risiko kunci hasil proses manajemen risiko organisasi. Pada
kondisi risk defined auditor cukup dengan melakukan verifikasi apakah proses manajemen risiko
sudah berjalan dengan efektif. Bila proses manajemen risiko sudah berjalan dengan baik,
auditor internal dapat menggunakan daftar risiko organisasi. Namun, bila ternyata kematangan
manajemen risiko organisasi masih pada tingkat risk naïve dan aware, auditor perlu
menjalankan peran konsultatifnya.
Dalam kondisi organisasi berada pada level risk aware dan risk naïve, maka auditor bertindak
sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi organisasi.
Sekali lagi, auditor harus melibatkan manajemen dalam proses identifikasi dan penilaian risiko
ini. Hal ini dilakukan untuk menghindari kesalahpahaman pihak manajemen yang menganggap
bahwa auditor internal yang bertanggung jawab terhadap pengelolaan (manajemen) risiko
organisasi.

Identifikasi Risiko
Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana
sesuatu risiko dapat terjadi, sebelum risiko timbul dan berdampak negatif terhadap pencapaian
tujuan. Hasil identifikasi risiko adalah suatu daftar risiko‐risiko yang berpotensi mengancam
pencapaian tiap tujuan organisasi.
Dalam rangka menjamin perolehan identifikasi risiko yang akurat, penilaian risiko harus
menggunakan metodologi yang tepat dan melibatkan para pemilik risiko yang terkait dengan
kegiatan yang dinilai risikonya. Metodologi yang tepat akan mengarahkan ketepatan proses
penilaian, sedang keterlibatan para pemilik risiko penting karena mereka yang mengerti
kegiatan dan menjadi pihak yang terkena dampak atas kegagalan pencapaian tujuan.
Identifikasi dilakukan melalui wawancara dengan para pihak yang terkait dengan kegiatan yang
dinilai risikonya, evaluasi dokumen, pengamatan dan pendekatan lainnya untuk menggali risiko
yang ada. Finalisasi hasil identifikasi dilakukan melalui proses rapat internal (Focus Group
Discussion‐FGD) untuk mengkonfirmasi ulang risiko yang telah teridentifikasi dan untuk
meminta masukan atas risiko‐risiko baru yang sebelumnya belum teridentifikasi.
COSO ‐ Enterprise Risk Management (2004) menyebutkan bahwa sumber risiko dapat
dikelompokkan menjadi dua faktor, yaitu faktor internal dan faktor eksternal. Yang termasuk
dalam faktor eksternal antara lain perubahan ekonomi, bencana alam, peristiwa politik,
perubahan sosial dan perkembangan teknologi. Sedangkan yang termasuk dalam faktor internal
antara lain infrastruktur organisasi, personil, proses bisnis dan kondisi teknologi organisasi.
Output identifikasi risiko adalah daftar risiko yang sekurang‐kurangnya memuat informasi
tentang tujuan terkait risiko, pernyataan risiko pemilik risiko, sumber risiko dan pengendalian
yang ada. Hasil identifikasi risiko dapat dituangkan dalam format berikut.
Sumber Risiko
Pemilik Pengendalian yang
No Tujuan Pernyataan Risiko Uncotrollable
Risiko Sumber Uraian Ada
/Controllable (U/C)
Tabel 3.2 Format Hasil Identifikasi Risiko

Contoh kasus:
Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil identifikasi risiko. Dalam praktik
jumlah risiko dapat berjumlah cukup banyak, dalam contoh ini hanya ditampilkan beberapa
risiko. Hasil identifikasi risiko adalah sebagai berikut.
PERNYATAAN PEMILIK SUMBER RISIKO PENGENDALIAN YANG

N0 TUJUAN
RISIKO RISIKO SUMBER U/C URAIAN ADA
1 Tersedianya Spesifikasi teknis PA/KPA, Internal C Kelalaian PPK • PPK membuat

komputer sebagai tidak sesuai PPK, External dalam spesifikasi teknis
sarana kebutuhan. PPHP membuat • Spesifikasi teknis
peningkatan spesifikasi, menjadi bagian
kemampuan kelalalian dokumen pengadaan
teknologi PPHP dalam
informasi menerima • Spesifikasi teknis dimuat
barang. dalam kontrak
• PPHP menerima barang
dibandingkan dengan
kontrak
Jumlah komputer PA/KPA, Internal C kelalalian • Jumlah barang diatur
diterima tidak PPK, External PPHP dalam dalam dokumen
sesuai kebutuhan PPHP menerima pengadaan
barang. • Jumlah barang dimuat
dalam kontrak
• PPHP menerima barang
dibandingkan dengan
kontrak
Penyedia barang PA/KPA, Internal C kelalaian ULP • Kualifikasi penyedia
tidak sanggup PPK, External dalam diatur dalam dokumen
melaksanakan ULP melakukan lelang
pengadaan kualifikasi • ULP melakukan
calon penyedia evaluasi kualifikasi calon
penyedia barang
PA = Pengguna Anggaran
KPA = Kuasa PA
PPK = Pejabat Pembuat Komitmen
PPHP = Panitia Penerima Hasil Pekerjaan
ULP = Unit Layanan Pengadaan
U/C = Uncontrolabe/controllable
Contoh lain identifikasi risiko untuk kegiatan pelayanan, misalnya pelayanan penerbitan
sertifikat tanah di kantor Badan Pertanahan Nasional (BPN) adalah sebagai berikut.
• Standar pelayanan minimal tidak dipahami para pegawai.
• Pemungutan biaya layanan melebihi ketentuan (pungli) yang dilakukan oleh staf BPN.

• Pemohon sertifikat menggunakan jasa calo.
• Pelayanan dilakukan staf BPN tidak sesuai prosedur.
Penilaian Risiko
Penilaian risiko pada dasarnya merupakan penentuan tingkat kemungkinan terjadinya risiko
serta pengaruh/akibat yang harus ditanggung oleh entitas/organisasi. Terdapat dua unsur yang
menjadi dasar untuk melakukan penaksiran risiko yaitu:
1. dampak risiko (consequences atau impact) adalah besarnya efek bila risiko terjadi; dan
2. kemungkinan terjadinya suatu risiko (likelihood atau probability) adalah tingkat

kemungkinan risiko akan terjadi.
Pengukuran yang dapat diberikan kepada dua unsur tersebut bisa dilakukan secara kuantitatif
atau kualitatif. Metode pengukuran secara kualitatif dilaksanakan dengan menetapkan skala
penilaian. Misalnya, dampak diukur dengan skala kualitatif sebagai berikut. Sangat Besar (5),
Besar (4), Menengah (3), Kecil (2) dan Sangat Kecil (1).
Sedangkan probailitas diukur dengan skala: (5) hampir pasti, (4) cenderung terjadi, (3) mungkin
terjadi, (2) kadang‐kadang terjadi dan (1) sangat jarang terjadi.
Metode kuantitatif menggunakan angka/nilai numerik untuk menyatakan besarnya probabilitas

dan dampak. Nilai yang digunakan dari berbagai sumber, salah satunya adalah dari data historis
selama beberapa tahun. Metode campuran menggunakan gabungan metode kuantitatif dan
metode kualitatif. Masing‐masing metode ini memiliki kelebihan dan kekurangan, namun jika
dilakukan dengan cara benar, ketiga metode ini akan menghasilkan peringkat risiko yang relatif
sama. Yang diperlukan di sini bukan akurasi atau ketepatan nilainya tetapi hanya untuk
memperkirakan peringkat risiko, mana risiko yang melebihi batas toleransi dan seberapa besar
pengaruh pengendalian yang ada terhadap tingkat risiko.
Dalam melakukan penaksiran risiko, idealnya dipahami pengertian mengenai risiko yang ada
sebelum dan sesudah dilakukannya penanganan risiko, yaitu:
• inherent risk (risiko melekat atau absolut), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko pada saat manajemen
belum melakukan suatu tindakan terhadap pengendalian intern; dan

• residual risk (risiko bersih atau terkendali), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko setelah pengendalian
intern diberlakukan.
Dalam praktik, hal yang paling mudah dikerjakan adalah mengukur inherent risk pada suatu
kegiatan yang baru diimplementasikan, karena sangat besar kemungkinan belum ada
pengendalian intern yang ditetapkan. Sedangkan untuk kegiatan yang bersifat rutin pada
umumnya inherent risk akan lebih sulit untuk diukur, karenanya auditor akan menilai residual
risk‐nya.
Jika probabilitas risiko inheren tinggi, maka pengendalian yang bersifat preventive harus
diterapkan. Jika dampak terjadinya risiko inheren besar, maka pengendalian mitigative yang
diterapkan.
Gambar 3.2 Pengendalian Mitigative dan Preventive
INHERENT RISK RESIDUAL RISK

PEMILIK RISK RISK
No TUJUAN RISIKO Risk PENGENDALIAN Risk
RISIKO DAMPAK PROB DAMPAK PROB RESPONSE APPETITE
Level Level
Tabel 3.3 Format Hasil Penilaian Risiko

Keterangan :
• Tujuan adalah sesuatu yang ingin dicapai oleh organisasi/manajemen. Tujuan dapat
dikelompokkan kedalam kategori: strategis (memberi nilai tambah bagi stakeholders),
operasional (terkait kinerja, efektifitas dan efisiensi organisasi), pelaporan (kehandalan
laporan laporan internal/eksternal dan keuangan/non keuangan) dan ketaatan (terhadap
peraturan dan hukum).
• Risiko adalah kemungkinan terjadinya sebuah kejadian yang mengancam pencapaian

tujaun organisasi
• Pemilik risiko adalah manajemen/pejabat yang bertanggung jawab untuk menangani risiko
pada unit kerja yang menjadi tanggungjwabnya.
• Inherent risk (risiko bawaan) adalah risiko yang murni ada tanpa memperhitungkan
pengendalian yang sudah ada (eksis), atau risiko yang diukur sebelum memperhitungkan
kondisi pengendaliannya.
• Residual risk (risiko sisa) adalah sisa dari risiko bawaan setelah diterapkannya sebuah
pengendalian.
• Risk response (respon risiko) adalah tindakan atau serangkaian tindakan manajemen yang
bertujuan untuk menangani risiko. Respon risiko dapat dikelompokkan dalam empat
kelompok, yaitu: avoidace (menolak risiko), reduction/mitigate (menerapkan
pengendalian), sharing (membagi risiko) and accept (menerima risiko cukup dilakukan
monitor).
• Risk appetite (selera risiko) adalah sejumlah (sekumpulan) risiko dalam entitas yang akan
diterima dalam rangka pencapaian tujuan organisasi.
• Dampak risiko adalah pengaruh atau akibat yang ditimbulkan seandainya risiko terjadi.
• Probabilitas adalah tingkat atau kemungkinan terjadinya risiko.
Untuk mempermudah penyampaian informasi, hasil penilaian risiko dituangkan dalam peta
risiko. Masing‐masing risiko akan ditempatkan di posisi sesuai probabilitas dan dampaknya.
Contoh peta risiko adalah sebagai berikut.

5
Probabilit
3
1 2 3 4 5
Dampak
Gambar 3.3 Peta Risiko
Contoh kasus:
Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil penilaian risiko. Dalam praktik
jumlah risiko dan pengendaliannya dapat berjumlah cukup banyak, dalam contoh ini hanya
ditampilkan satu buah risiko. Hasil penilaian risiko adalah sebagai berikut.
PEMILIK INHERENT RISK RESIDUAL RISK RISK RISK

NO TUJUAN RISIKO PENGENDALIAN
RISIKO DAMPAK PROB DAMPAK PROB RESPONSE APPETITE
1 Tersedianya Spesifikasi PA/KPA, 5 3 • PPK 3 1 Menurunka 4

komputer teknis tidak PPK, membuat n level
sebagai sesuai PPHP spesifikasi risiko
sarana kebutuhan. teknis
peningkatan • Spesifikasi
kemampuan teknis
teknologi menjadi
informasi bagian
dokumen
pengadaan
• Spesifikasi
teknis dimuat
dalam
kontrak
• PPHP
menerima
barang
dibandingkan
dengan
kontrak

Bila digambarkan dalam peta risiko, inheren risk dan residual risk risiko “Spesifikasi teknis tidak
sesuai kebutuhan” dapat digambarkan sebagai berikut.
4
Probabilit
3
IR
1
RR
1 2 3 4 5
Dampak
IR = Inherent Risk
RR=Residual Risk
D. IDENTIFIKASI PENGENDALIAN KUNCI
Pada tahap ini, tugas auditor internal adalah mengidentifikasi pengendalian yang paling
berperan untuk menekan risiko sampai di level yang dapat diterima. Dalam praktik, banyak
pengendalian yang diterapkan dalam suatu proses. Semua pengendalian ini memiliki peran
untuk menekan risiko, namun hanya beberapa yang benar‐benar berpengaruh. Pengendalian
yang benar‐benar berpengaruh ini selanjutnya disebut pengendalian kunci.
Untuk menentukan pengendalian kunci, perlu dipahami berbagai aktivitas pengendalian sebagai
berikut.
1. Persetujuan (approving) dari pihak yang memiliki kewenangan. Misalnya persetujuan

untuk membayar sejumlah uang oleh Pengguna Anggaran (PA) atau Kuasa Pengguna
Anggaran (KPA).

2. Perhitungan atau perhitungan ulang angka yang didapat dari proses sebelumnya. Misalnya
sebelum melakukan pembayaran, kasir wajib menghitung ulang jumlah tagihan yang harus
dibayar.
3. Dokumentasi berupa penyimpanan bukti/sumber informasi terkait keputusan yang

diambil.
4. Pengujian kelengkapan dokumen/bukti yang mendukung suatu kejadian. Misalnya

menguji Berita Acara Serah Terima (BAST) untuk memastikan barang telah diterima sesuai
dengan spesifikasi yang ditentukan sebelum dilakukan pembayaran.
5. Pencocokan dan pembandingan dua dokumen untuk diproses selanjutnya. Misalnya

dicocokkan antara jumlah pembayaran dengan nilai kontrak dan BAST.
6. Monitoring adalah penilaian kemajuan suatu anggaran/program/kegiatan dalam

mencapai target yang telah ditetapkan. Misalnya monitoring serapan anggaran apakah
sesuai yang diharapkan dan tidak melebihi pagu.
7. Pembatasan kegiatan yang hanya dapat dilakukan oleh seseorang yang berwenang.
Misalnya penandatangan kontrak atau perikatan hanya dapat dilakukan oleh Pejabat
Pembuat Komitmen (PPK).
8. Pemisahan kewenangan antar pihak yang terlibat dalam suatu kegiatan agar timbul
mekanisme check and recheck. Misalnya pemisahan pihak yang menyetujui pembayaran,
mencatat pembayaran, dan melakukan pembayaran.
9. Supervisi atau pengarahan dan pengawasan dari atasan untuk menghindari terjadinya hal‐
hal yang tidak diharapkan.
Menurut COSO Internal Control — Integrated Framework Guidance on Monitoring,

pengendalian kunci (key controls) memiliki salah satu atau kedua karakteristik berikut.
1. Kegagalan pengendalian kunci dapat berdampak material terhadap pencapaian tujuan

organisasi karena tidak dapat segera dideteksi oleh pengendalian lain.
2. Berfungsinya pengendalian kunci dapat mencegah kegagalan pengendalian lain sebelum

berdampak material.

Contoh kasus:
Melanjutkan kasus Satker XYZ, risiko “Spesifikasi teknis tidak sesuai kebutuhan” ditangani
dengan beberapa pengendalian sebagai berikut.
1. Dalam tahap perencanaan, PA/KPA menyusun Rencana Umum Pengadaan (RUP).
2. Dalam tahap persiapan pemilihan, PPK menyusun HPS dan spesifikasi teknis yang disusun
dengan memperhatikan RUP dan anggaran. ;
3. ULP menyusun Dokumen Pengadaan dan memasukkan klausul spesifikasi teknis
kedalamnya.
4. ULP melakukan evaluasi teknis dokumen penawaran dan diuji kesesuaiannya dengan
Spesifikasi Teknis. ;
5. Penawaran yang tidak sesuai dengan spesifikasi teknis dinyatakan gugur dan tidak
dilakukan evaluasi tahap selanjutnya.
6. ULP menyusun draft kontrak dengan memasukkan spesifikasi teknis dalam kontrak.
7. PPK menyusun kontrak final dan menguji apakah spesifikasi teknis dalam kontrak sesuai
dengan spesifikasi yang telah ditetapkan sebelumnya.
8. Penyedia barang menyelesaikan dan menyerahkan barang. PPHP menerima dan menguji
barang yang diterima dibandingkan dengan kontrak. ;
Pengendalian ini bersumber dari Peraturan Presiden Nomor 70 Tahun 2012 tentang Pengadaan
Barang dan Jasa. Peraturan ini memuat langkah‐langkah yang harus dilakukan oleh instansi
pemerintah dalam setiap pengadaan. Dalam konteks kegiatan lain, informasi pengendalian yang
diterapkan organisasi dapat diperoleh dari peraturan organisasi terkait, pedoman dan SOP.
Dari sekian banyak pengendalian tersebut diatas semuanya berpengaruh dalam menangani
risiko. Namun yang perlu diidentifikasi dalam tahap ini adalah pengendalian yang benar‐benar
berpengaruh (key control/pengendalian kunci). Penentuan pengendalian kunci ini penting bagi
auditor untuk dapat lebih fokus dalam melaksanakan penugasan.
Dari contoh delapan pengendalian di atas, diasumsikan yang menjadi pengendalian kunci
(dengan tanda “;”) adalah pengendalian nomor 2, 4 dan 5. Pengendalian ini merupakan
pengendalian terpenting dalam menangani risiko “Spesifikasi teknis tidak sesuai kebutuhan”.
Penetapan pengendalian kunci ini dengan pertimbangan bahwa:
1. Kegagalan pengendalian ini tidak dapat segera dideteksi oleh pengendalian lain.
2. Berfungsinya pengendalian kunci dapat mencegah kegagalan pengendalian lain.

E. EVALUASI PENGENDALIAN
Internal auditor harus memastikan bahwa pengendalian kunci telah didesain dengan baik untuk
menekan risiko di level yang dapat diterima. Yang perlu diperhatikan bahwa hubungan antara
risiko dan pengendalian bukan hubungan ‘one‐to‐one’. Bisa jadi, satu pengendalian dapat
menangani beberapa risiko atau satu risiko perlu ditangani dengan beberapa pengendalian
sekaligus.
Pada tahap ini, auditor internal harus memahami hal‐hal sebagai berikut.
1. Tingkatan risiko yang dapat diterima manajemen (acceptable level) sesuai tingkatan selera
risiko manajemen (risk appetite).
2. Apakah risiko ditangani oleh satu (individually) atau beberapa (collectively) pengendalian
kunci .
3. Apakah ada pengendalian tambahan (compensating control) dari proses lain yang turut
menekan risiko ke level yang dapat diterima.
4. Apakah desain pengendalian kunci, jika berjalan efektif, dapat menekan risiko ke level
yang dapat diterima.
Contoh kasus:
dengan tiga pengendalian kunci berikut.
1. Dalam tahap persiapan pemilihan, PPK menyusun HPS dan spesifikasi teknis yang disusun
dengan memperhatikan RUP dan anggaran. ;
2. ULP melakukan evaluasi teknis dokumen penawaran dan diuji kesesuaiannya dengan
spesifikasi teknis. ;
3. Penyedia barang menyelesaikan dan menyerahkan barang. PPHP menerima dan menguji
barang yang diterima dibandingkan dengan kontrak. ;
Dari hasil evaluasi ketiga pengendalian kunci ini, disimpulkan bahwa timbulnya risiko dapat
dicegah bila ketiga pengendalian ini (collectively) berfungsi dengan baik.

F. PENYUSUNAN RENCANA PENGUJIAN
Internal auditor harus mendisain tehnik memperoleh bukti‐bukti untuk mencapai tujuan audit.
Rencana pengujian termasuk sifat pengujian, waktu dan prosedur yang diperlukan dalam
mendapatkan bukti. Bukti dapat dibedakan dalam beberapa jenis atau golongan sebagai
berikut.
1. Bukti pengujian fisik
Bukti pengujian fisik dilakukan untuk meyakinkan mengenai keberadaan (kuantitatif) dan
mutu (kualitatif) dari aktiva berwujud. Bukti ini juga untuk meyakinkan kebenaran atau
kesesuaian suatu proses dengan prosedur bakunya. Bukti pengujian fisik diperoleh melalui
pengamatan langsung dengan mata kepala auditor sendiri. Hasil pengamatan fisik oleh
auditor tersebut dikukuhkan ke dalam suatu media pengganti fisik yaitu berita acara
pemeriksaan fisik, hasil inspeksi lapangan, foto, surat pernyataan, denah lokasi atau peta
lokasi dan lain‐ lain.
Contoh : Berita Acara Pemeriksaan Fisik
2. Bukti dokumen
Bukti audit yang paling banyak ditemui oleh auditor adalah bukti dokumen. Bukti
dokumen pada umumnya terbuat dari kertas yang mengandung informasi. Dalam menilai
atau mengevaluasi bukti dokumen, auditor sebaiknya memperhatikan pengendalian
intern sumber dokumen tersebut dan terpenuhinya persyaratan yuridis. Kelemahan
sistem pengendalian manajemen memungkinkan dokumen mengandung kesalahan,
bahkan dokumen palsu yang dibuat oleh karyawan yang tidak jujur.
Contoh: Kuitansi, Surat Perintah Membayar (SPM), Buku Kas Umum
3. Bukti analisis
Bukti analisis adalah bukti audit yang diperoleh auditor dengan melakukan analisis atau
mengolah lebih lanjut data‐data auditi dan data lain yang berkaitan dengan auditi. Bukti
analisis hanya memberikan petunjuk mengenai kecenderungan suatu kejadian, sehingga
untuk membuktikan terjadi atau tidaknya harus didalami dengan perolehan jenis bukti
yang lain.

Contoh: Analisis tren jumlah pelayanan dari tahun ke tahun, Analisis perbandingan
waktu pelayanan dengan pelayanan serupa di provinsi/kabupaten/kota lain.
4. Bukti keterangan
Bukti keterangan adalah bukti yang diperoleh auditor dari pihak lain (baik dari pihak auditi
maupun pihak ketiga) berdasarkan pertanyaan atau informasi tertentu yang diminta oleh
auditor. Yang termasuk bukti keterangan adalah bukti kesaksian (didapat dari pihak lain
karena diminta oleh auditor), bukti lisan (yang dituangkan dalam kertas kerja dengan
seksama) dan bukti ahli (adalah bukti yang didapat dari tenaga ahli yang kompeten dalam
bidangnya).
Contoh : Berita Acara Permintaan Keterangan (BAPK), Berita Acara Hasil Konfirmasi
Prosedur audit adalah urutan langkah yang ditempuh oleh auditor dalam rangka memperoleh
bukti dengan menggunakan berbagai ‘teknik audit’, teknik‐teknik audit yang umum digunakan
adalah:
1. Analisis
Analisis adalah memecah/mengurai data/informasi ke dalam unsur‐unsur yang lebih kecil

atau bagian‐bagian sehingga dapat diketahui pola hubungan antar unsur atau unsur
penting yang tersembunyi.
Contoh : Mengurai nilai kontrak kedalam unsur‐unsur yang lebih kecil.
2. Observasi/pengamatan
Observasi/pengamatan adalah peninjauan dan pengamatan atas suatu objek secara hati‐
hati, ilmiah dan kontinu selama kurun waktu tertentu untuk membuktikan suatu keadaan
atau masalah. Teknik ini sering dilakukan dari jarak jauh dan tanpa disadari oleh pihak
yang diamati.
Contoh: Pengamatan kegiatan pelayanan Kartu Tanda Penduduk (KTP) dan Kartu
Keluarga (KK)
3. Permintaan informasi
Permintaan informasi (inquiry) dapat dilakukan untuk menggali informasi dari berbagai
pihak yang berkompeten. Pihak yang kompeten bisa berarti pegawai, pejabat, spesialis

atau profesional suatu bidang ilmu. Teknik ini dapat dilakukan dengan mengajukannya
secara tertulis maupun secara lisan.
Contoh: Permintaan informasi tentang pengamanan sistem informasi kepada

programmer.
4. Evaluasi
Evaluasi adalah cara untuk memperoleh suatu simpulan atau pandangan/penilaian dengan
mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi
yang telah diperoleh. Evaluasi dapat dilaksanakan dengan walkthrough test, dengan
mengikuti proses suatu transaksi hingga akhir prosesnya, untuk mengetahui sesuai atau
tidaknya dengan sistem dan prosedur yang ditentukan.
Contoh: Evaluasi tugas Unit Layanan Pengadaan (ULP) dalam menentukan pemenang.
5. Investigasi
Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan
melalui penjabaran, penguraian, atau penelitian secara mendalam. Investigasi merupakan
suatu proses pendalaman dari verifikasi setelah adanya indikasi.
Contoh : Investigasi dugaan pungutan liar pada kantor pelayanan
6. Verifikasi
Verifikasi adalah pengujian secara rinci dan teliti tentang kebenaran, ketelitian
perhitungan, kesahihan, pembukuan, pemilikan dan eksistensi suatu dokumen.
Contoh : Verifikasi Surat Pemberitahuan Pajak Tahunan (SPT)
7. Cek
Cek adalah menguji kebenaran atau keberadaan sesuatu, dengan teliti.
Contoh : Menguji kebenaran sebuah bukti.
8. Uji/test
Uji atau test adalah penelitian secara mendalam terhadap hal‐hal yang esensial atau
penting.
Contoh : Menguji nilai HPS yang disusun oleh PPK

9. Footing
Footing adalah menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah
(vertikal). Footing dilakukan terhadap data yang disediakan oleh auditi. Tujuan teknik
audit footing adalah untuk menentukan apakah data atau laporan yang disediakan auditi
dapat diyakini ketepatan perhitungannya.
Contoh :
No Lokasi Pondasi Pasangan Batu Atap Pengecatan Jumlah
footing
1 Lokasi A 10.000.000 30.000.000 15.000.000 5.000.000 60.000.000
2 Lokasi B 12.500.000 37.500.000 18.750.000 6.250.000 75.000.000
3 Lokasi C 15.625.000 46.875.000 23.437.500 7.812.500 93.750.000
4 Lokas i D 9.000.000 27.000.000 13.500.000 4.500.000 54.000.000
5 Lokasi E 14.062.500 42.187.500 21.093.750 7.031.250 84.375.000
6 Lokasi F 10.800.000 32.400.000 16.200.000 5.400.000 64.800.000
Total 71.987.500 215.962.500 107.981.250 35.993.750 431.925.000
10. Cross footing
Cross Footing adalah menguji kebenaran penjumlahan subtotal dan total dari kiri ke kanan
(horizontal). Sama halnya dengan teknik audit footing, cross footing dilakukan terhadap
perhitungan yang dibuat oleh auditi.
Contoh :
No Lokasi Pondasi Pasangan Batu Atap Pengecatan Jumlah
1 Loka s i A 10.000.000 30.000.000 15.000.000 5.000.000 60.000.000

2 Loka s i B 12.500.000 37.500.000 18.750.000 6.250.000 75.000.000
3 Loka s i C 15.625.000 46.875.000 23.437.500 7.812.500 93.750.000
4 Loka s i D 9.000.000 27.000.000 13.500.000 4.500.000 54.000.000
5 Loka s i E 14.062.500 42.187.500 21.093.750 7.031.250 84.375.000
6 Loka s i F 10.800.000 32.400.000 16.200.000 5.400.000 64.800.000
Total 71.987.500 215.962.500 107.981.250 35.993.750 431.925.000
C r o crsosss ffooooting
gi n

11. Vouching
Vouching adalah menelusuri suatu informasi/data dalam suatu dokumen dari pencatatan
menuju kepada adanya bukti pendukung (voucher); atau menelusur mengikuti
ketentuan/prosedur yang berlaku dari hasil menuju awal kegiatan. Vouching hanya
mengecek adanya bukti (voucher) tetapi belum meneliti isinya (substantif).
Contoh :
12. Trasir
Trasir atau telusur adalah teknik audit dengan menelusuri suatu bukti transaksi/kejadian
(voucher) menuju ke penyajian/informasi dalam suatu dokumen. Teknik audit trasir
merupakan cara perolehan bukti dengan arah pengujian yang terbalik dari teknik audit
vouching.
Contoh :

13. Scanning
Scanning adalah penelaahan secara umum dan dilakukan dengan cepat tetapi teliti untuk
menemukan hal‐hal yang tidak lazim atas suatu informasi/data.
Contoh: Scanning bukti‐bukti perjalanan dinas yang belum ada stempel dan visum (tanda
tangan).
14. Rekonsiliasi
Rekonsiliasi adalah mencocokkan dua data yang terpisah, mengenai hal yang sama yang
dikerjakan oleh instansi/unit/bagian yang berbeda. Tujuan teknik audit rekonsiliasi adalah
untuk memperoleh jumlah yang seharusnya atau jumlah yang benar mengenai suatu hal
tertentu.
Contoh : rekonsiliasi saldo kas bendahara dengan saldo menurut rekening koran bank.
15. Konfirmasi
Konfirmasi adalah memperoleh bukti sebagai peyakin bagi auditor, dengan cara
mendapatkan/meminta informasi yang sah dari pihak yang relevan, umumnya pihak di
luar auditi. Konfirmasi dapat dilakukan dengan lisan yaitu dengan wawancara langsung
kepada pihak yang bersangkutan, atau dapat dilakukan secara tertulis dengan
mengirimkan surat konfirmasi. Pada konfirmasi tertulis, terdapat dua teknik konfirmasi,
yakni:
a. konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar
tersebut mengenai data yang diminta; dan
b. konfirmasi negatif yaitu konfirmasi yang meminta jawaban tertulis bila data yang
dikonfirmasikan berbeda/salah dan tidak perlu dijawab apabila data yang
dikonfirmasikan telah sama/benar dengan data yang bersangkutan.
16. Pembandingan
Pembandingan dilakukan antara data dari satu unit kerja dengan data dari unit kerja yang
lain atau pembandingan dengan periode sebelumnya, untuk kemudian ditarik
kesimpulannya.
Contoh: Membandingkan harga pengadaan komputer kantor.

17. Inventarisasi/opname
Inventarisasi atau opname adalah pemeriksaan fisik dengan menghitung fisik barang,
menilai kondisinya (rusak berat, rusak ringan, atau baik) dan membandingkannya dengan
saldo menurut buku (administrasi), kemudian mencari sebab‐sebab terjadinya perbedaan
apabila ada. Hasil opname biasanya dituangkan dalam suatu berita acara (BA).
Contoh: Inventarisasi Barang Milik Negara/Daerah.
18. Inspeksi
Inspeksi adalah meneliti secara langsung ke tempat kejadian, yang lazim pula disebut on
the spot inspection, yang dilakukan secara rinci dan teliti. Inspeksi sering dilakukan dengan
mendadak.
Contoh: Inspeksi lapangan pekerjaan pembesian dan pembetonan yang dilakukan

pemborong
Contoh kasus
dengan tiga pengendalian kunci berikut.
Pengendalian Kunci Prosedur Pengujian
• PPK menyusun spesifikasi teknis • Lakukan evaluasi apakah spesifikasi yang disusun
oleh PPK sesuai dengan yang dibutuhkan
• ULP melakukan evaluasi teknis • Lakukan wawancara dengan petugas ULP tentang
penawaran evaluasi teknis yang dilakukan ULP
• PPHP menerima dan menguji barang • Lakukan pengamatan fisik barang /komputer
yang diterima yang dibeli.
• Bandingkan antara spesifikasi barang yang
diterima dengan spesifikasi teknis dalam SPK
• Bandingkan antara barang yang diterima dengan
spesifikasi teknis
G. PENYUSUNAN PROGRAM KERJA
Program Kerja Audit (PKA) adalah rancangan prosedur dan teknik audit yang disusun secara
sistematis yang harus diikuti/dilaksanakan oleh auditor dalam kegiatan audit untuk mencapai
tujuan audit. Tiap instansi pengawasan dapat memiliki format PKA tersendiri, tetapi isi PKA
secara umum adalah sama, memuat informasi prosedur audit, dilaksanakan oleh, waktu yang

diperlukan, dan nomor Kertas Kerja Audit (KKA). PKA ini disusun melalui tahap matriks risiko dan
pengendalian (risk and control matrix), dengan format sebagai berikut.
Risiko Pengendalian Kunci Prosedur Pengujian

Risiko A • Pengendalian A • Prosedur A
• Pengendalian B • Prosedur B
• Pengendalian C • Prosedur C
Risiko B • Pengendalian D • Prosedur D
• Pengendalian E • Prosedur E
• Pengendalian F • Prosedur F
Risiko A • Pengendalian G • Prosedur G
• Pengendalian H • Prosedur H
• Pengendalian I • Prosedur I
Tabel 3.4 Format Tahap Matriks Risiko dan Pengendalian
Prosedur pengujian dari matriks tersebut diatas akan dituangkan dalam format PKA pada kolom
uraian (prosedur audit).
Konsep PKA disiapkan oleh ketua tim. Kemudian, pengendali teknis (PT) mereviu untuk
memberikan tambahan informasi dan arahan. Setelah itu, PKA direviu kembali oleh pengendali
mutu (PM) untuk disetujui. Setelah sebuah prosedur diselesaikan auditor menandai dalam PKA
bahwa pekerjaan telah dilaksanakan dan menuliskan nomor KKA. Supervisor (PT) dapat
melakukan reviu KKA dan memonitor program audit yang belum diselesaikan.

Inspektorat Jenderal Departemen Dalam No. KKA
Negeri
Jakarta
Nama Auditi :
Tahun/Masa Audit
:
PROGRAM KERJA AUDIT

Nomor
Dilaksanakan oleh Waktu yang diperlukan Catatan
KKA
No. Uraian
Rencana Realisasi Rencana Realisasi
A Pendahuluan
B Tujuan Audit
C Langkah-langkah kerja
1. ...............................................
2. ...............................................
3. ...............................................
dst.
(Kota, Tanggal)
Direview oleh
(Tanggal) Disusun oleh
Pengendali Teknis Ketua Tim
Nama Nama
Disetujui oleh
(Tanggal)
Pengendali Mutu
Nama
Tabel 3.5 Format Program Kerja Audit
Contoh kasus
Melanjutkan kasus Satker XYZ, format risk and control matrix untuk risiko “Spesifikasi teknis
tidak sesuai kebutuhan” adalah sebagai berikut.
Spesifikasi teknis • PPK menyusun spesifikasi • Lakukan evaluasi apakah spesifikasi yang
tidak sesuai teknis disusun oleh PPK sesuai dengan yang
kebutuhan dibutuhkan.
• ULP melakukan evaluasi • Lakukan wawancara dengan petugas ULP
teknis penawaran tentang evaluasi teknis yang dilakukan ULP

• PPHP menerima dan • Lakukan pengamatan fisik barang/
menguji barang yang komputer yang dibeli.
diterima • Bandingkan antara spesifikasi barang yang
diterima dengan spesifikasi teknis dalam
SPK
• Bandingkan antara barang yang diterima
dengan spesifikasi teknis
Format PKA kegiatan ini adalah sebagai berikut.

Inspektorat XYZ
Nama Auditi : Satker XYZ No PKA : P 001

Tahun : 2014
PROGRAM KERJA AUDIT
Dilaksanakan oleh Waktu diperlukan Nomor

No Uraian Catatan
Rencana Realisasi Rencana Realisasi KKA
A Pendahuluan Tujuan
B Audit Langkah‐langkah
C kerja
1 Lakukan evaluasi apakah spesifikasi KKA

yang disusun oleh PPK sesuai Budi 1 Jam
001
dengan yang dibutuhkan
2 Lakukan wawancara dengan petugas KKA
ULP tentang evaluasi teknis yang Budi 1 Jam
002
dilakukan ULP
KKA
3 Lakukan pengamatan fisik barang Budi 0,5 Jam
003
/komputer yang dibeli.
4 Bandingkan antara spesifikasi KKA

Budi 0,5 Jam
barang yang diterima dengan 004
spesifikasi teknis dalam SPK
Budi KKA
5 Bandingkan antara barang yang 1 Jam
005
diterima dengan spesifikasi teknis
Direviu oleh Disusun Oleh

Pengendali Teknis Ketua Tim
Ahmad Budi

H. PENGALOKASIAN SUMBER DAYA
Langkah terakhir di tahap perencanaan adalah pengalokasian sumber daya (jam kerja auditor
dan dana) yang diperlukan untuk melaksanakan penugasan. Pada tahap ini diperlukan
pengalaman auditor dalam menentukan jumlah waktu, biaya dan jadwal agar penugasan dapat
diselesaikan tepat waktu.
Hasil dari tahap ini adalah alokasi hari pengawasan (HP) masing‐masing auditor, alokasi biaya
per auditor dan jenis pengujian yang akan dilakukan. Dengan kata lain, masing‐masing prosedur
pengujian tersebut diatas ditetapkan auditor yang akan melaksanakan disertai target waktu
pelaksanaan dan dana bila diperlukan.

Bab IV
PELAKSANAAN PENUGASAN ASSURANCE
Setelah mempelajari bab ini, diharapkan para peserta diklat memiliki pengetahuan mengenai
tahapan praktik pelaksanaan assurance audit internal yaitu: pengujian dan pengumpulan bukti,
evaluasi bukti dan pengambilan kesimpulan serta pengembangan temuan dan rekomendasi.
A. PENGUJIAN DAN PENGUMPULAN BUKTI
Pada tahap pelaksanaan kegiatan assurance dilakukan pengujian yang telah direncanakan dalam
PKA pada tahap perencanaan. Dalam setiap pengujian yang dilakukan, hasilnya
didokumentasikan ke dalam kertas kerja audit (KKA). KKA adalah catatan (dokumentasi) yang
dibuat oleh auditor mengenai bukti‐bukti yang dikumpulkan, berbagai teknik dan prosedur audit
yang diterapkan, serta simpulan‐simpulan yang dibuat selama melakukan audit.
Dalam pengertian dokumentasi yang dibuat oleh auditor adalah berupa dokumen‐dokumen
yang dikumpulkan oleh auditor, baik yang dibuat sendiri maupun dokumen yang berupa
fotokopi/salinan (auditor’s copy) yang diperoleh auditor selama pelaksanaan audit. Dalam

pengertian dokumen bukan saja yang berbentuk kertas, namun juga termasuk foto/film/
gambar, kaset rekaman, file komputer. Sumber dokumen KKA dapat berasal dari auditi, pihak di
luar auditi/instansi lainnya, maupun dari pihak auditor. KKA yang baik harus mencerminkan:
1. Kegiatan audit mulai dari perencanaan, survai pendahuluan, evaluasi pengendalian

manajemen, pengujian substantif, sampai dengan pelaporan dan tindak lanjut hasil audit.
Hal ini dikarenakan semua kegiatan audit didokumentasikan dalam bentuk KKA.
2. Langkah‐langkah audit yang ditempuh, pengujian yang dilakukan, informasi yang

diperoleh dan simpulan‐simpulan hasil audit. Langkah‐langkah kerja dalam PKA yang telah
dilaksanakan menghasilkan data beserta penarikan simpulan hasil audit didokumentasikan
dalam KKA. sebagai bukti yang mendukung kesimpulan apakah pengendalian telah
berjalan dengan efektif.
Tujuan penyusunan KKA adalah:
1. KKA merupakan penghubung antara audit yang dilaksanakan dengan LHA, jadi informasi
dalam LHA harus dapat dirujuk ke KKA.
2. KKA mendokumentasikan seluruh informasi yang diperoleh selama kegiatan audit, mulai
dari kegiatan perencanaan sampai dengan penyusunan konsep LHA.
3. KKA mencakup seluruh masalah yang ditemukan selama pelaksanaan audit, termasuk
perluasan perolehan bukti untuk mendukung temuan audit.
4. KKA akan membantu auditor pada saat pembahasan permasalahan dengan auditi. Dengan
KKA yang lengkap, jika suatu permasalahan disanggah oleh auditi, maka auditor akan
dapat menjelaskan permasalahannya dengan bantuan KKA.
5. KKA dapat digunakan oleh PT sebagai sarana mengawasi, menilai, memonitor, dan menilai
kecukupan teknik dan prosedur audit.
6. KKA dapat menjadi bahan pembuktian dalam hal masalah diajukan ke pengadilan. KKA
yang lengkap dapat menjadi alat untuk membela diri tentang kecukupan prosedur audit
yang telah dijalankan sebagai pendukung pengambilan simpulan.
7. KKA dapat menjadi referensi dalam perencanaan tugas audit atau pelaksanaan audit
periode berikutnya dan referensi dalam memonitor tindak lanjut audit.

8. KKA yang disusun auditor intern dapat digunakan untuk membantu auditor ekstern dalam
mengevaluasi sistem pengendalian intern auditi. KKA juga dapat digunakan oleh auditor
ekstern untuk mengevaluasi pekerjaan auditor intern sebelum auditor ekstern
memutuskan untuk memanfaatkan hasil kerja auditor intern yang terkait dengan
keperluan auditnya.
9. Penyusunan KKA memungkinkan dilakukannya reviu oleh rekan sejawat (peer reviu) atau
oleh lembaga yang berwenang, juga sebagai pertanggungjawaban auditor bahwa audit
telah dilaksanakan sesuai standar audit.
Contoh kasus :
Melanjutkan kasus Satker XYZ, PKA nomor C.1 “Lakukan evaluasi apakah spesifikasi yang disusun
oleh PPK sesuai dengan yang dibutuhkan” dilaksanakan oleh Budi hasilnya adalah sebagai
berikut.
Inspektorat XYZ No KKA : KKA 001

Ref PKA : P 001
Nama Auditi : Satker XYZ
Tahun : 2014 Dibuat oleh : Budi
Direviu oleh : Ahmad
KERTAS KERJA AUDIT

Hasil Evaluasi Spesifikasi Komputer
Informasi/Analisis Spesifikasi RKB KAK Sesuai/

Tidak
• Processor I7 I7 Sesuai
• Clock Speed 3,4 Ghz 3,4 Ghz Sesuai
• RAM 12 GB 12 GB Sesuai
• HDD 2 TB 2 TB Sesuai
• VGA Card 2 GB 2 GB Sesuai
• Operating System W7Pro W7Pro Sesuai
Catatan :
RKB : Rencana Kebutuhan Barang, disusun oleh Pengguna Anggaran (PA)
KAK : Kerangka Acuan Kerja, disusun oleh Pejabat Pembuat Komitmen (PPK)
Kesimpulan :
Spesifikasi teknis yang disusun oleh PPK telah sesuai dengan spesifikasi yang dibutuhkan

Hubungan PKA dengan KKA
PKA adalah rancangan prosedur dan teknik audit yang akan diikuti/dilaksanakan dan KKA adalah
dokumentasi hasil pelaksanaan PKA. Bagan berikut merupakan contoh yang memperlihatkan
hubungan PKA dan KKA tersebut.
Gambar 4.1 Contoh Hubungan PKA dengan KKA

Dari contoh di atas, terlihat bahwa KKA Nomor KKA 001 adalah dokumentasi dari pelaksanaan
PKA Nomor P001. Pada contoh tersebut dapat dilihat hubungan langkah kerja pada PKA
“Lakukan evaluasi apakah spesifikasi yang disusun oleh PPK sesuai dengan yang dibutuhkan”
dan hasil pengujian tertuang dalam KKA yang berjudul “Hasil Evaluasi Spesifikasi Komputer”.
Audit Sampling
Audit sampling adalah penerapan pengujian/prosedur audit kurang dari 100% populasi yang
bertujuan untuk mendapat simpulan kondisi seluruh populasi. Pengujian yang dilakukan atas
seluruh bukti/elemen dinamakan sensus. Idealnya, agar hasil pengujian lebih bisa dipercaya,
seorang Auditor melakukan sensus. Namun karena sesuatu hal Auditor bisa tidak meneliti
keseluruhan bukti, maka yang bisa dilakukannya adalah meneliti sebagian dari keseluruhan
populasi/sampling.
Agar hasil Pengujian yang dilakukan terhadap sampel bisa mewakili populasi, maka cara
penarikan sampelnya harus dilakukan dengan hati‐hati. Dapat dikatakan tidak ada sampel yang
bisa mewakili karakteristik populasi sepenuhnya. Oleh karena itu dalam setiap penarikan sampel
senantiasa melekat penyimpangan, yang dikenal dengan nama “sampling error”. Sampling error
dapat ditekan dengan cara menambahkan jumlah sampel, namun tidak selamanya demikian.
Hubungan antara sampling error dengan jumlah sample, dapat digambarkan sebegai berikut.
Gambar 4.2 Hubungan Antara Sampling Error Dengan Jumlah Sampling
Jumlah sampel yang diambil menjadi persoalan yang penting. Misalnya, jumlah populasi bukti
adalah 1.000 buah bukti. Pertanyaannya adalah, berapa bukti yang harus diambil menjadi
sampel agar hasilnya mewakili populasi? Jawabnya dapat dipelajari di Modul Sampling Audit.

Salah satu metode penentuan jumlah sampling adalah menggunakan table Krejcie dan Morgan
(1970) sebagai berikut.
Populasi Sampel Populasi Sampel Populasi Sampel

(P) (s) (P) (s) (P) (s)
10 10 220 140 1200 291
15 14 230 144 1300 297
20 19 240 148 1400 302
25 24 250 152 1500 306
30 28 260 155 1600 310
35 32 270 159 1700 313
40 36 280 162 1800 317
45 40 290 165 1900 320
50 44 300 169 2000 322
55 48 320 175 2200 327
60 52 340 181 2400 331
65 56 360 186 2600 335
70 59 380 191 2800 338
75 63 400 196 3000 341
80 66 420 201 3500 346
85 70 440 205 4000 351
90 73 460 210 4500 354
95 76 480 214 5000 357
100 80 500 217 6000 361
110 86 550 226 7000 364
120 92 600 234 8000 367
130 97 650 242 9000 368
140 103 700 248 10000 370
150 108 750 254 15000 375
160 113 800 260 20000 377
170 118 850 265 30000 379
180 123 900 269 40000 380
190 127 950 274 50000 381
200 132 1000 278 75000 382
210 136 1100 285 1000000 384
Tabel 4.1 Jumlah Populasi dan Sampel (Krejcie dan Morgan)

Metode pengampilan sample ada dua jenis, yaitu : random sampling/probability sampling dan
nonrandom samping/nonprobability sampling. Yang dimaksud dengan random sampling adalah
cara pengambilan sampel yang memberikan kesempatan yang sama untuk diambil kepada
setiap elemen populasi. Sedangkan yang dimaksud dengan nonrandom sampling atau
nonprobability sampling adalah setiap elemen populasi tidak mempunyai kemungkinan yang
sama untuk dijadikan sampel.
Matriks Risiko dan Pengendalian
Prosedur pengujian yang di PKA yang disusun berdasarkan matriks risiko dan pengendalian
dilakukan untuk memastikan apakah pengendalian kunci yang diterapkan telah didesain dan
diterapkan dapat menekan risiko ke tingkat yang dapat diterima (acceptable level). Hasil
pengujian‐pengujian pengendalian kunci yang telah dilakukan dituangkan kedalam format
matriks risiko dan pengendalian dengan menambah sebuah kolom ‘hasil pengujian’ sebagai
berikut.
Risiko Pengendalian Kunci Prosedur Pengujian Hasil Pengujian
Risiko A • Pengendalian A • Prosedur A • Hasil Pengujian A
• Pengendalian B • Prosedur B • Hasil Pengujian B
• Pengendalian C • Prosedur C • Hasil Pengujian C
Risiko B • Pengendalian D • Prosedur D • Hasil Pengujian D
• Pengendalian E • Prosedur E • Hasil Pengujian E
• Pengendalian F • Prosedur F • Hasil Pengujian F
Risiko C • Pengendalian G • Prosedur G • Hasil Pengujian G
• Pengendalian H • Prosedur H • Hasil Pengujian H
• Pengendalian I • Prosedur I • Hasil Pengujian I
Tabel 4.2 Format Matriks Risiko dan Pengendalian serta Hasil Pengujian
Contoh kasus
Melanjutkan kasus Satker XYZ, format risk and control matrix untuk risiko “Spesifikasi teknis
tidak sesuai kebutuhan” setelah dilakukan pengujian adalah sebagai berikut.

Pengendalian Kunci Prosedur Pengujian Hasil Pengujian
• PPK menyusun spesifikasi • Lakukan evaluasi apakah • Spesifikasi yang disusun oleh
teknis spesifikasi yang disusun oleh PPK telah sesuai dengan
PPK sesuai dengan yang kebutuhan
dibutuhkan
• ULP melakukan evaluasi • Lakukan pengujian terhadap • Spesifikasi teknis telah
teknis penawaran evaluasi teknis yang dimanfaatkan sebagai media
dilakukan ULP evaluasi teknis yang
dilakukan ULP
• PPHP menerima dan • Bandingkan antara barang • Berita acara penerimaan
menguji barang yang yang diterima dengan Berita barang tidak sesuai dengan
diterima Acara Penerimaan Barang barang yang diterima
• Bandingkan antara barang • Terdapat perbedaan
yang diterima dengan spesifikasi teknis dengan
spesifikasi teknis komputer yg diterima.
• Lakukan pengamatan fisik • Spesifikasi komputer dalam
barang /komputer yang kontrak dg processor i7,
dibeli. yang diterima processor i5
B. EVALUASI BUKTI DAN PENGAMBILAN KESIMPULAN
Pelaksanaan prosedur dan teknik audit menghasilkan bukti‐bukti yang membantu auditor untuk
dapat menilai efektifitas pengendalian intern. Beberapa pertanyaan yang harus dijawab auditor
untuk menilai efektifitas pengendalian intern adalah sebagai berikut.
1. Apakah pengendalian kunci telah didesain dengan baik?
2. Apakah pengendalian kunci telah berfungsi dengan baik seperti yang direncanakan?
3. Apakah risiko terkait telah berhasil di tekan pada tingkat yang dapat diterima?
4. Apakah pengendalian yang telah didesain dan diterapkan membantu pencapaian tujuan
organisasi?
Untuk bisa menjawab pertanyaan‐pertanyaan ini, auditor internal harus mengambil kesimpulan
berdasar informasi/bukti yang didapat sejak tahap perencanaan sampai pelaksanaan
penugasan. Simpulan diambil dengan menggunakan judgement dari auditor. Matriks Risiko dan
Pengendalian yang lengkap berikut adalah cara terbaik untuk mendokumentasikan judgement
yang diambil.

Risiko Pengendalian Kunci Prosedur Pengujian Prosedur Pengujian Simpulan
Risiko A • Pengendalian A • Prosedur A • Hasil Pengujian A Simpulan Risiko A
• Pengendalian B • Prosedur B • Hasil Pengujian B
• Pengendalian C • Prosedur C • Hasil Pengujian C
Risiko B • Pengendalian D • Prosedur D • Hasil Pengujian D Simpulan Risiko B
• Pengendalian E • Prosedur E • Hasil Pengujian E
• Pengendalian F • Prosedur F • Hasil Pengujian F
Risiko C • Pengendalian G • Prosedur G • Hasil Pengujian G Simpulan Risiko C
• Pengendalian H • Prosedur H • Hasil Pengujian H
• Pengendalian I • Prosedur I • Hasil Pengujian I
Tabel 4.3 Matriks Risiko dan Pengendalian serta judgement yang diambil
Contoh kasus
Melanjutkan kasus Satker XYZ, setelah dilakukan pengujian, simpulan atas efektifitas
pengendalian atas risiko “Spesifikasi teknis tidak sesuai kebutuhan” adalah sebagai berikut.
Risiko Pengendalian Kunci Prosedur Pengujian Simpulan

Spesifikasi • PPK menyusun • Lakukan evaluasi • Ketiga pengendalian
teknis tidak spesifikasi apakah spesifikasi yang kunci risiko ini berfungsi
sesuai teknis disusun oleh PPK sesuai secara kolektif.
dengan yang Kelemahan pada salah
dibutuhkan satu pengendalian kunci
• Lakukan pengujian
mengancam pen‐
terhadap evaluasi
capaian tujuan.
teknis yang dilakukan • Kelalaian PPHP dalam
ULP
• PPHP menerima dan • Bandingkan antara memeriksa barang
menguji barang barang yang diterima berakibat barang
yang diterima dengan Berita Acara yang diterima tidak
Penerimaan Barang sesuai spesifikasi
• Bandingkan antara
barang yang diterima
dengan spesifikasi
teknis
• Lakukan pengamatan
fisik barang
Jika ditemukan adanya pengendalian kunci yang tidak berfungsi, maka kemungkinan terjadinya
risiko tinggi. Dalam kondisi ini, auditor harus melakukan pengujian substantif untuk memastikan
bahwa risiko benar‐benar terjadi atau tidak.

Contoh : Tujuan untuk menguji apakah terjadi ketidaksesuaian antara spesifikasi teknis
barang dengan kebutuhan, kuantifikasi temuan, dan menentukan kondisi serta
penyebabnya. Langkah yang harus dilakukan oleh auditor adalah memperluas
sample pengujian dengan membandingkan barang yang diterima dengan berita
acara penerimaan barang.
C. PENGEMBANGAN TEMUAN DAN REKOMENDASI
Setelah dilakukan pengujian, pengumpulan bukti, evaluasi bukti, dan menyusun simpulan,
auditor internal harus menyusun temuan (observation/finding). Temuan berpangkal tolak dari
perbandingan kondisi (apa yang sebenarnya terjadi) dengan kriteria (apa yang seharusnya
terjadi), mengungkap akibat yang ditimbulkan dari perbedaan kondisi dan kriteria tersebut serta
mencari penyebabnya. Pengembangan temuan sangat menentukan keberhasilan tugas audit.
Untuk itu, auditor perlu memahami unsur‐unsur temuan, sehingga pengembangan temuan
menjadi lebih efektif.
Langkah‐langkah pengembangan temuan adalah sebagai berikut.
1. Kenali secara khusus apa yang kurang dalam hubungan dengan kriteria/tolok ukur yang
lazim.
2. Pada dasarnya dalam suatu audit, auditor membandingkan “apa yang sebenarnya terjadi”
dengan “apa yang seharusnya terjadi”. Auditor perlu meyakini kelayakan kriteria/tolok
ukur yang dipergunakan. Penentuan kriteria/tolok ukur pada prinsipnya merupakan
tanggung jawab manajemen. Bila dalam audit tidak dijumpai tolok ukur, maka auditor
harus merumuskannya bersama‐sama dengan auditi.
3. Kenali batas wewenang dan tanggung jawab pejabat yang terlibat dalam pelaksanaan
kegiatan, program dan fungsi yang diaudit.
4. Auditor perlu mengenali batas wewenang pejabat yang bertanggung jawab langsung
terhadap kegiatan, program dan fungsi yang diaudit dan juga mengetahui pejabat yang
bertanggung jawab pada tingkat yang lebih tinggi untuk mengetahui pada siapa laporan
dan rekomendasi ditujukan. Pengendalian manajemen secara efektif terhadap operasi
memerlukan penetapan tanggung jawab yang tegas, dengan kewenangan yang memadai
untuk melaksanakannya. Sebagai akibat dari audit, mungkin akan ditemukan bahwa

kekurangan yang diidentifikasi terjadi karena kewenangan dan tanggung jawab tidak
ditetapkan dengan jelas atau tidak dipahami dengan baik.
5. Pastikan sebab kelemahannya.
Agar auditor dapat melakukan audit secara tepat, menyampaikan laporan secara jujur
serta efektif dan mengembangkan rekomendasi tindakan korektif, maka sebelumnya ia
perlu mengidentifikasi dan memahami sebab dari kekurangan. Auditor harus menyelidiki
sebab terjadinya keadaan yang merugikan dan mengapa hal tersebut harus berlangsung.
Jika telah diadakan perbaikan melalui prosedur intern untuk menghindari keadaan yang
merugikan tersebut, apakah penerapan prosedur tersebut yang keliru. Sebab kelemahan
tersebut dapat bermacam‐macam; yang terpenting diantaranya adalah kelemahan dalam
sistem pengendalian manajemen yang apabila tidak dikoreksi akan menimbulkan kerugian
yang lebih besar. Pengenalan auditor mengenai sebab dari kelemahan dapat membawa
auditor mengenali masalah lain yang memerlukan penyelidikan dan pengembangan lebih
lanjut. Bila auditor mengetahui sebabnya, maka auditor akan lebih mudah
mempertimbangkan rekomendasi perbaikannya.
6. Tentukan apakah kelemahan tersebut merupakan kasus yang berdiri sendiri atau tersebar
luas.
Penentuan ini diperlukan untuk mencapai simpulan yang tepat mengenai arti penting
kelemahan tersebut. Simpulan ini seringkali merupakan hal yang esensial untuk
mendorong pimpinan auditi mengambil tindakan korektif. Dalam menentukan apakah
kelemahan ini berdiri sendiri atau terkait dengan kegiatan lainnya, auditor dapat
mengidentifikasinya dengan mempelajari apakah terdapat instansi lain yang melakukan
kegiatan yang sama. Bila auditor yakin bahwa kondisi itu tersebar luas atau besar
kemungkinannya akan berulang kembali, maka auditor harus merekomendasikan
perbaikan kesalahan tersebut secepat mungkin.
7. Tentukan akibat atau arti pentingnya kelemahan.
Auditor harus mempertimbangkan akibat atau arti pentingnya kelemahan dengan

mengerti dan mendalami cara manajemen melaksanakan kegiatannya. Auditor tidak saja
perlu memperhatikan akibat langsung, tetapi juga akibat sampingan, akibat jangka
panjang, atau akibat lainnya, baik yang nyata maupun potensial. Dalam audit yang

mengarah kepada kehematan dan keefisienan, bila memungkinkan, auditor perlu
menentukan akibat finansial yang ditimbulkan oleh kekurangan dan kelemahan tersebut
di atas. Hal itu akan menunjukan pentingnya tindakan korektif dan pengungkapan dalam
laporan menjadi makin meyakinkan. Apabila penetapan akibat finansial itu tidak mungkin,
maka akibat yang merugikan perlu dinyatakan dalam ukuran relatif sebagai hasil
perbandingan dengan kegiatan, program dan fungsi yang diaudit. Jika audit operasional
diarahkan pada efektivitas, maka akibat yang harus diungkap auditor adalah seberapa
jauh akibat yang terjadi ini akan mempengaruhi keberhasilan pencapaian tujuan suatu
program. Tujuan akhir audit adalah agar tindakan korektif atau perbaikan yang
direkomendasikan dan telah disetujui, benar‐benar dilaksanakan. Oleh karena itu, auditor
harus mengikuti perkembangan tindakan auditi dalam melaksanakan rekomendasi dan
apabila perlu dapat dilakukan audit tindak lanjut atas temuan hasil audit.
8. Mintakan komentar pejabat yang kompeten.
Pada setiap tahap audit, pembicaraan dengan auditi harus dilaksanakan agar audit dapat
lebih berdayaguna dan berhasil guna. Pembicaraan ini dilakukan tidak saja pada setiap
akhir tahapan audit, tetapi juga harus dilakukan secara dini selama proses audit dilakukan.
Materi yang dibicarakan antara lain mencakup masalah yang berkaitan dengan
pengenalan terhadap auditi, baik mengenai kegiatan operasionalnya maupun sistem
pengendalian manajemennya; menyangkut masalah pembuktian, penentuan unsur
temuan terutama kriteria dan pembicaraan akhir termasuk rekomendasi. Pada tahap
pengujian substantif/pengembangan, pembicaraan harus dilakukan lebih intensif karena
menyangkut materi temuan final dan menyangkut kesepakatan atas rekomendasi. Dengan
demikian dapat terhindar adanya sanggahan atas isi laporan dari auditi.
9. Mintakan kesediaan untuk menindaklanjuti.
Temuan dan rekomendasi yang telah disetujui oleh pihak auditi agar dimintakan
komitmen kesanggupan melakukan tindak lanjut. Komitmen tersebut dapat berbentuk
keterangan tertulis atau berita acara yang antara lain menetapkan kapan tindak lanjut
rekomendasi akan dilakukan. Atas dasar komitmen tersebut, pemantauan pelaksanaan
setiap rekomendasi akan lebih efektif.

Dalam mengembangkan rekomendasi dapat pula digunakan pendekatan antara lain
penyelesaian masalah dan pengambilan keputusan dengan tujuh langkah, yaitu:
1. Identifikasi masalah.
2. Menguraikan masalah. Seberapa besar? Dimana? Kapan? Apakah sering terjadi?
3. Mencari kemungkinan penyebabnya. Apakah penyebab menggambarkan situasi

keseluruhan atau hanya sebagian?
4. Buatlah alternatif‐alternatif tindakan untuk menyelesaikan masalah.
5. Analisis setiap alternatif, apa kebaikan dan kelemahan apabila suatu alternatif dipilih
untuk dilakukan.
6. Pilihlah alternatif tindakan yang paling baik.
7. Buatlah rekomendasi untuk dapat mengimplementasikan alternatif tindakan yang paling

baik tersebut. Yakinkan kepada pihak manajemen, bagaimana prosedurnya dan
bagaimana mengendalikannya.
Unsur temuan adalah:
1. Kondisi (kekurangan atau kelemahan apa yang sebenarnya terjadi).
Kondisi menunjukkan realitas yang ada dari suatu pelaksanaan kegiatan yang
menunjukkan adanya kekurangan atau kelemahan. Untuk menyatakan kondisi, auditor
harus mengumpulkan bukti yang relevan, kompeten, cukup dan material.
2. Kriteria (apa yang seharusnya terjadi).
Kriteria adalah standard, ukuran atau harapan (expectation), antara lain berupa:
a. peraturan perundang‐undangan yang berlaku;
b. ketentuan manajemen yang harus ditaati/dilaksanakan;
c. pengendalian manajemen yang andal;
d. tolok ukur keberhasilan, efisiensi dan kehematan; dan
e. standar dan norma/kaidah.

Kriteria yang diperoleh harus diuji dan dianalisis secara tepat dan setelah itu barulah
dapat digunakan sebagai tolok ukur atau pembanding dengan kondisi yang dijumpai.
Dalam praktik, permasalahan yang dihadapi adalah auditi tidak memiliki kriteria untuk
kegiatan yang diaudit. Secara teoretis penetapan kriteria yang jelas merupakan salah satu
tanggung jawab auditi. Apabila kriteria tidak tersedia auditor dapat melakukan beberapa
hal antara lain:
a. melakukan konfirmasi kepada pihak ketiga (misalnya dalam hal harga barang/jasa);
b. bersama dengan auditi melakukan formulasi kriteria yang akan dipakai sebagai tolok
ukur;
c. norma standar yang sama atau sejenis dengan kegiatan auditi sehingga norma/
standar tersebut dapat digunakan sebagai pembanding; dan
d. menggunakan keterangan tenaga ahli.
Selanjutnya kriteria yang diperoleh tersebut harus dibicarakan dengan pihak auditi untuk
memperoleh kesepakatan.
3. Sebab (mengapa terjadi perbedaan antara kondisi dan kriteria).
Materi penyebab merupakan hal yang penting apabila ditinjau dari tujuan audit yaitu
untuk menghasilkan rekomendasi ke arah perbaikan di masa datang. Penyebab ini
mengungkap tentang mengapa terjadi ketidaksesuaian antara kondisi dan kriteria.
4. Akibat dan dampak (apa akibat dan dampak yang ditimbulkan dari adanya perbedaan
antara kondisi dan kriteria).
5. Rekomendasi (apa yang dapat dilakukan untuk memperbaikinya).
Rekomendasi adalah usulan rencana perbaikan yang diberikan oleh auditor internal untuk
menutup gap antara kondisi dan kriteria. Materi rekomendasi harus dirancang guna:
a. memperbaiki kelemahan (menghilangkan penyebab); dan
b. meminimalisasi akibat dari kelemahan yang ada.

Rekomendasi harus jelas:
a. ditujukan kepada siapa;
b. mengarah pada tindakan nyata;
c. konsekuensi yang akan timbul apabila tindak lanjut atas rekomendasi tidak
dilakukan;
d. dapat dilaksanakan oleh auditi; dan
e. apabila ada altenatif perbaikan tuangkanlah semua alternatif berikut alasannya

masing‐masing.
Dalam memberikan/merumuskan rekomendasi, auditor harus memperhatikan:
a. biaya yang akan terjadi dalam mengimplementasikan rekomendasi harus tidak

melebihi manfaat yang akan diperolehnya;
b. jika terdapat beberapa alternatif rekomendasi dengan biaya yang terkait, harus
diusulkan; dan
c. rekomendasi harus dapat dilaksanakan.
Contoh kasus
Melanjutkan kasus Satker XYZ, setelah dilaksanakan pengujian, disusun temuan sebagai berikut.
Judul
Spesifikasi Teknis Komputer Tidak Sesuai Kontrak
Kondisi
Dari hasil audit pengadaan 300 set komputer pada Satuan Kerja XYZ diketahui adanya
perbedaan antara spesifikasi barang yang diterima dengan spesifikasi barang dalam
kontrak.
Spesifikasi komputer yang diterima adalah sebagai berikut.
Intel Core i5 2310 2.9 GHz, RAM 8GB, HDD 2TB, DVD/RW, VGA AMD Radeon‐2GB,
Windows 8 Pro, Monitor 21.5"

Kriteria
Menurut kontrak spesikasi komputer adalah sebagai berikut.
Intel Core i7 3770‐3.4Ghz, RAM 12GB, HDD 2TB, DVD/RW, VGA AMD Radeon‐2GB,
Windows 8 Pro, Monitor 21.5"
Peraturan Presiden Nomor 54 Tahun 2010 pada pasal 5 mengatur bahwa Pengadaan
Barang/Jasa menerapkan prinsip efektifitas. Dimana efektif, berarti pengadaan
barang/jasa harus sesuai dengan kebutuhan dan sasaran yang telah ditetapkan serta
memberikan manfaat yang sebesar‐besarnya.
Sebab
Panitia Penerima Hasil Pekerjaan (PPHP) lalai dalam melaksanakan tugasnya. PPHP
melakukan pemeriksaan hasil pekerjaan sesuai dengan ketentuan yang tercantum dalam
Kontrak. PPHP menerima hasil Pengadaan Barang/Jasa setelah melalui proses
pemeriksaan/pengujian.
Akibat
Kondisi ini mengakibatkan adanya potensi kerugian keuangan negara sebesar

Rp.xxx.xxx,xx (sesuai nilai kontrak) dan pengadaan 300 set komputer tersebut tidak dapat
berfungsi optimal dalam menunjang kegiatan organisasi.
Rekomendasi
Direkomendasikan kepada Kepala Satuan Kerja XYZ untuk :
• memerintah PPK untuk meminta pertanggung jawaban penyedia barang untuk

mengganti komputer yang tidak sesuai spesifikasi; dan
• menegur PPHP yang telah lalai dalam melaksanakan tugasnya.

Bab V
PELAPORAN PENUGASAN ASSURANCE
tahapan praktik pelaporan assurance audit internal yaitu: penyampaian simpulan sementara,
penyusunan laporan, dan monitoring tindak lanjut.
Setelah menyelesaikan penugasan, internal auditor harus mengomunikasikan hasil

penugasannya kepada manajemen auditi. Secara umum pengkomunikasian tersebut mencakup
dua bentuk komunikasi, lisan dan tertulis. Komunikasi lisan harus dilakukan sebelum komunikasi
tertulis dalam bentuk laporan hasil audit (LHA) yang resmi diterbitkan.
Pengomunikasian secara lisan dimaksudkan untuk memperoleh kesepakatan mengenai hasil

audit. Semua masalah yang ditemukan harus didiskusikan agar tidak terjadi penyanggahan yang
dapat menyebabkan terhambatnya pelaksanaan tindak lanjut. Auditi memang diberi
kesempatan untuk memberi tanggapan atas temuan audit, namun demikian bukan berarti
bahwa setiap sanggahan auditi harus diterima begitu saja. Hanya jika sanggahan tersebut
disertai bukti yang dapat diyakini, serta bukti tersebut memang tidak ditemukan saat

pelaksanaan audit, barulah sanggahan auditi dapat diterima. Hal ini yang dimaksudkan bahwa
auditor harus memiliki sikap pandang yang terbuka.
A. PENYAMPAIAN SIMPULAN SEMENTARA
Penyampaian hasil penugasan (communication) adalah bagian tidak terpisahkan dari sebuah
penugasan assurance. Selama pelaksanaan penugasan, internal auditor secara teratur
berkomunikasi dengan personil kunci auditi. Pada umumnya komunikasi dilakukan dalam
bentuk tatap muka untuk menyampaikan permasalahan‐permasalahan yang ditemui.
Komunikasi selama proses penugasan dapat membantu auditor internal untuk memastikan
fakta yang ditemukan benar‐benar akurat. Disamping akan dapat diperoleh informasi langkah
koreksi (rekomendasi) terbaik. Hasil komunikasi ini akan dimanfaatkan untuk penyusunan
simpulan/temuan final yang akan dimuat dalam LHA.
Apabila pembicaraan tidak dilakukan secara bertahap, dikhawatirkan setelah auditor melangkah
jauh dengan waktu yang cukup lama ternyata setelah materi temuan dibicarakan dengan pihak
auditi, barulah terungkap adanya bukti atau kebijakan manajemen lain yang ternyata dapat
menggugurkan temuan tersebut. Pembicaraan akhir harus tuntas. Ada baiknya sebelum
dibicarakan final, ketua tim berkonsultasi dulu dengan pengendali teknisnya dan/atau
pengendali mutunya supaya ada keseragaman pendapat mengenai masalah yang akan
dibicarakan dengan auditi. Pengalaman menunjukan bahwa masih ada pembicaraan akhir atas
temuan audit yang dilaksanakan oleh ketua tim audit sebelum direviu oleh pengendali teknis
dan pengendali mutu, misalnya karena lokasi auditi jauh di luar kota. Hal ini mengandung risiko
karena setelah direviu pengendali teknis, materi temuan dapat saja berubah sehingga tidak lagi
sesuai dengan apa yang telah dibicarakan dengan auditi. Apabila terjadi perubahan materi
laporan yang telah dibicarakan dengan auditi tanpa memberi informasi terlebih dulu kepada
auditi, dapat menimbulkan citra yang kurang baik terhadap auditor.
Usahakan mendapat komentar pejabat atau pihak yang langsung berkepentingan yang akan
melakukan tindak lanjut temuan tersebut dan akan mengalami akibat negatif dari pelaporan
temuan tersebut. Auditor harus memberikan kesempatan kepada pejabat atau pihak yang
terkena atau mungkin terkena secara negatif pelaporan tersebut untuk memberi komentar
tertulis atau lisan serta memberi informasi atau penjelasan sebelum laporan dikeluarkan.
Komentar dan penjelasan tambahan ini harus dihargai dan dibahas untuk disajikan secara layak,
lengkap dan objektif dalam laporan akhir. Apabila komentar pendahuluan sudah diterima dan

kemudian diadakan perubahan penting dalam temuan atau rekomendasi, maka pejabat atau
pihak yang terkena harus diberi kesempatan lagi untuk memberikan komentar mengenai
pembahasan tersebut sebelum laporan diterbitkan. Apabila tidak bisa diperoleh komentar dari
pihak yang terkena, maka laporan harus memaparkan kenyataan itu. Komentar tambahan juga
harus diminta apabila komentar pendahuluan tampaknya tidak relevan dengan simpulan dan
rekomendasi yang diajukan.
B. PENYUSUNAN LAPORAN
Proses penyusunan laporan, diawali dengan penyusunan konsep laporan oleh ketua tim (KT).
Pengendali teknis (PT) melakukan reviu konsep laporan untuk keseluruhan aspek (baik fisik,
format dan substansi). Laporan hasil penugasan harus memenuhi syarat kualitas komunikasi
yang baik, yaitu akurat, objektif, jelas, ringkas, konstruktif, lengkap dan tepat waktu.
1. Akurat: Laporan yang dihasilkan harus sesuai dengan fakta yang terjadi dan bebas dari
kesalahan.
Perlunya keakuratan didasarkan atas kebutuhan untuk memberikan keyakinan kepada

pengguna laporan bahwa apa yang dilaporkan memiliki kredibilitas dan dapat diandalkan.
Satu ketidakakuratan dalam laporan hasil audit dapat menimbulkan keraguan atas
keandalan seluruh laporan tersebut dan dapat mengalihkan perhatian pengguna laporan
hasil audit dari substansi laporan tersebut.
Bukti yang dicantumkan dalam laporan harus masuk akal dan mencerminkan kebenaran
mengenai masalah yang dilaporkan. Penggambaran yang benar berarti penjelasan secara
akurat tentang lingkup dan metodologi audit, serta penyajian temuan yang konsisten
dengan lingkup audit. Salah satu cara untuk meyakinkan bahwa laporan telah memenuhi
standar pelaporan adalah dengan menggunakan proses pengendalian mutu, seperti
proses referensi.
Proses referensi adalah proses dimana seorang auditor yang tidak terlibat dalam proses
audit tersebut menguji bahwa suatu fakta, angka, atau tanggal telah dilaporkan dengan
benar, bahwa temuan telah didukung dengan dokumentasi audit dan bahwa simpulan dan
rekomendasi secara logis didasarkan pada data pendukung.

2. Objektif: Laporan harus adil dan berimbang yang menyajikan penilaian seluruh fakta dan
kejadian yang relevan. Kredibilitas suatu laporan ditentukan oleh penyajian bukti yang
tidak memihak, sehingga pengguna laporan dapat diyakinkan oleh fakta yang disajikan.
Auditor harus menyajikan hasil audit secara netral dan menghindari kecenderungan
melebih‐lebihkan kekurangan yang ada. Dalam menjelaskan kekurangan suatu kinerja,
auditor harus menyajikan penjelasan pejabat yang bertanggung jawab, termasuk
pertimbangan atas kesulitan yang dihadapi entitas yang diperiksa.
3. Jelas : Laporan harus mudah dibaca dan dipahami. Laporan harus ditulis dengan bahasa
yang jelas dan sesederhana mungkin. Penggunaan bahasa yang lugas dan tidak teknis
sangat penting untuk menyederhanakan penyajian. Jika digunakan istilah teknis, singkatan
dan akronim yang tidak begitu dikenal, maka hal itu harus didefinisikan dengan jelas.
Apabila diperlukan, auditor dapat membuat ringkasan laporan untuk menyampaikan

informasi yang penting sehingga diperhatikan oleh pengguna laporan hasil audit.
Ringkasan tersebut memuat jawaban terhadap sasaran audit, temuan‐temuan yang paling
material dan rekomendasi.
4. Ringkas: Laporan seharusnya berisi point‐point penting, dihindari bahasa bertele‐tele,

detail dan pengulangan yang tidak perlu. Laporan yang ringkas adalah laporan yang tidak
lebih panjang dari yang diperlukan untuk menyampaikan dan mendukung pesan. Laporan
yang terlalu rinci dapat menurunkan kualitas laporan, bahkan dapat menyembunyikan
pesan yang sesungguhnya dan dapat membingungkan atau mengurangi minat pembaca.
Pengulangan yang tidak perlu juga harus dihindari. Meskipun banyak peluang untuk
mempertimbangkan isi laporan, laporan yang lengkap tetapi ringkas, akan mencapai hasil
yang lebih baik.
5. Konstruktif: Laporan hasil penugasan hendaknya bermanfaat bagi auditi serta membawa
kearah perbaikan. Agar meyakinkan, maka laporan harus dapat menjawab sasaran audit,
menyajikan temuan, kesimpulan dan rekomendasi yang logis. Informasi yang disajikan
harus cukup meyakinkan pengguna laporan untuk mengakui validitas temuan tersebut
dan manfaat penerapan rekomendasi. Laporan yang disusun dengan cara ini dapat
membantu pejabat yang bertanggung jawab untuk memusatkan perhatiannya atas hal
yang memerlukan perhatian itu dan dapat membantu untuk melakukan perbaikan sesuai
rekomendasi dalam laporan hasil audit.

6. Lengkap: Laporan berisi seluruh informasi penting dan sesuai yang mendukung
rekomendasi dan kesimpulan. Laporan harus memuat semua informasi dan bukti yang
dibutuhkan untuk memenuhi sasaran audit, memberikan pemahaman yang benar dan
memadai atas hal yang dilaporkan dan memenuhi persyaratan isi laporan hasil audit. Hal
ini juga berarti bahwa laporan harus memasukkan informasi mengenai latar belakang
permasalahan secara memadai. Laporan harus memberikan perspektif yang wajar
mengenai aspek kedalaman dan signifikansi temuan audit, seperti frekuensi terjadinya
penyimpangan dibandingkan dengan jumlah kasus atau transaksi yang diuji, serta
hubungan antara temuan audit dengan kegiatan entitas yang diaudit. Hal ini diperlukan
agar pembaca memperoleh pemahaman yang benar dan memadai.
7. Tepat waktu: Agar suatu informasi bermanfaat secara maksimal, maka laporan harus
tepat waktu, karena laporan yang terlambat disampaikan nilainya menjadi kurang bagi
pengguna laporan hasil audit.
Oleh karena itu, auditor harus merencanakan penerbitan laporan tersebut secara
semestinya dan melakukan audit dengan dasar pemikiran tersebut. Selama audit
berlangsung, auditor harus mempertimbangkan adanya laporan sementara untuk hal yang
material kepada auditi dan/atau kepada pihak lain yang terkait.
Laporan sementara tersebut bukan merupakan pengganti laporan akhir, tetapi

mengingatkan kepada pejabat terkait terhadap hal yang membutuhkan perhatian segera
dan memungkinkan pejabat tersebut untuk memperbaikinya sebelum laporan akhir
diselesaikan. laporan yang dihasilkan tersedia pada saat dibutuhkan.
Laporan Hasil Audit (LHA) dapat disusun dalam dua bentuk yaitu bentuk bab dan bentuk surat.
1. LHA Bentuk Bab
Dalam menyajikan informasi hasil audit dikelompokkan dalam bab. Ketentuan mengenai
bentuk bab biasanya sudah ditetapkan oleh organisasi audit. Penyusunan LHA dalam
bentuk bab sangat sesuai untuk menyampaikan informasi penting dengan jumlah materi
yang banyak.
2. LHA Bentuk Surat
Laporan bentuk surat biasanya digunakan apabila hal‐hal yang ingin dilaporkan materinya
relatif sedikit atau harus disampaikan dengan segera.

C. MONITORING TINDAK LANJUT
Proses penugasan assurance tidak berakhir saat penugasan selesai. Setiap institusi auditor
internal harus mengembangkan sistem monitoring tindak lanjut hasil penugasan. Sangat penting
bagi auditor internal untuk memastikan bahwa rekomendasi telah ditindaklanjuti oleh
manajemen.
Pemantauan tindak lanjut hasil harus dilakukan agar auditi memahami dan memperbaiki
kelemahan dan kesalahan yang ada sehingga mampu meningkatkan kinerja organisasinya.
Selain itu, auditor internal harus memantau pelaksanaan tindak lanjut yang dilakukan auditi
untuk memastikan bahwa semua rekomendasi sudah dilaksanakan dengan tepat, sehingga
keefektifan pelaksanaan audit bisa tercapai.
Kewajiban untuk melaksanakan tindak lanjut berada pada pimpinan auditi. Hal ini sesuai dengan
pasal 43 Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern
Pemerintah, yang menyatakan bahwa “Pimpinan instansi pemerintah wajib melakukan tindak
lanjut atas rekomendasi hasil audit dan reviu lainnya”. Pelaksanaan tindak lanjut tersebut
merupakan bagian kegiatan pemantauan sistem pengendalian intern yang ada. Di sisi lain,
auditor internal berkewajiban untuk memantau pelaksanaan tindak lanjut untuk menjamin
keefektifan pelaksanaan audit. Auditor internal harus memasukkan kegiatan pemantauan tindak
lanjut dalam rencana strategis maupun tahunan.
Pada setiap pelaksanaan audit ulangan atas suatu auditi, auditor harus melihat apakah
rekomendasi dari laporan hasil audit terdahulu telah ditindaklanjuti. Auditor internal
bertanggung jawab untuk memberitahukan langkah‐langkah yang harus dilakukan auditi agar
tindak lanjut hasil audit bisa dilaksanakan dengan efektif dan tepat waktu. Dalam memutuskan
penyelesaian tindak lanjut yang belum tuntas, auditor harus mempertimbangkan pelaksanaan
prosedur dengan sifat tindak lanjut yang sama yang dilakukan oleh auditi yang lain.
Pelaksanaan tindak lanjut merupakan kewajiban manajemen. Sedangkan pemantauan atas

pelaksanaan tersebut menjadi tanggung jawab auditor internal. Agar pemantauan tersebut bisa
berjalan dengan efektif, auditor internal harus membuat prosedur pemantauan pelaksanaan
tindak lanjut yang didasarkan pada tingkat kesulitan, ketepatan waktu, pertimbangan risiko dan
kerugian. Untuk temuan audit yang sangat penting, auditi harus melaksanakan tindak lanjut
secepat mungkin dan auditor internal harus terus memantau tindak lanjut yang dilaksanakan
oleh auditi tersebut karena dampak dari temuan tersebut sangat besar.

Agar pelaksanaan tindak lanjut efektif, perlu dilakukan hal‐hal sebagai berikut.
1. Laporan hasil audit ditujukan kepada tingkatan manajemen yang dapat melakukan tindak
lanjut.
2. Tanggapan auditi diterima dan dievaluasi selama audit berlangsung atau dalam waktu
yang wajar setelah audit berakhir.
3. Laporan perkembangan kemajuan tindak lanjut diterima dari auditi secara periodik.
4. Status tindak lanjut dari pelaksanaan tindak lanjut dilaporkan kepada pimpinan auditi.
Hal yang perlu diperhatikan dalam pemantauan tindak lanjut hasil audit adalah sebagai berikut.
1. Semua formulir dan bukti pendukung yang terkait dengan tindak lanjut temuan audit
harus didokumentasikan dengan baik dan dipisahkan antara temuan yang
rekomendasinya sudah tuntas diselesaikan dengan temuan yang masih terbuka (yang
rekomendasinya belum atau belum seluruhnya ditindaklanjuti).
2. Tim pemantau tindak lanjut melakukan pemutakhiran tindak lanjut atas saldo temuan
yang belum ditindaklanjuti dan tindak lanjut yang masih kurang. Pemutakhiran tersebut
dilakukan sekali dalam setahun dan dituangkan dalam sebuah berita acara yang
ditandatangani pimpinan auditi dan tim pemantau tindak lanjut.

80 2014 |Pusdiklatwas
BPKP
Bab VI
PENUGASAN KONSULTANSI
Setelah mempelajari bab ini, diharapkan para peserta diklat memiliki pengetahuan mengenai
jenis, pemilihan, dan proses serta praktik penugasan konsultansi selain itu juga pengetahuan
mengenai perubahan jasa konsultansi dan kapabilitas yang diperlukan.
Kegiatan konsultansi merupakan pemberian saran, dengan jenis dan sifat kegiatan yang
disepakati oleh auditor internal dan manajemen. Kegiatan ini bertujuan untuk memberi nilai
tambah dan meningkatkan tata kelola, manajemen risiko dan proses pengendalian. Dalam
melaksanakan jasa konsultansi, auditor internal harus tetap menjaga objektivitasnya dan tidak
mengambil alih tanggung jawab manajemen.
A. JENIS JASA KONSULTANSI
Gambar 6.1 Jenis Jasa Konsultansi
Seperti telah dijelaskan sebelumnya, kegiatan konsultansi dikelompokkan ke dalam tiga

kelompok kegiatan yaitu Advisory, Training dan Fasilitative. Kegiatan Advisory dirancang untuk
memberikan saran. Misalnya, manajemen meminta auditor internal memberikan rekomendasi
perbaikan untuk menilai efisiensi dan efektivitas proses bisnis tertentu atau, auditor internal
diminta ikut serta dalam proses jaminan mutu (quality assurance). Contoh kegiatan konsultansi
yang termasuk dalam kelompok advisory, adalah:

1. memberi saran atas rancangan pengendalian;
2. memberi saran selama proses pengembangan kebijakan dan prosedur;
3. memberi saran pemecahan masalah pada proyek‐proyek yang berisiko tinggi seperti
proyek pengembangan sistem informasi; dan
4. memberi saran pada aktivitas‐aktivitas tertentu manajemen risiko organisasi.
Pengalaman yang diperoleh dari kegiatan assurance memberikan kemampuan bagi auditor
internal untuk memahami aturan khusus bagi organisasi dan praktik‐praktik terbaik (best
practices) tertentu yang bermanfaat bagi organisasi. Oleh karena itu, auditor internal dapat
berbagi pengetahuan melalui pelatihan (training). Biasanya, kemampuan spesifik inilah yang
diminta dengan metode penyampaian disesuaikan dengan target pegawai penerima pelatihan.
Pelatihan dapat juga dilakukan dengan mengikutsertakan auditor internal di dalam proses yang
ingin diperbaiki, yaitu dengan on the job training. Metode ini secara langsung terjadi transfer
pengetahuan dari auditor internal kepada peserta pelatihan. Kegiatan konsultansi yang
termasuk dalam kelompok pelatihan, adalah:
1. pelatihan manajemen risiko dan pengendalian intern;
2. benchmark unit internal dengan unit lainnya dari organisasi yang serupa untuk
mengidentifikasikan praktik‐praktik terbaik; dan
3. post mortem analysis yaitu mencarikan pelajaran yang dapat diambil dari suatu kegiatan
setelah kegiatan tersebut diselesaikan.
Kegiatan fasilitatif memerlukan keterlibatan yang lebih mendalam dari auditor internal dalam
melaksanakan tugas‐tugasnya membantu manajemen meningkatkan kinerja organisasi dalam
mencapai tujuannya. Contoh kegiatan ini ialah Contol Self Assessment (CSA) yang memerlukan
fasilitasi dari auditor internal. Pengetahuan yang dimiliki oleh auditor internal dalam hal ini
diperlukan untuk memfasilitasi diskusi tentang proses bisnis dan pengendalian. Diskusi yang
dilakukan terkait dengan proses yang ada dibandingkan dengan proses yang diinginkan. Gap
yang terjadi dianalisis dan ditentukan langkah‐langkah untuk menutup gap tersebut. Auditor
internal menjadi penuntun dalam diskusi tersebut. Namun demikian, auditor internal harus
tetap objektif dan tidak masuk terlalu dalam kepada area yang menjadi tanggungjawab

manajemen. Auditor internal dalam kegiatan fasilitatif berfungsi sebagai narasumber, fungsi
pelaksanaan pengambil keputusan tetap berada pada pihak manajemen.
Pengasan konsultansi yang bersifat fasilitatif seperti:
1. memfasilitasi proses penilaian risiko organisasi;
2. memfasilitasi penilaian mandiri terhadap pengendalian oleh manajemen;
3. memfasilitasi manajemen dalam merancang kembali pengendalian dan prosedur untuk

suatu area yang berubah secara signifikan; dan
4. berlaku sebagai perantara (liaison) dalam isu‐isu pengendalian antara manajemen dengan
auditor ekstern, rekanan, dan kontraktor.
Walaupun penugasan dikelompokkan ke dalam tiga kelompok kegiatan konsultansi, dalam

pelaksanaannya setiap kegiatan tidak sepenuhnya berdiri sendiri. Seperti dalam kegiatan
fasilitatif, dalam proses pemberian layanannya, auditor internal juga memberikan pelatihan
kepada manajemen dan para pegawai yang terlibat untuk keberhasilan tujuan penugasan.
Secara umum, tahapan penugasan konsultansi secara esensial sama dengan penugasan
assurance. Terdapat tahapan perencanaan, pelaksanaan dan komunikasi. Namun demikian,
pelaksanaan tahapan tergantung dari sifat dan jenis penugasan, sehingga ada kemungkinan
salah satu langkah di dalam suatu tahapan tidak dilaksanakan. Selain itu, sangat penting untuk
diperhatikan bahwa jasa konsultansi dan assurance tidak selalu merupakan suatu penugasan
terpisah. Auditor internal harus menyadari bahwa jasa assurance dan konsultansi kadang
tergabung dalam satu penugasan, yang sering disebut sebagai penugasan gabungan (blended
engagement). Penugasan jenis ini menggabungkan sisi assurance dengan konsultansi dalam
suatu pendekatan terpadu (consolidated approach). Hal yang harus dijaga ialah independensi
dan objektivitas. Selain itu, komunikasi hasil penugasan juga perlu dipisahkan karena maksud
dan lingkup penugasan yang berbeda.
B. PEMILIHAN PENUGASAN KONSULTANSI
Sangat mungkin terjadi, keterbatasan sumber daya menjadikan fungsi auditor internal tidak
dapat menerima permintaan manajemen untuk melaksanakan penugasan konsultansi, sehingga
perlu dilakukan pemilihan atas penugasan ini secara selektif. Pemilihan seharusnya didasarkan

kepada tingkat besaran risiko yang terkait pada penugasan. Beberapa cara menetapkan
penugasan konsultansi adalah sebagai berikut.
1. Penugasan diusulkan selama proses penilaian risiko tahunan dan, jika penugasan
dikategorikan prioritas tinggi, penugasan tersebut dimasukkan ke dalam rencana audit
internal tahunan.
2. Penugasan spesifik yang diminta oleh manajemen.
3. Kondisi terkini atau perubahan‐perubahan yang mengharuskan fungsi auditor internal

memberi perhatian.
C. PROSES PENUGASAN KONSULTANSI
Diantara tiga jenis penugasan konsultansi, penugasan advisory adalah penugasan yang memiliki
tahapan paling mirip dengan tahapan jasa assurance. Untuk selanjutnya, modul ini membahas
kegiatan advisory. Secara umum, tiga tahapan dalam penugasan advisory sama dengan tahapan
penugasan assurance. Perbedaan terletak pada langkah‐langkah di dalam tahapannya. Pada
praktiknya, beberapa langkah mungkin tidak diperlukan.
Tabel 6.1 Tahap Penugasan Konsultansi

Sesuai dengan tahapan tersebut, auditor internal harus melakukan kegiatan‐kegiatan agar
tugas‐tugas advisory terlaksana secara sistematis dan sesuai dengan standar pelaksanaan tugas
auditor internal di bidang jasa konsultansi.
D. PERENCANAAN PENUGASAN KONSULTANSI
Kegiatan perencanaan dalam bidang advisory tidak jauh beda dengan kegiatan perencanaan di
bidang assurance. Beberapa perbedaannya adalah sebagai berikut.
1. Jika penugasan advisory dilakukan setelah rencana audit internal difinalkan, kegiatan
perencanaan biasanya lebih sensitif terhadap waktu dan kemungkinan perlu diselesaikan
dalam waktu yang sangat mendesak. Seringkali jangka waktu untuk penugasan semacam
ini tidak fleksibel sebagai akibat lingkungan yang melingkupi pengendalian fungsi audit
internal atau karena umpan balik sensitif terhadap waktu.
2. Tidak semua tahapan perencanaan cocok dengan setiap penugasan konsultansi, perlu
disesuaikan dengan kondisi yang ada.
Berikut penjelasan setiap langkah di dalam setiap tahapan perencanaan.
1. Penentuan Sasaran dan Ruang Lingkup Penugasan
Perencanaan penugasan advisory dimulai ketika penugasan konsultansi diidentifikasikan

dan dijadwalkan. Pada tahap perencanaan, auditor harus mampu mengenali dan
memahami ekspektasi pelanggan atas penugasan yang disepakati. Perolehan kesepakatan
tentang sasaran penugasan di awal penugasan sangatlah penting. Dalam penugasan
konsultansi sasaran mungkin tidak terdefinisi secara tetap dan dapat berubah sejalan
dengan semakin banyak informasi yang diperoleh. Contoh penugasan konsultansi jenis
advisory ialah:
a. reviu rancangan pengendalian dan pemberian masukan untuk perbaikan;
b. pemberian input tentang rancangan suatu proses baru;
c. reviu sistem komputer baru sebelum penerapannya;
d. pemberian saran selama proses reviu due dilligence untuk kegiatan merger dan
akuisisi.

Keterbatasan sumber daya harus dipahami dengan baik terkait dengan penugasan yang
dijalankan. Dengan demikian, fungsi auditor internal perlu memberi batasan dalam
penugasan baik dalam hal lingkup penugasan maupun waktu.
2. Memperoleh Persetujuan tentang Sasaran dan Ruang Lingkup dari Pemberi Penugasan
Seperti dinyatakan dalam standar IIA 2201 C1, persetujuan sasaran dan lingkup penugasan
harus mendapat persetujuan dari manajemen pemberi tugas (pelanggan). Kesepakatan ini
perlu didokumentasikan dan direviu bersama dengan manajemen pemberi tugas agar
tidak terjadi kesalahpahaman di kemudian hari. Selain itu, auditor perlu mendiskusikan
output yang diharapkan dari hasil penugasan. Hal ini perlu agar auditor mampu memenuhi
ekspektasi pemberi tugas.
3. Memahami Lingkungan Penugasan dan Proses Bisnis yang Relevan
Auditor akan berhasil dalam melaksanakan tugasnya jika dia memahami dengan baik di
lingkungan mana organisasi kliennya berada. Hal ini karena perspektif yang luas dan cara
pandang terhadap organisasi secara menyeluruh akan membantu auditor dalam
memberikan nilai tambah bagi organisasi.
4. Memahami Risiko‐risiko yang Relevan (jika diperlukan)
Auditor internal yang memberikan saran tentang risiko dan manajemen risiko seharusnya
memiliki pemahaman yang baik tentang toleransi organisasi dan pemberi tugas terhadap
risiko.
5. Memahami Rancangan Pengendalian (jika diperlukan)
Dalam beberapa kejadian, auditor perlu memahami pengendalian tertentu. Penentuan

pengendalian mana yang relevan membutuhkan judgement auditor. Sekali pengendalian
yang relevan dipahami, pengendalian tersebut harus dikaitkan dengan risiko terkait yang
teridentifikasi di langkah sebelumnya.
6. Mengevaluasi Rancangan Pengendalian (jika diperlukan)
Pengendalian yang teridentifikasi dalam langkah sebelumnya perlu dievaluasi, jika hal itu
relevan dengan penugasan konsultansi yang dilaksanakan.

7. Menentukan pendekatan pelaksanaan penugasan
Pendekatan penugasan harus dirancang untuk mencapai sasaran penugasan konsultansi

untuk pemberian saran. Hal ini mencakup penetapan auditor internal atas sifat, waktu dan
kecukupan bukti dan prosedur yang perlu dilakukan untuk memperoleh bukti.
8. Mengalokasikan Sumber Daya untuk Penugasan
Alokasi sumber daya memperhatikan kemampuan (pengetahuan, kelahlian dan

ketrampilan) dan pengalaman kerja auditor. Hal ini perlu untuk mempercepat dan
meyakinkan bahwa penugasan dapat mencapai sasaran penugasan yang telah ditetapkan.
E. PELAKSANAAN PENUGASAN KONSULTANSI
Setiap kegiatan penugasan konsultansi memiliki langkah yang berbeda, beberapa prosedur yang
dilaksanakan dalam penugasan tersebut mencakup:
1. pemahaman isu‐isu manajemen yang berkaitan dengan area yang sedang direviu;
2. perolehan informasi;
3. melakukan prosedur analitis;
4. mereviu berbagai dokumen, termasuk struktur organisasi, bagan arus proses, dan
prosedur standar (SOP);
5. penggunaan teknik audit berbantuan komputer;
6. pemahaman pengendalian dan penetapan pengendalian yang perlu ditingkatkan; dan
7. evaluasi efisiensi pengendalian yang ada.
Dapat tidaknya prosedur tersebut diaplikasikan tergantung pada sifat penugasan konsultansi.
1. Pengumpulan dan Evaluasi Bukti
Audior harus memperoleh bukti yang cukup untuk mendukung ketercapaian sasaran
penugasan. Auditor mengevaluasi bukti dan menetapkan jenis saran yang akan diberikan.
Evaluasi bukti perlu didokumentasikan ke dalam kertas kerja.

2. Penyusunan Saran
Penting untuk dipastikan bahwa saran yang diberikan untuk mencapai sasaran yang
ditetapkan dalam penugasan, dapat dimengerti oleh klien, dan dapat dilaksanakan. Saran
harus mengindikasikan secara jelas bahwa apa yang diperlukan klien dapat dicapai.
F. KOMUNIKASI DAN TINDAK LANJUT
Komunikasi hasil penugasan penting baik dalam penugasan assurance maupun konsultansi. Ada
kesamaan dan ada pula perbedaannya. Berikut adalah langkah‐langkah komunikasi.
1. Menentukan Sifat dan Bentuk Komunikasi dengan Pemberi Tugas
Komunikasi dalam penugasan konsultansi dapat berbagai bentuk. Tergantung dari sifat
penugasan dan ekspektasi klien, komunikasi dapat lebih informal jika dibandingkan
dengan penugasan assurance misal cukup dengan presentasi, memorandum atau e‐mail.
2. Melakukan Pembahasan Saran dengan Manajemen
Ada kemungkinan suatu hal mempengaruhi ketepatan saran yang diberikan oleh auditor
kepada kliennya. Oleh karena itu, saran perlu dipahami oleh klien, dan dapat
diimplementasikan secara efektif.
3. Melaksanakan Komunikasi Interim dan Komunikasi Awal Penugasan
Penugasan konsultansi sangat sensitivitas terhadap waktu, hal ini mengakibatkan perlunya
melakukan komunikasi segera dan sesering mungkin.
4. Membangun Komunikasi Akhir Hasil Penugasan
Formal atau tidaknya bentuk komunikasi, selain tergantung dari jenis jasa yang diberikan
(konsultansi atau assurance) juga tergantung kepada kesepakatan antara auditor dengan
klien tentang materi apa yang akan disampaikan.
5. Mendistribusikan Komuniksi Akhir Hasil Penugasan
Komunikasi akhir penugasan konsultansi disampaikan kepada pihak yang menerima jasa
fungsi auditor internal.

6. Melaksanakan Pemantauan dan Tindak Lanjut (jika diperlukan)
Kegiatan pemantauan dan tindak lanjut dalam jasa konsultansi bisa dilakukan selama
proses penugasan. Dengan demikian, maka kemungkinan kegiatan pemantauan dan
tindak lanjut tidak diperlukan lagi, mengingat selama penugasan telah langsung dilakukan
perbaikan.
G. PERUBAHAN JASA KONSULTANSI
Kegiatan auditor intern sebelumnya berfokus pada jasa assurance. Adanya perubahan
paradigma menuntut auditor selain memberikan jasa assurance juga memberikan jasa
konsultansi. Hal ini berimplikasi perlunya perubahan mindset auditor. Auditor internal dituntut
untuk memberikan nilai tambah dari hasil kerjanya. Nilai hasil kerja auditor internal akan
bertambah jika sanggup mendorong pencapaian tujuan organisasi, memudahkan peningkatan di
bidang operasional, dan/atau mengurangi risiko. Hal ini dimungkinkan karena auditor internal
memiliki pengetahuan dan keahlian di bidang tata kelola, manajemen risiko dan pengendalian.
H. KAPABILITAS YANG DIPERLUKAN
Secara khusus, auditor internal yang melaksanakan kegiatan konsultansi diharapkan memiliki
kemampuan sebagai berikut.
1. Memiliki keahlian memfasilitasi dan kolaborasi.
2. Memiliki pengalaman tugas secara umum maupun keahlian spesifik.
3. Mampu membangun hubungan baik dengan cepat dan memiliki keahlian interpersonal
yang kuat.
4. Mampu berpikir analitis dalam menyelesaikan masalah‐masalah yang tidak terstruktur.
5. Mampu belajar dan beradaptasi secara cepat di tengah lingkungan yang dinamik.
6. Mampu memproses dan merespon informasi secara cepat.

BPKP
Bab VII
PENGARUH PERKEMBANGAN
TEKNOLOGI INFORMASI
Setelah mempelajari bab ini, diharapkan para peserta diklat memiliki pengetahuan
mengenai sistem teknologi informasi dalam melaksanakan kegiatan audit intern.
A. PERKEMBANGAN TEKNOLOGI INFORMASI
Komputer bukan lagi barang baru bagi masyarakat dewasa ini. Dari televisi, AC, DVD Player dan
peralatan elektronik lainnya dikendalikan oleh microchip, otak komputer. Tapi, sayang sekali
auditor internal belum memanfaatkan komputer dalam melakukan tugasnya. Saat ini komputer
bagi sebagian besar auditor masih sebagai pengganti mesin ketik, yang hanya digunakan untuk
aplikasi word processor (MS Word) dan spreadsheet (MS Excel).
Berbagai alasan yang biasa digunakan, misalnya ”Saya bukan auditor sistem informasi”, atau
”Dengan cara begini juga bisa”. Walaupun demikian, kita tidak dapat menutup mata akan
kemampuan komputer jika digunakan sesuai kemampuannya. Pada bab terdahulu sudah
disinggung keuntungan memanfaatkan komputer dalam mendapat berbagai informasi dengan
mudah dari proses e‐procurement. Ditengah perkembangan teknologi yang pesat seperti
sekarang ini, auditor harus mulai meninggalkan tehnik audit manual.
Gambaran auditor dengan kaca mata tebal, dengan kalkulator di tangan dan tenggelam di
tumpukan dokumen, saat ini seharusnya sudah tidak ada lagi. Perkembangan teknologi telah
masuk kerumah, kantor dan sekolah. Sudah saatnya perkembangan teknologi dimanfaatkan
dalam dunia auditor internal.
B. PEMANFAATAN TEKNOLOGI INFORMASI OLEH ORGANISASI PEMERINTAH
Teknologi informasi telah mengubah cara penyimpanan, pemrosesan dan pengolahan data
transaksi. Perkembangan teknologi membuat komputer makin cepat, efisien, mampu
menyimpan memory dalam jumlah besar dan mampu melakukan kalkulasi yang rumit. Hal ini

telah dimanfaatkan diberbagai bidang. Dalam bidang akuntansi, komputer telah memfasilitasi
penyelenggaraan akuntansi dan penyusunan laporan keuangan. Perubahan dari akuntansi
manual ke akuntansi berbasis komputer dapat dilihat dalam gambar berikut.
Sistem akauntansi manual

Bukti Jurnal Buku Neraca Laporan
Transaksi Besar Saldo Keuangan
Buku
Pembantu
Sistem akuntansi Berbasis Komputer

Bukti Aplikasi Laporan
Transaksi Komputer Keuangan
Gambar 7. 1 Sistem Akuntansi Manual dan Sistem Akuntansi Berbasis komputer
Perbedaan karakteristik pemrosesan secara manual dan pemrosesan komputer antara lain
sebagai berikut.
1. Jejak‐jejak transaksi (transaction trails) pemrosesan manual sangat berbeda dengan

pemrosesan komputer. Jejak transaksi manual berupa ”kertas” dengan paraf, tanda
tangan dan tanda thick mark. Jejak pemrosesan komputer tidak tampak dalam bentuk
kertas namun tersedia dalam bentuk yang dapat dibaca komputer.
2. Pemrosesan transaksi secara seragam (uniform processing of transaction).
Pemrosesan komputer menempatkan transaksi sejenis pada instruksi pemrosesan yang

sama. Sehingga menghilangkan terjadinya kesalahan tulis yang biasa terjadi pada proses
manual. Sebaliknya, kesalahan proses komputer akan mengakibatkan kesalahan seragam
pada transaksi yang sama.

Instansi pemerintah pusat sudah wajib untuk menerapkan aplikasi sistem akuntansi instansi
(SAI), sistem informasi manajemen akuntansi barang milik negara (SIMAK BMN), dan berbagai
aplikasi lainnya. Instansi pemerintah daerah tidak mau ketinggalan, berbagai aplikasi sudah
diterapkan. Aplikasi pengelolaan keuangan untuk pemerintah daerah cukup beragam, misalnya
sistem informasi manajemen daerah (SIMDA), sistem informasi pengelolaan keuangan daerah
(SIPKD) dan sistem informasi manajemen keuangan daerah (SIMKADA) dan aplikasi lainnya.
Perkembangan ini memunculkan berbagai implikasi, misalnya berkurangnya dokumen dalam
bentuk kertas dan munculnya risiko‐risiko baru terkait penggunaan sistem informasi.
C. PEMANFAATAN TEKNOLOGI INFORMASI BAGI AUDITOR INTERNAL
International Standards for the Professional Practice of Internal Auditing (IPPF‐2013), pada point
1220.A2 menyatakan bahwa :
“In exercising due professional care internal auditors must consider the use of technology‐
based audit and other data analysis techniques”.
Auditor internal harus mempertimbangkan untuk melakukan audit berbasis teknologi dan
teknik analisis data lainnya.
Menurut Webber (2000), terdapat beberapa alasan mengapa auditor internal harus memberi
perhatian lebih pada pemanfaatan teknologi informasi organisasi, antara lain sebagai berikut.
1. Adanya Risiko Kehilangan dan Kebocoran Data
Data telah menjadi sumber daya penting bagi organisasi. Kehilangan data dapat
disebabkan karena virus, kerusakan server, hacker dan sebab lainnya. Hal ini akan
menimbul kerugian organisasi dan kemungkinan tuntutan pihak ketiga.
2. Kesalahan Pengambilan Keputusan
Saat ini telah banyak organisasi memanfaatkan teknologi informasi untuk membantu
pengambilan keputusan dengan memanfaatkan aplikasi Decission Support Systems (DSS).
3. Penyalahgunaan Komputer
Kecurangan banyak terjadi melalui penyalahgunaan akses langsung maupun on line.

Penyalahgunaan akses serta kejahatan dunia maya (cyber crime) oleh peretas jaringan
(hackers dan crackers) dapat menimbulkan kerugian bagi organisasi.

4. Kerugian kesalahan Proses
Kemampuan computer untuk melakukan proses rumit telah dimanfaatkan dalam proses
bisnis organisasi. Namun bukan berarti hal ini tanpa risiko, terutama bila tidak dilakukan
pengujian awal dan pengujian berkala.
5. Tingginya Nilai Investasi TI
Investasi yang dikeluarkan oleh organisasi untuk pengembangan teknologi informasi

sangat besar. Audit sistem informasi dapat meningkatkan efektifitas investasi pada TI
dimaksud.
Menurut ISACA (Information Systems Audit and Control Association) mendefinisikan

“technology‐based audit” atau “Komputer Assisted Audit Technique (CAAT)” sebagai:
automatisasi teknik audit, antara lain seperti Generalized Audit Software (GAS), pengujian data
otomatis, audit program terkomputerisasi, dan audit sistem. Beberapa CAAT yang biasa
digunakan antara lain Generalized Audit Software (GAS), yaitu software serbaguna yang dapat
melakukan berbagai tugas auditor seperti pemilihan sample, pencocokan, penghitungan ulang
dan pelaporan.
Program aplikasi audit yang banyak tersedia di pasaran adalah ACL (Audit Command Language)
dan IDEA (Interactive Data Extraction and Analysis). ACL dan IDEA dapat membantu auditor
dalam mencari transaksi sesuai kriteria yang ditentukan dari ribuan transaksi yang ada. Dalam
proses perencanaan, aplikasi ini dapat membantu auditor menentukan jumlah populasi,
mendapat data anggaran, dan realisasi tahun ini dan tahun sebelumnya, serta membantu
melakukan trend analisis. Hasilnya auditor internal dapat memahami kegiatan organisasi yang
diaudit tanpa harus meninggalkan meja kerjanya.
Pada tahap pelaksanaan penugasan, aplikasi audit dapat membantu dalam:
1. melakukan pengujian dan control hubungan;
2. menguji kontrol total;
3. mengelompokkan biaya dan pendapatan per‐bulan, per‐lokasi, dan per‐sumber anggaran;
4. memilih sample statistic; dan
5. membuat judgmental samples sesuai risiko atau materialitas.

Auditor dapat menggunakan tiga pendekatan dalam melaksanakan audit, yaitu: audit sekitar
komputer (auditing around computer); audit melalui komputer (auditing through computer);
dan audit dengan komputer (auditing with computer). Tiga pendekatan tersebut secara garis
besar dapat dikelompokkan dalam dua cara, yaitu audit dengan komputer (audit with computer)
dan audit tanpa komputer (audit without computer), sebagai berikut.
1. Audit Tanpa Komputer
Audit ini sering disebut dengan auditing around computer. Dalam audit ini pengujian
hanya dilakukan sebatas pada masukan dan keluaran komputer saja, sedangkan penilaian
pemrosesan sistem informasi diabaikan. Auditor mendapatkan dokumen sumber dalam
bentuk hard copy atau dalam bentuk soft copy yang mudah dibaca komputer (Microsoft
Excel).
Keunggulan metode ini terletak pada kesederhanaannya dan dapat dipelajari oleh auditor
yang memiliki kemampuan minimal dalam bidang komputer. Dalam metode ini, auditor
menguji pengendalian input, menentukan hasil yang diharapkan dan membandingkan
output dengan hasil yang diharapkan.
2. Audit dengan komputer
Dalam audit ini, auditor memanfaatkan Computer Assisted Audit Techniques (CAAT).
Bentuk awal pendekatan ini adalah pemanfaatan komputer sebagai alat untuk melakukan
dokumentasi, perhitungan, perbandingan dan sebagainya. Audit ini menguji pemrosesan
data oleh sistem aplikasi komputer auditi dengan auditing through computer.
Untuk memeriksa program komputer, auditor memasukkan data kedalam komputer

untuk diproses dan dianalisis hasilnya. Hasil teknik ini lebih dapat dipercaya dibandingkan
dengan teknik audit di sekitar komputer. Namun demikian, teknik ini membutuhkan biaya
dan tenaga ahli yang lebih berpengalaman.
Perkembangan selanjutnya, teknik audit ini mengarah pada penggunaan komputer dan software
untuk mengotomatisasi prosedur audit. Software tersebut antara lain dapat dikelompokkan
menjadi :

1. Generalized Audit Software (GAS)
GAS merupakan software audit serbaguna yang dapat digunakan untuk pemilihan data,
pembandingan, perhitungan kembali dan pelaporan seperti ACL dan IDEA.
2. Specialized Audit Software (SAS)
SAS merupakan perangkat lunak yang dirancang secara khusus sesuai kebutuhan auditor
untuk situasi audit tertentu. Meskipun pemrograman SAS dapat diserahkan pada
programmer, namun auditor juga perlu memahami konsep pemrograman secara umum.
Contoh pemanfaatan teknologi informasi dalam audit antara lain sebagai berikut.
Contoh 1
Audit pada Perusahaan Daerah Air Minum (PDAM) yang telah menggunakan Sistem Informasi
Akuntansi PDAM (SIA‐PDAM). Dalam audit ini auditor dapat melakukan berbagai prosedur audit
dengan bantuan teknologi informasi. Prosedur yang dapat dilakukan antara lain:
1. membandingkan saldo‐saldo dalam laporan keuangan dengan buku besar dan transaksi
pendukungnya;
2. pengujian tagihan kepada pelanggan berdasarkan golongan kelompok pelanggan, tarif

dan pemakaian air;
3. merinci jumlah pelanggan sesuai kelompoknya; dan
4. pengujian kebenaran penggunaan air.
Contoh 2
Audit pada satuan kerja yang telah menggunakan sistem informasi akuntansi (SAI pada instansi
pemerintah pusat dan SIMDA pada instansi pemerintah daerah). Dalam audit ini auditor dapat
melakukan prosedur audit berikut dengan bantuan teknologi informasi.
1. Membandingkan saldo‐saldo dalam laporan keuangan dengan buku besar dan transaksi
pendukungnya.
2. Menguji pencatatan belanja modal dengan daftar aset tetap.
3. Merinci realisasi belanja per jenis belanja, per urusan (untuk pemerintah daerah) dan per
fungsi/sub fungsi (untuk pemerintah pusat).

Contoh 3
Sebagaimana dicontohkan pada bab sebelumnya, audit atas proses PBJ yang sudah
dilaksanakan dengan metode e‐procurement, melalui LPSE (lembaga pengadaan secara
elektronik), auditor dapat memperoleh informasi dan melakukan pengujian terkait proses PBJ,
misalnya :
1. harga perkiraan sendiri (HPS);
2. dokumen pengadaan (spesifikasi dan syarat‐syarat lain);
3. peserta yang mendaftar dan peserta yang melakukan penawaran;
4. tanya jawab yang terjadi dalam proses pemberian penjelasan; dan
5. hasil evaluasi kualifikasi, teknis dan harga.

BPKP
Daftar Pustaka
Alkafaji, Yass. et.al. 2010. The IIA’s Global Internal Audit Survey: A Component of the CBOK Study
Characteristics of an Internal Audit Activity.
Coderre, David. 2009. Internal Audit: Efficiency through Automation.
Griffiths, David. 2010. Risk Based Internal Auditing. A Compilation.
Griffiths, David. 2010. Risk Based Internal Auditing. An Implementation.
Griffiths, David. 2010. Risk Based Internal Auditing. An Introduction.
Kastowo, Marno. 2013. Teknologi Informasi dan Sistem Akuntansi Instansi.

th
Moeller, Robert R. Brink’s Modern Internal Auditing, A Common Body of Knowledge. 7 Edition,
2009.
nd
Pickett, K. H. Spencer. 2003. The Internal Auditing Handbook. 2 Edition.
Pusat Pendidikan dan Pelatihan Pengawasan BPKP. 2009. Audit Berbasis Risiko ‐ Perencanaan
Mikro.
Pusat Pendidikan dan Pelatihan Pengawasan BPKP. 2009. Auditing.
Pusat Pendidikan dan Pelatihan Pengawasan BPKP. 2011. Perencanaan Penugasan Audit.
nd
Reding, Kurt F. et.al. 2009. Internal Auditing: Assurance and Consulting Services. 2 Edition.
The Institute of Internal Auditors – UK and Ireland. 2003. An Approach to Implementing Risk
Based Internal Auditing: Professional Guidance for Internal Auditors.
The Institute of Internal Auditors. 2012. International Standards for The Professional Practice of
Internal Auditing (Standards).
Audit Int 9
BPKP

A Uidit

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

A Uidit

Diunggah oleh

Hak Cipta:

Format Tersedia

AUDIT INTERNAL

PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN

Edisi Pertama : Tahun 2014

Penyusun : M. Fahrudin, S.E., M.Acc.

Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau

Ciawi, 30 April 2014

Nurdin, Ak., M.B.A.

Kata Pengantar ..................................................................................................................................i

2 Audit Int 2014 |Pusdiklatw 1

Setelah mengikuti proses pembelajaran ini, peserta diklat diharapkan memiliki

2. prinsip‐prinsip kegiatan pengawasan lain, antara lain kegiatan sosialisasi mengenai

3. praktik‐praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan

4. sistem teknologi informasi dalam melaksanakan kegiatan audit intern; dan

Modul Audit Internal disajikan dengan sistematika sebagai berikut.

Bab II Gambaran Umum

Bab III Perencanaan Penugasan Assurance

2 Audit Int 2014 |Pusdiklatw 2

Bab IV Pelaksanaan Penugasan Assurance

Bab V Pelaporan Penugasan Assurance

Bab ini menjelaskan mengenai penyampaian simpulan sementara, penyusunan

Bab VI Penugasan Konsultansi

Bab VII Pengaruh Perkembangan Teknologi Informasi

Bab ini menjelaskan mengenai perkembangan teknologi informasi dan pemanfaatan

Metode yang digunakan untuk mencapai tujuan pembelajaran adalah:

Widyaiswara/instruktur menjelaskan mengenai Audit Internal atau bersifat deskriptif.

2 Audit Int 2014 |Pusdiklatw 3

Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang

Peserta berlatih menyelesaikan soal‐soal yang terkait dengan audit internal.

4 Audit Int 2014 |Pusdiklatw 4

A. PENGERTIAN INTERNAL AUDIT

Definisi menurut American Accounting Association (AAA) adalah:

Definisi Internal Audit menurut Sawyer (2005: 10) adalah:

4 Audit Int 2014 |Pusdiklatw 5

Internal auditing is an independent, objective assurance and consulting activity designed to

6 Audit Int 2014 |Pusdiklatw 6

Peran assurance dilakukan dengan memberikan penilaian/pendapat objektif terkait suatu

Membantu Organisasi untuk Mencapai Tujuannya

Pendekatan yang Sistematis dan Disiplin

6 Audit Int 2014 |Pusdiklatw 7

URAIAN WATCHDOG CONSULTANT CATALYST

8 Audit Int 2014 |Pusdiklatw 8

C. PERKEMBANGAN RISK BASED AUDIT

Mengapa Risiko menjadi pusat perhatian Auditor Internal?

8 Audit Int 2014 |Pusdiklatw 9

2. Mengumpulkan informasi/bukti yang mendukung simpulan diatas antara lain berupa:

c. tingkat risk appetite yang ditetapkan pimpinan operasi;

d. prosedur yang digunakan manajemen untuk mengidentifikasi risiko;

e. bukti bahwa manajemen mempertimbangkan risiko dalam pengambilan keputusan;

1 Audit Int 2014 |Pusdiklatw 1

Risk Maturity Karakteristik kunci Pendekatan Internal Audit

Penekanan audit pada proses manajemen

1 Audit Int 2014 |Pusdiklatw 1

Audit Universe (Peta Objek Audit)

• Risiko yang telah teridentifikasi dan telah dilengkapi dengan score.

• Tujuan yang terancam oleh masing‐masing risiko.

• Pemilik Risiko (risk owner).

• Pengendalian yang diterapkan oleh manajemen.

1 Audit Int 2014 |Pusdiklatw 1

• Informasi mengenai audit‐audit yang telah dan akan dilakukan.

• Informasi lain terkait pengendalian dan risiko.

• Penugasan‐penugasan audit yang sedang berlangsung.

• Risiko‐risiko yang mengancam tujuan tertentu.

• Rincian risiko‐risiko yang diurutkan berdasar score‐nya.