Pusdiklatwas BPKP
Jl. Beringin II, Pandansari, Ciawi, Bogor 16720
Telp. (0251) 8249001 ‐ 8249003
Fax. (0251) 8248986 ‐ 8248987
Email : pusdiklat@bpkp.go.id
Website : http://pusdiklatwas.bpkp.go.id
e‐Learning : http://lms.bpkp.go.id
Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu
manajemen untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan
(assurance activities) dan layanan konsultansi (consulting activities) sesuai standar, sehingga
memberikan perbaikan efisiensi dan efektivitas atas tata kelola, manajemen risiko, dan
pengendalian intern organisasi. Selain itu, Peraturan Pemerintah Nomor 60 Tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah mengatur bahwa pelaksanaan audit intern di
lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai tugas
melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor.
Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang
transparan dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek
pelaksanaan tugas umum pemerintahan dan pembangunan yang dituangkan dalam Undang‐
Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN.
Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah
pendidikan dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan
pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi
tertentu sesuai dengan perannya sesuai dengan keputusan bersama Kepala Pusat Pembinaan
Jabatan Fungsional Auditor dan Kepala Pusat Pendidikan dan Pelatihan Pengawasan Badan
Pengawasan Keuangan dan Pembangunan Nomor KEP‐82/JF/1/2014 dan Nomor KEP‐
168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional Auditor.
Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan
dengan sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk
menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini
ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi
auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi
auditor.
Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan
kontribusi atas terwujudnya modul ini.
Audit Int i
ii 2014 |Pusdiklatwas
BPKP
Daftar Isi
Audit Int 3
Bab VI PENUGASAN KONSULTANSI............................................................................................. 81
A. Jenis Jasa Konsultansi .................................................................................................................. 81
B. Pemilihan Penugasan Konsultansi ........................................................................................... 83
C. Proses Penugasan Konsultansi.................................................................................................. 84
D. Perencanaan Penugasan Konsultansi ..................................................................................... 85
E. Pelaksanaan Penugasan Konsultansi ...................................................................................... 87
F. Komunikasi dan Tindak Lanjut .................................................................................................. 88
G. Perubahan Jasa Konsultansi ...................................................................................................... 89
H. Kapabilitas yang Diperlukan ...................................................................................................... 89
Bab VII PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI .................................................. 91
A. Perkembangan Teknologi Informasi ....................................................................................... 91
B. Pemanfaatan Teknologi Informasi oleh Organisasi Pemerintah .................................... 91
C. Pemanfaatan Teknologi Informasi Bagi Auditor Internal ................................................. 93
Daftar Pustaka................................................................................................................................ 99
iv 2014 |Pusdiklatwas
BPKP
Daftar Gambar dan Tabel
Gambar
Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI..............................................13
Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran...........................................34
Gambar 3.2 Pengendalian Mitigative dan Preventive ................................................................39
Gambar 3.3 Peta Risiko...............................................................................................................41
Gambar 4.1 Contoh Hubungan PKA dengan KKA .......................................................................60
Gambar 4.2 Hubungan Antara Sampling Error Dengan Jumlah Sampling .................................61
Gambar 6.1 Jenis Jasa Konsultansi .............................................................................................81
Gambar 7.1 Sistem Akuntansi Manual dan Sistem Akuntansi Berbasis komputer ....................92
Tabel
Tabel 2.1 Perubahan Paradigma Auditor Internal....................................................................8
Tabel 2.2 Tingkatan Risk Maturity dan Langkah yang akan diambil Auditor Internal............11
Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi ...............20
Tabel 3.1 Tahapan Penugasan Assurance...............................................................................25
Tabel 3.2 Format Hasil Identifikasi Risiko...............................................................................36
Tabel 3.3 Format Hasil Penilaian Risiko..................................................................................39
Tabel 3.4 Format Tahap Matriks Risiko dan Pengendalian ....................................................53
Tabel 3.5 Format Program Kerja Audit ...................................................................................54
Tabel 4.1 Jumlah Populasi dan Sampel (Krejcie dan Morgan) ...............................................62
Tabel 4.2 Format Matriks Risiko dan Pengendalian serta Hasil Pengujian ............................63
Tabel 4.3 Matriks Risiko dan Pengendalian serta judgement yang diambil...........................65
Tabel 6.1 Tahap Penugasan Konsultansi ................................................................................84
Audit Int 5
vi 2014 |Pusdiklatwas
BPKP
Bab I
PENDAHULUAN
A. LATAR BELAKANG
Perkembangan jasa yang diberikan oleh aparat pengawasan internal (auditor internal) dewasa
ini mengalami peningkatan yang luar biasa, untuk merefleksikan pemberdayaan kedudukan unit
pengawasan internal dalam suatu organisasi. Peran sebagai watchdog yang selama ini menjadi
ciri khas unit pengawasan internal telah mengalami pergeseran dan perluasan menjadi
konsultan dan katalis bagi organisasi.
The Institute of Internal Auditors (IIA) sebagai institusi profesi auditor internal telah menetapkan
standar profesional pelaksanaan audit internal yang menyatakan, bahwa aktivitas audit internal
dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Auditor
internal membantu organisasi dalam mencapai tujuannya dengan menggunakan pendekatan
yang sistematis dan disiplin, untuk mengevaluasi dan meningkatkan efektivitas pengelolaan
risiko, pengendalian dan proses tata kelola.
Modul ini disusun untuk membekali para auditor/calon auditor agar dapat melaksanakan
penugasan sebagai auditor internal. Lingkup tugas sebagai auditor internal cukup luas, yang
terdiri dari penugasan assurance berupa audit, evaluasi, reviu, dan pemantauan serta
penugasan konsultansi berupa asistensi, bimbingan teknis, konsultan dan penugasan lain. Hal‐
hal yang perlu diketahui calon auditor mengenai kegiatan auditor internal berusaha dicakup
dalam modul ini, namun para auditor/calon auditor internal harus memperkaya
pengetahuannya dengan mencari sumber pengetahuan lain.
B. KOMPETENSI DASAR
Kompetensi dasar yang diharapkan setelah mempelajari modul Audit Internal ini adalah
peserta diklat diharapkan mampu menjelaskan konsepsi pelaksanaan audit intern.
1. prinsip‐prinsip audit kinerja, audit atas aspek keuangan tertentu, audit untuk tujuan
tertentu, dan audit khusus/ investigasi/berindikasi tindak pidana korupsi;
5. metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain.
D. SISTEMATIKA MODUL
Bab I Pendahuluan
Bab ini berisi latar belakang, kompetensi dasar, indikator keberhasilan, deskripsi
singkat, serta metode pembelajaran.
Bab ini menjelaskan mengenai pengertian internal audit, perubahan paradigma APIP,
perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan
penugasan audit internal.
Bab ini menjelaskan mengenai penetapan tujuan dan lingkup assurance audit
internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko,
identifikasi
Bab ini menjelaskan mengenai pengujian dan pengumpulan bukti, evaluasi bukti dan
pengambilan kesimpulan serta pengembangan temuan dan rekomendasi.
Bab ini menjelaskan mengenai jenis, pemilihan, dan proses serta praktik penugasan
konsultansi selain itu juga menjelaskan mengenai perubahan jasa konsultansi dan
kapabilitas yang diperlukan.
E. METODE PEMBELAJARAN
1. Ceramah
3. Latihan
Internal audit di seluruh dunia melakukan kegiatan yang cukup bervariasi tergantung pada
kondisi dan kebutuhan organisasi. Akibatnya muncul beberapa definisi internal audit antara lain
sebagai berikut.
Internal audit adalah proses sistematis untuk secara objektif memperoleh dan
mengevaluasi asersi mengenai tindakan dan kejadian‐kejadian ekonomis untuk
meyakinkan derajat kesesuaian antara asersi ini dengan kriteria yang ditetapkan dan
mengomunikasikannya ke pengguna yang berkepentingan.
Internal audit adalah sebuah penilaian yang sistematis dan objektif yang dilakukan auditor
internal terhadap operasi dan kontrol yang berbeda‐beda dalam organisasi untuk
menentukan apakah: (1) informasi keuangan dan operasi telah akurat dan dapat
diandalkan; (2) risiko yang dihadapi organisasi telah diidentifikasi dan diminimalisasi; (3)
peraturan eksternal serta kebijakan dan prosedur internal yang bisa diterima telah diikuti;
(4) kriteria operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan
secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif—semua
dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu
anggota organisasi dalam menjalankan tanggung jawabnya secara efektif.
Definisi Audit Internal (Pengawasan intern) menurut Standar Audit Aparat Pengawasan Intern
Pemerintah (APIP) adalah:
Pengawasan intern adalah seluruh proses kegiatan audit, reviu, pemantauan, evaluasi,
dan kegiatan pengawasan lainnya berupa asistensi, sosialisasi dan konsultansi terhadap
Definisi internal audit menurut The Institute of Internal Auditor’s (IIA) adalah:
Internal Audit adalah kegiatan konsultasi dan assurance independen yang dirancang untuk
memberikan nilai tambah dan perbaikan operasi organisasi. Internal audit membantu
organisasi untuk mencapai tujuannya melalui pendekatan yang sistematis dan disiplin
dalam mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendali‐an, dan
proses tata kelola.
Kedua definisi pertama, yaitu definisi menurut AAA dan Sawyer, belum memasukkan peran
auditor internal sebagai konsultan. Sementara dalam praktik, terjadi peningkatan signifikan
peran auditor internal sebagai konsultan yang memberikan nilai tambah bagi organisasi. Maka
definisi yang akan digunakan modul ini adalah dua definisi terakhir, yaitu definisi menurut
Standar Audit APIP dan definisi menurut IIA. Kedua definisi ini serupa dimana membagi peran
auditor internal ke dalam dua kelompok assurance dan consulting (dalam Standar Audit APIP
disebut : pengawasan lainnya).
Analisis lebih lanjut terhadap definisi Internal Auditing dilakukan dengan analisis masing‐masing
kata kunci definisi internal audit menurut IIA sebagai berikut.
Internal Audit
Audit merupakan suatu proses penilaian terhadap informasi, kondisi, operasi dan/atau
pengendalian, yang dilakukan secara objektif oleh pihak yang kompeten dan independen. Kata
internal dapat diartikan bahwa kegiatan audit dilaksanakan sendiri oleh organisasi atau oleh
pegawai organisasi tersebut. Hal ini untuk membedakan dengan audit eksternal yang
dilaksanakan oleh akuntan publik atau Badan Pemeriksa Keuangan (BPK).
Konsultansi
Peran sebagai konsultan muncul setelah terjadi perubahan paradigma auditor internal.
Paradigma lama auditor internal sebagai watchdog, telah bertambah dengan peran sebagai
konsultan dan catalist. Peran konsultan pada umumnya bersifat pemberian saran, atau layanan
lain dengan sifat dan ruang lingkup berdasar kesepakatan antara auditor dengan yang
disepakati dengan manajemen. Layanan konsultasi ini bertujuan untuk memberi nilai tambah
dan meningkatkan tata kelola, manajemen risiko dan pengendalian organisasi. Dalam Standar
Audit APIP, kegiatan konsultansi ini disebut dengan kegiatan pengawasan lainnya, yang terbagi
dalam kegiatan berupa asistensi, sosialisasi dan konsultansi.
Independen
Independen adalah suatu kondisi dimana auditor internal terbebas dari segala kondisi yang
mengancam kemampuannya dalam bertindak objektif/tidak bias.
dalam definisi IIA ditegaskan bahwa tujuan auditor internal adalah membantu organisasi dalam
mencapai tujuannya. Hal ini dapat dilakukan melalui meningkatkan efektivitas manajemen risiko
(dimana risiko yang mengganggu pencapaian tujuan organisasi merupakan fokus utama),
pengendalian internal (untuk memastikan bahwa tujuan organisasi terwujud), dan proses tata
kelola (organisasi tanpa tata kelola yang baik tidak akan berhasil mencapai tujuannya).
Auditor internal telah memiliki standar audit dan standar perilaku yang jelas, sehingga dapat
dijamin bahwa auditor internal telah bekerja dengan sistematis dan disiplin.
Peran auditor internal pada awal keberadaannya berperan utama sebagai watchdog, namun
sejak tahun 1970‐an telah mengalami pergeseran menjadi konsultan. Adapun peran auditor
internal sebagai katalis, baru berkembang sekitar tahun 1990‐an. Perubahan paradigma ini tidak
berarti bahwa peran sebagai watchdog ditinggalkan, tetapi justru peran auditor internal meluas.
Tabel berikut ini menggambarkan secara singkat perubahan paradigma auditor internal.
Peran watchdog meliputi aktivitas inspeksi, observasi, perhitungan, pengujian transaksi yang
bertujuan untuk memastikan ketaatan terhadap ketentuan, peraturan atau kebijakan yang telah
ditetapkan. Audit yang dilakukan adalah audit kepatuhan (compliance audit) dan apabila
dijumpai penyimpangan dapat dilakukan koreksi atas sistem pengendalian manajemen. Peran
watchdog umumnya menghasilkan rekomendasi yang mempunyai dampak jangka pendek, yaitu
perbaikan atas kesalahan yang sudah terjadi.
Peran auditor internal sebagai konsultan diharapkan dapat memberikan manfaat berupa
nasehat (advice) dalam pengelolaan sumber daya (resources) organisasi, sehingga dapat
membantu tugas para pimpinan di tingkat operasional. Audit yang dilakukan adalah audit
operasional yaitu untuk meyakini apakah organisasi telah memanfaatkan sumber daya
organisasi secara ekonomis, efisien, dan efektif, sehingga dapat dinilai apakah manajemen telah
menjalankan aktivitas organisasi yang mengarah kepada tujuannya. Rekomendasi yang dibuat
umumnya bersifat jangka menengah, yaitu memperbaiki dan meningkatkan efektifitas dan
efisiensi operasi organisasi.
Peran auditor internal sebagai katalis berkaitan dengan jaminan kualitas (quality assurance).
Auditor diharapkan dapat membimbing manajemen dalam mengenali berbagai risiko yang
mengancam pencapaian tujuan organisasi. Pemberian jasa jaminan kualitas bertujuan untuk
meyakinkan bahwa aktivitas organisasi yang dijalankan, telah menghasilkan keluaran (output)
Definisi Risiko menurut Peraturan Pemerintah Nomor 60 Tahun 2008 adalah Kemungkinan
kejadian yang mengancam pencapaian tujuan instansi pemerintah. Sementara itu, tujuan
auditor internal adalah membantu organisasi untuk mencapai tujuannya, maka sudah
seharusnya risiko organisasi menjadi pusat perhatian auditor internal organisasi tersebut.
Pemahaman auditor terkait risiko yang dihadapi organisasi memegang peranan penting dalam
perencanaan dan pelaksanaan setiap penugasan. Auditor harus memaksimalkan segala
sumberdaya, waktu, tenaga dan biaya yang terbatas pada area pemeriksaan yang berisiko
tinggi. Pemahaman auditor terkait risiko organisasi dapat diperoleh dari risk register (daftar
risiko) yang disusun oleh manajemen. Namun, sebelum auditor memanfaatkan daftar risiko
tersebut, terlebih dahulu harus menilai tingkatan risk maturity (kematangan manajemen risiko)
organisasi.
Manajemen Risiko
Menurut Peraturan Pemerintah Nomor 60 Tahun 2008, pemimpin instansi pemerintah wajib
melakukan penilaian risiko secara periodik dan komprehensif. Risiko‐risiko tersebut harus
dipertimbangkan dalam setiap pengambilan keputusan. Penilaian risiko adalah kegiatan
penilaian atas kemungkinan dan dampak kejadian yang dapat mengancam pencapaian tujuan
Instansi Pemerintah. Langkah penilaian risiko terdiri dari:
1. Identifikasi risiko: untuk mengenali risiko‐risiko yang mengancam tujuan organisasi yang
bersumber dari eksternal dan internal serta faktor lain yang dapat meningkatkan risiko.
2. Analisis risiko: untuk menentukan tingkat (scoring) probabilitas dan dampak dari risiko
yang telah diidentifikasi terhadap pencapaian tujuan Instansi Pemerintah.
Risk Maturity
Risk Maturity Level adalah tingkatan sejauh mana manajemen risiko telah diadopsi dan
diterapkan di seluruh organisasi untuk mengidentifikasi, menganalisis, menentukan response
risiko dan melaporkan peluang/ancaman yang dapat mempengaruhi pencapaian tujuan
organisasi. Tingkat risk maturity berpengaruh pada rencana audit yang disusun auditor internal.
Untuk mengetahui sejauh mana tingkat risk maturity suatu organisasi auditor internal dapat
melakukan hal‐hal sebagai berikut.
1. Melakukan wawancara dengan jajaran pimpinan organisasi untuk mengatahui proses yang
telah diterapkan untuk meningkatkan manajemen risiko. Proses yang telah dilakukan oleh
manajemen dapat berupa pelatihan, workshop, membuat questionnaire tentang risiko dan
wawancara dengan pemilik risiko. Hasil akhir dari proses ini adalah risk register yang
komprehensif dan kesimpulan bagaimana risk manajemen tertanam dalam organisasi.
a. tujuan organisasi;
b. kertas kerja penilaian risiko berupa scoring dampak dan probabilitas untuk
menyusun peringkat risiko;
f. daftar risiko organisasi yang menunjukkan hubungan antara tujuan, risiko, pemilik
risiko, score dampak dan probabilitas untuk inherent risk dan residual risk. termasuk
risk response dan pengendalian yang telah diterapkan serta tingkat risk appetite
yang dikehendaki pimpinan organisasi; dan
Tingkat risk maturity auditi mempengaruhi langkah audit yang akan diambil. Dalam table berikut
digambarkan tingkatan risk maturity dan langkah yang akan diambil auditor internal.
Risk manajemen telah diterapkan dan Penekanan audit pada proses manajemen
Risk Managed dan telah dikomunikasikan ke seluruh risiko. Perhatian khusus diberikan untuk
anggota organisasi. memverifikasi pemantauan risiko utama.
Tabel 2.2 Tingkatan risk maturity dan langkah yang akan diambil auditor internal
Hasil penilaian tingkat risk maturity dapat digunakan sebagai bahan pertimbangan dalam
menentukan pendekatan audit yang akan digunakan oleh auditor internal sebagai berikut.
1. Jika risk maturity organisasi berada pada level risk aware (penerapan manajemen risiko
secara acak) dan risk naive (manajemen resiko belum diterapkan secara formal), maka
auditor tidak dapat meyakini risk register organisasi. Dalam kondisi seperti ini, internal
auditor dapat menjalankan peran konsultatifnya, yaitu bertindak sebagai konsultan dalam
proses pemahaman dan penerapan manajemen risiko bagi organisasi.
2. Pada kondisi risk defined (strategi dan kebijakan manajemen risiko telah ditetapkan),
pekerjaan audit diawali dengan verifikasi apakah proses manajemen risiko sudah berjalan
dengan efektif. Pekerjaan audit lebih detail diperlukan untuk meyakinkan bahwa semua
risiko sudah diidentifikasi dan pengendalian terhadap risiko telah berjalan efektif.
3. Pada kondisi risk managed dan risk enabled, pekerjaan audit tidak lagi diarahkan untuk
menemukan kesalahan penetapan risiko atau kelemahan pengendalian. Perhatian khusus
diarahkan pada proses manajemen risiko dan verifikasi terhadap pemantauan manajemen
atas risiko‐risiko kunci dalam organisasi.
Dari hasil penilaian risk maturity, dapat diperoleh daftar risiko (risk register) organisasi. Dalam
konteks kondisi manajemen risiko yang masih naïve dan aware, daftar ini dapat diperoleh dari
hasil fasilitasi penyusunan risk register. Bila manajemen risiko organisasi telah mencapai level
managed dan enabled, auditor dapat menggunakan daftar risiko yang dihasilkan manajemen.
Daftar risiko ini merupakan sumber penyusunan audit universe yang akan digunakan dalam
proses perencanaan dan pelaksanaan audit selanjutnya.
Audit Universe (peta audit) merupakan daftar semua kemungkinan audit yang dapat dilakukan
dan dimanfaatkan untuk perencanaan audit jangka panjang (lebih dari satu tahun), menyusun
strategi audit, dan aktivitas audit lainnya. Peta audit adalah risk register yang telah
dikembangkan lebih lanjut yang memuat informasi sebagai berikut.
Peta Audit sebaiknya disimpan dalam bentuk data base (misalnya Access), bukan spreadsheet
(misalnya Excel). Keuntungan penggunaan data base adalah data yang disimpan relatif lebih
terjaga keamanan, konsistensi dan integritasnya. Dalam bentuk data base, peta audit lebih
mudah dalam menghasilkan laporan misalnya:
• Beragam laporan lain sesuai data‐data yang disimpan dalam data base.
Gambaran lingkup penugasan auditor internal menurut Draft Standar Audit Intern Pemerintah
Indonesia yang disusun Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI), dapat
digambarkan dalam skema sebagai berikut.
Peran audit internal menurut Standar Audit APIP dan IIA dapat dibagi dalam dua kelompok,
yaitu assurance dan konsultansi. Standar audit APIP menyatakan bahwa pengawasan intern
adalah seluruh proses kegiatan (assurance) audit, reviu, pemantauan, evaluasi, dan kegiatan
pengawasan lainnya (konsultansi) berupa asistensi, sosialisasi dan konsultansi. Hal ini senada
dengan IIA yang membagi secara tegas tugas auditor internal dengan pernyataan bahwa:
“Internal auditing is an independent, objective assurance and consulting activity”.
IIA dalam International Standards for the Professional Practice of Internal Auditing (IPPF‐2013)
mendefinisikan kedua peran ini sebagai berikut.
Consulting Services : Advisory and related client service activities, the nature and scope of
which are agreed with the client, are intended to add value and improve an organization’s
governance, risk management, and control processes without the internal auditor
assuming management responsibility. Examples include counsel, advice, facilitation, and
training.
Persamaan kedua peran ini adalah bertujuan untuk meningkatkan governance, risk
management, and control (GRC) organisasi. Bedanya, assurance dilakukan melalui pemeriksaan
bukti‐bukti yang bertujuan menilai GRC, sedangkan konsultansi dilakukan melalui kegiatan
pemberian saran perbaikan GRC.
Dalam kegiatan konsultansi, pihak yang terlibat hanya dua pihak, yaitu pihak manajemen
selaku peminta/penerima saran dan auditor internal selaku pemberi saran. Dalam
kegiatan assurance ada tiga pihak terlibat, yaitu manajemen selaku auditi, auditor internal
selaku pelaksana kegiatan dan pihak ketiga yang memanfaatkan hasil kegiatan assurance
ini.
2. Standar Pelaksanaan
Standar audit APIP sementara ini belum mengatur kegiatan konsultansi, namun IIA
menerbitkan standar pelaksanaan berupa IPPF‐2013. Dalam standar ini, Attribute
Standard dan Performance Standard berlaku pada semua kegiatan Assurance dan
Konsultansi, dengan perbedaan standard untuk masing masing peran.
3. Tujuan Kegiatan
Jenis informasi yang disampaikan untuk berbagai kegiatan assurance relative sama,
sehingga format laporan dapat dikatakan tidak jauh berbeda. Keseragaman format ini
mempermudah pembaca laporan untuk mencari informasi tertentu yang mereka
butuhkan. Laporan kegiatan konsultansi sebaliknya, sangat berbeda tergantung jenis dan
lingkup penugasan yang disepakati. Bentuk dan isi laporan konsultansi disesuaikan dengan
kebutuhan, dalam bentuk yang dianggap paling efektif dan efisien dalam menyampaikan
pesan.
Menurut Draft Standar Audit Intern Pemerintah Indonesia (AAIPI), kegiatan assurance yang
dilakukan oleh APIP meliputi kegiatan berikut ini.
1. Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara
independen, objektif dan profesional berdasarkan standar audit, untuk menilai kebenaran,
kecermatan, kredibilitas, efektifitas, efisiensi, dan keandalan informasi pelaksanaan tugas
dan fungsi instansi pemerintah. Jenis audit yang dapat dilakukan APIP dapat terbagi dalam
tiga kelompok, yaitu:
a. Audit keuangan adalah audit atas laporan keuangan, yang terbagi atas:
2) Audit terhadap aspek keuangan tertentu (audit atas laporan keuangan bukan
untuk memberikan opini), contohnya antara lain:
b. Audit kinerja adalah audit atas pelaksanaan tugas dan fungsi instansi pemerintah
yang terdiri atas audit aspek ekonomi, efisiensi, dan audit aspek efektivitas, serta
ketaatan pada peraturan. Contoh Audit kinerja antara lain:
1) audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada
peraturan;
2) post audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan
pada peraturan;
c. Audit dengan tujuan tertentu adalah audit di luar audit keuangan dan audit kinerja
yang bertujuan untuk memberikan simpulan atas suatu hal yang diaudit. Yang
termasuk dalam kategori ini antara lain:
15) memberikan kesaksian dalam peradilan kasus hasil pengawasan non keuangan
seperti kasus perceraian, indisipliner pegawai, dan kasus perselingkuhan;
17) pengendalian intern terhadap ketaatan hukum dan peraturan atas proses
tender, akuntansi, hibah, bantuan, dan kontrak;
22) audit sosial, audit atas efektifitas bantuan sosial (misalnya: bantuan langsung
tunai/BLT);
23) audit khusus dalam rangka serah terima jabatan (sertijab)/alih jabatan;
26) audit buril, seperti: melaksanakan verifikasi, serta pengujian dan penilaian
dokumen; dan
e. evaluasi kelembagaan;
f. evaluasi kebijakan;
Masing‐masing kegiatan assurance (audit, reviu, pemantauan dan evaluasi) memiliki derajat
assurance yang berbeda sesuai sifat dan jumlah bukti yang akan diuji. Derajat assurance
berbanding lurus dengan jumlah bukti yang dikumpulkan dan dievaluasi, sebagaimana
tergambar dalam table berikut.
Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi
• Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam
bentuk: “Dari hasil audit yang telah dilakukan, disimpulkan bahwa pelaksanaan tugas dan
fungsi Satker XYZ telah dilaksanakan dengan efektif dalam mencapai tujuan organisasi”.
Negative assurance/jaminan terbatas yang diberikan oleh auditor ‘hanya’ memberi keyakinan
bahwa tidak ditemukan adanya penyimpangan/bukti adanya penyimpangan dari kriteria yang
digunakan. Contoh :
• Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam
bentuk: “Dari hasil evaluasi yang telah dilakukan, tidak ditemukan bukti bahwa
pelaksanaan tugas dan fungsi Satker XYZ dilaksanakan dengan tidak efektif”.
Kegiatan konsultasi sangat bervariasi baik bentuk dan sifatnya, disesuaikan dengan kesepakatan
antara auditor dan manajemen. Kegiatan ini dapat didesain sesuai kebutuhan manajemen untuk
mengatasi masalah tertentu. Walaupun demikian, kegiatan ini hanya dapat dilaksanakan
sepanjang tidak mengganggu independensi dan objektifitas auditor internal.
Kegiatan konsultansi dapat berbentuk pemberian saran (advisory role), pelatihan (training role),
dan bimbingan teknis (facilitative role). Namun, dalam praktik kegiatan konsultansi tidak dapat
dipisahkan secara tegas antara advisory role, training role, dan facilitative role. Misalnya dalam
kegiatan facilitative, auditor juga berperan advisory. Demikian juga dalam kegiatan training role,
auditor internal juga memberika saran (advisory role)
1. Advisory Role
2. Training Role
Manajemen juga bisa meminta auditor internal untuk terlibat lebih jauh, misalnya sebagai
fasilitator (facilitative role). Peran fasilitator ini dilaksanakan dalam bentuk pendampingan
asistensi dan bimbingan teknis pendampingan. Internal auditor telah berpengalaman
dalam melakukan analisis pengendalian yang diperlukan untuk menangani sebuah risiko.
Internal auditor dapat membimbing manajemen untuk menemukan ‘kelemahan’ sebuah
pengendalian dan membimbing manajemen membangun pengendalian untuk menutup
kelemahan tersebut.
Selaku fasilitator, auditor internal terlibat langsung dalam kegiatan manajemen. Yang
harus diperhatikan adalah dalam melakukan asistensi, internal auditor tidak boleh
bertindak sebagai pengambil keputusan yang menjadi tanggung jawab manajemen.
Standar IPPF mengatur bahwa ketika membantu manajemen, auditor internal harus
menghindari asumsi dari manajemen, bahwa auditor telah mengambil alih tanggung
jawab manajemen selaku penanggung jawab risiko.
Penugasan Assurance
Penugasan assurance bervariasi sesuai tujuan dan lingkupnya, namun dengan tahapan
penugasan relatif sama. Tahapan‐tahapan berikut pada umumnya dilakukan di setiap kegiatan
assurance, dengan sedikit penyesuaian pelaksanaan. Tahapan kegiatan assurance dapat dirinci
sebagai berikut.
1
Kurt F Reding et al (IIA-RF), 2009, Internal Auditing: Assurance and Consulting Services, 2nd Edition
b. Pemahaman auditi.
e. Evaluasi pengendalian.
2. Pelaksanaan
3. Pelaporan
b. Penyusunan laporan.
c. Distribusi laporan.
Penugasan Konsultansi
Berbeda dengan kegiatan assurance, kegiatan konsultansi berbeda tahapannya untuk setiap
kegiatan. Hal ini disebabkan lingkup, sifat dan metode kegiatan ditetapkan berdasar
kesepakatan antara auditor dan manajemen. Dengan kata lain, bentuk penugasan konsultansi
sangat bergantung kebutuhan manajemen. Berikut adalah tahapan kegiatan konsultansi secara
umum penerapannya disesuaikan lingkup dan tujuan penugasan. Tahapan kegiatan konsultansi
dapat dirinci sebagai berikut.
2. PELAKSANAAN
a. Penugasan Advisory
2) Penyusunan saran.
2) Pelaksanaan fasilitasi/training.
3) Evaluasi efektifitas.
3. PELAPORAN
b. Penyusunan laporan.
c. Distribusi laporan.
Kegiatan assurance merupakan penilaian objektif yang dilakukan auditor internal atas bukti
untuk memberikan pendapat independen mengenai tata kelola, manajemen risiko dan proses
pengendalian. Jenis dan lingkup penugasan assurance ditentukan oleh instansi auditor internal
(APIP). Telah dibahas sebelumnya bahwa kegiatan assurance dapat dilaksanakan dalam
berbagai bentuk antara lain: audit keuangan, audit kinerja, audit dengan tujuan tertentu,
evaluasi, reviu dan pemantauan/monitoring. Tahapan seluruh kegiatan ini dapat digambarkan
sebagai berikut.
Evaluasi AKIP diatur dengan Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi
Pemerintah (Juklak Evaluasi AKIP) yang setiap tahun diterbitkan oleh Menteri
Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (MenPanRB). Salah satunya
adalah Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi
Nomor 20 Tahun 2013 tentang Perubahan Lampiran Peraturan Menteri Pendayagunaan
Aparatur Negara dan Reformasi Birokrasi Nomor 25 Tahun 2012 Tentang Petunjuk
Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah.
Evaluasi AKIP adalah aktivitas analisis yang sistematis, pemberian nilai, atribut, apresiasi,
dan pengenalan permasalahan, serta pemberian solusi atas masalah yang ditemukan
untuk tujuan peningkatan kinerja dan akuntabilitas instansi/unit kerja pemerintah.
Metodologi yang digunakan untuk melakukan evaluasi akuntabilitas kinerja instansi
dengan menggunakan teknik "criteria referenced survey", dengan cara menilai secara
bertahap langkah demi langkah (step by step assessment) setiap komponen dan
selanjutnya menilai secara keseluruhan (overall assessment) dengan kriteria evaluasi dari
masing‐masing komponen yang telah ditetapkan sebelumnya. Kriteria evaluasi kinerja
instansi pemerintah ditentukan dengan berdasarkan kepada:
c. kebenaran normatif yang bersumber pada best practice baik di Indonesia maupun di
luar negeri;
Ruang lingkup evaluasi AKIP meliputi kegiatan evaluasi terhadap perencanaan strategis
dan perencanaan kinerja tahunan, pelaksanaan program dan kegiatan, pengukuran
capaian kinerja, serta pelaporan kinerja, informasi kinerja yang dipertanggungjawabkan
dalam LAKIP bukanlah satu‐satunya yang digunakan dalam menentukan nilai evaluasi,
akan tetapi juga termasuk berbagai hal yang dapat dihimpun guna mengukur keberhasilan
ataupun keunggulan instansi.
2. Audit Investigatif
Audit Investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara
sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan
pelakunya guna dilakukan tindakan hukum selanjutnya. Berdasarkan pengertian audit
a. Pra‐perencanaan
b. Perencanaan
d. Pelaporan
Proses dokumentasi atas hasil pelaksanaan audit investigatif merupakan tahap yang
sama pentingnya dengan tahapan lain dalam audit investigatif atas suatu kasus.
Auditor harus mempertimbangkan bahwa laporan hasil audit investigasi akan dibaca
oleh banyak pihak termasuk pihak‐pihak mempunyai kepentingan yang
bertentangan dengan auditor. Dengan demikian, dalam menyusun laporannya
auditor harus mampu bertahan dengan apa yang sudah ditulisnya. Untuk itu, ia
harus dapat meyakinkan bahwa laporan telah dibuat sesuai dengan prosedur dan
telah menjawab pertanyaan klasik yaitu: siapa, apa, mengapa, dimana, bilamana,
dan bagaimana.
Reviu atas laporan keuangan pemerintah diatur dengan Peraturan Menteri Keuangan
Nomor 41/PMK.09/2010 tentang Standar Reviu atas Laporan Keuangan Kementerian
Negara/Lembaga dan Peraturan Menteri Dalam Negeri Nomor 4 Tahun 2008 tentang
Pedoman Pelaksanaan Reviu atas Laporan Keuangan Pemerintah Daerah.
Reviu atas laporan keuangan adalah proses penelaahan atas penyelenggaraan akuntansi
dan penyajian laporan keuangan kementerian/lembaga/pemerindah daerah (K/L/D) yang
dilakukan oleh aparat pengawasan intern pemerintah (APIP) yang kompeten untuk
memberikan keyakinan terbatas bahwa akuntansi telah diselenggarakan berdasarkan
sistem akuntansi dan telah disajikan sesuai dengan standar akuntansi pemerintah.
b. neraca;
a. Perencanaan, kegiatan yang dilakukan dalam tahap ini berupa penentuan objek,
proses dan akun yang akan direviu serta pemilihan langkah‐langkah reviu.
d. Pendampingan selama pemeriksaan BPK. Yang dapat dilakukan oleh APIP dalam
tahap ini adalah:
1) menjelaskan kepada BPK mengenai hasil reviu atas laporan keuangan K/L agar
dapat digunakan oleh BPK;
Langkah pertama dalam memulai suatu penugasan adalah menentukan tujuan (apa yang akan
dicapai) dan lingkup penugasan (apa yang akan diuji). Pada bagian sebelumnya telah disebutkan
bahwa kegiatan assurance dapat berbentuk audit, reviu, evaluasi dan pemantauan. Pembagian
penugasan ini berdasarkan tujuan dan lingkup penugasan. Misalnya, jika sebuah penugasan
bertujuan untuk memberikan positive assurance (keyakinan memadai) maka jenis
1. Audit yang bertujuan untuk memberi opini atas laporan keuangan disebut Audit
Keuangan.
2. Audit yang bertujuan untuk menilai efektifitas dan efisiensi sebuah kegiatan/program
disebut Audit Kinerja.
3. Audit yang bertujuan untuk menilai ketaatan terhadap peraturan tertentu (compliance
audit) disebut Audit Kinerja.
4. Audit yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan yang
melawan hukum disebut Audit Investigasi (audit tujuan tertentu).
Dalam hal keterbatasan sumber daya atau cukup dengan jaminan terbatas, jenis penugasan
dapat disesuaikan. Penugasan dapat dilakukan dalam bentuk reviu, evaluasi atau pemantauan,
yang hanya memberikan negative assurance (keyakinan terbatas). Pemberian keyakinan
terbatas ini dapat dikelompokkan lagi berdasar tujuannya, misalnya sebagai berikut.
1. Penelaahan ulang bukti‐bukti suatu kegiatan yang bertujuan untuk memastikan bahwa
kegiatan telah dilaksanakan sesuai dengan ketentuan disebut Reviu.
Lingkup penugasan adalah batasan hal‐hal yang akan diuji. Batasan tersebut dapat berupa
proses tertentu, tingkatan tertentu, periode waktu dan/atau wilayah tertentu. Keputusan
menentukan lingkup penugasan memerlukan professional judgement dari pimpinan instansi
auditor internal. Penentuan lingkup penugasan yang jelas, membantu tim audit untuk lebih
fokus pada pengujian tertentu. Bagi pembaca laporan, pernyataan lingkup penugasan yang jelas
dapat mempermudah untuk memahami permasalahan dan simpulan yang disampaikan dalam
laporan.
Pada tahun 2014, sebuah Satuan Kerja XYZ melaksanakan pengadaan 300 set komputer
dan 15.000 eksemplar buku untuk 150 sekolah yang tersebar di 15 kecamatan. Pengadaan
ini menggunakan dana APBN yang bersumber dari DIPA Satker XYZ. Auditor internal
ditugaskan untuk memastikan bahwa kegiatan pengadaan komputer tersebut telah sesuai
peraturan yang berlaku tentang pengadaan barang/jasa instansi pemerintah.
Atas penugasan tersebut auditor internal menetapkan tujuan dan lingkup sebagai berikut.
• Tujuan penugasan: memberi positive assurance bahwa pengadaan komputer
tersebut telah sesuai ketentuan yang berlaku.
• Lingkup penugasan: pengadaan komputer pada satker XYZ pada tahun 2014.
• Nama penugasan: audit kinerja atas pengadaan komputer pada Satker XYZ tahun
2014.
Dalam merencanakan penugasan, auditor internal harus memahami auditi (tujuan, proses dan
area yang menjadi lingkup penugasan). Kegagalan dalam memahami auditi dapat berakibat
pengujian yang tidak lengkap atau kesalahan pengalokasian sumber daya. Yang pertama harus
dipahami oleh auditor internal adalah tujuan organisasi. Tujuan organisasi dapat diartikan
sebagai sesuatu yang diupayakan untuk dicapai oleh organisasi. Informasi yang diuji pada
umumnya terkait pernyataan (assertion) auditi sejauh mana tujuan organisasi telah tercapai dan
proses yang dilakukan manajemen dalam mencapainya.
Auditor internal dapat menggunakan berbagai sumber untuk memahami auditi. Salah satunya
dengan memanfaatkan data yang telah tersedia, misalnya data‐data sebagai berikut.
1. Renstra
2. Kebijakan
3. Prosedur Baku
4. Mengukur tingkat capaian kinerja, baik kinerja keuangan maupun kinerja non keuangan.
Perkembangan teknologi dalam pengelolaan keuangan pemerintah dan kegiatan lainnya dapat
dimanfaatkan oleh auditor untuk mempermudah pelaksanaan tugas. Misalnya dengan
memanfaatkan sistem informasi yang ada, auditor internal dapat dengan mudah memperoleh
informasi sebagai berikut.
1. Jumlah atau persentase pembayaran yang dilakukan setelah tanggal jatuh tempo.
Contoh kasus:
Melanjutkan kasus Satker XYZ tersebut di atas, dilakukan pemahaman tujuan dan proses
pengadaan komputer. Yang pertama harus dilakukan oleh auditor adalah memahami
‘tujuan auditi’. Tujuan auditi secara umum terlukis dalam dokumen Rencana Strategis
(Renstra). Dari tujuan tingkat organisasi, manajemen menjabarkan dalam tujuan kegiatan.
Informasi tujuan kegiatan dapat di peroleh dari dokumen Daftar Isian Pelaksanaan
Anggaran (DIPA) untuk APBN, dan Dokumen Pelaksanaan Anggaran (DPA‐SKPD). Gambar
berikut adalah petikan DIPA lampiran 1.a tentang Jabaran Anggaran, terdapat informasi
mengenai indikator kinerja output dan outcome tingkat program dan kegiatan.
Tujuan Satker XYZ yang tertuang dalam Renstra adalah “Mewujudkan perluasan dan
pemerataan kesempatan memperoleh pendidikan yang bermutu di Kota XYZ”. Tujuan
tingkat organisasi ini di jabarkan lebih lanjut dalam indikator kegiatan pengadaan
komputer, yaitu “Tersedianya komputer di sekolah sebagai sarana peningkatan
kemampuan siswa dalam bidang teknologi informasi”.
Dalam tahap pemahaman auditi ini, auditor internal berusaha mengumpulkan berbagai
informasi terkait kegiatan yang dilakukan Satker XYZ. Misalnya: spesifikasi komputer,
pengadaan tahun sebelumnya, pengadaan sejenis yang dilakukan oleh satker lain dan
informasi lain yang relevan. Proses PBJ yang sudah dilaksanakan dengan metode e‐
procurement, melalui LPSE (lembaga pengadaan secara elektronik), memberi auditor
internal banyak keuntungan. Auditor dapat memperoleh berbagai informasi terkait proses
PBJ, misalnya:
Dalam bagian sebelumnya telah dijelaskan konsep risk maturity. Auditor internal idealnya telah
melakukan pengujian dan memiliki informasi risk maturity level setiap organisasi/satuan kerja
yang menjadi lingkup pengawasannya. Informasi ini sangat bermanfaat dalam penugasan tahap
ini (identifikasi dan penilaian risiko).
Pada kondisi risk managed dan risk enabled, auditor internal mendapat informasi risiko yang
dihadapi organisasi dari daftar risiko kunci hasil proses manajemen risiko organisasi. Pada
kondisi risk defined auditor cukup dengan melakukan verifikasi apakah proses manajemen risiko
sudah berjalan dengan efektif. Bila proses manajemen risiko sudah berjalan dengan baik,
auditor internal dapat menggunakan daftar risiko organisasi. Namun, bila ternyata kematangan
manajemen risiko organisasi masih pada tingkat risk naïve dan aware, auditor perlu
menjalankan peran konsultatifnya.
Dalam kondisi organisasi berada pada level risk aware dan risk naïve, maka auditor bertindak
sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi organisasi.
Sekali lagi, auditor harus melibatkan manajemen dalam proses identifikasi dan penilaian risiko
ini. Hal ini dilakukan untuk menghindari kesalahpahaman pihak manajemen yang menganggap
bahwa auditor internal yang bertanggung jawab terhadap pengelolaan (manajemen) risiko
organisasi.
Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana
sesuatu risiko dapat terjadi, sebelum risiko timbul dan berdampak negatif terhadap pencapaian
tujuan. Hasil identifikasi risiko adalah suatu daftar risiko‐risiko yang berpotensi mengancam
pencapaian tiap tujuan organisasi.
Dalam rangka menjamin perolehan identifikasi risiko yang akurat, penilaian risiko harus
menggunakan metodologi yang tepat dan melibatkan para pemilik risiko yang terkait dengan
kegiatan yang dinilai risikonya. Metodologi yang tepat akan mengarahkan ketepatan proses
penilaian, sedang keterlibatan para pemilik risiko penting karena mereka yang mengerti
kegiatan dan menjadi pihak yang terkena dampak atas kegagalan pencapaian tujuan.
Identifikasi dilakukan melalui wawancara dengan para pihak yang terkait dengan kegiatan yang
dinilai risikonya, evaluasi dokumen, pengamatan dan pendekatan lainnya untuk menggali risiko
yang ada. Finalisasi hasil identifikasi dilakukan melalui proses rapat internal (Focus Group
Discussion‐FGD) untuk mengkonfirmasi ulang risiko yang telah teridentifikasi dan untuk
meminta masukan atas risiko‐risiko baru yang sebelumnya belum teridentifikasi.
COSO ‐ Enterprise Risk Management (2004) menyebutkan bahwa sumber risiko dapat
dikelompokkan menjadi dua faktor, yaitu faktor internal dan faktor eksternal. Yang termasuk
dalam faktor eksternal antara lain perubahan ekonomi, bencana alam, peristiwa politik,
perubahan sosial dan perkembangan teknologi. Sedangkan yang termasuk dalam faktor internal
antara lain infrastruktur organisasi, personil, proses bisnis dan kondisi teknologi organisasi.
Output identifikasi risiko adalah daftar risiko yang sekurang‐kurangnya memuat informasi
tentang tujuan terkait risiko, pernyataan risiko pemilik risiko, sumber risiko dan pengendalian
yang ada. Hasil identifikasi risiko dapat dituangkan dalam format berikut.
Sumber Risiko
Pemilik Pengendalian yang
No Tujuan Pernyataan Risiko Uncotrollable
Risiko Sumber Uraian Ada
/Controllable (U/C)
Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil identifikasi risiko. Dalam praktik
jumlah risiko dapat berjumlah cukup banyak, dalam contoh ini hanya ditampilkan beberapa
risiko. Hasil identifikasi risiko adalah sebagai berikut.
PA = Pengguna Anggaran
KPA = Kuasa PA
PPK = Pejabat Pembuat Komitmen
PPHP = Panitia Penerima Hasil Pekerjaan
ULP = Unit Layanan Pengadaan
U/C = Uncontrolabe/controllable
Contoh lain identifikasi risiko untuk kegiatan pelayanan, misalnya pelayanan penerbitan
sertifikat tanah di kantor Badan Pertanahan Nasional (BPN) adalah sebagai berikut.
• Pemungutan biaya layanan melebihi ketentuan (pungli) yang dilakukan oleh staf BPN.
Penilaian Risiko
Penilaian risiko pada dasarnya merupakan penentuan tingkat kemungkinan terjadinya risiko
serta pengaruh/akibat yang harus ditanggung oleh entitas/organisasi. Terdapat dua unsur yang
menjadi dasar untuk melakukan penaksiran risiko yaitu:
1. dampak risiko (consequences atau impact) adalah besarnya efek bila risiko terjadi; dan
Pengukuran yang dapat diberikan kepada dua unsur tersebut bisa dilakukan secara kuantitatif
atau kualitatif. Metode pengukuran secara kualitatif dilaksanakan dengan menetapkan skala
penilaian. Misalnya, dampak diukur dengan skala kualitatif sebagai berikut. Sangat Besar (5),
Besar (4), Menengah (3), Kecil (2) dan Sangat Kecil (1).
Sedangkan probailitas diukur dengan skala: (5) hampir pasti, (4) cenderung terjadi, (3) mungkin
terjadi, (2) kadang‐kadang terjadi dan (1) sangat jarang terjadi.
Dalam melakukan penaksiran risiko, idealnya dipahami pengertian mengenai risiko yang ada
sebelum dan sesudah dilakukannya penanganan risiko, yaitu:
• inherent risk (risiko melekat atau absolut), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko pada saat manajemen
belum melakukan suatu tindakan terhadap pengendalian intern; dan
Dalam praktik, hal yang paling mudah dikerjakan adalah mengukur inherent risk pada suatu
kegiatan yang baru diimplementasikan, karena sangat besar kemungkinan belum ada
pengendalian intern yang ditetapkan. Sedangkan untuk kegiatan yang bersifat rutin pada
umumnya inherent risk akan lebih sulit untuk diukur, karenanya auditor akan menilai residual
risk‐nya.
Jika probabilitas risiko inheren tinggi, maka pengendalian yang bersifat preventive harus
diterapkan. Jika dampak terjadinya risiko inheren besar, maka pengendalian mitigative yang
diterapkan.
• Tujuan adalah sesuatu yang ingin dicapai oleh organisasi/manajemen. Tujuan dapat
dikelompokkan kedalam kategori: strategis (memberi nilai tambah bagi stakeholders),
operasional (terkait kinerja, efektifitas dan efisiensi organisasi), pelaporan (kehandalan
laporan laporan internal/eksternal dan keuangan/non keuangan) dan ketaatan (terhadap
peraturan dan hukum).
• Pemilik risiko adalah manajemen/pejabat yang bertanggung jawab untuk menangani risiko
pada unit kerja yang menjadi tanggungjwabnya.
• Inherent risk (risiko bawaan) adalah risiko yang murni ada tanpa memperhitungkan
pengendalian yang sudah ada (eksis), atau risiko yang diukur sebelum memperhitungkan
kondisi pengendaliannya.
• Residual risk (risiko sisa) adalah sisa dari risiko bawaan setelah diterapkannya sebuah
pengendalian.
• Risk response (respon risiko) adalah tindakan atau serangkaian tindakan manajemen yang
bertujuan untuk menangani risiko. Respon risiko dapat dikelompokkan dalam empat
kelompok, yaitu: avoidace (menolak risiko), reduction/mitigate (menerapkan
pengendalian), sharing (membagi risiko) and accept (menerima risiko cukup dilakukan
monitor).
• Risk appetite (selera risiko) adalah sejumlah (sekumpulan) risiko dalam entitas yang akan
diterima dalam rangka pencapaian tujuan organisasi.
• Dampak risiko adalah pengaruh atau akibat yang ditimbulkan seandainya risiko terjadi.
Untuk mempermudah penyampaian informasi, hasil penilaian risiko dituangkan dalam peta
risiko. Masing‐masing risiko akan ditempatkan di posisi sesuai probabilitas dan dampaknya.
Contoh peta risiko adalah sebagai berikut.
Probabilit
3
1 2 3 4 5
Dampak
Gambar 3.3 Peta Risiko
Contoh kasus:
Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil penilaian risiko. Dalam praktik
jumlah risiko dan pengendaliannya dapat berjumlah cukup banyak, dalam contoh ini hanya
ditampilkan satu buah risiko. Hasil penilaian risiko adalah sebagai berikut.
4
Probabilit
3
IR
1
RR
1 2 3 4 5
Dampak
IR = Inherent Risk
RR=Residual Risk
Pada tahap ini, tugas auditor internal adalah mengidentifikasi pengendalian yang paling
berperan untuk menekan risiko sampai di level yang dapat diterima. Dalam praktik, banyak
pengendalian yang diterapkan dalam suatu proses. Semua pengendalian ini memiliki peran
untuk menekan risiko, namun hanya beberapa yang benar‐benar berpengaruh. Pengendalian
yang benar‐benar berpengaruh ini selanjutnya disebut pengendalian kunci.
Untuk menentukan pengendalian kunci, perlu dipahami berbagai aktivitas pengendalian sebagai
berikut.
7. Pembatasan kegiatan yang hanya dapat dilakukan oleh seseorang yang berwenang.
Misalnya penandatangan kontrak atau perikatan hanya dapat dilakukan oleh Pejabat
Pembuat Komitmen (PPK).
8. Pemisahan kewenangan antar pihak yang terlibat dalam suatu kegiatan agar timbul
mekanisme check and recheck. Misalnya pemisahan pihak yang menyetujui pembayaran,
mencatat pembayaran, dan melakukan pembayaran.
9. Supervisi atau pengarahan dan pengawasan dari atasan untuk menghindari terjadinya hal‐
hal yang tidak diharapkan.
Melanjutkan kasus Satker XYZ, risiko “Spesifikasi teknis tidak sesuai kebutuhan” ditangani
dengan beberapa pengendalian sebagai berikut.
1. Dalam tahap perencanaan, PA/KPA menyusun Rencana Umum Pengadaan (RUP).
2. Dalam tahap persiapan pemilihan, PPK menyusun HPS dan spesifikasi teknis yang disusun
dengan memperhatikan RUP dan anggaran. ;
3. ULP menyusun Dokumen Pengadaan dan memasukkan klausul spesifikasi teknis
kedalamnya.
4. ULP melakukan evaluasi teknis dokumen penawaran dan diuji kesesuaiannya dengan
Spesifikasi Teknis. ;
5. Penawaran yang tidak sesuai dengan spesifikasi teknis dinyatakan gugur dan tidak
dilakukan evaluasi tahap selanjutnya.
6. ULP menyusun draft kontrak dengan memasukkan spesifikasi teknis dalam kontrak.
7. PPK menyusun kontrak final dan menguji apakah spesifikasi teknis dalam kontrak sesuai
dengan spesifikasi yang telah ditetapkan sebelumnya.
8. Penyedia barang menyelesaikan dan menyerahkan barang. PPHP menerima dan menguji
barang yang diterima dibandingkan dengan kontrak. ;
Pengendalian ini bersumber dari Peraturan Presiden Nomor 70 Tahun 2012 tentang Pengadaan
Barang dan Jasa. Peraturan ini memuat langkah‐langkah yang harus dilakukan oleh instansi
pemerintah dalam setiap pengadaan. Dalam konteks kegiatan lain, informasi pengendalian yang
diterapkan organisasi dapat diperoleh dari peraturan organisasi terkait, pedoman dan SOP.
Dari sekian banyak pengendalian tersebut diatas semuanya berpengaruh dalam menangani
risiko. Namun yang perlu diidentifikasi dalam tahap ini adalah pengendalian yang benar‐benar
berpengaruh (key control/pengendalian kunci). Penentuan pengendalian kunci ini penting bagi
auditor untuk dapat lebih fokus dalam melaksanakan penugasan.
Dari contoh delapan pengendalian di atas, diasumsikan yang menjadi pengendalian kunci
(dengan tanda “;”) adalah pengendalian nomor 2, 4 dan 5. Pengendalian ini merupakan
pengendalian terpenting dalam menangani risiko “Spesifikasi teknis tidak sesuai kebutuhan”.
Penetapan pengendalian kunci ini dengan pertimbangan bahwa:
1. Kegagalan pengendalian ini tidak dapat segera dideteksi oleh pengendalian lain.
2. Berfungsinya pengendalian kunci dapat mencegah kegagalan pengendalian lain.
Internal auditor harus memastikan bahwa pengendalian kunci telah didesain dengan baik untuk
menekan risiko di level yang dapat diterima. Yang perlu diperhatikan bahwa hubungan antara
risiko dan pengendalian bukan hubungan ‘one‐to‐one’. Bisa jadi, satu pengendalian dapat
menangani beberapa risiko atau satu risiko perlu ditangani dengan beberapa pengendalian
sekaligus.
Pada tahap ini, auditor internal harus memahami hal‐hal sebagai berikut.
1. Tingkatan risiko yang dapat diterima manajemen (acceptable level) sesuai tingkatan selera
risiko manajemen (risk appetite).
2. Apakah risiko ditangani oleh satu (individually) atau beberapa (collectively) pengendalian
kunci .
3. Apakah ada pengendalian tambahan (compensating control) dari proses lain yang turut
menekan risiko ke level yang dapat diterima.
4. Apakah desain pengendalian kunci, jika berjalan efektif, dapat menekan risiko ke level
yang dapat diterima.
Contoh kasus:
Melanjutkan kasus Satker XYZ, risiko “Spesifikasi teknis tidak sesuai kebutuhan” ditangani
dengan tiga pengendalian kunci berikut.
1. Dalam tahap persiapan pemilihan, PPK menyusun HPS dan spesifikasi teknis yang disusun
dengan memperhatikan RUP dan anggaran. ;
2. ULP melakukan evaluasi teknis dokumen penawaran dan diuji kesesuaiannya dengan
spesifikasi teknis. ;
3. Penyedia barang menyelesaikan dan menyerahkan barang. PPHP menerima dan menguji
barang yang diterima dibandingkan dengan kontrak. ;
Dari hasil evaluasi ketiga pengendalian kunci ini, disimpulkan bahwa timbulnya risiko dapat
dicegah bila ketiga pengendalian ini (collectively) berfungsi dengan baik.
Internal auditor harus mendisain tehnik memperoleh bukti‐bukti untuk mencapai tujuan audit.
Rencana pengujian termasuk sifat pengujian, waktu dan prosedur yang diperlukan dalam
mendapatkan bukti. Bukti dapat dibedakan dalam beberapa jenis atau golongan sebagai
berikut.
Bukti pengujian fisik dilakukan untuk meyakinkan mengenai keberadaan (kuantitatif) dan
mutu (kualitatif) dari aktiva berwujud. Bukti ini juga untuk meyakinkan kebenaran atau
kesesuaian suatu proses dengan prosedur bakunya. Bukti pengujian fisik diperoleh melalui
pengamatan langsung dengan mata kepala auditor sendiri. Hasil pengamatan fisik oleh
auditor tersebut dikukuhkan ke dalam suatu media pengganti fisik yaitu berita acara
pemeriksaan fisik, hasil inspeksi lapangan, foto, surat pernyataan, denah lokasi atau peta
lokasi dan lain‐ lain.
2. Bukti dokumen
Bukti audit yang paling banyak ditemui oleh auditor adalah bukti dokumen. Bukti
dokumen pada umumnya terbuat dari kertas yang mengandung informasi. Dalam menilai
atau mengevaluasi bukti dokumen, auditor sebaiknya memperhatikan pengendalian
intern sumber dokumen tersebut dan terpenuhinya persyaratan yuridis. Kelemahan
sistem pengendalian manajemen memungkinkan dokumen mengandung kesalahan,
bahkan dokumen palsu yang dibuat oleh karyawan yang tidak jujur.
3. Bukti analisis
Bukti analisis adalah bukti audit yang diperoleh auditor dengan melakukan analisis atau
mengolah lebih lanjut data‐data auditi dan data lain yang berkaitan dengan auditi. Bukti
analisis hanya memberikan petunjuk mengenai kecenderungan suatu kejadian, sehingga
untuk membuktikan terjadi atau tidaknya harus didalami dengan perolehan jenis bukti
yang lain.
4. Bukti keterangan
Bukti keterangan adalah bukti yang diperoleh auditor dari pihak lain (baik dari pihak auditi
maupun pihak ketiga) berdasarkan pertanyaan atau informasi tertentu yang diminta oleh
auditor. Yang termasuk bukti keterangan adalah bukti kesaksian (didapat dari pihak lain
karena diminta oleh auditor), bukti lisan (yang dituangkan dalam kertas kerja dengan
seksama) dan bukti ahli (adalah bukti yang didapat dari tenaga ahli yang kompeten dalam
bidangnya).
Contoh : Berita Acara Permintaan Keterangan (BAPK), Berita Acara Hasil Konfirmasi
Prosedur audit adalah urutan langkah yang ditempuh oleh auditor dalam rangka memperoleh
bukti dengan menggunakan berbagai ‘teknik audit’, teknik‐teknik audit yang umum digunakan
adalah:
1. Analisis
2. Observasi/pengamatan
Observasi/pengamatan adalah peninjauan dan pengamatan atas suatu objek secara hati‐
hati, ilmiah dan kontinu selama kurun waktu tertentu untuk membuktikan suatu keadaan
atau masalah. Teknik ini sering dilakukan dari jarak jauh dan tanpa disadari oleh pihak
yang diamati.
Contoh: Pengamatan kegiatan pelayanan Kartu Tanda Penduduk (KTP) dan Kartu
Keluarga (KK)
3. Permintaan informasi
Permintaan informasi (inquiry) dapat dilakukan untuk menggali informasi dari berbagai
pihak yang berkompeten. Pihak yang kompeten bisa berarti pegawai, pejabat, spesialis
4. Evaluasi
Evaluasi adalah cara untuk memperoleh suatu simpulan atau pandangan/penilaian dengan
mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi
yang telah diperoleh. Evaluasi dapat dilaksanakan dengan walkthrough test, dengan
mengikuti proses suatu transaksi hingga akhir prosesnya, untuk mengetahui sesuai atau
tidaknya dengan sistem dan prosedur yang ditentukan.
Contoh: Evaluasi tugas Unit Layanan Pengadaan (ULP) dalam menentukan pemenang.
5. Investigasi
Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan
melalui penjabaran, penguraian, atau penelitian secara mendalam. Investigasi merupakan
suatu proses pendalaman dari verifikasi setelah adanya indikasi.
6. Verifikasi
Verifikasi adalah pengujian secara rinci dan teliti tentang kebenaran, ketelitian
perhitungan, kesahihan, pembukuan, pemilikan dan eksistensi suatu dokumen.
7. Cek
8. Uji/test
Uji atau test adalah penelitian secara mendalam terhadap hal‐hal yang esensial atau
penting.
Footing adalah menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah
(vertikal). Footing dilakukan terhadap data yang disediakan oleh auditi. Tujuan teknik
audit footing adalah untuk menentukan apakah data atau laporan yang disediakan auditi
dapat diyakini ketepatan perhitungannya.
Contoh :
footing
1 Lokasi A 10.000.000 30.000.000 15.000.000 5.000.000 60.000.000
2 Lokasi B 12.500.000 37.500.000 18.750.000 6.250.000 75.000.000
3 Lokasi C 15.625.000 46.875.000 23.437.500 7.812.500 93.750.000
4 Lokas i D 9.000.000 27.000.000 13.500.000 4.500.000 54.000.000
5 Lokasi E 14.062.500 42.187.500 21.093.750 7.031.250 84.375.000
6 Lokasi F 10.800.000 32.400.000 16.200.000 5.400.000 64.800.000
Total 71.987.500 215.962.500 107.981.250 35.993.750 431.925.000
Cross Footing adalah menguji kebenaran penjumlahan subtotal dan total dari kiri ke kanan
(horizontal). Sama halnya dengan teknik audit footing, cross footing dilakukan terhadap
perhitungan yang dibuat oleh auditi.
Contoh :
C r o crsosss ffooooting
gi n
Vouching adalah menelusuri suatu informasi/data dalam suatu dokumen dari pencatatan
menuju kepada adanya bukti pendukung (voucher); atau menelusur mengikuti
ketentuan/prosedur yang berlaku dari hasil menuju awal kegiatan. Vouching hanya
mengecek adanya bukti (voucher) tetapi belum meneliti isinya (substantif).
Contoh :
12. Trasir
Trasir atau telusur adalah teknik audit dengan menelusuri suatu bukti transaksi/kejadian
(voucher) menuju ke penyajian/informasi dalam suatu dokumen. Teknik audit trasir
merupakan cara perolehan bukti dengan arah pengujian yang terbalik dari teknik audit
vouching.
Contoh :
Scanning adalah penelaahan secara umum dan dilakukan dengan cepat tetapi teliti untuk
menemukan hal‐hal yang tidak lazim atas suatu informasi/data.
Contoh: Scanning bukti‐bukti perjalanan dinas yang belum ada stempel dan visum (tanda
tangan).
14. Rekonsiliasi
Rekonsiliasi adalah mencocokkan dua data yang terpisah, mengenai hal yang sama yang
dikerjakan oleh instansi/unit/bagian yang berbeda. Tujuan teknik audit rekonsiliasi adalah
untuk memperoleh jumlah yang seharusnya atau jumlah yang benar mengenai suatu hal
tertentu.
Contoh : rekonsiliasi saldo kas bendahara dengan saldo menurut rekening koran bank.
15. Konfirmasi
Konfirmasi adalah memperoleh bukti sebagai peyakin bagi auditor, dengan cara
mendapatkan/meminta informasi yang sah dari pihak yang relevan, umumnya pihak di
luar auditi. Konfirmasi dapat dilakukan dengan lisan yaitu dengan wawancara langsung
kepada pihak yang bersangkutan, atau dapat dilakukan secara tertulis dengan
mengirimkan surat konfirmasi. Pada konfirmasi tertulis, terdapat dua teknik konfirmasi,
yakni:
a. konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar
tersebut mengenai data yang diminta; dan
b. konfirmasi negatif yaitu konfirmasi yang meminta jawaban tertulis bila data yang
dikonfirmasikan berbeda/salah dan tidak perlu dijawab apabila data yang
dikonfirmasikan telah sama/benar dengan data yang bersangkutan.
16. Pembandingan
Pembandingan dilakukan antara data dari satu unit kerja dengan data dari unit kerja yang
lain atau pembandingan dengan periode sebelumnya, untuk kemudian ditarik
kesimpulannya.
Inventarisasi atau opname adalah pemeriksaan fisik dengan menghitung fisik barang,
menilai kondisinya (rusak berat, rusak ringan, atau baik) dan membandingkannya dengan
saldo menurut buku (administrasi), kemudian mencari sebab‐sebab terjadinya perbedaan
apabila ada. Hasil opname biasanya dituangkan dalam suatu berita acara (BA).
18. Inspeksi
Inspeksi adalah meneliti secara langsung ke tempat kejadian, yang lazim pula disebut on
the spot inspection, yang dilakukan secara rinci dan teliti. Inspeksi sering dilakukan dengan
mendadak.
Contoh kasus
Melanjutkan kasus Satker XYZ, risiko “Spesifikasi teknis tidak sesuai kebutuhan” ditangani
dengan tiga pengendalian kunci berikut.
Pengendalian Kunci Prosedur Pengujian
• PPK menyusun spesifikasi teknis • Lakukan evaluasi apakah spesifikasi yang disusun
oleh PPK sesuai dengan yang dibutuhkan
• ULP melakukan evaluasi teknis • Lakukan wawancara dengan petugas ULP tentang
penawaran evaluasi teknis yang dilakukan ULP
• PPHP menerima dan menguji barang • Lakukan pengamatan fisik barang /komputer
yang diterima yang dibeli.
• Bandingkan antara spesifikasi barang yang
diterima dengan spesifikasi teknis dalam SPK
• Bandingkan antara barang yang diterima dengan
spesifikasi teknis
Program Kerja Audit (PKA) adalah rancangan prosedur dan teknik audit yang disusun secara
sistematis yang harus diikuti/dilaksanakan oleh auditor dalam kegiatan audit untuk mencapai
tujuan audit. Tiap instansi pengawasan dapat memiliki format PKA tersendiri, tetapi isi PKA
secara umum adalah sama, memuat informasi prosedur audit, dilaksanakan oleh, waktu yang
Prosedur pengujian dari matriks tersebut diatas akan dituangkan dalam format PKA pada kolom
uraian (prosedur audit).
Konsep PKA disiapkan oleh ketua tim. Kemudian, pengendali teknis (PT) mereviu untuk
memberikan tambahan informasi dan arahan. Setelah itu, PKA direviu kembali oleh pengendali
mutu (PM) untuk disetujui. Setelah sebuah prosedur diselesaikan auditor menandai dalam PKA
bahwa pekerjaan telah dilaksanakan dan menuliskan nomor KKA. Supervisor (PT) dapat
melakukan reviu KKA dan memonitor program audit yang belum diselesaikan.
Nama Auditi :
Tahun/Masa Audit
:
A Pendahuluan
B Tujuan Audit
C Langkah-langkah kerja
1. ...............................................
2. ...............................................
3. ...............................................
dst.
(Kota, Tanggal)
Direview oleh
(Tanggal) Disusun oleh
Pengendali Teknis Ketua Tim
Nama Nama
Disetujui oleh
(Tanggal)
Pengendali Mutu
Nama
Contoh kasus
Melanjutkan kasus Satker XYZ, format risk and control matrix untuk risiko “Spesifikasi teknis
tidak sesuai kebutuhan” adalah sebagai berikut.
Risiko Pengendalian Kunci Prosedur Pengujian
Spesifikasi teknis • PPK menyusun spesifikasi • Lakukan evaluasi apakah spesifikasi yang
tidak sesuai teknis disusun oleh PPK sesuai dengan yang
kebutuhan dibutuhkan.
• ULP melakukan evaluasi • Lakukan wawancara dengan petugas ULP
teknis penawaran tentang evaluasi teknis yang dilakukan ULP
A Pendahuluan Tujuan
B Audit Langkah‐langkah
C kerja
Budi KKA
5 Bandingkan antara barang yang 1 Jam
005
diterima dengan spesifikasi teknis
Ahmad Budi
Langkah terakhir di tahap perencanaan adalah pengalokasian sumber daya (jam kerja auditor
dan dana) yang diperlukan untuk melaksanakan penugasan. Pada tahap ini diperlukan
pengalaman auditor dalam menentukan jumlah waktu, biaya dan jadwal agar penugasan dapat
diselesaikan tepat waktu.
Hasil dari tahap ini adalah alokasi hari pengawasan (HP) masing‐masing auditor, alokasi biaya
per auditor dan jenis pengujian yang akan dilakukan. Dengan kata lain, masing‐masing prosedur
pengujian tersebut diatas ditetapkan auditor yang akan melaksanakan disertai target waktu
pelaksanaan dan dana bila diperlukan.
Pada tahap pelaksanaan kegiatan assurance dilakukan pengujian yang telah direncanakan dalam
PKA pada tahap perencanaan. Dalam setiap pengujian yang dilakukan, hasilnya
didokumentasikan ke dalam kertas kerja audit (KKA). KKA adalah catatan (dokumentasi) yang
dibuat oleh auditor mengenai bukti‐bukti yang dikumpulkan, berbagai teknik dan prosedur audit
yang diterapkan, serta simpulan‐simpulan yang dibuat selama melakukan audit.
Dalam pengertian dokumentasi yang dibuat oleh auditor adalah berupa dokumen‐dokumen
yang dikumpulkan oleh auditor, baik yang dibuat sendiri maupun dokumen yang berupa
fotokopi/salinan (auditor’s copy) yang diperoleh auditor selama pelaksanaan audit. Dalam
1. KKA merupakan penghubung antara audit yang dilaksanakan dengan LHA, jadi informasi
dalam LHA harus dapat dirujuk ke KKA.
2. KKA mendokumentasikan seluruh informasi yang diperoleh selama kegiatan audit, mulai
dari kegiatan perencanaan sampai dengan penyusunan konsep LHA.
3. KKA mencakup seluruh masalah yang ditemukan selama pelaksanaan audit, termasuk
perluasan perolehan bukti untuk mendukung temuan audit.
4. KKA akan membantu auditor pada saat pembahasan permasalahan dengan auditi. Dengan
KKA yang lengkap, jika suatu permasalahan disanggah oleh auditi, maka auditor akan
dapat menjelaskan permasalahannya dengan bantuan KKA.
5. KKA dapat digunakan oleh PT sebagai sarana mengawasi, menilai, memonitor, dan menilai
kecukupan teknik dan prosedur audit.
6. KKA dapat menjadi bahan pembuktian dalam hal masalah diajukan ke pengadilan. KKA
yang lengkap dapat menjadi alat untuk membela diri tentang kecukupan prosedur audit
yang telah dijalankan sebagai pendukung pengambilan simpulan.
7. KKA dapat menjadi referensi dalam perencanaan tugas audit atau pelaksanaan audit
periode berikutnya dan referensi dalam memonitor tindak lanjut audit.
9. Penyusunan KKA memungkinkan dilakukannya reviu oleh rekan sejawat (peer reviu) atau
oleh lembaga yang berwenang, juga sebagai pertanggungjawaban auditor bahwa audit
telah dilaksanakan sesuai standar audit.
Contoh kasus :
Melanjutkan kasus Satker XYZ, PKA nomor C.1 “Lakukan evaluasi apakah spesifikasi yang disusun
oleh PPK sesuai dengan yang dibutuhkan” dilaksanakan oleh Budi hasilnya adalah sebagai
berikut.
• Processor I7 I7 Sesuai
• Clock Speed 3,4 Ghz 3,4 Ghz Sesuai
• RAM 12 GB 12 GB Sesuai
• HDD 2 TB 2 TB Sesuai
• VGA Card 2 GB 2 GB Sesuai
• Operating System W7Pro W7Pro Sesuai
Catatan :
RKB : Rencana Kebutuhan Barang, disusun oleh Pengguna Anggaran (PA)
KAK : Kerangka Acuan Kerja, disusun oleh Pejabat Pembuat Komitmen (PPK)
Kesimpulan :
Spesifikasi teknis yang disusun oleh PPK telah sesuai dengan spesifikasi yang dibutuhkan
PKA adalah rancangan prosedur dan teknik audit yang akan diikuti/dilaksanakan dan KKA adalah
dokumentasi hasil pelaksanaan PKA. Bagan berikut merupakan contoh yang memperlihatkan
hubungan PKA dan KKA tersebut.
Audit Sampling
Audit sampling adalah penerapan pengujian/prosedur audit kurang dari 100% populasi yang
bertujuan untuk mendapat simpulan kondisi seluruh populasi. Pengujian yang dilakukan atas
seluruh bukti/elemen dinamakan sensus. Idealnya, agar hasil pengujian lebih bisa dipercaya,
seorang Auditor melakukan sensus. Namun karena sesuatu hal Auditor bisa tidak meneliti
keseluruhan bukti, maka yang bisa dilakukannya adalah meneliti sebagian dari keseluruhan
populasi/sampling.
Agar hasil Pengujian yang dilakukan terhadap sampel bisa mewakili populasi, maka cara
penarikan sampelnya harus dilakukan dengan hati‐hati. Dapat dikatakan tidak ada sampel yang
bisa mewakili karakteristik populasi sepenuhnya. Oleh karena itu dalam setiap penarikan sampel
senantiasa melekat penyimpangan, yang dikenal dengan nama “sampling error”. Sampling error
dapat ditekan dengan cara menambahkan jumlah sampel, namun tidak selamanya demikian.
Hubungan antara sampling error dengan jumlah sample, dapat digambarkan sebegai berikut.
Jumlah sampel yang diambil menjadi persoalan yang penting. Misalnya, jumlah populasi bukti
adalah 1.000 buah bukti. Pertanyaannya adalah, berapa bukti yang harus diambil menjadi
sampel agar hasilnya mewakili populasi? Jawabnya dapat dipelajari di Modul Sampling Audit.
Prosedur pengujian yang di PKA yang disusun berdasarkan matriks risiko dan pengendalian
dilakukan untuk memastikan apakah pengendalian kunci yang diterapkan telah didesain dan
diterapkan dapat menekan risiko ke tingkat yang dapat diterima (acceptable level). Hasil
pengujian‐pengujian pengendalian kunci yang telah dilakukan dituangkan kedalam format
matriks risiko dan pengendalian dengan menambah sebuah kolom ‘hasil pengujian’ sebagai
berikut.
Risiko Pengendalian Kunci Prosedur Pengujian Hasil Pengujian
Risiko A • Pengendalian A • Prosedur A • Hasil Pengujian A
• Pengendalian B • Prosedur B • Hasil Pengujian B
• Pengendalian C • Prosedur C • Hasil Pengujian C
Risiko B • Pengendalian D • Prosedur D • Hasil Pengujian D
• Pengendalian E • Prosedur E • Hasil Pengujian E
• Pengendalian F • Prosedur F • Hasil Pengujian F
Risiko C • Pengendalian G • Prosedur G • Hasil Pengujian G
• Pengendalian H • Prosedur H • Hasil Pengujian H
• Pengendalian I • Prosedur I • Hasil Pengujian I
Tabel 4.2 Format Matriks Risiko dan Pengendalian serta Hasil Pengujian
Contoh kasus
Melanjutkan kasus Satker XYZ, format risk and control matrix untuk risiko “Spesifikasi teknis
tidak sesuai kebutuhan” setelah dilakukan pengujian adalah sebagai berikut.
Pelaksanaan prosedur dan teknik audit menghasilkan bukti‐bukti yang membantu auditor untuk
dapat menilai efektifitas pengendalian intern. Beberapa pertanyaan yang harus dijawab auditor
untuk menilai efektifitas pengendalian intern adalah sebagai berikut.
2. Apakah pengendalian kunci telah berfungsi dengan baik seperti yang direncanakan?
3. Apakah risiko terkait telah berhasil di tekan pada tingkat yang dapat diterima?
4. Apakah pengendalian yang telah didesain dan diterapkan membantu pencapaian tujuan
organisasi?
Untuk bisa menjawab pertanyaan‐pertanyaan ini, auditor internal harus mengambil kesimpulan
berdasar informasi/bukti yang didapat sejak tahap perencanaan sampai pelaksanaan
penugasan. Simpulan diambil dengan menggunakan judgement dari auditor. Matriks Risiko dan
Pengendalian yang lengkap berikut adalah cara terbaik untuk mendokumentasikan judgement
yang diambil.
Contoh kasus
Melanjutkan kasus Satker XYZ, setelah dilakukan pengujian, simpulan atas efektifitas
pengendalian atas risiko “Spesifikasi teknis tidak sesuai kebutuhan” adalah sebagai berikut.
Jika ditemukan adanya pengendalian kunci yang tidak berfungsi, maka kemungkinan terjadinya
risiko tinggi. Dalam kondisi ini, auditor harus melakukan pengujian substantif untuk memastikan
bahwa risiko benar‐benar terjadi atau tidak.
Setelah dilakukan pengujian, pengumpulan bukti, evaluasi bukti, dan menyusun simpulan,
auditor internal harus menyusun temuan (observation/finding). Temuan berpangkal tolak dari
perbandingan kondisi (apa yang sebenarnya terjadi) dengan kriteria (apa yang seharusnya
terjadi), mengungkap akibat yang ditimbulkan dari perbedaan kondisi dan kriteria tersebut serta
mencari penyebabnya. Pengembangan temuan sangat menentukan keberhasilan tugas audit.
Untuk itu, auditor perlu memahami unsur‐unsur temuan, sehingga pengembangan temuan
menjadi lebih efektif.
1. Kenali secara khusus apa yang kurang dalam hubungan dengan kriteria/tolok ukur yang
lazim.
2. Pada dasarnya dalam suatu audit, auditor membandingkan “apa yang sebenarnya terjadi”
dengan “apa yang seharusnya terjadi”. Auditor perlu meyakini kelayakan kriteria/tolok
ukur yang dipergunakan. Penentuan kriteria/tolok ukur pada prinsipnya merupakan
tanggung jawab manajemen. Bila dalam audit tidak dijumpai tolok ukur, maka auditor
harus merumuskannya bersama‐sama dengan auditi.
3. Kenali batas wewenang dan tanggung jawab pejabat yang terlibat dalam pelaksanaan
kegiatan, program dan fungsi yang diaudit.
4. Auditor perlu mengenali batas wewenang pejabat yang bertanggung jawab langsung
terhadap kegiatan, program dan fungsi yang diaudit dan juga mengetahui pejabat yang
bertanggung jawab pada tingkat yang lebih tinggi untuk mengetahui pada siapa laporan
dan rekomendasi ditujukan. Pengendalian manajemen secara efektif terhadap operasi
memerlukan penetapan tanggung jawab yang tegas, dengan kewenangan yang memadai
untuk melaksanakannya. Sebagai akibat dari audit, mungkin akan ditemukan bahwa
Agar auditor dapat melakukan audit secara tepat, menyampaikan laporan secara jujur
serta efektif dan mengembangkan rekomendasi tindakan korektif, maka sebelumnya ia
perlu mengidentifikasi dan memahami sebab dari kekurangan. Auditor harus menyelidiki
sebab terjadinya keadaan yang merugikan dan mengapa hal tersebut harus berlangsung.
Jika telah diadakan perbaikan melalui prosedur intern untuk menghindari keadaan yang
merugikan tersebut, apakah penerapan prosedur tersebut yang keliru. Sebab kelemahan
tersebut dapat bermacam‐macam; yang terpenting diantaranya adalah kelemahan dalam
sistem pengendalian manajemen yang apabila tidak dikoreksi akan menimbulkan kerugian
yang lebih besar. Pengenalan auditor mengenai sebab dari kelemahan dapat membawa
auditor mengenali masalah lain yang memerlukan penyelidikan dan pengembangan lebih
lanjut. Bila auditor mengetahui sebabnya, maka auditor akan lebih mudah
mempertimbangkan rekomendasi perbaikannya.
6. Tentukan apakah kelemahan tersebut merupakan kasus yang berdiri sendiri atau tersebar
luas.
Penentuan ini diperlukan untuk mencapai simpulan yang tepat mengenai arti penting
kelemahan tersebut. Simpulan ini seringkali merupakan hal yang esensial untuk
mendorong pimpinan auditi mengambil tindakan korektif. Dalam menentukan apakah
kelemahan ini berdiri sendiri atau terkait dengan kegiatan lainnya, auditor dapat
mengidentifikasinya dengan mempelajari apakah terdapat instansi lain yang melakukan
kegiatan yang sama. Bila auditor yakin bahwa kondisi itu tersebar luas atau besar
kemungkinannya akan berulang kembali, maka auditor harus merekomendasikan
perbaikan kesalahan tersebut secepat mungkin.
Pada setiap tahap audit, pembicaraan dengan auditi harus dilaksanakan agar audit dapat
lebih berdayaguna dan berhasil guna. Pembicaraan ini dilakukan tidak saja pada setiap
akhir tahapan audit, tetapi juga harus dilakukan secara dini selama proses audit dilakukan.
Materi yang dibicarakan antara lain mencakup masalah yang berkaitan dengan
pengenalan terhadap auditi, baik mengenai kegiatan operasionalnya maupun sistem
pengendalian manajemennya; menyangkut masalah pembuktian, penentuan unsur
temuan terutama kriteria dan pembicaraan akhir termasuk rekomendasi. Pada tahap
pengujian substantif/pengembangan, pembicaraan harus dilakukan lebih intensif karena
menyangkut materi temuan final dan menyangkut kesepakatan atas rekomendasi. Dengan
demikian dapat terhindar adanya sanggahan atas isi laporan dari auditi.
Temuan dan rekomendasi yang telah disetujui oleh pihak auditi agar dimintakan
komitmen kesanggupan melakukan tindak lanjut. Komitmen tersebut dapat berbentuk
keterangan tertulis atau berita acara yang antara lain menetapkan kapan tindak lanjut
rekomendasi akan dilakukan. Atas dasar komitmen tersebut, pemantauan pelaksanaan
setiap rekomendasi akan lebih efektif.
1. Identifikasi masalah.
5. Analisis setiap alternatif, apa kebaikan dan kelemahan apabila suatu alternatif dipilih
untuk dilakukan.
Kondisi menunjukkan realitas yang ada dari suatu pelaksanaan kegiatan yang
menunjukkan adanya kekurangan atau kelemahan. Untuk menyatakan kondisi, auditor
harus mengumpulkan bukti yang relevan, kompeten, cukup dan material.
Kriteria adalah standard, ukuran atau harapan (expectation), antara lain berupa:
Dalam praktik, permasalahan yang dihadapi adalah auditi tidak memiliki kriteria untuk
kegiatan yang diaudit. Secara teoretis penetapan kriteria yang jelas merupakan salah satu
tanggung jawab auditi. Apabila kriteria tidak tersedia auditor dapat melakukan beberapa
hal antara lain:
a. melakukan konfirmasi kepada pihak ketiga (misalnya dalam hal harga barang/jasa);
b. bersama dengan auditi melakukan formulasi kriteria yang akan dipakai sebagai tolok
ukur;
c. norma standar yang sama atau sejenis dengan kegiatan auditi sehingga norma/
standar tersebut dapat digunakan sebagai pembanding; dan
Selanjutnya kriteria yang diperoleh tersebut harus dibicarakan dengan pihak auditi untuk
memperoleh kesepakatan.
Materi penyebab merupakan hal yang penting apabila ditinjau dari tujuan audit yaitu
untuk menghasilkan rekomendasi ke arah perbaikan di masa datang. Penyebab ini
mengungkap tentang mengapa terjadi ketidaksesuaian antara kondisi dan kriteria.
4. Akibat dan dampak (apa akibat dan dampak yang ditimbulkan dari adanya perbedaan
antara kondisi dan kriteria).
Rekomendasi adalah usulan rencana perbaikan yang diberikan oleh auditor internal untuk
menutup gap antara kondisi dan kriteria. Materi rekomendasi harus dirancang guna:
c. konsekuensi yang akan timbul apabila tindak lanjut atas rekomendasi tidak
dilakukan;
b. jika terdapat beberapa alternatif rekomendasi dengan biaya yang terkait, harus
diusulkan; dan
Contoh kasus
Melanjutkan kasus Satker XYZ, setelah dilaksanakan pengujian, disusun temuan sebagai berikut.
Judul
Kondisi
Dari hasil audit pengadaan 300 set komputer pada Satuan Kerja XYZ diketahui adanya
perbedaan antara spesifikasi barang yang diterima dengan spesifikasi barang dalam
kontrak.
Intel Core i5 2310 2.9 GHz, RAM 8GB, HDD 2TB, DVD/RW, VGA AMD Radeon‐2GB,
Windows 8 Pro, Monitor 21.5"
Intel Core i7 3770‐3.4Ghz, RAM 12GB, HDD 2TB, DVD/RW, VGA AMD Radeon‐2GB,
Windows 8 Pro, Monitor 21.5"
Peraturan Presiden Nomor 54 Tahun 2010 pada pasal 5 mengatur bahwa Pengadaan
Barang/Jasa menerapkan prinsip efektifitas. Dimana efektif, berarti pengadaan
barang/jasa harus sesuai dengan kebutuhan dan sasaran yang telah ditetapkan serta
memberikan manfaat yang sebesar‐besarnya.
Sebab
Panitia Penerima Hasil Pekerjaan (PPHP) lalai dalam melaksanakan tugasnya. PPHP
melakukan pemeriksaan hasil pekerjaan sesuai dengan ketentuan yang tercantum dalam
Kontrak. PPHP menerima hasil Pengadaan Barang/Jasa setelah melalui proses
pemeriksaan/pengujian.
Akibat
Rekomendasi
Penyampaian hasil penugasan (communication) adalah bagian tidak terpisahkan dari sebuah
penugasan assurance. Selama pelaksanaan penugasan, internal auditor secara teratur
berkomunikasi dengan personil kunci auditi. Pada umumnya komunikasi dilakukan dalam
bentuk tatap muka untuk menyampaikan permasalahan‐permasalahan yang ditemui.
Komunikasi selama proses penugasan dapat membantu auditor internal untuk memastikan
fakta yang ditemukan benar‐benar akurat. Disamping akan dapat diperoleh informasi langkah
koreksi (rekomendasi) terbaik. Hasil komunikasi ini akan dimanfaatkan untuk penyusunan
simpulan/temuan final yang akan dimuat dalam LHA.
Apabila pembicaraan tidak dilakukan secara bertahap, dikhawatirkan setelah auditor melangkah
jauh dengan waktu yang cukup lama ternyata setelah materi temuan dibicarakan dengan pihak
auditi, barulah terungkap adanya bukti atau kebijakan manajemen lain yang ternyata dapat
menggugurkan temuan tersebut. Pembicaraan akhir harus tuntas. Ada baiknya sebelum
dibicarakan final, ketua tim berkonsultasi dulu dengan pengendali teknisnya dan/atau
pengendali mutunya supaya ada keseragaman pendapat mengenai masalah yang akan
dibicarakan dengan auditi. Pengalaman menunjukan bahwa masih ada pembicaraan akhir atas
temuan audit yang dilaksanakan oleh ketua tim audit sebelum direviu oleh pengendali teknis
dan pengendali mutu, misalnya karena lokasi auditi jauh di luar kota. Hal ini mengandung risiko
karena setelah direviu pengendali teknis, materi temuan dapat saja berubah sehingga tidak lagi
sesuai dengan apa yang telah dibicarakan dengan auditi. Apabila terjadi perubahan materi
laporan yang telah dibicarakan dengan auditi tanpa memberi informasi terlebih dulu kepada
auditi, dapat menimbulkan citra yang kurang baik terhadap auditor.
Usahakan mendapat komentar pejabat atau pihak yang langsung berkepentingan yang akan
melakukan tindak lanjut temuan tersebut dan akan mengalami akibat negatif dari pelaporan
temuan tersebut. Auditor harus memberikan kesempatan kepada pejabat atau pihak yang
terkena atau mungkin terkena secara negatif pelaporan tersebut untuk memberi komentar
tertulis atau lisan serta memberi informasi atau penjelasan sebelum laporan dikeluarkan.
Komentar dan penjelasan tambahan ini harus dihargai dan dibahas untuk disajikan secara layak,
lengkap dan objektif dalam laporan akhir. Apabila komentar pendahuluan sudah diterima dan
B. PENYUSUNAN LAPORAN
Proses penyusunan laporan, diawali dengan penyusunan konsep laporan oleh ketua tim (KT).
Pengendali teknis (PT) melakukan reviu konsep laporan untuk keseluruhan aspek (baik fisik,
format dan substansi). Laporan hasil penugasan harus memenuhi syarat kualitas komunikasi
yang baik, yaitu akurat, objektif, jelas, ringkas, konstruktif, lengkap dan tepat waktu.
1. Akurat: Laporan yang dihasilkan harus sesuai dengan fakta yang terjadi dan bebas dari
kesalahan.
Bukti yang dicantumkan dalam laporan harus masuk akal dan mencerminkan kebenaran
mengenai masalah yang dilaporkan. Penggambaran yang benar berarti penjelasan secara
akurat tentang lingkup dan metodologi audit, serta penyajian temuan yang konsisten
dengan lingkup audit. Salah satu cara untuk meyakinkan bahwa laporan telah memenuhi
standar pelaporan adalah dengan menggunakan proses pengendalian mutu, seperti
proses referensi.
Proses referensi adalah proses dimana seorang auditor yang tidak terlibat dalam proses
audit tersebut menguji bahwa suatu fakta, angka, atau tanggal telah dilaporkan dengan
benar, bahwa temuan telah didukung dengan dokumentasi audit dan bahwa simpulan dan
rekomendasi secara logis didasarkan pada data pendukung.
Auditor harus menyajikan hasil audit secara netral dan menghindari kecenderungan
melebih‐lebihkan kekurangan yang ada. Dalam menjelaskan kekurangan suatu kinerja,
auditor harus menyajikan penjelasan pejabat yang bertanggung jawab, termasuk
pertimbangan atas kesulitan yang dihadapi entitas yang diperiksa.
3. Jelas : Laporan harus mudah dibaca dan dipahami. Laporan harus ditulis dengan bahasa
yang jelas dan sesederhana mungkin. Penggunaan bahasa yang lugas dan tidak teknis
sangat penting untuk menyederhanakan penyajian. Jika digunakan istilah teknis, singkatan
dan akronim yang tidak begitu dikenal, maka hal itu harus didefinisikan dengan jelas.
5. Konstruktif: Laporan hasil penugasan hendaknya bermanfaat bagi auditi serta membawa
kearah perbaikan. Agar meyakinkan, maka laporan harus dapat menjawab sasaran audit,
menyajikan temuan, kesimpulan dan rekomendasi yang logis. Informasi yang disajikan
harus cukup meyakinkan pengguna laporan untuk mengakui validitas temuan tersebut
dan manfaat penerapan rekomendasi. Laporan yang disusun dengan cara ini dapat
membantu pejabat yang bertanggung jawab untuk memusatkan perhatiannya atas hal
yang memerlukan perhatian itu dan dapat membantu untuk melakukan perbaikan sesuai
rekomendasi dalam laporan hasil audit.
7. Tepat waktu: Agar suatu informasi bermanfaat secara maksimal, maka laporan harus
tepat waktu, karena laporan yang terlambat disampaikan nilainya menjadi kurang bagi
pengguna laporan hasil audit.
Oleh karena itu, auditor harus merencanakan penerbitan laporan tersebut secara
semestinya dan melakukan audit dengan dasar pemikiran tersebut. Selama audit
berlangsung, auditor harus mempertimbangkan adanya laporan sementara untuk hal yang
material kepada auditi dan/atau kepada pihak lain yang terkait.
Laporan Hasil Audit (LHA) dapat disusun dalam dua bentuk yaitu bentuk bab dan bentuk surat.
Dalam menyajikan informasi hasil audit dikelompokkan dalam bab. Ketentuan mengenai
bentuk bab biasanya sudah ditetapkan oleh organisasi audit. Penyusunan LHA dalam
bentuk bab sangat sesuai untuk menyampaikan informasi penting dengan jumlah materi
yang banyak.
Laporan bentuk surat biasanya digunakan apabila hal‐hal yang ingin dilaporkan materinya
relatif sedikit atau harus disampaikan dengan segera.
Proses penugasan assurance tidak berakhir saat penugasan selesai. Setiap institusi auditor
internal harus mengembangkan sistem monitoring tindak lanjut hasil penugasan. Sangat penting
bagi auditor internal untuk memastikan bahwa rekomendasi telah ditindaklanjuti oleh
manajemen.
Pemantauan tindak lanjut hasil harus dilakukan agar auditi memahami dan memperbaiki
kelemahan dan kesalahan yang ada sehingga mampu meningkatkan kinerja organisasinya.
Selain itu, auditor internal harus memantau pelaksanaan tindak lanjut yang dilakukan auditi
untuk memastikan bahwa semua rekomendasi sudah dilaksanakan dengan tepat, sehingga
keefektifan pelaksanaan audit bisa tercapai.
Kewajiban untuk melaksanakan tindak lanjut berada pada pimpinan auditi. Hal ini sesuai dengan
pasal 43 Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern
Pemerintah, yang menyatakan bahwa “Pimpinan instansi pemerintah wajib melakukan tindak
lanjut atas rekomendasi hasil audit dan reviu lainnya”. Pelaksanaan tindak lanjut tersebut
merupakan bagian kegiatan pemantauan sistem pengendalian intern yang ada. Di sisi lain,
auditor internal berkewajiban untuk memantau pelaksanaan tindak lanjut untuk menjamin
keefektifan pelaksanaan audit. Auditor internal harus memasukkan kegiatan pemantauan tindak
lanjut dalam rencana strategis maupun tahunan.
Pada setiap pelaksanaan audit ulangan atas suatu auditi, auditor harus melihat apakah
rekomendasi dari laporan hasil audit terdahulu telah ditindaklanjuti. Auditor internal
bertanggung jawab untuk memberitahukan langkah‐langkah yang harus dilakukan auditi agar
tindak lanjut hasil audit bisa dilaksanakan dengan efektif dan tepat waktu. Dalam memutuskan
penyelesaian tindak lanjut yang belum tuntas, auditor harus mempertimbangkan pelaksanaan
prosedur dengan sifat tindak lanjut yang sama yang dilakukan oleh auditi yang lain.
1. Laporan hasil audit ditujukan kepada tingkatan manajemen yang dapat melakukan tindak
lanjut.
2. Tanggapan auditi diterima dan dievaluasi selama audit berlangsung atau dalam waktu
yang wajar setelah audit berakhir.
3. Laporan perkembangan kemajuan tindak lanjut diterima dari auditi secara periodik.
4. Status tindak lanjut dari pelaksanaan tindak lanjut dilaporkan kepada pimpinan auditi.
Hal yang perlu diperhatikan dalam pemantauan tindak lanjut hasil audit adalah sebagai berikut.
1. Semua formulir dan bukti pendukung yang terkait dengan tindak lanjut temuan audit
harus didokumentasikan dengan baik dan dipisahkan antara temuan yang
rekomendasinya sudah tuntas diselesaikan dengan temuan yang masih terbuka (yang
rekomendasinya belum atau belum seluruhnya ditindaklanjuti).
2. Tim pemantau tindak lanjut melakukan pemutakhiran tindak lanjut atas saldo temuan
yang belum ditindaklanjuti dan tindak lanjut yang masih kurang. Pemutakhiran tersebut
dilakukan sekali dalam setahun dan dituangkan dalam sebuah berita acara yang
ditandatangani pimpinan auditi dan tim pemantau tindak lanjut.
Kegiatan konsultansi merupakan pemberian saran, dengan jenis dan sifat kegiatan yang
disepakati oleh auditor internal dan manajemen. Kegiatan ini bertujuan untuk memberi nilai
tambah dan meningkatkan tata kelola, manajemen risiko dan proses pengendalian. Dalam
melaksanakan jasa konsultansi, auditor internal harus tetap menjaga objektivitasnya dan tidak
mengambil alih tanggung jawab manajemen.
3. memberi saran pemecahan masalah pada proyek‐proyek yang berisiko tinggi seperti
proyek pengembangan sistem informasi; dan
Pengalaman yang diperoleh dari kegiatan assurance memberikan kemampuan bagi auditor
internal untuk memahami aturan khusus bagi organisasi dan praktik‐praktik terbaik (best
practices) tertentu yang bermanfaat bagi organisasi. Oleh karena itu, auditor internal dapat
berbagi pengetahuan melalui pelatihan (training). Biasanya, kemampuan spesifik inilah yang
diminta dengan metode penyampaian disesuaikan dengan target pegawai penerima pelatihan.
Pelatihan dapat juga dilakukan dengan mengikutsertakan auditor internal di dalam proses yang
ingin diperbaiki, yaitu dengan on the job training. Metode ini secara langsung terjadi transfer
pengetahuan dari auditor internal kepada peserta pelatihan. Kegiatan konsultansi yang
termasuk dalam kelompok pelatihan, adalah:
2. benchmark unit internal dengan unit lainnya dari organisasi yang serupa untuk
mengidentifikasikan praktik‐praktik terbaik; dan
3. post mortem analysis yaitu mencarikan pelajaran yang dapat diambil dari suatu kegiatan
setelah kegiatan tersebut diselesaikan.
Kegiatan fasilitatif memerlukan keterlibatan yang lebih mendalam dari auditor internal dalam
melaksanakan tugas‐tugasnya membantu manajemen meningkatkan kinerja organisasi dalam
mencapai tujuannya. Contoh kegiatan ini ialah Contol Self Assessment (CSA) yang memerlukan
fasilitasi dari auditor internal. Pengetahuan yang dimiliki oleh auditor internal dalam hal ini
diperlukan untuk memfasilitasi diskusi tentang proses bisnis dan pengendalian. Diskusi yang
dilakukan terkait dengan proses yang ada dibandingkan dengan proses yang diinginkan. Gap
yang terjadi dianalisis dan ditentukan langkah‐langkah untuk menutup gap tersebut. Auditor
internal menjadi penuntun dalam diskusi tersebut. Namun demikian, auditor internal harus
tetap objektif dan tidak masuk terlalu dalam kepada area yang menjadi tanggungjawab
4. berlaku sebagai perantara (liaison) dalam isu‐isu pengendalian antara manajemen dengan
auditor ekstern, rekanan, dan kontraktor.
Secara umum, tahapan penugasan konsultansi secara esensial sama dengan penugasan
assurance. Terdapat tahapan perencanaan, pelaksanaan dan komunikasi. Namun demikian,
pelaksanaan tahapan tergantung dari sifat dan jenis penugasan, sehingga ada kemungkinan
salah satu langkah di dalam suatu tahapan tidak dilaksanakan. Selain itu, sangat penting untuk
diperhatikan bahwa jasa konsultansi dan assurance tidak selalu merupakan suatu penugasan
terpisah. Auditor internal harus menyadari bahwa jasa assurance dan konsultansi kadang
tergabung dalam satu penugasan, yang sering disebut sebagai penugasan gabungan (blended
engagement). Penugasan jenis ini menggabungkan sisi assurance dengan konsultansi dalam
suatu pendekatan terpadu (consolidated approach). Hal yang harus dijaga ialah independensi
dan objektivitas. Selain itu, komunikasi hasil penugasan juga perlu dipisahkan karena maksud
dan lingkup penugasan yang berbeda.
Sangat mungkin terjadi, keterbatasan sumber daya menjadikan fungsi auditor internal tidak
dapat menerima permintaan manajemen untuk melaksanakan penugasan konsultansi, sehingga
perlu dilakukan pemilihan atas penugasan ini secara selektif. Pemilihan seharusnya didasarkan
1. Penugasan diusulkan selama proses penilaian risiko tahunan dan, jika penugasan
dikategorikan prioritas tinggi, penugasan tersebut dimasukkan ke dalam rencana audit
internal tahunan.
Diantara tiga jenis penugasan konsultansi, penugasan advisory adalah penugasan yang memiliki
tahapan paling mirip dengan tahapan jasa assurance. Untuk selanjutnya, modul ini membahas
kegiatan advisory. Secara umum, tiga tahapan dalam penugasan advisory sama dengan tahapan
penugasan assurance. Perbedaan terletak pada langkah‐langkah di dalam tahapannya. Pada
praktiknya, beberapa langkah mungkin tidak diperlukan.
Kegiatan perencanaan dalam bidang advisory tidak jauh beda dengan kegiatan perencanaan di
bidang assurance. Beberapa perbedaannya adalah sebagai berikut.
1. Jika penugasan advisory dilakukan setelah rencana audit internal difinalkan, kegiatan
perencanaan biasanya lebih sensitif terhadap waktu dan kemungkinan perlu diselesaikan
dalam waktu yang sangat mendesak. Seringkali jangka waktu untuk penugasan semacam
ini tidak fleksibel sebagai akibat lingkungan yang melingkupi pengendalian fungsi audit
internal atau karena umpan balik sensitif terhadap waktu.
2. Tidak semua tahapan perencanaan cocok dengan setiap penugasan konsultansi, perlu
disesuaikan dengan kondisi yang ada.
d. pemberian saran selama proses reviu due dilligence untuk kegiatan merger dan
akuisisi.
2. Memperoleh Persetujuan tentang Sasaran dan Ruang Lingkup dari Pemberi Penugasan
Seperti dinyatakan dalam standar IIA 2201 C1, persetujuan sasaran dan lingkup penugasan
harus mendapat persetujuan dari manajemen pemberi tugas (pelanggan). Kesepakatan ini
perlu didokumentasikan dan direviu bersama dengan manajemen pemberi tugas agar
tidak terjadi kesalahpahaman di kemudian hari. Selain itu, auditor perlu mendiskusikan
output yang diharapkan dari hasil penugasan. Hal ini perlu agar auditor mampu memenuhi
ekspektasi pemberi tugas.
Auditor akan berhasil dalam melaksanakan tugasnya jika dia memahami dengan baik di
lingkungan mana organisasi kliennya berada. Hal ini karena perspektif yang luas dan cara
pandang terhadap organisasi secara menyeluruh akan membantu auditor dalam
memberikan nilai tambah bagi organisasi.
Auditor internal yang memberikan saran tentang risiko dan manajemen risiko seharusnya
memiliki pemahaman yang baik tentang toleransi organisasi dan pemberi tugas terhadap
risiko.
Pengendalian yang teridentifikasi dalam langkah sebelumnya perlu dievaluasi, jika hal itu
relevan dengan penugasan konsultansi yang dilaksanakan.
Setiap kegiatan penugasan konsultansi memiliki langkah yang berbeda, beberapa prosedur yang
dilaksanakan dalam penugasan tersebut mencakup:
1. pemahaman isu‐isu manajemen yang berkaitan dengan area yang sedang direviu;
2. perolehan informasi;
4. mereviu berbagai dokumen, termasuk struktur organisasi, bagan arus proses, dan
prosedur standar (SOP);
Dapat tidaknya prosedur tersebut diaplikasikan tergantung pada sifat penugasan konsultansi.
Audior harus memperoleh bukti yang cukup untuk mendukung ketercapaian sasaran
penugasan. Auditor mengevaluasi bukti dan menetapkan jenis saran yang akan diberikan.
Evaluasi bukti perlu didokumentasikan ke dalam kertas kerja.
Penting untuk dipastikan bahwa saran yang diberikan untuk mencapai sasaran yang
ditetapkan dalam penugasan, dapat dimengerti oleh klien, dan dapat dilaksanakan. Saran
harus mengindikasikan secara jelas bahwa apa yang diperlukan klien dapat dicapai.
Komunikasi hasil penugasan penting baik dalam penugasan assurance maupun konsultansi. Ada
kesamaan dan ada pula perbedaannya. Berikut adalah langkah‐langkah komunikasi.
Komunikasi dalam penugasan konsultansi dapat berbagai bentuk. Tergantung dari sifat
penugasan dan ekspektasi klien, komunikasi dapat lebih informal jika dibandingkan
dengan penugasan assurance misal cukup dengan presentasi, memorandum atau e‐mail.
Ada kemungkinan suatu hal mempengaruhi ketepatan saran yang diberikan oleh auditor
kepada kliennya. Oleh karena itu, saran perlu dipahami oleh klien, dan dapat
diimplementasikan secara efektif.
Penugasan konsultansi sangat sensitivitas terhadap waktu, hal ini mengakibatkan perlunya
melakukan komunikasi segera dan sesering mungkin.
Formal atau tidaknya bentuk komunikasi, selain tergantung dari jenis jasa yang diberikan
(konsultansi atau assurance) juga tergantung kepada kesepakatan antara auditor dengan
klien tentang materi apa yang akan disampaikan.
Komunikasi akhir penugasan konsultansi disampaikan kepada pihak yang menerima jasa
fungsi auditor internal.
Kegiatan pemantauan dan tindak lanjut dalam jasa konsultansi bisa dilakukan selama
proses penugasan. Dengan demikian, maka kemungkinan kegiatan pemantauan dan
tindak lanjut tidak diperlukan lagi, mengingat selama penugasan telah langsung dilakukan
perbaikan.
Kegiatan auditor intern sebelumnya berfokus pada jasa assurance. Adanya perubahan
paradigma menuntut auditor selain memberikan jasa assurance juga memberikan jasa
konsultansi. Hal ini berimplikasi perlunya perubahan mindset auditor. Auditor internal dituntut
untuk memberikan nilai tambah dari hasil kerjanya. Nilai hasil kerja auditor internal akan
bertambah jika sanggup mendorong pencapaian tujuan organisasi, memudahkan peningkatan di
bidang operasional, dan/atau mengurangi risiko. Hal ini dimungkinkan karena auditor internal
memiliki pengetahuan dan keahlian di bidang tata kelola, manajemen risiko dan pengendalian.
Secara khusus, auditor internal yang melaksanakan kegiatan konsultansi diharapkan memiliki
kemampuan sebagai berikut.
3. Mampu membangun hubungan baik dengan cepat dan memiliki keahlian interpersonal
yang kuat.
5. Mampu belajar dan beradaptasi secara cepat di tengah lingkungan yang dinamik.
Indikator Keberhasilan
Setelah mempelajari bab ini, diharapkan para peserta diklat memiliki pengetahuan
mengenai sistem teknologi informasi dalam melaksanakan kegiatan audit intern.
Komputer bukan lagi barang baru bagi masyarakat dewasa ini. Dari televisi, AC, DVD Player dan
peralatan elektronik lainnya dikendalikan oleh microchip, otak komputer. Tapi, sayang sekali
auditor internal belum memanfaatkan komputer dalam melakukan tugasnya. Saat ini komputer
bagi sebagian besar auditor masih sebagai pengganti mesin ketik, yang hanya digunakan untuk
aplikasi word processor (MS Word) dan spreadsheet (MS Excel).
Berbagai alasan yang biasa digunakan, misalnya ”Saya bukan auditor sistem informasi”, atau
”Dengan cara begini juga bisa”. Walaupun demikian, kita tidak dapat menutup mata akan
kemampuan komputer jika digunakan sesuai kemampuannya. Pada bab terdahulu sudah
disinggung keuntungan memanfaatkan komputer dalam mendapat berbagai informasi dengan
mudah dari proses e‐procurement. Ditengah perkembangan teknologi yang pesat seperti
sekarang ini, auditor harus mulai meninggalkan tehnik audit manual.
Gambaran auditor dengan kaca mata tebal, dengan kalkulator di tangan dan tenggelam di
tumpukan dokumen, saat ini seharusnya sudah tidak ada lagi. Perkembangan teknologi telah
masuk kerumah, kantor dan sekolah. Sudah saatnya perkembangan teknologi dimanfaatkan
dalam dunia auditor internal.
Teknologi informasi telah mengubah cara penyimpanan, pemrosesan dan pengolahan data
transaksi. Perkembangan teknologi membuat komputer makin cepat, efisien, mampu
menyimpan memory dalam jumlah besar dan mampu melakukan kalkulasi yang rumit. Hal ini
Buku
Pembantu
Perbedaan karakteristik pemrosesan secara manual dan pemrosesan komputer antara lain
sebagai berikut.
International Standards for the Professional Practice of Internal Auditing (IPPF‐2013), pada point
1220.A2 menyatakan bahwa :
“In exercising due professional care internal auditors must consider the use of technology‐
based audit and other data analysis techniques”.
Auditor internal harus mempertimbangkan untuk melakukan audit berbasis teknologi dan
teknik analisis data lainnya.
Menurut Webber (2000), terdapat beberapa alasan mengapa auditor internal harus memberi
perhatian lebih pada pemanfaatan teknologi informasi organisasi, antara lain sebagai berikut.
Data telah menjadi sumber daya penting bagi organisasi. Kehilangan data dapat
disebabkan karena virus, kerusakan server, hacker dan sebab lainnya. Hal ini akan
menimbul kerugian organisasi dan kemungkinan tuntutan pihak ketiga.
Saat ini telah banyak organisasi memanfaatkan teknologi informasi untuk membantu
pengambilan keputusan dengan memanfaatkan aplikasi Decission Support Systems (DSS).
3. Penyalahgunaan Komputer
Kemampuan computer untuk melakukan proses rumit telah dimanfaatkan dalam proses
bisnis organisasi. Namun bukan berarti hal ini tanpa risiko, terutama bila tidak dilakukan
pengujian awal dan pengujian berkala.
Program aplikasi audit yang banyak tersedia di pasaran adalah ACL (Audit Command Language)
dan IDEA (Interactive Data Extraction and Analysis). ACL dan IDEA dapat membantu auditor
dalam mencari transaksi sesuai kriteria yang ditentukan dari ribuan transaksi yang ada. Dalam
proses perencanaan, aplikasi ini dapat membantu auditor menentukan jumlah populasi,
mendapat data anggaran, dan realisasi tahun ini dan tahun sebelumnya, serta membantu
melakukan trend analisis. Hasilnya auditor internal dapat memahami kegiatan organisasi yang
diaudit tanpa harus meninggalkan meja kerjanya.
Audit ini sering disebut dengan auditing around computer. Dalam audit ini pengujian
hanya dilakukan sebatas pada masukan dan keluaran komputer saja, sedangkan penilaian
pemrosesan sistem informasi diabaikan. Auditor mendapatkan dokumen sumber dalam
bentuk hard copy atau dalam bentuk soft copy yang mudah dibaca komputer (Microsoft
Excel).
Keunggulan metode ini terletak pada kesederhanaannya dan dapat dipelajari oleh auditor
yang memiliki kemampuan minimal dalam bidang komputer. Dalam metode ini, auditor
menguji pengendalian input, menentukan hasil yang diharapkan dan membandingkan
output dengan hasil yang diharapkan.
Dalam audit ini, auditor memanfaatkan Computer Assisted Audit Techniques (CAAT).
Bentuk awal pendekatan ini adalah pemanfaatan komputer sebagai alat untuk melakukan
dokumentasi, perhitungan, perbandingan dan sebagainya. Audit ini menguji pemrosesan
data oleh sistem aplikasi komputer auditi dengan auditing through computer.
Perkembangan selanjutnya, teknik audit ini mengarah pada penggunaan komputer dan software
untuk mengotomatisasi prosedur audit. Software tersebut antara lain dapat dikelompokkan
menjadi :
GAS merupakan software audit serbaguna yang dapat digunakan untuk pemilihan data,
pembandingan, perhitungan kembali dan pelaporan seperti ACL dan IDEA.
SAS merupakan perangkat lunak yang dirancang secara khusus sesuai kebutuhan auditor
untuk situasi audit tertentu. Meskipun pemrograman SAS dapat diserahkan pada
programmer, namun auditor juga perlu memahami konsep pemrograman secara umum.
Contoh pemanfaatan teknologi informasi dalam audit antara lain sebagai berikut.
Contoh 1
Audit pada Perusahaan Daerah Air Minum (PDAM) yang telah menggunakan Sistem Informasi
Akuntansi PDAM (SIA‐PDAM). Dalam audit ini auditor dapat melakukan berbagai prosedur audit
dengan bantuan teknologi informasi. Prosedur yang dapat dilakukan antara lain:
1. membandingkan saldo‐saldo dalam laporan keuangan dengan buku besar dan transaksi
pendukungnya;
Contoh 2
Audit pada satuan kerja yang telah menggunakan sistem informasi akuntansi (SAI pada instansi
pemerintah pusat dan SIMDA pada instansi pemerintah daerah). Dalam audit ini auditor dapat
melakukan prosedur audit berikut dengan bantuan teknologi informasi.
1. Membandingkan saldo‐saldo dalam laporan keuangan dengan buku besar dan transaksi
pendukungnya.
3. Merinci realisasi belanja per jenis belanja, per urusan (untuk pemerintah daerah) dan per
fungsi/sub fungsi (untuk pemerintah pusat).
Sebagaimana dicontohkan pada bab sebelumnya, audit atas proses PBJ yang sudah
dilaksanakan dengan metode e‐procurement, melalui LPSE (lembaga pengadaan secara
elektronik), auditor dapat memperoleh informasi dan melakukan pengujian terkait proses PBJ,
misalnya :
1. harga perkiraan sendiri (HPS);
2. dokumen pengadaan (spesifikasi dan syarat‐syarat lain);
3. peserta yang mendaftar dan peserta yang melakukan penawaran;
4. tanya jawab yang terjadi dalam proses pemberian penjelasan; dan
5. hasil evaluasi kualifikasi, teknis dan harga.
Alkafaji, Yass. et.al. 2010. The IIA’s Global Internal Audit Survey: A Component of the CBOK Study
Characteristics of an Internal Audit Activity.
Pusat Pendidikan dan Pelatihan Pengawasan BPKP. 2009. Audit Berbasis Risiko ‐ Perencanaan
Mikro.
Pusat Pendidikan dan Pelatihan Pengawasan BPKP. 2011. Perencanaan Penugasan Audit.
nd
Reding, Kurt F. et.al. 2009. Internal Auditing: Assurance and Consulting Services. 2 Edition.
The Institute of Internal Auditors – UK and Ireland. 2003. An Approach to Implementing Risk
Based Internal Auditing: Professional Guidance for Internal Auditors.
The Institute of Internal Auditors. 2012. International Standards for The Professional Practice of
Internal Auditing (Standards).
Audit Int 9
100 2014 |Pusdiklatwas
BPKP