Badan Pengawasan Keuangan dan Pembangunan

PETUNJUK PELAKSANAAN
PENGAWASAN INTERN BERBASIS RISIKO
KEMENTERIAN/LEMBAGA

PERATURAN DEPUTI
Kepala BPKP Bidang Pengawasan Instansi Pemerintah
Bidang Politik, Hukum, Keamanan, Pembangunan Manusia
dan Kebudayaan
Nomor : 1 Tahun 2020
Tanggal : 20 Maret 2020

1
 BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
DEPUTI PENGAWASAN INSTANSI PEMERINTAH BIDANG POLITIK,
HUKUM, KEAMANAN, PEMBANGUNAN MANUSIA DAN KEBUDAYAAN

PERATURAN
DEPUTI KEPALA BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
BIDANG PENGAWASAN INSTANSI PEMERINTAH BIDANG POLITIK, HUKUM,
KEAMANAN, PEMBANGUNAN MANUSIA DAN KEBUDAYAAN
NOMOR 1 TAHUN 2020

TENTANG
PETUNJUK PELAKSANAAN PENGAWASAN INTERN BERBASIS RISIKO
DI LINGKUNGAN KEMENTERIAN/LEMBAGA

DENGAN RAHMAT TUHAN YANG MAHA ESA

DEPUTI KEPALA BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

BIDANG PENGAWASAN INSTANSI PEMERINTAH BIDANG POLITIK,
HUKUM, KEAMANAN, PEMBANGUNAN MANUSIA DAN KEBUDAYAAN,

Menimbang : bahwa berdasarkan Pasal 3 Peraturan Badan Pengawasan

Keuangan dan Pembangunan Nomor 6 Tahun 2018 tentang
Pedoman Pengawasan Intern Berbasis Risiko, perlu
menetapkan Peraturan Deputi Kepala Badan Pengawasan
Keuangan dan Pembangunan Bidang Pengawasan Instansi
Pemerintah Bidang Politik, Hukum, Keamanan,
Pembangunan Manusia dan Kebudayaan tentang Petunjuk
Pelaksanaan Pengawasan Intern Berbasis Risiko di
Lingkungan Kementerian/Lembaga;

Mengingat : 1. Undang-Undang Republik Indonesia Nomor 17 Tahun

2003 tentang Keuangan Negara (Lembaran Negara
Republik Indonesia Tahun 2003 Nomor 4286);
 -2-

2. Peraturan Pemerintah Republik Indonesia Nomor 60

Tahun 2008 tentang Sistem Pengendalian Intern
Pemerintah (Lembaran Negara Republik Indonesia
Tahun 2008 Nomor 127, Tambahan Lembaran Negara
Republik Indonesia Nomor 4890);
3. Peraturan Presiden Republik Indonesia Nomor 192
Tahun 2014 tentang Badan Pengawasan Keuangan dan
Pembangunan (Lembaran Negara Republik Indonesia
Tahun 2014 Nomor 400);
4. Peraturan Kepala Badan Pengawasan Keuangan dan
Pembangunan Nomor PER-1326/K/LB/2009 tentang
Pedoman Teknis Penyelenggaraan Sistem Pengendalian
Intern Pemerintah;
5. Peraturan Kepala Badan Pengawasan Keuangan dan
Pembangunan Nomor PER-688/K/D4/2012 tentang
Pedoman Penilaian Risiko di Lingkungan Instansi
Pemerintah;
6. Peraturan Kepala Badan Pengawasan Keuangan dan
Pembangunan Nomor 24 Tahun 2013 tentang Pedoman
Pelaksanaan Control Self Assessment untuk Penilaian
Risiko;
7. Peraturan Kepala Badan Pengawasan Keuangan dan
Pembangunan Nomor 4 Tahun 2016 tentang Pedoman
Penilaian dan Strategi Peningkatan Maturitas Sistem
Pengendalian Intern Pemerintah (Berita Negara
Republik Indonesia Tahun 2016 Nomor 489);
8. Peraturan Badan Pengawasan Keuangan dan
Pembangunan Nomor 6 Tahun 2018 tentang Pedoman
Pengawasan Intern Berbasis Risiko (Berita Negara
Republik Indonesia Tahun 2018 Nomor 1796);
 -3-

MEMUTUSKAN:

Menetapkan : PERATURAN DEPUTI KEPALA BADAN PENGAWASAN

KEUANGAN DAN PEMBANGUNAN BIDANG PENGAWASAN
INSTANSI PEMERINTAH BIDANG POLITIK, HUKUM,
KEAMANAN, PEMBANGUNAN MANUSIA DAN
KEBUDAYAAN TENTANG PETUNJUK PELAKSANAAN
PENGAWASAN INTERN BERBASIS RISIKO DI LINGKUNGAN
KEMENTERIAN/LEMBAGA.

Pasal 1
Dalam Peraturan Deputi Kepala ini yang dimaksud dengan:
1. Aparat Pengawasan Intern Pemerintah, yang
selanjutnya disingkat APIP adalah Instansi Pemerintah
yang mempunyai tugas pokok dan fungsi melakukan
pengawasan.
2. Pengawasan Intern Berbasis Risiko, yang selanjutnya
disingkat PIBR merupakan suatu metodologi yang
menghubungkan audit intern dengan seluruh kerangka
manajemen risiko yang memungkinkan proses audit
intern mendapatkan keyakinan memadai bahwa
manajemen risiko organisasi telah dikelola dengan
memadai sehubungan dengan risiko yang dapat
diterima.

Pasal 2

Ruang Lingkup Peraturan Deputi Kepala ini mengatur

mengenai Petunjuk Pelaksanaan Pengawasan Intern
Berbasis Risiko di Lingkungan Kementerian/Lembaga pada
bidang:
 -4-

a. Politik, Hukum, Keamanan, Pembangunan Manusia dan

Kebudayaan; dan
b. Perekonomian dan Kemaritiman.

Pasal 3
(1) Peraturan Deputi Kepala ini dimaksudkan sebagai
dasar acuan pelaksanaan PIBR oleh APIP di
Lingkungan Kementerian/Lembaga.
(2) Peraturan Deputi Kepala ini bertujuan untuk
meningkatkan kualitas hasil pengawasan intern yang
dilakukan oleh APIP di Lingkungan
Kementerian/Lembaga.

Pasal 4 C

Sistematika Peraturan Deputi Kepala ini terdiri atas:

M

a. Bab I Pendahuluan; CM

b. Bab II Tahap Perencanaan; MY

CY

c. Bab III Tahap Pelaksanaan; CMY

d. Bab IV Tahap Pengkomunikasian; dan K

e. Bab V Penutup.

Pasal 5
Ketentuan mengenai Petunjuk Pelaksanaan PIBR di
Lingkungan Kementerian/Lembaga sebagaimana dimaksud
dalam Pasal 2 tercantum dalam Lampiran yang merupakan
bagian tidak terpisahkan dari Peraturan Deputi Kepala ini.
 -5-

Pasal 6
Peraturan Deputi Kepala ini mulai berlaku pada tanggal
ditetapkan.

Ditetapkan di Jakarta
pada tanggal 20 Maret 2020

DEPUTI KEPALA BADAN PENGAWASAN

KEUANGAN DAN PEMBANGUNAN
BIDANG PENGAWASAN INSTANSI
PEMERINTAH BIDANG POLITIK,
HUKUM, KEAMANAN, PEMBANGUNAN
MANUSIA DAN KEBUDAYAAN,!

IWAN TAUFIQ PURWANTO

 Kata Pengantar
Indonesia saat ini sedang berada dalam fase transisi, dimana perkembangan teknologi dan
revolusi industri 4.0 telah menjadi pemicu terjadinya transformasi yang mengubah berbagai
realita kehidupan. Mulai dari cara kerja, metode pembelajaran, model bisnis, hingga sudut
pandang tentang nilai-nilai kehidupan, telah berubah mengikuti disrupsi bisnis. Agar dapat
selalu mengikuti perubahan yang terjadi, pengawasan intern terus berupaya memperbaiki
diri agar keberadaannya tetap relevan dan memberikan nilai tambah bagi organisasi
ditengah arus ketidakpastian dan kecanggihan teknologi berupa artificial intelegence yang
dapat menjadi ancaman sekaligus peluang bagi auditor internal.

Pengawasan intern terus mengalami evolusi dari awalnya menggunakan pendekatan

control based yang memfokuskan diri pada pengujian kesesuaian dengan ketentuan,
kemudian berkembang menjadi process based yang mengalihkan fokus pengawasannya
pada proses bisnis karena menyadari bahwa sesuatu yang sudah dijalankan sesuai aturan
belum tentu efisien dan efektif dalam pencapaian tujuan. Perkembangan terkini,
implementasi manajemen risiko telah mendorong perubahan pendekatan audit intern yang
lebih fokus pada pengelolaan risiko sampai level yang dapat diterima atau lebih dikenal
sebagai risk based internal auditing. Petunjuk pelaksanaan ini diharapkan mampu
memberikan panduan implementasi risk based internal auditing yang diadopsi menjadi
Pengawasan Intern Berbasis Risiko (PIBR).

Petunjuk pelaksanaan ini merupakan penjabaran lebih lanjut dari Peraturan BPKP Nomor 6
Tahun 2018 tentang Pedoman Pengawasan Intern Berbasis Risiko. Melalui petunjuk
pelaksanaan ini, diharapkan dapat menjadi petunjuk bagi APIP dalam merencanakan,
melaksanakan dan mengkomunikasikan hasil-hasil Pengawasan Intern Berbasis Risiko
sehingga keterbatasan sumber daya, diharapkan tidak lagi menjadi kendala untuk
mewujudkan peran APIP yang efektif sebagaimana dimandatkan dalam Pasal 11 Peraturan
Pemerintah Nomor 60 Tahun 2008.

Deputi Kepala BPKP

Bidang Pengawasan Instansi
Pemerintah Bidang Politik, Hukum,
Keamanan, Pembangunan Manusia,
dan Kebudayaan,

Iwan Taufiq Purwanto

NIP 19680607 198903 1 001

ii
Kata Pengantar
Peran APIP semakin lama semakin strategis dan bergerak mengikuti kebutuhan zaman.
APIP diharapkan menjadi agen perubahan yang mampu menciptakan nilai tambah pada
produk atau layanan instansi pemerintah. APIP merupakan bagian dari manajemen
pemerintahan yang berperan penting dalam rangka mewujudkan kepemerintahan yang
baik (good governance), yang bermuara pada terwujudnya birokrasi yang bersih (clean
government). Sebagaimana disebutkan dalam pasal 11 PP Nomor 60 Tahun 2008 yang
menyatakan bahwa salah satu peran APIP yang efektif adalah mampu memberikan
peringatan dini dan meningkatkan efektivitas manajemen risiko dalam penyelenggaraan
tugas dan fungsi Instansi Pemerintah. Untuk itu, APIP harus memiliki kapabilitas untuk
memastikan bahwa kegiatan pengawasan intern yang dilakukan memberikan nilai tambah
bagi organisasi dalam mencapai tujuannya, dengan pendekatan yang sistematis dan teratur
untuk menilai dan meningkatkan efektivitas manajemen risiko, pengendalian intern, dan tata
kelola organisasi. Kegiatan pengawasan intern harus mampu mengevaluasi efektivitas dan
berkontribusi terhadap perbaikan proses manajemen risiko.
Sehubungan dengan itu, salah satu tugas yang diamanatkan kepada Kedeputian Bidang
Pengawasan Instansi Pemerintah Bidang Perekonomian dan Kemaritiman adalah
penyusunan kebijakan, penyusunan pedoman, petunjuk teknis, pelaksanaan pengawasan,
serta pengoordinasian pengawasan intern terhadap akuntabilitas keuangan negara dan
program lintas sektoral pembangunan nasional pada instansi pemerintah pusat. Selaras
dengan tugas tersebut, Kedeputian Bidang Pengawasan Instansi Pemerintah Bidang
Perekonomian dan Kemaritiman bersinergi dengan Kedeputian Bidang Pengawasan
Instansi Pemerintah Bidang Politik, Hukum dan Keamanan PMK, bersama-sama
merumuskan Petunjuk Pelaksanaan Pengawasan Intern Berbasis Risiko (PIBR) ini, dengan
tujuan agar petunjuk pelaksanaan ini dapat dimanfaatkan oleh seluruh
Kementerian/Lembaga (K/L) di Indonesia.
Penerapan PIBR menetapkan fokus pengawasan terhadap pengelolaan risiko-risiko
signifikan yang mempengaruhi kinerja organisasi. Dengan pendekatan ini, suatu organisasi
dapat mengalokasikan sumber daya pengawasan dengan memprioritaskan unit-unit kerja
yang memang perlu dilakukan audit berdasarkan pertimbangan risiko dan perhitungan
risiko yang dihadapi oleh unit kerja yang bersangkutan. Lebih lanjut, petunjuk pelaksanaan
ini akan selalu dimutakhirkan untuk mengikuti perkembangan praktik pengawasan intern di
Indonesia.

Deputi Kepala BPKP

Bidang Pengawasan Instansi
Pemerintah Bidang Perekonomian
dan Kemaritiman,

Salamat Simanullang
NIP 19640101 198503 1 001

iii
 Daftar Isi

01
Kata Pengantar
02Kata Pengantar
Deputi Kelapa BPKP Deputi Kelapa BPKP
Bidang Pengawasan Instansi Bidang Pengawasan Instansi
Pemerintah Bidang Politik, Pemerintah Bidang
Hukum, Keamanan, Perekonomian
Pembangunan Manusia, ii dan Kemaritiman iii
dan Kebudyaan

03 04
BAB I Pendahuluan 01
Daftar Isi iv A. Latar Belakang 01
B. Tujuan 03
C. Ruang lingkup 05
D. Dasar Penyusunan 05

05
E. Metodologi Penyusunan 07
F. Sistematika Penyusunan 07

BAB II Tahapan Perencanaan 09

A. Gambaran Umum Perencanaan PIBR 11
B. Penilaian Maturitas Manajemen Risiko dan 16
Penyusunan Rencana Strategis Pengawasan Intern
C. Penyusunan Audit Universe dan Penyusunan Prioritas Pengawasan 27
D. Penyusunan Program Kerja Pengawasan Tahunan (PKPT) 50

10
iv
 06
BAB III Tahapan Pelaksanaan Pengawasan Individu 60
A. Gambaran Umum Pelaksanaan PIBR 61
B. Peran Assurance Sesuai Perkembangan Maturitas MR 72
C. Pelaporan Consulting Sesuai Level Maturitas Manajemen Risiko 75
D. Pengawasan Intern Berbasis Risiko dan Peningkatan Kapabilitas APIP 78
E. Rekonfirmasi Tingkat Kematangan Manajemen Risiko 81
F. Pelaksanaan Fasilitasi Penerapan Manajemen Risiko 89
G. Pelaksanaan Pengawasan Lanjutan 109

07
BAB IV Tahap Pengkomunikasian 129
A. Gambaran Umum Pengkomunikasian dan Pelaporan Hasil PIBR 131
B. Pengembangan Petunjuk Pelaksanaan Selanjutnya 132
C. Pembahasan Hasil Pengawasan 135
D. Bentuk Laporan Hasil Pengawasan 136
E. Penyusunan Konsep Laporan Hasil Pengawasan 139
F. Reviu Konsep Laporan Hasil Pengawasan 149
G. Penandatanganan Laporan Hasil Pengawasan 153
H. Pendistribusian Laporan Hasil Pengawasan 154
I. Tindak Lanjut Hasil Pengawasan 156
J. Pendokumentasian Tahap Pengkomunikasian Hasil Pengawasan 159

08 09
BAB V Penutup 251
Lampiran Petunjuk Fasilitasi
Manajemen Risiko

Lampiran Tahapan
Pelaksanaan PIBR
160

181

Lampiran Tahapan Pengkomunikasian

Pengawasan Intern 218

11
v
BAB I

12
PENDAHULUAN
A. Latar Belakang
B. Tujuan
C. Ruang lingkup
D. Dasar Penyusunan Petunjuk Pelaksanaan
E . Metodologi Penyusunan
F . Sistematika Penyajian Petunjuk Pelaksanaan

13
 A. Latar
Belakang
Dalam rangka peningkatan kualitas hasil
pengawasan intern berbasis risiko pada
Aparat Pengawasan Intern Pemerintah
(APIP) di lingkungan Kementerian/
Lembaga, diperlukan petunjuk pelaksanaan
.
pengawasan intern berbasis risiko
di lingkungan kementerian/lembaga
sebagaimana yang diamanahkan pada
Pasal 3 Peraturan Badan Pengawasan
Keuangan dan Pembangunan Nomor 6
Tahun 2018 tentang Pedoman Pengawasan
Intern Berbasis Risiko, yakni perlu
menetapkan Peraturan Deputi Kepala
Badan Pengawasan Keuangan dan
Pembangunan (BPKP) Bidang Pengawasan
Instansi Pemerintah (PIP) Bidang Politik,
Hukum, Keamanan (Polhukam) dan
Pembangunan Manusia dan Kebudayaan
(PMK) tentang Petunjuk Pelaksanaan
Pengawasan Intern Berbasis Risiko di
Lingkungan Kementerian/Lembaga.
Pendekatan audit konvensional yang
telah dilakukan oleh APIP selama ini
belum dapat menjawab amanah Standar
Audit Intern Pemerintah Indonesia 3120
tentang Manajemen Risiko, yakni “kegiatan
audit intern harus dapat mengevaluasi
efektivitas dan berkontribusi terhadap
perbaikan proses manajemen risiko”.
Terkait dengan hal ini, Pengawasan Intern
Berbasis Risiko (PIBR) hadir sebagai sebuah
metodologi Pengawasan Intern yang dapat
141
mengintegrasikan fungsi Pengawasan
Intern (Assurance dan Consulting) dengan
framework Manajemen Risiko pada setiap
Kementerian/Lembaga Pemerintah di
Indonesia. Dengan demikian, antara
fungsi Pengawasan Intern yang dilakukan
oleh APIP dan fungsi Manajemen Risiko
yang dilakukan oleh pihak Manajemen
tidak lagi akan berjalan sendiri-sendiri
(silo), akan tetapi dapat terjalin menjadi
suatu integrasi yang secara bersama-
sama berfungsi meningkatkan efektivitas
manajemen risiko di setiap Kementerian/
Lembaga tempat APIP berada. Sebagai
tambahan, perlu ditegaskan kembali
bahwa Standar Audit Intern Pemerintah
Indonesia 3120 mengatur bahwa “Ketika
membantu manajemen dalam membangun
atau meningkatkan proses manajemen
risiko, auditor harus menahan diri untuk
mengambil alih fungsi dan tanggung jawab
manajemen”. Artinya, dalam melaksanakan
PIBR baik melalui kegiatan assurance
ataupun consulting, auditor secara tegas
dilarang untuk membuatkan register
risiko yang merupakan tanggung jawab
pihak manajemen sebagai pemilik risiko
itu sendiri. Auditor juga dilarang untuk
mengambil alih fungsi dan tanggung
jawab manajemen, untuk melaksanakan
setiap tahapan dalam proses manajemen
risiko mulai dari:
 penetapan lingkup,
perlakuan risiko;
1. konteks, kriteria; 5.

pencatatan dan
identifikasi risiko;
2. 6. pelaporan; dan,

3. analisis risiko;
7 pemantauan dan evaluasi.

4. evaluasi risiko;

Sebaliknya, auditor diperbolehkan bahkan disarankan untuk berperan

aktif pada tahapan komunikasi dan konsultasi di dalam proses
manajemen risiko sebagai Risk Management Champion yang turut
mendorong kesadaran, pemahaman risiko, serta pencarian umpan balik
dan informasi untuk mendukung pengambilan keputusan manajemen
puncak.

15
2
 B. Tujuan

Tujuan penyusunan petunjuk

pelaksanaan adalah untuk memberikan
penjelasan yang lebih rinci atas
langkah kerja yang dimaksudkan
sesuai Peraturan Badan Pengawasan
Keuangan dan Pembangunan Nomor
6 Tahun 2018 tentang Pedoman
Pengawasan Intern Berbasis Risiko.
Melalui pengawasan yang berorintasi
kedepan atau forward looking,
diharapkan APIP mampu memberikan
nila tambah berupa peran early warning
yang efektif bagi manajemen dalam
upaya pencapaian tujuan. Sedangkan
manfaat petunjuk pelaksanaan
pengawasan intern berbasis risiko
antara lain sebagai berikut:

163
 Mendukung implementasi manajemen risiko, terutama melalui peran fasilitasi
1. manajemen risiko yang dilaksanakan oleh APIP;

Mendukung pelaksanaan pengawasan intern berbasis risiko yang lebih efektif

2. dan efisien meskipun dengan dukungan sumber daya APIP yang terbatas;

Mendukung tercapainya output pengawasan intern berbasis risiko berupa

3. laporan hasil pengawasan intern yang berkualitas dan memberi nilai tambah
(value added) bagi para pemangku kepentingan (stakeholder) dalam
pengambilan keputusan dan perumusan kebijakan strategis;

Menjadi dasar acuan bagi APIP dalam menerapkan dan mengembangkan

4. Pengawasan Intern Berbasis Risiko sesuai dengan karakteristik organisasinya
masing-masing; ;

Mendukung peningkatan Maturitas SPIP melalui pengembangan implementasi

5.
unsur kedua, yaitu penilaian risiko organisasi.

17
4
 C. Ruang Lingkup
Ruang lingkup petunjuk pelaksanaan ini meliputi tahap perencanaan, pelaksanaan,
dan pengkomunikasian. Petunjuk pelaksanaan ini secara khusus ditujukan untuk
menjadi panduan bagi APIP di lingkungan Kementerian/Lembaga yang sedang
mengembangkan pengawasan intern berbasis risiko. Sedangkan petunjuk pelaksanaan
pengawasan intern berbasis risiko yang berlaku untuk Pemerintah Daerah akan
diatur tersendiri menyesuaikan dengan pedoman penerapan manajemen risiko
yang berlaku di lingkungan pemerintah daerah.

D. Dasar Penyusunan
Penyusunan Petunjuk Pelaksanaan Pengawasan Intern Berbasis Risiko di Lingkungan
Kementerian/Lembaga mengacu pada aturan sebagai berikut:

Undang-Undang Republik Indonesia Nomor 17 Tahun 2003 tentang Keuangan

1. Negara (Lembaran Negara Republik Indonesia Tahun 2003 Nomor 4286);

Peraturan Pemerintah Republik Indonesia Nomor 60 Tahun 2008 tentang Sistem

2. Pengendalian Intern Pemerintah (Lembaran Negara Republik Indonesia Tahun
2008 Nomor 127, Tambahan Lembaran Negara Republik Indonesia Nomor 4890);

Peraturan Presiden Republik Indonesia Nomor 192 Tahun 2014 tentang Badan
3. Pengawasan Keuangan dan Pembangunan (Lembaran Negara Republik Indonesia
Tahun 2014 Nomor 400);

Peraturan Kepala Badan Pengawasan Keuangan dan Pembangunan Nomor

4. PER-1326/K/LB/2009 tentang Pedoman Teknis Penyelenggaraan Sistem
Pengendalian Intern Pemerintah;

Peraturan Kepala Badan Pengawasan Keuangan dan Pembangunan Nomor

5. PER-688/K/D4/2012 tentang Pedoman Penilaian Risiko di Lingkungan Instansi
Pemerintah;

185
 Peraturan Kepala Badan Pengawasan Keuangan dan Pembangunan
6. Nomor 24 Tahun 2013 tentang Pedoman Pelaksanaan Control Self
Assessment untuk Penilaian Risiko;

Peraturan Kepala Badan Pengawasan Keuangan dan Pembangunan

7. Nomor 4 Tahun 2016 tentang Pedoman Penilaian dan Strategi
Peningkatan Maturitas SPIP (Berita Negara Republik Indonesia
Tahun 2016 Nomor 489); dan

Peraturan Badan Pengawasan Keuangan dan Pembangunan Nomor

8. 6 Tahun 2018 tentang Pedoman Pengawasan Intern Berbasis Risiko
(Berita Negara Republik Indonesia Tahun 2018 Nomor 1796).

19
6
 E. Metodologi Penyusunan
Metodologi penyusunan petunjuk pelaksanaan dengan mempertimbangkan berbagai
referensi ilmiah dan kebijakan atau standar audit yang telah ada, serta berdasarkan
hasil piloting (uji coba petunjuk pelaksanaan) pada beberapa kementerian/
lembaga. Petunjuk pelaksanaan ini dikembangkan berdasarkan kajian dan literatur
yang dikembangkan oleh IIA dengan beberapa penyesuaian mengikuti dinamika
lingkungan organisasi di Indonesia.

F. Sistematika Penyajian
Petunjuk Pelaksanaan PIBR terdiri dari 5 (lima) bab yaitu:

BAB I PENDAHULUAN

Bab I menyajikan Latar Belakang, Tujuan, Ruang Lingkup, Dasar Penyusunan

Petunjuk Pelaksanaan, Metodologi Penyusunan, dan Sistematika Penyajian
Petunjuk Pelaksanaan.

BAB II TAHAP PERENCANAAN

Bab II menjelaskan Gambaran Umum Perencanaan PIBR, Penilaian Maturitas

Manajemen Risiko dan Rencana Strategis Pengawasan, Penyusunan Audit
Universe dan Penyusunan Prioritas Pengawasan, Penyusunan Program
Kerja Pengawasan Tahunan (PKPT).

BAB III TAHAP PELAKSANAAN

Bab III menjelaskan Gambaran Umum Pelaksanaan PIBR, Peran Assurance

sesuai Perkembangan Maturitas MR, Peran Consulting sesuai Perkembangan
Maturitas MR, Pengawasan Intern Berbasis Risiko terkait Peningkatan
Kapabilitas APIP, Rekonfirmasi Tingkat Kematangan MR, Pelaksanaan
Fasilitasi Penerapan MR, dan Pelaksanaan Pengawasan Lanjutan.

20
7
BAB IV TAHAP PENGKOMUNIKASIAN
Bab IV menjelaskan Gambaran Umum Pengkomunikasian, Syarat
Kualitas dan Kriteria Komunikasi Hasil Pengawasan, Pembahasan Hasil
Pengawasan, Bentuk Laporan Hasil Pengawasan, Penyusunan Konsep
Laporan Hasil Pengawasan, Reviu Konsep Laporan Hasil Pengawasan,
Penandatanganan Laporan Hasil Pengawasan, Pendistribusian Laporan
Hasil Pengawasan, Tindak Lanjut Hasil Pengawasan, Pendokumentasian
Tahap Pengkomunikasian Hasil Pengawasan.

BAB V PENUTUP
Bab V menjelaskan Dampak Pengawasan Intern Berbasis Risiko dan
Pengembangan ke Depan Teknik Pengawasan Intern Berbasis Risiko
untuk Auditable Unit dengan Maturitas Manajemen Risiko Level Tinggi.

21
8
BAB II

22
TAHAPAN PERENCANAAN

A. Gambaran Umum Perencanaan PIBR

B. Penilaian Maturitas Manajemen Risiko dan Penyusunan
Rencana Strategis Pengawasan Intern
C. Penyusunan Audit Universe dan Penyusunan
Prioritas Pengawasan
D. Penyusunan Program Kerja Pengawasan Tahunan (PKPT)

23
 A.
Gambaran Umum
Perencanaan Pengawasan Intern
Berbasis Risiko

Pengawasan intern berbasis risiko merupakan suatu metodologi

yang menghubungkan audit intern dengan seluruh kerangka
manajemen risiko yang memungkinkan proses audit intern
mendapatkan keyakinan memadai bahwa manajemen risiko
organisasi telah dikelola dengan memadai sehubungan dengan
risiko yang dapat diterima (risk appetite). Pendekatan ini
memerlukan satu prasyarat, yaitu telah terimplementasinya
manajemen risiko di dalam organisasi. Jika penerapan manajemen
risiko belum matang, maka peran pengawasan intern lebih
diarahkan untuk mendorong penerapan manajemen risiko melalui
kegiatan fasilitasi.
Pendekatan pengawasan intern berkembang seiring dengan
perkembangan organisasi. Ketika organisasi sudah tertib secara
administrasi dan tidak lagi disibukkan dengan kasus pelanggaran,
dan sudah fokus pada pencapaian tujuan, maka ketiga hal itu
merupakan indikasi bahwa peran pengawasan intern perlu di
optimalkan dengan pelaksanaan kegiatan Pengawasan Intern
berbasis Risiko.

24
11
Latar Belakang Penyusunan Perencanaan
Pengawasan Intern Berbasis Risiko adalah:

Pimpinan/Manajemen Kementerian/Lembaga (K/L) selalu berorientasi

1.
pada pencapaian tujuan organisasi sehingga hambatan dalam
pencapaian tujuan menjadi hal yang perlu diperhatikan bagi pimpinan
organisasi. Pengawasan Intern Berbasis Risiko (PIBR) mengintegrasikan
pengawasan intern ke dalam proses manajemen risiko yang dibangun
organisasi, sehingga pengkomunikasian proses dan hasil pengawasan
lebih mudah dipahami dan ditindaklanjuti oleh pimpinan organisasi.

Penilaian kapabilitas APIP dengan pendekatan Internal Audit Capability

2.
Model, yang dikembangkan oleh The Institute of Internal Auditors (IIA),
mensyaratkan bahwa salah satu infrastruktur yang harus dibangun APIP
untuk memenuhi Level 3 adalah Program Kerja Pengawasan Tahunan
berbasis risiko.

Sesuai dengan The Three Lines of Defence Model unit audit intern
3.
menjadi lapisan paling akhir dari mekanisme tiga lapis pertahanan dalam
mengelola risiko organisasi, maksudnya adalah APIP melakukan
pengawasan intern terhadap pelaksanaan seluruh unit kerja untuk
memastikan risiko telah dikelola dan dikendalikan dengan baik untuk
mencapai tujuan organisasi.Kegiatan pengawasan intern harus dapat
mengevaluasi efektivitas dan berkontribusi terhadap perbaikan proses
manajemen risiko. Karenanya, diperlukan suatu metodologi yang efektif
dalam melakukan pengawasan intern, yaitu Pengawasan Intern Berbasis
Risiko (PIBR). Penerapan PIBR mengutamakan pengawasan terhadap
pengelolaan atas risiko-risiko signifikan organisasi. Dengan PIBR ini,
sebuah organisasi dapat mendistribusikan sumber daya pengawasan
dengan memprioritaskan unit-unit yang memang perlu dilakukan audit
berdasarkan pertimbangan risiko yang dihadapi oleh unit kerja yang
bersangkutan.

12
25
04
 Fungsi BPKP, sebagaimana diamanatkan dalam Peraturan Presiden Nomor
4. 192 Tahun 2014 Pasal 2 huruf j, diantaranya adalah menyelenggarakan
fungsi pembinaan kapabilitas pengawasan intern pemerintah. Salah satu
upaya yang dilakukan untuk meningkatkan kapabilitas pengawasan
instansi pemerintah adalah dengan menyusun Petunjuk Pelaksanaan
Perencanaan Pengawasan Berbasis Risiko, yang dapat dijadikan acuan
bagi APIP Kementerian/Lembaga dan Pemerintah Daerah dalam
membangun PIBR.

Standar Audit Intern Pemerintah Indonesia (SAIPI) mendorong praktik

5. audit intern berbasis risiko, sebagaimana tercantum dalam:

No. Paragraf Uraian

1. 3010 Pimpinan APIP harus menyusun rencana strategis
dan rencana kegiatan audit intern tahunan
dengan prioritas pada kegiatan yang mempunyai
risiko terbesar dan selaras dengan tujuan APIP

2. 3120 Kegiatan audit intern harus dapat mengevaluasi

efektivitas dan berkontribusi terhadap perbaikan
proses manajemen risiko.

Praktik profesional dengan pendekatan pengawasan intern berbasis risiko

tersebut sejalan dengan standar audit yang ditetapkan oleh Asosiasi
Auditor Intern Pemerintah Indonesia (AAIPI).
Standar Internasional Praktik Profesional Audit Internal (Standar) dari
Institute of Internal Auditor (IIA) Tahun 2017 dalam Standar Kinerja juga
mendorong perencanaan audit internal yang berbasis risiko, yang tertuang
dalam:

No. Paragraf
1. 2010 Perencanaan
Kepala Audit Internal harus menyusun perenca-
naan berbasis risiko (risk-based plan) untuk
menetapkan prioritas kegiatan aktivitas audit
internal sesuai dengan tujuan organisasi.

2. 2010.A1 Perencanaan penugasan sebagai aktivitas audit

internal harus didasarkan atas penilaian risiko yang
terdokumentasikan, yang dilakukan sekurang-
kurangnya setahun sekali. Masukan dari
Manajemen Senior dan Dewan harus diperhatikan
dalam proses tersebut.

26
13
 Standards for International Professional Practice Framework of Internal
6 Auditing Tahun 2017, menyatakan bahwa dalam pelaksanaan aktivitas
assurance dan consulting auditor intern menggunakan suatu pendekatan
yang sistematis dan disiplin untuk mengevaluasi efektivitas proses
manajemen risiko, pengendalian intern, dan good governance.

Tujuan dari Bab Pelaksanaan Perencanaan Pengawasan Berbasis Risiko adalah menjadi
salah satu petunjuk teknis pelaksanaan Peraturan BPKP tentang Pedoman Pengawasan
Intern Berbasis Risiko. Manfaat dari Bab Perencanaan Pengawasan Berbasis Risiko
adalah:

1
Menjadi panduan bagi Aparat Pengawas Intern Pemerintah pada
Pemerintah Pusat (Kementerian/Lembaga) dalam menyelenggarakan
Perencanaan Pengawasan Intern Berbasis Risiko;

2
Terselenggaranya perencanaan pengawasan tahunan intern berbasis
risiko pada Aparat Pengawas Intern Pemerintah pada Pemerintah Pusat
(Kementerian/ Lembaga);

3
Ruang lingkup Bab Pelaksanaan Perencanaan Pengawasan Intern
Berbasis Risiko ini mencakup penilaian maturitas manajemen risiko,
penyusunan rencana strategis pengawasan, penyusunan audit universe,
penyusunan prioritas pengawasan, dan pengembangan PKPT berbasis
risiko, pada Aparat Pengawas Intern Pemerintah pada Pemerintah Pusat
(Kementerian/Lembaga).

Tahapan PIBR dimulai dengan penilaian maturitas Manajemen Risiko, dan digambarkan
dengan bagan dibawah ini, sedangkan ruang lingkup bab perencanaan dimulai sejak
penilaian maturitas MR sampai dengan penyusunan Program Kerja Pengawasan
Tahunan (PKPT). Tahapan Pelaksanaan audit individu menjadi topik bahasan PIBR-tahap
(Bab III), sedangkan pelaporan pengawasan menjadi topik bahasan PIBR-tahap (Bab IV).

27
14
 Gambar 2.1 Tahapan Pelaksanaan PIBR

1. Memperoleh gambaran bagaimana pimpinan

Menilai Maturitas
dan manajemen menetapkan, menilai,
MR
mengelola, dan memantau risiko. Hal ini
memberikan indikasi seberapa andal register
risiko yang dibuar oleh manajemen

Rencana Strategis
Pengawasan Intern

Menyusun Rencana Menyusun Rencana

Register Stakeholders
Manajemen Pengawasan Tahunan Pengawasan Tahunan
Resiko
2.

Merencanakan kegiatan assurance dan

consulting secara periodik (tahunan), Program Kerja
dengan mengidentifikasi area-area Pengawasan Tahunan
pengawasan prioritas.

3. Melaksanakan pengawasan individu

Melaksanakan berbasis risiko, sesuai tingkat
Pengawasan Individu kematangan manajmen risiko
auditable unit masing-masing.

Sumber: RBIA, IIA Laporan

Hasil Pengawasan

el

28
15
B.
Penilaian Maturitas Manajemen Risiko
dan Penyusunan Rencana Strategis
Pengawasan Intern

1. Penilaian Maturitas MR
Sebelum tahap penyusunan rencana
pengawasan tahunan, idealnya APIP telah
memiliki informasi mengenai tingkat
kematangan atau maturitas penerapan
manajemen risiko pada level auditable unit
yang menjadi lingkup kewenangannya. APIP
selanjutnya menggunakan informasi tersebut
sebagai pertimbangan penyusunan rencana
strategis pengawasan intern serta
pertimbangan dalam penetapan bobot antara
faktor risiko dan register risiko dalam proses
pemeringkatan area pengawasan terpilih.
Penilaian maturitas manajemen risiko
dilaksanakan oleh APIP dengan
menggunakan kuesioner lima belas
pernyataan sesuai gambar 3.1. Selanjutnya,
APIP memberikan skor 2 untuk pernyataan
yang sepenuhnya dilaksanakan, skor 1 untuk
yang hanya sebagian dilaksanakan dan skor
0 jika belum dilaksanakan. Selain itu, auditor
perlu membandingkan total hasil penilaian
dengan kondisi sebenarnya di lapangan
dikaitkan dengan karakteristik utama
masing-masing level maturitas manajemen
risiko.
Sedapat mungkin auditor harus dapat
mendukung setiap jawaban atas lima belas
pernyataan itu dengan dokumentasi yang
memadai sehingga simpulan akhir level
maturitas manajemen risiko setiap auditable
unit tidak bias. Proses penilaian tingkat
kematangan manajemen risiko digambarkan
sebagai berikut:

29
16
 Gambar 2.2
Proses Penilaian Tingkat Kematangan Manajemen Risiko

No. Uraian Dokumen Wawancara Observasi Skor (0-2)

Tujuan organisasi
1.
terdokumentasi dan
 
dipahami dengan baik

2.
Pimpinan unit organisasi
telah memahami risiko dan

tanggung jawab atas risiko
tersebut

Sistem skoring untuk

3. penilaian risiko telah  
ditetapkan

Risk appetite telah

4. ditetapkan dengan sistem 
skoring

Risiko telah dibagi

5.
tanggung jawabnya dan  
didokumentasikan dalam
risk register

6.
Proses identifikasi risiko
telah ditetapkan dan
  
dipatuhi

Seluruh risiko yang

7. teridentifikasi telah dinilai

dengan sistem skoring
yang telah ditetapkan

Respon atas risiko telah

8.
ditetapkan dan  
diimplementasikan

Pimpinan unit organisasi

9.
telah menetapkan model
 
pemantauan atas proses,
respon dan action plan
risiko.

30
17
No. Uraian Dokumen Wawancara Observasi Skor (0-2)
Risk register di-update
10.
secara periodik (minimal
 
sekali setahun)

11.
Terdapat pelaporan
kepada pimpinan puncak
 
bila terdapat risiko yang
belum ditekan pada
tingkat yang dapat
diterima

12.
Kegiatan yang bersifat
proyek/program selalu
 
dinilai risikonya

Uraian tanggung jawab

13.
menetapkan risiko, menilai 
risiko dan mengelolanya,
termasuk dalam uraian
tugas dan tanggung jawab
pegawai

14.
Pimpinan memberikan
jaminan efektivitas atas
 
pengelolaan risiko

Pimpinan dinilai kinerjanya

15.
dalam mengelola risiko  
Jumlah

Keterangan Skor:
0 : Tidak ada
1 : Ada hanya sebagian atau belum diterapkan
2 : Ada dan telah di implementasikan

Catatan : Tools dan kuisioner penilaian maturitas organisasi juga dibahas dalam bab pelaksanaan.
Penilaian maturitas dan rekonfirmasi maturitas MR menggunakan prosedur dan tools yang sama,
bedanya adalah penilaian maturitas pada bab perencanaaan adalah untuk menilai maturitas
manajemen risiko yang dapat digantikan dengan maturitas SPIP bertujuan untuk penyusunan PKPT,
sedangkan prosedur re-konfirmasi digunakan untuk menilai maturitas/kematangan manajemen risiko
pada area pengawasan (auditable unit) untuk menilai konsistensinya dengan tahap perencanaan.

31
18
 Perlu digaris bawahi, bahwa penilaian kematangan manajemen risiko
menggunakan sistem penilaian building block, dimana pernyataan
rekonfirmasi kematangan manajemen risiko telah diurutkan sesuai
tahapan pengembangan manajemen risiko. Sehingga, jika satu
pernyataan telah dinilai tidak (skor 0), maka pernyataan selanjutnya
tidak dapat terkonfirmasi dengan baik (tidak bisa dijawab Ya atau skor
2). Jika satu pernyataan dijawab 1, maka penyataan selanjutnya, tidak
dapat dijawab lebih tinggi dari 1 (kemungkinannya hanya 0 dan 1).
Misalnya pernyataan 1 sampai dengan 3 dijawab Ya (skor 2), kemudian
pernyataan 4 dijawab Tidak (skor 0), maka pernyataan selanjutnya
(pernyataan 5 s.d. 15) tidak bisa dijawab Ya. Sehingga skor maksimal
yang bisa diperoleh auditable unit hanyalah 6 (3 x 2). Rincian mengenai
lima belas pernyataan dalam kuesioner tersebut disajikan dalam
lampiran juklak ini.
Selanjutnya, jumlahkan total skor untuk lima belas pernyataan itu untuk
dapat menyimpulkan level maturitas manajemen risiko auditable unit.
Kriteria untuk mengkonversi total skor dalam penentuan level maturitas
manajemen risiko auditable unit, dapat menggunakan tabel referensi
sebagai berikut:

Gambar 2.3 Simpulan Level Maturitas Manajemen Risiko

No. Total Skor Kematangan MR Simpulan Level

1. 0-7 Risk naive (level 1)

2. 8-14 Risk aware (level 2)

3. 15-20 Risk Defined (level 3)

4. 21-25 Risk Managed (level 4)

5. 26 atau lebih Risk enabled (level 5)

Sumber: Guide on Risk Based Internal Audit,

The Institute of Chartered Accountant, India (2007)

Catatan : Langkah kerja lebih rinci dalam melakukan pengujian 15

pernyataan di atas, terdapat pada lampiran petunjuk
pelaksanaan ini, berupa kertas kerja hasil penilaian tingkat
kematangan manajemen risiko.

32
19
 Setiap pernyataan dalam daftar uji harus didukung dengan analisis dan
dokumen yang memadai, misalnya pernyataan pertama, ‘tujuan
organisasi telah terdokumentasi dan di pahami dengan baik’. Pengujian
atas pernyataan ini dilakukan dengan mempertanyakan: tujuan
auditable unit apa saja? Terdokumentasi di mana tujuan itu? Apakah
sudah di sosialisaikan kepada seluruh pegawai? Lakukan pengujian
terhadap salah satu pegawai kunci, terkait pemahaman yang
bersangkutan mengenai tujuan organisasi.
Secara umum, prosedur perolehan bukti dapat dilakukan melalui
wawancara mendalam, observasi, analisis dokumen, survey dan lain
sebagainya. Langkah kerja dan dokumentasi pengujian inilah yang perlu
diperhatikan oleh auditor yang akan ditugaskan untuk melakukan
penilaian kematangan manajamen risiko agar hasil penilaian konsisten
dengan apa yang sebenarnya terjadi di lapangan. Jika ada pernyataan
yang tidak diperoleh pembuktiannya, auditor perlu menyiapkan
pembuktian alternatif, misalnya melalui pertimbangan auditor
berdasarkan professional judgement.
Berikut adalah kriteria umum level maturitas manajemen risiko untuk
setiap tingkatan:

Gambar 2.4 Karakteristik Kematangan Manajemen Risiko Setiap Level

Risk Naive Risk Aware Risk Defined Risk Managed Risk Enabled
No. Uraian Level 1 Level 2 Level 3 Level 4 Level 5

1. Karakteristik Belum Penerapan Kebijakan dan Pendekatan Manajemen

Utama mengembang manajemen strategi MR MR secara risiko dan
kan risiko masih sudah menyeluruh pengendalian
pendekatan silo (terpisah- dibangun dan telah intern telah
formal dalam pisah) dikomunikasikan dikembangkan terintegrasi
penerapan selera risiko dan sepenuhnya
manajemen juga telah dikomunikasikan dalam proses
risiko ditetapkan bisnis

2. Pendekatan Mendorong Mendorong Fasilitasi untuk Assurance Assurance

Pengawasan penerapan penerapan internalisasi atas Proses atas Proses
Intern manajemen manajemen manajemen Manajemen manajemen
risiko risiko risiko Risiko Risiko
terintegrasi

Sumber: Risk Based Internal Auditing, IIA (2014)

20
33
 Namun, kondisi saat ini belum semua instansi pemerintah menerapkan
manajemen risiko dan melakukan penilaian maturitas manajemen risiko. Oleh
karena itu, dalam tahap perencanaan pengawasan tahunan, dibuka
kemungkinan bagi APIP untuk menggunakan data tingkat maturitas SPIP
sebagai alternatif jika data maturitas manajemen risiko memang tidak
tersedia. Karena saat ini informasi mengenai level maturitas SPIP telah dimiliki
oleh seluruh Kementerian/Lembaga.
Kemudian secara substansi, penyelenggaraan SPIP secara utuh
(implementasi terhadap 5 unsur) merupakan bentuk dari kerangka kerja dan
proses implementasi manajemen risiko.
Oleh karenanya untuk mengukur tingkat kematangan manajemen risiko pada
K/L dapat menggunakan hasil penilaian maturitas SPIP pada K/L. Unsur
penilaian maturitas SPIP diantaranya meliputi unsur penilaian risiko, aktivitas
pengendalian serta pemantauan secara berkelanjutan dan terdokumentasi.
Unsur-unsur tersebut merupakan bagian dari proses manajemen risiko SNI
ISO 31000, sehingga penilaian maturitas SPIP relevan digunakan untuk
menilai kematangan penerapan manajemen risiko
Urutan prioritas informasi yang dapat digunakan untuk menggambarkan
maturitas manajemen risiko, antara lain: Jika tersedia, gunakan nilai (1)
maturitas manajemen risiko setiap auditable unit. Namun, jika tidak tersedia
datanya, maka (2) gunakan nilai maturitas manajemen risiko level entitas. Jika
tidak tersedia datanya, (3) gunakan level maturitas SPIP setiap auditable unit,
jika masih tidak ada datanya juga, baru (4) gunakan nilai maturitas SPIP
entitas sebagai alternatif terakhir.
Metode menghubungkan kematangan maturitas SPIP dengan tingkat
kematangan manajemen risiko menjadi tingkatan/level sebagai berikut:

Gambar 2.5 Level Maturitas SPIP Dihubungkan dengan

Level Kematangan Manajemen Risiko

Level SPIP Maturitas SPIP Skor Maturitas MR Level MR

0 Belum ada 0 ≤ skor <1 - -

1 Rintisan 1 ≤ skor <2 Risk naive 1

2 Berkembang 2 ≤ skor <3 Risk aware 2

3 Terdefinisi 3 ≤ skor <4 Risk Defined 3

4 Terkelola 4 ≤ skor <5 Risk managed 4

5 Optimum 5 Risk enabled 5

34
21
Keterangan:

a. Risk Naive: berarti organisasi sudah ada manajemen risiko, namun masih
sangat lemah. Belum nampak adanya komitmen manajemen,
baik terhadap pembangunan maupun penerapan
manajemen risiko. Selain itu, terdapat indikasi pengendalian
intern organisasi belum memadai.

b. Risk Aware: berarti organisasi relatif sudah membangun manajemen

risiko, tetapi belum diterapkan atau penerapannya belum
memadai. Selain itu, pengendalian intern organisasi belum
berjalan dengan baik.

c. Risk Defined : berarti organisasi relatif sudah membangun manajemen

risiko, namun penerapannya masih banyak kelemahan.
Pengendalian intern organisasi sudah relatif berjalan baik.

d. Risk Managed: berarti organisasi sudah membangun manajemen risiko dan

telah diterapkan dengan baik, meskipun masih terdapat
beberapa kelemahan dalam pelaksanaannya. Pengendalian
intern organisasi juga relatif telah memadai.

e. Risk Enabled : berarti organisasi sudah membangun manajemen risiko dan

telah diterapkan dengan baik. Pengendalian intern organisasi
juga relatif telah memadai.

Pada tahapan ini, hasil penilaian atas maturitas Manajemen Risiko pada unit kerja atau
organisasi ini menjadi dasar untuk menetapkan seberapa besar register risiko
dipertimbangkan dalam proses penyusunan perencanaan pengawasan tahunan.

35
22
2. PENYUSUNAN RENCANA STRATEGIS
PENGAWASAN INTERN

Menurut Standar Audit Intern Pemerintah Indonesia paragraph 3010

sampai dengan 3030 menyatakan bahwa Pimpinan APIP wajib
menyusun rencana strategis lima tahunan sesuai dengan peraturan
perundang-undangan . Rencana strategis wajib disusun oleh Pimpinan
APIP dan sekurang-kurangnya berisi visi, misi, tujuan, strategi, program
dan kegiatan APIP selama lima tahun dengan mengacu pada rencana
strategis lima tahunan yang telah ditetapkan (organisasi). Pimpinan
APIP harus mengelola dan memanfaatkan sumber daya yang dimiliki
secara ekonomis, efisien, dan efektif, serta memprioritaskan alokasi
sumber daya tersebut pada kegiatan yang mempunyai risiko besar.
Pimpinan APIP harus mengomunikasikan dan meminta persetujuan
rencana kegiatan audit intern tahunan kepada Pimpinan kementerian/
lembaga/pemerintah daerah.
Dokumen perencanaan strategis lima tahunan yang dimaksud pada
paragraph diatas adalah “RENSTRA” yang merupakan suatu dokumen
tersendiri sebagaimana diamanatkan oleh Undang-Undang No. 25
tahun 2004 tentang Sistem Perencanaan Pembangunan Nasional,
setiap kementerian/ lembaga/pemerintah daerah diwajibkan untuk
membuat rencana strategis termasuk unit-unit/OPD yang ada pada
organisasi tersebut dengan tetap mengacu pada RPJMN.
Dalam konteks PIBR, Rencana strategis pengawasan intern merupakan
dokumen yang menggambarkan rencana pengawasan dalam jangka
waktu lebih dari setahun. Penyusunan rencana strategis pengawasan
intern ini perlu mempertimbangkan kematangan manajemen risiko
karena APIP perlu menyusun strategi bagaimana menerapkan PIBR

36
23
dalam beberapa tahun kedepan, jika masih diperlukan fasilitasi, kapan
dilakukan dan oleh siapa, kemudian masuk dalam perencanaan tahunan
seperti apa. Rencana strategis ini dirasakan semakin penting untuk
menjadi road map bagi APIP mengenai bagaimana mendorong
kematangan penerapan manajemen risiko sebagai prasyarat penerapan
Pengawasan Intern Berbasis Risiko.
Perencanaan pengawasan dibagi menjadi tiga bagian, yaitu Perencanaan
pengawasan strategis (lebih dari setahun), Perencanaan pengawasan
tahunan, dan Perencanaan pengawasan individu (penugasan audit).
Namun, perencanaan individu (penugasan audit) dijelasakan lebih lanjut
dan menjadi satu bagian dengan pelaksanaan pengawasan individu.

Perencanaan Pengawasan Strategis

merupakan:

a. Pedoman bagi auditor dalam melaksanakan aktivitas

penugasannya, dukungan untuk permintaan anggaran

b. Sebagai salah satu cara untuk mengajak manajemen berpartisipasi

di dalam menyusun rencana pengawasan strategis.

c. Sebagai salah satu cara untuk meminta komitmen manajemen

mengenai tujuan dan ruang lingkup pengawasan yang ditetapkan,

d. Sebagai dasar bagi auditor untuk mengukur kinerjanya,

e. Sebagai bukti bahwa pekerjaan audit memiliki alat pengendalian

yang memadai,

f. Sebagai informasi kepada auditor eksternal mengenai rencana

cakupan pekerjaan audit yang menjadi tanggung jawab fungsi
pengawasan untuk dievaluasi.

Rencana pengawasan strategis harus didasarkan pada analisis risiko

berbagai aspek atas kegiatan saat ini maupun yang direncanakan masa
datang. Perencanaan strategis juga mencakup keseluruhan aspek
lingkungan organisasi , termasuk berbagai pertimbangan potensi risiko
atau hambatan organisasi dalam mencapai tujuan yang telah ditetapkan.
Perencanaan pengawasan strategis mengacu pada rencana strategis
organisasi dan berbagai aspek yang terkait untuk penyelenggaraan
organisasi.

37
24
Menurut IIA, berdasarkan hasil penilaian kematangan maturitas MR, maka ada
beberapa strategi yang dapat diterapkan sesuai dengan kondisi kematangan
manajemen risiko, yaitu:

Gambar 2.7 Hubungan Kematangan Manajemen Risiko

dengan Strategi Pengawasan Intern

Sumber: Diterjemahkan dari Risk Based Internal Auditing, IIA

Ilustrasi :
Berdasarkan gambar di atas, saat maturitas manajemen risiko masih berada
pada Level 1, maka strategi pengawasan intern yang dapat diterapkan antara
lain melaporkan kepada pimpinan bahwa belum ada proses manajemen risiko
secara formal dalam organisasi. Melalui laporan ini, diharapkan pimpinan mulai
sadar untuk mengimplementasikan manajemen risiko dan segera menyusun
kebijakan sebagai dasar penerapan manajemen risiko.
Strategi berikutnya, APIP melakukan penugasan Consulting (konsultansi) agar
unit kerja dapat segera memulai penerapan manajemen risiko. Karena apabila
manajemen risiko belum matang, maka kegiatan assurance yang dilakukan
masih dengan pendekatan audit konvensional (belum dapat melaksanakan
pengawasan intern berbasis risiko), berdasarkan pertimbangan/professional
judgement APIP, dan seterusnya sampai dengan maturitas mencapai level 5.

Menurut IIA, perencanaan strategis pengawasan intern (overall audit strategy)

sekurang-kurangnya memuat beberapa hal sebagai berikut:

Jenis kegiatan assurance yang Framework dalam menyusun

1. diharapkan dapat direalisasikan 2. perencanaan pengawasan
intern

Jenis layanan konsultansi yang

3. diharapkan dapat direalisasikan

38
25
Berikut adalah contoh rencana strategis pengawasan intern yang dapat
dipraktikkan, yaitu:

1 5
Pendahuluan Organisasi dan Perkembangan Peran
Pengawasan Internal
a. Kondisi saat ini

b. Dasar Hukum a. Struktur Organisasi dan Pembagian

Peran Pengawasan Internal

2
b. Rencana Perkembangan
Pengawasan Intern
Misi dan Tujuan
Pengawasan Internal c. Alokasi Sumber Daya
Pengawasan Internal

d. Pelatihan dan Perkembangan

Berkelanjutan

3
Pertimbangan e. Rencana Pengawasan

6
Perumusan Rencana Internal Lainnya
Strategis Pengawasan Organisasi dan Perkembangan Peran
Internal Pengawasan Internal

a. Struktur Organisasi dan

pembagian peran pengawasan

4
internal
Rincian Rencana Strategis
b. Rencana Perkembangan
Pengawasan Internal
Pengawasan Intern

39
26
 c. Penyusunan Audit Universe
dan Penyusunan Prioritas Pengawasan

1. PENYUSUNAN DAN PEMUTAKHIRAN AUDIT UNIVERSE

Audit universe atau semesta audit adalah daftar semua kemungkinan audit yang dapat
dilakukan atas entitas‐entitas audit (area pengawasan/auditable units). Audit universe memuat
sejumlah entitas/unit organisasi yang diaudit. Sedangkan Area pengawasan (Auditable unit)
adalah bagian dari organisasi, yang baik secara nyata maupun potensial, dapat mengandung
risiko pada tingkatan yang memerlukan adanya pengendalian dan audit. Auditable unit dapat
berupa bagian dari struktur organisasi, proyek, kegiatan, dan aset organisasi.
Sebelum menentukan audit universe, APIP memerlukan pemahaman yang tepat atas KL dan
proses bisnisnya, pemahaman tersebut dapat diperoleh dan dikonfirmasi dari
dokumen-dokumen berikut ini (AAIPI, 2018) :

a. Dokumen Perencanaan K/L

b. Peraturan Perundang-undangan

c. Mekanisme Pelaporan Akuntabilitas

Penyusunan audit universe dapat dibagi dalam beberapa tahapan sebagai berikut:

a. Penetapan level area pengawasan/auditable unit

Pentingnya penyusunan audit universe adalah memudahkan auditor intern untuk
mengorganisasikan kegiatan perencanaan audit tahunan dengan mengurangi
kemungkinan terlewatnya aspek penting yang berpotensi menghasilkan rangkaian
penugasan yang tidak efektif. Selain itu, penyusunan audit universe dapat
mengurangi terjadinya pengulangan atau tumpang tindih yang berpotensi
menghasilkan rangkaian penugasan yang tidak efisien (AAIPI, 2018).

Organisasi K/L seringkali disusun dengan pendekatan struktur organik, akan tetapi
sering kegiatannya disusun menggunakan pendekatan fungsional. APIP perlu
menyelaraskan pendekatan penyusunan audit universe-nya dengan pendekatan
penyusunan kegiatan klien agar fungsi pengawasan APIP sejalan.

Pendekatan yang dapat dipakai dalam penyusunan audit universe kegiatan

pemerintahan adalah sebagai berikut (AAIPI 2018) .

40
27
 Pendekatan Pendekatan ini dapat diterapkan pada kebanyakan organisasi
1) struktur pemerintahan terutama institusi yang sering mendapatkan
organisasi penugasan yang mandiri dan memiliki sangat sedikit
kebutuhan koordinasi dengan instansi pemerintahan lain
Struktur organisasi menggambarkan pembagian tugas,
kewenangan dan tanggung jawab, serta koordinasi dan
pengawasan yang digunakan untuk mengarahkan pencapaian
tujuan organisasi. Oleh karena itu, penggambaran struktur
organisasi yang baik akan menunjukkan hirarki fungsi serta
alur pelaporan baik administratif maupun fungsional. Sebagai
contoh pendekatan struktur organisasi pada area
pengawasan dapat berupa:

(a) Tingkat Kementerian/Lembaga,

(b) unit eselon 1,

(c) unit eselon 2,

(d) unit eselon 3,

(e) unit eselon 4,

(f) Berdasarkan urusan

(g) unit mandiri dan lain-lain

41
28
 Pendekatan Beberapa kegiatan pemerintah dirancang dengan cakupan
2) program, luas yang membutuhkan koordinasi beberapa institusi yang
berbeda. Sebutan program digunakan untuk merujuk
sekelompok proyek atau kegiatan yang saling terkait yang
digunakan untuk mencapai suatu tujuan yang berdimensi luas.
Di lingkungan pemerintahan, program seringkali sangat besar
ukurannya, melibatkan sejumlah unit kerja pemerintahan dan
pengerahan sumberdaya yang sangat besar. Auditor intern
perlu berhati-hati dalam mengurai dan menganalisis program
agar dapat memperoleh gambaran mekanisme kerja yang
tepat serta kerentanannya. Hal ini dapat diamati pada
program-program semisal:
(a) Program Nasional Penanggulangan Kemiskinan,

(b) Program Nasional Peningkatan Produksi Pangan.

Lebih lanjut Peraturan BPKP nomor 6 tahun 2018

menambahkan beberapa contoh dalam pendekatan program
sebagai berikut :

(a) Pelaksanaan Tugas,

(b) Unit Usaha,

(c) Fungsi,

(d) Kegiatan Lintas Unit

(e) Unit mandiri dan lain-lain

(f) Kegiatan Lintas Sektoral

42
29
 Pendekatan Dapat diterapkan pada Unit kerja pemerintahan yang bersifat
3) Proses Bisnis pelayanan masyarakat, yang sering diorganisasikan dalam
bentuk matriks. Pendekatan penyusunan audit universe
dengan menggunakan proses bisnis akan memberikan
gambaran yang lengkap tentang entitas yang terlibat dalam
menghasilkan keluaran, fungsi/ peran yang dilakukan dan
kerentanan/ risikonya. Kondisi ini dapat diamati pada Kantor
Pelayanan Perijinan Terpadu dan Satuan Administrasi
Manunggal Satu Atap.
Selain dari AAIPI, Peraturan BPKP nomor 6 tahun 2018
menambahkan beberapa pendekatan yang dapat digunakan
untuk menyusun audit universe adalah:

1) Berdasarkan jenis Proyek/investasi

Yaitu pemilihan level area pengawasan didasarkan pada

jenis proyek/investasi yang dilaksanakan misalnya:

(a) Pembangunan Fisik,

(b) Sarana Prasarana,

(c) Pengembangan Sistem,

(d) Pengembangan Produk, dll.

1) Berdasarkan Aset

Yaitu pemilihan level area pengawasan didasarkan pada

jenis aset yang dimiliki, sebagai contoh:

(a) aset berbentuk Fisik,

(b) aset berbentuk kas,

(c) aset berbentuk informasi,

(d) sumber daya organisasi, dan lain-lain.

Pendekatan yang dipilih untuk menyusun audit universe

tergantung dari karakteristik organisasi serta sumber daya
yang dimiliki APIP, baik waktu, personil, atau
anggaran/dana yang tersedia.

43
30
Langkah Kerja Penyusunan Audit Universe, diuraikan sebagai berikut:

1) Dapatkan dan pelajari Rencana Strategis (Renstra) dan Rencana Kerja Tahunan (RKT) K/L.

Renstra dan RKT berisi informasi mengenai segala aktivitas unit organisasi pada K/L yang
menggambarkan input, proses dan output dari setiap aktivitas unit organisasi. Renstra dan RKT juga
mencerminkan dukungan setiap unit organisasi pada pencapaian tujuan dan sasaran strategis maupun
tahunan dari K/L. Dengan mempelajari Renstra dan RKT, APIP diharapkan mampu memahami proses
bisnis K/L sehingga memiliki pengetahuan yang cukup untuk menetapkan tingkat/level area pengawasan
secara tepat dan mengidentifikasi unit-unit yang dapat diaudit untuk menjadi daftar area pengawasan.

2) Tetapkan level area pengawasan.

Penetapan level area pengawasan dengan mempertimbangkan kompleksitas proses proses bisnis, besar
kecilnya struktur organisasi dan ketersediaan sumber daya pada APIP K/L, Jika level area pengawasan
berdasarkan struktur organisasi, maka tingkat area pengawasan dapat dibagi menjadi:

Gambar 2.8 Level Area Pengawasan

No. Area Pengawasan Berdasarkan Struktur Berdasarkan Struktur

1. Area Pengawasan tingkat 0 K/L Lintas Sektoral

2. Area Pengawasan tingkat 1 Unit Eselon I Prioritas Nasional

3. Area Pengawasan tingkat 2 Unit Eselon II Program Prioritas

4. Area Pengawasan tingkat 3 Unit Eselon III Kegiatan Prioritas

5. Area Pengawasan tingkat 4 Unit Eselon IV Proyek Prioritas

Area pengawasan harus memiliki tujuan/target, ukuran (seperti jumlah SDM, anggaran) dan ruang
lingkup yang dapat dijadikan obyek kegiatan pengawasan. Sebagai contoh:

 BPKP, dalam rangka melakukan kegiatan pengawasan Internal terhadap K/L menetapkan level
Area Pengawasan adalah tingkat 0, maka area pengawasannya adalah Kementerian/ Lembaga
(berdasarkan struktur) dan atau Urusan Lintas sektoral (berdasarkan Program/ Kegiatan)

 Inspektorat Kementerian/Lembaga ABC dalam rangka melakukan kegiatan pengawasan Internal

terhadap organisasinya, menetapkan area pengawasan adalah tingkat 2 atau 3, yaitu Unit Eselon II
atau Unit Eselon III (berdasarkan struktur), maupun Program prioritas atau Kegiatan Prioritas
(berdasarkan Program/Kegiatan), Pilihan ditentukan berdasarkan pertimbangan masing-masing
APIP K/L tersebut.

44
31
 3) Tentukan dan identifikasi setiap area pengawasan atau auditable unit sesuai level area
pengawasan yang telah ditetapkan sebelumnya.

Area Pengawasan (Auditable Units) terpilih adalah bagian dari organisasi K/L (populasi dari audit
universe), baik secara nyata maupun potensial, dapat mengandung risiko pada tingkatan yang
memerlukan adanya pengendalian dan audit. Risiko yang terkandung dalam setiap auditable unit
sejatinya tampak dalam register risiko yang diselenggarakan oleh penanggungjawab setiap
auditable unit.
Setelah pendekatan dan level area pengawasan ditetapkan, maka langkah berikutnya adalah
mengidentifikasi setiap auditable unit atau bagian dari organisasi K/L yang dapat diaudit sesuai level
area pengawasan yang telah ditetapkan. Selain auditable unit yang teridentifikasi berdasarkan level
area pengawasan yang ditetapkan, APIP juga mencermati adanya kemungkinan auditable unit lain
yang bersifat khusus, ad-hoc dan insidentil. Auditable unit lainnya tersebut dapat berupa proyek,
event/kegiatan non rutin atau berasal dari adanya permintaan audit dari stakeholder (baik internal
maupun eksternal) maupun adanya indikasi kecurangan berdasarkan pengembangan audit
sebelumnya atau pengaduan masyarakat.
Kumpulan atau daftar area pengawasan/auditable unit yang telah teridentifikasi akan membentuk
audit universe atau semesta audit bagi auditor atau APIP K/L.
Sejatinya audit universe akan tidak berubah sepanjang tidak terjadi perubahan signifikan dalam
struktur organisasi, tugas pokok dan fungsi serta visi-misi K/L.

45
32
 Chartered Institute of Internal Auditors 2, mengungkapkan tentang beberapa
katagorisasi risiko antara lain:

Berdasarkan unit bisnis/organisasi : kategorisasi Ini berguna ketika organisasi

1) memiliki sejumlah unit bisnis yang mandiri secara fisik, prosedur dan sistemnya
juga mandiri.

Berdasarkan fungsi atau sistem, seperti penjualan, pembelian, atau kontrol

2) stok. Ini berguna dalam organisasi besar yang terpusat dengan sistem
terintegrasi.

Berdasarkan tujuan. Kategorisasi ini berguna ketika menilai relevansi rencana

3) audit dengan organisasi, karena menghubungkan audit langsung dengan
tujuan yang dipengaruhi oleh risiko, dan manajemen yang sedang diperiksa
oleh kegiatan audit

Sedangkan pada Internal Audit Community of Practice (IA CoP), mengatakan bahwa
secara tradisional auditable unit dikategorisasikan berdasarkan struktur organisasi dan
bersifat top-down (vertical analysis).

Namun adakalanya analisis vertikal ini bukan merupakan cara yang paling efektif dalam
melakukan perencanaan audit, sehingga perlu juga untuk mendesign perencanaan dari
sisi horizontal/pendekatan lintas fungsional organisasi (horizontal analysis) yaitu
perencanaan audit berdasarkan pada keseluruhan proses bisnis organisasi3 .
Sebagai contoh, akuntansi organisasi atau sistem manajemen bisnis dapat dikatakan
beroperasi secara horizontal karena itu mempengaruhi semua unit organisasi. Sistem ini
dapat menimbulkan risiko kritis di beberapa proses dan karenanya harus diperiksa
secara horizontal.

Oleh karena itu dalam audit universe dapat berupa campuran dari sejumlah irisan
top-down (vertikal) dan lintas-fungsional (horizontal). Pengadaan Barang dan jasa
seringkali merupakan kegiatan lintas fungsi utama. Namun kegiatan itu dapat dibagi
untuk keperluan audit menjadi berdasarkan lokasi (misalnya pengadaan pada kantor
pusat, pengadaan kantor perwakilan) dan jenis pembelian (misalnya pengadaan
makanan, dan pengadaan barang-barang bukan makanan)4 .

2
Risk based internal auditing, 2014
3
Internal Audit Community of Practice (IA CoP), Risk Assessment In Audit Planning : A guide for auditors on how best to
assess risks when planning audit work. 2014
4
Internal Audit Community of Practice (IA CoP), of the Public Expenditure Management Peer-Assisted Learning (PEM-PAL)
network. 2014
5
IIA Government survey

46
33
!
 Berikut informasi hasil survey yang dilakukan oleh IIA, yang menyatakan tentang beberapa
kategorisasi yang paling umum digunakan yaitu sebagai berikut:5
1) Departments – 97%

2) Processes – 97%

3) Organisational unit or location 81%

4) Operational programmes – 75%

5) Service Lines – 58%

6) ERM risk portfolio – 28%

7) Other – 22%

2. PENYUSUNAN AUDITABLE UNIT

Setelah level area pengawasan disepakati dan ditetapkan, selanjutnya APIP menyusun seluruh
auditable unit yang merupakan populasi dari audit universe. Dokumen yang diperlukan untuk
menyusun auditable unit dalam audit universe antara lain dokumen perencanaan K/L
(Renstra, RPJM, RKT), struktur dan tugas pokok fungsi organisasi, pedoman kerja atau SOP
serta register risiko setiap unit kerja.
Auditable unit yang akan disusun harus dapat menggambarkan informasi- informasi yang
meliputi

a. Nama-nama auditable unit teridentifikasi.

b. Nilai risiko setiap auditable unit. Nilai risiko setiap auditable unit disajikan berdasarkan
informasi yang diperoleh dari dokumen register risiko yang telah disusun masing-
masing unit organisasi.
c. Auditable unit atau area pengawasan yang ditetapkan menjadi populasi audit universe
adalah auditable unit yang memiliki nilai risiko di atas nilai risiko yang dapat
ditoleransi, yang besarannya ditetapkan berdasarkan selera risiko pimpinan
organisasi. Terhadap
risiko pada auditable
unit tersebut masih
memerlukan
penanganan oleh
APIP selaku lini
pertahanan ketiga
organisasi (third line
of defense).

47
34
3. PEMUTAKHIRAN AUDIT UNIVERSE

Dalam melaksanakan tugas dan fungsinya, K/L seringkali mengalami perubahan struktur dan
bentuk organisasi. Sehingga akibat dari dinamika perubahan organisasi K/L, audit universe
yang telah disusun APIP menjadi tidak lagi relevan untuk digunakan dalam pengembangan
rencana audit tahunan.
Sebagai akibat, pemutakhiran terhadap audit universe harus dilakukan agar audit universe
tetap mencerminkan peta organisasi yang disusun untuk mencapai tujuan sesuai dengan visi
dan misi organisasi (AAIPI, 2018).6
Auditor dapat mengidentifikasi auditable unit dengan melihat informasi dari berbagai sumber,
misalnya: daftar lembaga-lembaga dan badan-badan perusahaan, struktur organisasi, statistik
daerah/nasional, struktur akun kebijakan yang berkenaan dengan pembentukan unit, diskusi
dengan pihak eksekutif, dan melalui brainstorming.
Setelah auditable unit diidentifikasi, sebaiknya auditor melakukan validasi dan reviu untuk
memastikan tidak ada unit penting yang tidak dimutakhirkan dan terlewat (tidak dimasukkan
dalam audit universe).
Auditor dapat melakukan pemutakhiran dan validasi audit universe melalui bantuan beberapa
informasi di antaranya:

a. Laporan keuangan K/L dan/atau Laporan anggaran K/L;

b. Rencana strategis K/L;

c. Permintaan audit dari klien atau stakeholders.;

d. Daftar telepon, email atau buku alamat, website; dan

e. Brainstorming.

6
Asosiasi Auditor Intern Pemerintah Indonesia, Pedoman perencanaan Audit Berbasis Risiko : 2018
8
Peraturan BPKP no 6 tahun 2018, Tentang Pedoman Pengawasan Intern Berbasis Risiko

48
35
4. PENYUSUNAN PRIORITAS PENGAWASAN

Setelah area pengawasan disepakati dan ditetapkan, langkah selanjutnya adalah melengkapi
setiap area pengawasan dengan informasi mengenai besaran risiko komposit (dari risk register)
serta pertimbangan risiko hasil masukan dari manajemen (risk factor) kemudian menyusun
prioritas pengawasan berdasarkan besaran nilai risiko keduanya.
Penyusunan prioritas pengawasan dimulai dari menghitung komponen nilai dari risk register
dan komponen nilai dari risk factor; menentukan persentase bobot penilaian dari kedua
komponen nilai berdasarkan nilai maturitas auditable unit; menghitung nilai risiko setiap
auditable unit yang mempertimbangkan kedua komponen nilai; menyusun prioritas auditable
unit berdasarkan nilai risiko. Rincian dari tahapan penyusunan prioritas pengawasan disajikan
dalam uraian sebagai berikut:

a. Menghitung komponen nilai dari Risk Register

Langkah kerja dalam perhitungan nilai risk register adalah sebagai berikut:

1) Dapatkan register Dapatkan register risiko atas setiap entitas berupa unit
risiko yang up to kerja/kegiatan/proyek/ aktivitas insidentil atau tematik
date lainnya yang ditetapkan menjadi area pengawasan.
Register risiko harus memuat informasi mengenai nama
risiko teridentifikasi, hasil penilaian risiko baik nilai dampak
maupun nilai kemungkinan terjadinya serta unit pemilik
risiko. Register risiko yang diperoleh merupakan hasil
identifikasi dan penilaian risiko termutakhir.

2) Pemilahan jenis Risiko yang diperhitungkan adalah risiko signifikan yaitu

risiko risiko-risiko yang berada di atas selera risiko yang
teridentifikasi. ditetapkan manajemen. Adapun jenis Risiko yang akan
digunakan adalah inherent risk, yaitu tingkat risiko
sebelum adanya aktivitas pengendalian terhadap risiko.
Karena tujuan dari aktivitas internal auditing adalah
memberikan pendapat kepada manajemen apakah
aktivitas-aktivitas pengendalian sudah tepat menangani
risiko (properly manage risks), perencanaan audit internal
sebaiknya memilih inherent risk sebagai basisnya,
bukannya residual risk.7
APIP dapat menggunakan residual risk (tingkat risiko
setelah diterapkannya aktivitas pengendalian terhadap
risiko) apabila risk register sudah diaudit.

49
36
 2) Hitung nilai risiko berdasarkan level area pengawasannya, maka langkah
komposit auditable selanjutnya adalah menghitung nilai risiko komposit untuk
unit. masing-masing auditable unit.
Besaran risiko komposit merupakan hasil penghitungan
nilai risiko gabungan pada suatu auditable unit. Pedoman
dalam menghitung nilai besaran risiko auditable unit
sesuai dengan kebijakan manajemen risiko masing-masing
APIP K/L.
Dalam hal APIP tidak memiliki informasi hasil risk
assessment atau register risiko yang disusun oleh Auditi
belum dapat diandalkan sebagai dasar penyusunan
perencanaan audit tahunan, APIP dapat menetapkan
parameter-parameter atau faktor yang menjadi dasar
untuk menetapkan kegiatan atau obyek yang akan diaudit
dalam satu tahun ke depan .
Ini artinya bahwa kegiatan melengkapi setiap area
pengawasan dengan informasi mengenai besaran risiko
komposit hanya dilakukan jika APIP memiliki informasi
mengenai hasil penilaian maturitas manajemen risiko (K/L)
atau maturitas SPIP minimal berada pada level 3 atau
Defined/Terdefinisi.
Jika auditable unit sudah mencapai maturitas SPIP level 3
namun belum memiliki risk register atau sudah menyusun
risk register yang menurut pertimbangan profesional APIP
belum andal, maka dalam menyusun prioritas
pengawasan APIP hanya menggunakan pertimbangan
manajemen/faktor risiko
Terdapat dua metode dalam penilaian risiko menurut
AAIPI, yaitu riskmap dan heatmap. Dijelaskan sebagai
berikut:

50
37
 Gambar 2.9 Perbedaan Riskmap dan Heatmap

No. Riskmap Heatmap

1. Definisi Heatmap:
Pemetaan koordinat skor
pengukuran dimensi risiko
Kemungkinan dan Dampak. Nilai
heatmap tidak dihitung
berdasarkan hasil kali
(kuantitatif) tetapi diletakkan
dengan menggunakan metode
kualitatif (judgement). (AAIPI,
Definisi Heatmap:
Pemetaan koordinat skor
pengukuran dimensi risiko
Kemungkinan dan Dampak. Nilai
heatmap tidak dihitung
berdasarkan hasil kali
(kuantitatif) tetapi diletakkan
dengan menggunakan metode
kualitatif (judgement). (AAIPI,
2018)

2. Kelebihan: Kelebihan:
perhitungan lebih sederhana. Heatmap mengakomodasi
perbedaan cara pandang
organisasi terhadap dampak dan
kemungkinan dari suatu risiko.

3. Kelemahan : Kelemahan :
tidak dapat menggambarkan/ Lebih kompleks dibanding
mengakomodasi adanya riskmap
perbedaan bobot kemungkinan
dan dampak atas suatu risiko.

APIP perlu menelaah sifat operasi klien yang membuat ukuran dalam dimensi
risiko menjadi tidak simetris (berbeda bobot kepentingan dimensinya).
Berikut merupakan contoh perbedaan bobot kepentingan Dampak dan
Kemungkinan (AAIPI, 2018):

1) Apabila kemungkinan memiliki bobot risiko lebih besar dari pada

dampak tercermin dalam peristiwa-peristiwa berikut:

a) Tidak boleh terjadi kecurangan atau korupsi sekalipun nilainya

kecil;
b) Tidak boleh melakukan sharing password dalam sistem
teknologi informasi;

c) Sistem deteksi yang mahal terhadap kemungkinan tindak

terorisme.

51
38
 2) Apabila dampak memiliki bobot risiko lebih besar dari pada kemungkinan tercermin
dalam

a) Dibukanya peluang dilakukan tender ulang untuk menghindari kerugian

akibat tidak kompetennya pemenang,

b) Pembaharuan sistem security teknologi informasi organisasi untuk

mengurangi dampak serangan hackers,

c) Biaya perawatan berkala untuk menjaga kendaraan dinas tetap beroperasi.

Penjelasan dan pedoman penyusunan serta penggunaan Heatmap dalam menilai risiko
secara detil dibahas pada lampiran 3, “Pedoman Perencanaan Audit Berbasis Risiko” 10 yang
dikeluarkan oleh Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI, 2018).

Berikut adalah contoh Heatmap (Matriks Analisis Risiko) 5x5 dari Kementerian Keuangan:

Gambar 2.10 Heatmap (matriks analisis risiko)

Matriks Analisis Risiko 1 2 3 4 5

5x5 Tidak
Tidak Sangat
Minor Moderat Signifikan
Signifikan Signifikan
Signifikan
Hampir Pasti 9 15 18 23 25
5
Kemungkinan terjadinya

Terjadi
4 Sering Terjadi 6 12 16 19 24

4 10 14 17 22
Risiko

3 Kadang Terjadi

2 Jarang Terjadi 2 7 11 13 21

Hampir Tidak 1 3 5 8 20
1
Terjadi

Sumber: Keputusan Menteri Keuangan RI Nomor: 845/KMK.01/2016 tentang Petunjuk Pelaksanaan

Manajemen Risiko di Lingkungan Kementerian Keuangan

Contoh proses penghitungan Besaran Risiko (inherent) Komposit area pengawasan (AP)
dengan menggunakan Heatmap yang disajikan dalam bentuk tabel sebagai berikut:

52
39
 Gambar 2.11 Proses penghitungan Besaran Risiko

Daftar Level Level Besaran

No Area Pengawasan
risiko dampak Kemungkinan risiko
risiko 1 4 3 17
1 Area
Pengawasan 1 risiko 2 5 2 21
risiko 3 4 3 17
risiko 1 2 5 15
2 Area risiko 2 1 4 6
Pengawasan 2
risiko 3 3 3 14
risiko 4 2 5 15
3 Area Pengawasan 3 risiko 1 3 5 18
4 Area risiko 1 5 3 24
Pengawasan 4 risiko 2 4 5 23

Atas risiko risiko yang ada pada area pengawasan tersebut, teliti jika ada risiko
inherent yang berada dibawah risk appetitte (selera risiko) managemen, misalnya
risiko nomor 2 pada area pengawasan 2, setelah dilakukan penilaian dengan
heatmap menghasilkan besaran risiko 6 (dibawah selera risiko, 12), sehingga tidak
diperhitungkan lebih lanjut dalam penilaian risiko auditable unit berikutnya, disajikan
dalam tabel sebagai berikut:

Gambar 2.12 perhitungan nilai risiko komposit auditable unit

Level Nilai
Area Daftar Level Besaran
No Kemungki RLD RLK risiko
Pengawasan risiko dampak risiko
nan komposit

Area risiko 1 4 3 17
1 4,33 2,67 22,00
Pengawasan 1 risiko 2 5 2 21
risiko 3 4 3 17

Area risiko 1 2 5 15
2 2,33 4,33 18
Pengawasan 2 risiko 3 3 3 14
risiko 4 2 5 15
Area
3 3,00 5,00 18
Pengawasan 3 risiko 1 3 5 18
Area risiko 1 5 3 24
4 4,50 4,00 24
Pengawasan 4
risiko 2 4 5 23

Keterangan:
Besaran Risiko: Diisi dengan nilai setiap risiko yang diperoleh berdasarkan nilai hasil perpotongan antara
level dampak dan level kemungkinan berdasarkan matriks analisis risiko

Rata-rata Level RLD = rata-rata nilai dampak pada area pengawasan yang diperoleh dari hasil perhitungan
Dampak (RLD jumlah seluruh nilai dampak dari risiko teridentifikasi dalam setiap area pengawasan dibagi
dengan jumlah risiko dalam setiap area pengawasan (∑LD/n)

Rata-rata Level RLK = rata-rata nilai keterjadian pada area pengawasan yang diperoleh dari hasil
Kemungkinan perhitungan jumlah seluruh nilai keterjadian dari risiko teridentifikasi dalam setiap area
pengawasan dibagi dengan jumlah risiko dalam setiap area pengawasan (∑LK/n)

53
40
 BRK (Besaran jumlah nilai Rata-rata Level Dampak (RLD) dan Rata-rata Level Kemungkinan (RLK);
Risiko selanjutnya melihat nilai kombinasi keduanya pada Matriks Analisis Risiko

Berdasarkan daftar urutan nilai risiko komposit, kemudian dilakukan penentuan letak
koordinat risiko pada Heat Map, untuk mendapatkan skor atas risiko komposit area
pengawasan tersebut.

Gambar 2.13 komposit dari 4 auditable unit.

5 area pengawasan 3
9 15 18 23 25
area pengawasan 2
4 area pengawasan 4
Level Kemungkinan

6 12 16 19 24

3 area pengawasan 1
4 10 14 17 22

2
2 7 11 13 21

1
1 3 5 8 20

1 2 3 4 5
Level Dampak

 Untuk menetapkan kategorisasi setiap area pengawasan mengacu tabel

kategorisasi berupa diagram kartesius.
 Perbedaan wama dan nilai dalam diagram kartesius menunjukkan tingkat prioritas

Gambar 2.14 (contoh) Tingkat Prioritas Audit11

Warna Nilai Risiko Tingkat Prioritas Audit

Komposit Risiko

Merah 20-25 Tinggi Prioritas Utama

Oranye 16 -19 Agak Tinggi Prioritas tinggi

Kuning 12 -15 Sedang Prioritas sedang

Hijau 6-11 Agak rendah Prioritas rendah

Abu-abu 1 -5 Rendah Tidak prioritas

Sumber : KMK Nomor 845 Tahun 2016

Catatan: Matriks analisis risiko, heat map risiko, dan tabel tingkat prioritas audit
tersebut merupakan contoh. Penetapan jenis matriks analisis risiko (riskmap/heat
map) diserahkan kepada K/L sesuai dengan kondisi yang dihadapi masing-masing

11
Keputusan Menteri Keuangan RI Nomor: 845/KMK.01/2016 tentang Petunjuk Pelaksanaan Manajemen
Risiko di Lingkungan Kementerian Keuangan

54
41
b. Menyusun dan menghitung risk factor (faktor pertimbangan manajemen)

Apabila K/L belum menentukan risk
factor maka APIP melakukan Focus
Group Discussion (FGD) dengan
Pimpinan dan atau manajer kunci
K/L untuk Mengidentifikasi
faktor-faktor pertimbangan
manajemen dalam menetapkan
prioritas pengawasan serta
memformulasikan kriteria penilaian
atas faktor-faktor pertimbangan
tersebut. FGD menjadi media yang
digunakan APIP untuk memperoleh
pertimbangan pimpinan kunci K/L
dalam rangka penyusunan
Perencanaan Pengawasan Tahunan.
Pertimbangan manajemen mengacu
pada faktor-faktor pertimbangan
serta kriteria penilaiannya yang
disusun bersama antara Pimpinan
K/L dan APIP .
Apabila K/L sudah menyusun Risk
Factor sebelumnya misalnya dalam
bentuk Keputusan Menteri/Kepala
Lembaga, maka APIP dapat
menggunakan faktor-faktor
pertimbangan manajemen dan kriteria
penilaian atas faktor-faktor
pertimbangan tersebut.
Proses penilaian RF tersebut dilengkapi
dengan dokumen pendukung yang
relevan, dan perhitungannya
didokumentasikan dalam kertas kerja.
Dari hasil survey “IIA Government
survey” kebanyakan organisasi
menggunakan lima sampai dengan
delapan risk faktor, dan rata-rata
bahkan kurang dari lima factor pada
internal auditor pemerintah. Hasil
survey tersebut juga menampilkan
beberapa risk factor yang banyak
digunakan antara lain

Gambar 2.15 survey IIA mengenai risk factor

No Risk Factor Hasil survey

1 Degree of financial materiality (materialitas keuangan/ 100%
anggaran)
2 Complexity of activities (kompleksitas kegiatan) 94%
3 Control environment (lingkungan pengendalian yang 94%
kondusif)

4 Reputational sensitivity (reputasi organisasi) 92%

5 Inherent risk (unit dengan risiko inheren tinggi) 92%

6 Extent of change (perubahan organisasi, high turnover) 89%

7 Confidence in management (kredibilitas manajer) 83%

8 Fraud Potential (potensi fraud) 81%

9 Time since last audit (waktu terakhir diaudit) 78%

10 Volume of Transactions (volume transaksi) 78%

11 Degree of automation (tingkat otomatisasi) 72%

Sumber IIA Government survey sebagaimana dikutip Internal Audit Community of Practice (IA CoP)

55
42
 Tips:
 Tentukan jumlah faktor risiko antara 4 sampai 8, jika terlalu sedikit dapat berakibat kurang efektifnya
penilaian faktor risiko, sedangkan jika terlalu banyak akan mengakibatkan pemborosan waktu dalam
pengumpulan informasinya dan tidak akan memberikan hasil yang lebih baik secara substansial.

 Pilihlah risk factor yang paling tepat/make sense/relevan bagi organisasi/K/L yang diaudit, tidak harus
mengacu pada hasil survey diatas
Contoh faktor-faktor pertimbangan manajemen pada Badan Pengawas Obat dan Makanan :

Gambar 2.16 Faktor pertimbangan Manajemen (Risk Factors)

No Faktor Risiko Sub Faktor Risiko

a. Jumlah pegawai
1 Size b. Jumlah anggaran
c. Nilai Paket pengadaan
d. Nilai asset persediaan
2 Integritas a. Nilai survey kepemimpinan pada auditable unit;
b. Penggantian pejabat kunci;
c. Nilai survey 360 derajat

3 Tata Kelola a. Penghargaan WBK/WBBM

b. Hasil Evaluasi SAKIP
c. Indeks Kepuasan Masyarakat
d. Indeks persepsi korupsi

4 Akuntabilitas a. Pengaduan intern/masyarakat

b. Periode audit terakhir (intern/ekstern)
c. Nilai temuan audit belum ditindaklanjuti
(intern/ekstern)
d. Kepatuhan terhadap tindak lanjut temuan audit
(intern/ekstern)
e. Kualitas realisasi pelaksanaan anggaran

5 Pengendalian Intern a. Jumlah temuan audit intern terkait kelemahan

pengendalian intern;
b. Nilai Penilaian Mandiri Evaluasi Pengendalian
Intern Tingkat Entitas (PM EPITE) yang telah
diverifikasi;
c. Survey internal integritas organisasi;
d. Survey internal integritas jabatan.

1) Menentukan kriteria penilaian atas kategori atau sub kategori risk factor
APIP menghitung skor RF berdasarkan kriteria yang sudah ditentukan untuk tiap risk
factor. Skor RF dibuat dengan aturan sebagai berikut:

a) Penyususunan kriteria risk factor diatas mengunakan skala likert (1-5),

sehingga tetap bisa digunakan meskipun terdapat bermacam pilihan,
misalnya 5 pilihan (1 sampai 5), 3 pilihan (1-3-5), dan 2 pilihan (1-5).

b) Angka kecil menunjukkan risiko yang kecil, sementara semakin angka yang
besar menunjukkan pertimbangan risiko yang lebih besar.

56
43
Gambar 2.17 Contoh kriteria penilaian Faktor Risiko

2) Menentukan bobot persentase atas kategori atau sub kategori risk

factor
Langkah selanjutnya adalah menentukan bobot/persentase atas
masing masing risk factor, tujuannya adalah untuk mengakomodasi
bila manajemen memiliki pertimbangan tertentu ketika ada risk factor
yang dianggap lebih berisiko dibanding lainnya. Pembobotan tersebut
dapat dilakukan pada kategori ataupun sub kategori risk factor, nilai
seluruh bobot pada kategori ataupun sub kategori berjumlah 100%,
Apabila RF tidak diberikan bobot secara khusus, maka nilai faktor
risiko tersebut merupakan hasil bagi rata (misal terdapat 5 Risk factor,
maka bobotnya adalah 100/5 = 20%).
Berikut adalah contoh penentuan persentase risk factor:

57
44
 Gambar 2.18 penentuan persentase risk factor;

No Faktor Risiko Sub Faktor Risiko

a. Jumlah pegawai
1 Size (30%) b. Jumlah anggaran
c. Nilai Paket pengadaan
d. Nilai asset persediaan

Integritas (15%) a. Nilai survey kepemimpinan pada auditable unit;

2
b. Penggantian pejabat kunci;
c. Nilai survey 360 derajat

3 Tata Kelola (15%) a. Penghargaan WBK/WBBM

b. Hasil Evaluasi SAKIP
c. Indeks Kepuasan Masyarakat
d. Indeks persepsi korupsi

4 Akuntabilitas (30%) a. Pengaduan intern/masyarakat

b. Periode audit terakhir (intern/ekstern)
c. Nilai temuan audit belum ditindaklanjuti
(intern/ekstern)
d. Kepatuhan terhadap tindak lanjut temuan audit
(intern/ekstern)
e. Kualitas realisasi pelaksanaan anggaran

5 Pengendalian Intern (10%) a. Jumlah temuan audit intern terkait kelemahan

pengendalian intern;
b. Nilai penilaian mandiri Evaluasi Pengendalian
intern tingkat entitas (PM EPITE) yang telah
diverifikasi;
c. Survey internal integritas organisasi;
d. Survey internal integritas jabatan.

Rumus perhitungan risk faktor:

- Apabila jumlah risk factor sama dengan jumlah skala dampak/kemungkinan, maka nilai
risk factor total dihitung dengan cara penjumlahan biasa.
Contoh :
- jumlah RF = 5,
- skala dampak/kemungkinan risiko = 5 (dari matrix 5 x 5),
- maka Nilai Total Risk factor = skor RF1 +RF2 + RF3 + RF4 + RF5

- Apabila jumlah risk factor tidak sama dengan jumlah skala dampak/kemungkinan, maka nilai
risk factor dihitung dengan cara sebagai berikut:
Contoh
- Jumlah RF = 8
- skala dampak/kemungkinan risiko = 5 (dari matrix 5 x 5),
- maka nilai total risk factor dihitung mengunakan rumus
RFn = skor RF x skor tertinggi skala likert x persentase bobot dari RFn
∑ RF = skor R1 + RF2 + ... + RFn

58
45
 Gambar 2.19 perhitungan nilai Risk Factor

No Risk Skor Skor Bobot

Faktor RF tertinggi persentase Nilai risk factor
skala RF (%) auditable unit
likert
(1) (2) (3) (4) (5) (6) = 3x4x5
1 RF 1 2 5 10% 1
2 RF 2 3 5 20% 3
3 RF 3 5 5 10% 2,5
4 RF 4 1 5 10% 0,5
5 RF 5 3 5 10% 1,5
6 RF 6 4 5 20% 4
7 RF 7 3 5 10% 1,5
8 RF 8 4 5 10% 2
100% 16

Dari tabel diatas, maka nilai risk factor untuk auditable unit tersebut
adalah 16.

Catatan: kriteria dan tabel bobot (nilai) dan persentase atas faktor
risiko/pertimbangan manajemen tersebut hanya merupakan
ilustrasi, kebijakan penentuan bobot faktor risiko/pertimbangan
manajemen diserahkan kepada K/L sesuai dengan kondisi yang
dihadapi masing-masing K/L.

3) Menentukan proporsi perbandingan Risk Register dengan Risk Factor

Penilaian maturitas SPIP pada K/L telah dinilai secara independen (digunakan
sebagai acuan tingkat maturitas manajemen risiko).
Setelah diketahui nilai komposit risk register dan nilai risk factor kemudian
hitung bobot proporsinya dengan mempertimbangkan skor maturitas
MR/maturitas SPIP pada area pengawasan terpilih
Contoh penggunaan informasi maturitas MR/SPIP dalam penentuan bobot
proporsi penggunaan register risiko dan faktor risiko/pertimbangan
manajemen adalah sebagai berikut:

a) Jika tingkat maturitas MR/SPIP < 3 maka bobot risk register

dibandingkan risk factors adalah 0:100

b) Jika tingkat maturitas MR/SPIP = 3, maka bobot risk register dibanding

risk factors adalah 50:50.

c) Jika tingkat maturitas MR/SPIP > 3 (baca: 4 atau 5) (terkelola dan optimum),
maka bobot risk register dibanding risk factors adalah 70:30

59
46
 Gambar 2.20 perbandingan Bobot Risk factor dan Risk Register

No. Maturitas MR/SPIP Perhitungan bobot RR dan RF

1. 1 s.d. 2 0 % RR : 100 % RF

2. 3 50 % RR : 50 % RF

3. 4 s.d 5 70 % RR : 30 % RF

Catatan

1) Kriteria dan tabel bobot proporsi penggunaan register risiko dan faktor
risiko/pertimbangan manajemen tersebut hanya merupakan ilustrasi,
kebijakan penentuan bobot proporsi penggunaan register risiko dan faktor
risiko/pertimbangan manajemen diserahkan kepada K/L sesuai dengan
kondisi yang dihadapi masing-masing K/L.

2) Semakin tinggi nilai Maturitas Manajemen Risiko/SPIP maka proporsi

penggunaan risk register semakin besar, dan sebaliknya. Filosofinya adalah,
semakin matang nilai maturitasnya, maka risk register semakin dapat
dipercaya dan digunakan dalam perhitungan pemprioritasan auditable unit.

“...Jika tingkat maturitas manajemen risiko klien rendah, auditor intern tidak
mungkin menggunakan register risiko milik klien. Register risiko pada klien
dengan maturitas manajemen risiko yang rendah dinilai tidak handal. Auditor
intern akan memutuskan banyaknya muatan informasi yang akan diambil
dalam pengembangan Perancanan Audit Intern Tahunan yang berasal dari
register risiko klien. Kekurangan sebagian informasi ini harus auditor intern
peroleh dari hasil pengembangan faktor risiko.” (AAIPI, 2018)14

4) Perhitungan prioritas pengawasan.

Pada tahap ini, APIP menggabungkan penilaian risiko berdasarkan heat map yang
berasal dari register risiko dan risk factors (faktor pertimbangan manajemen).
Kemudian berdasarkan maturitas masing-masing auditable unit dapatkan persentase
perhitungan Risk Register dan Risk Faktor (berdasarkan tabel 2.20 diatas).
Hitung total nilai risiko untuk masing-masing auditable unit, lalu urutkan berdasarkan
angka total nilai risiko yang paling tinggi sehingga didapat prioritas pengawasan.

14
Pedoman Perencanaan Audit Berbasis Risiko Auditor Intern Pemerintah Indonesia dari AAIPI

60
47
 Gambar 2.21 perhitungan nilai total risiko

Risk Register Risk Factor

Area nilai nilai
No bobot% nilai Risk bobot%
Komposit risk TOTAL
Pengawasan risiko berdasar risk Factor berdasar
RISIKO
maturitas register maturitas factor

(1) (2) (3) (4) (5) (6) (7) (8) (9) = 7x8 (10) = 6+9

1 Unit Kerja 3 25 50% 12,5 16 50% 8 20,50

ABC

2 Unit Kerja
4 25 70% 17,5 18 30% 5,4 22,90
DEF

3 Unit Kerja
2 18 0% 0 15 100% 15 15,00
GHI

4 Unit Kerja 16 11,2 30% 6,6

5 70% 22 17,80
JKL

... ... ... ... ... ... ... ...

... ...

n Unit Kerja 3 20 50% 10 50% 7,5

15 17,50
XYZ

Setelah diurutkan dari nilai risiko tertinggi sampai dengan terendah, diperoleh urutan
sebagai berikut:

Gambar 2.22 perhitungan prioritas risiko unit kerja

Risk Register Risk Factor

Area nilai nilai
No bobot% nilai Risk bobot%
Komposit risk TOTAL
Pengawasan risiko berdasar risk Factor berdasar
RISIKO
maturitas register maturitas factor

(1) (2) (3) (4) (5) (6) (7) (8) (9) = 7x8 (10) = 6+9

2 Unit Kerja 4 25 70% 17,5 18 30% 5,4 22,90

DEF

1 Unit Kerja
3 25 50% 12,5 16 50% 8 20,50
ABC

4 Unit Kerja
5 16 70% 11,2 22 30% 6,6 17,80
JKL

n Unit Kerja 20 10 50% 7,5

3 50% 15 17,50
XYZ

3 Unit Kerja 3 18 0% 0 100% 15

15 15,00
GHI

... ... ... ... ... ... ... ...

... ...

61
48
5) Menentukan proporsi perbandingan Risk Register dengan Risk Factor
Kemudian APIP berkoordinasi dengan manajemen untuk menetapkan
assurance level atas area pengawasan yang akan dibuatkan Program Kerja
Pengawasan Tahunan (PKPT) berbasis risiko.
Misalnya dengan cara membagi/skoring dalam skala-skala tertentu, Contoh
pembagian area pengawasan

a) Prioritas Utama dan Tinggi.

Area pengawasan APIP yang akan dibuatkan Program Kerja
Pengawasan Tahunan (PKPT) berbasis risiko.

b) Prioritas Sedang
Prioritas sedang ini merupakan area pengawasan bagi middle
manajemen/Unit Kepatuhan Internal organisasi/MR.

c) Prioritas Rendah
Area pengawasan pelaksana operasional.

6) Dokumentasi
Dokumen yang dibutuhkan pada tahapan penyusunan audit universe adalah:

1 Rencana Strategis dan Rencana Kerja Tahunan

2 Kebijakan manajemen risiko K/L.

3 Register Risiko.

4 Notulen pengkomunikasian dengan pimpinan dan atau Manajer Kunci

5 Daftar Auditable Unit.

6 Register Risiko.

7 Tabel penilaian prioritas risiko.

62
49
 D.
Penyusunan
Program Kerja
Pengawasan Tahunan (PKPT)

Program Kerja Pengawasan Tahunan (PKPT) adalah rancangan seluruh kegiatan

pengawasan yang akan dilaksanakan dalam periode satu tahun. PKPT berisi berbagai
macam informasi terkait dengan rencana audit di tahun selanjutnya, yang diantaranya
berisi:
 nama obyek/unit yang akan diaudit (auditi);
 kapan dilaksanakan;
 sumber daya yang dibutuhkan;
 berapa lama akan dilaksanakan;
 siapa personel tim yang akan melaksanakan; dan sebagainya.

1. PENETAPAN JENIS PENGAWASAN INTERN

Pengawasan Intern Berbasis Risiko (PIBR) menekankan tanggung jawab manajemen,

dalam hal ini pimpinan K/L untuk mengelola risiko di lingkungan K/L masing-masing. Jika
kerangka manajemen risiko di organisasi belum terlalu matang atau bahkan belum ada,
maka organisasi tersebut belum siap untuk menerapkan PIBR, yang berarti kegiatan
pengawasan intern berfokus pada pengawasan terhadap proses pengendalian.

63
50
 Sebagaimana tercantum dalam SAIPI (paragraph 3130) kegiatan pengawasan intern
harus menjamin kecukupan dan efektivitas pengendalian intern pemerintah dalam
menanggapi risiko tata kelola organisasi, operasi, dan sistem informasi mengenai:

a. Pencapaian tujuan strategis organisasi;

b. Keandalan dan integritas informasi keuangan dan operasional;

c. Keandalan dan integritas informasi keuangan dan operasional;

d. Pengamanan aset; dan

e. Kepatuhan terhadap hukum, peraturan,

Pada tahap organisasi tersebut belum siap untuk menerapkan PIBR, penekanan APIP
adalah mendorong penerapan manajemen risiko yang memadai untuk meningkatkan
kualitas pengendalian internal. Oleh karena itu, sebelum melakukan penyusunan
Program Kerja Pengawasan Tahunan (PKPT), perlu diperjelas lagi mengenai strategi
pengawasan internal yang akan dipilih terkait dengan maturitas manajemen risiko.
Dalam Chartered Institute of Internal Auditors (2014), menyebutkan beberapa lingkup
dan metode pengawasan intern dibedakan menjadi tiga kelompok berdasarkan
kematangan manajemen risiko, yaitu:

a. maturitas manajemen risiko rendah (level 1 dan level 2),

b. maturitas manajemen risiko sedang (level 3),

c. maturitas manajemen risiko tinggi (level 4 dan level 5).

Adapun pelaksanaan kegiatan PIBR sesuai dengan maturitas MR auditable unit yang
sesuai disajikan dalam tabel berikut:

Gambar 2.9 Kegiatan Assurance dan Consulting sesuai Maturitas Manajemen Risiko
Level MR Jenis Pengawasan

Assurance Consulting

Level 1 Fasilitasi Penerapan

Audit konvensional
Level 2 Manajemen Risiko

Level 3 Audit konvensional dan Fasilitasi dalam rangka

Assurance atas efektifitas internalisasi manajemen risiko
pengendalian dalam proses bisnis

Assurance atas efektivitas

Level 4 Fasilitasi dilakukan sesuai
manajemen risiko secara
kebutuhan
keseluruhan
Audit Konvensional (sesuai
kebutuhan)

64
51
 Selain penugasan PIBR, PKPT APIP berisi juga rencana penugasan yang bersifat
mandatory, yaitu penugasan yang merupakan amanat peraturan perundangan, wajib
dilaksanakan, atau juga mandat bagi APIP, antara lain reviu RKA, reviu Laporan
Keuangan K/L, dan evaluasi LAKIP K/L, menindaklanjuti pengaduan/laporan dari
masyarakat, penugasan atas permintaan manajemen/pimpinan untuk melakukan
pengawasan. Berdasarkan sifatnya yang wajib dilaksanakan, maka penugasan
mandatory dapat langsung dimasukkan dalam PKPT, tanpa melalui proses
pemeringkatan berdasarkan prioritas risiko.
Pengawasan Intern Berbasis Risiko (PIBR) mengintegrasikan pengawasan intern ke
dalam proses manajemen risiko yang dibangun organisasi, sehingga
pengkomunikasian proses dan hasil pengawasan lebih mudah dipahami dan
ditindaklanjuti oleh pimpinan organisasi. Penugasan PIBR tidak menghilangkan
penugasan-penugasan tersebut, namun justru melengkapinya.
Berikut adalah strategi pengintegrasian antara pengawasan intern dengan proses
manajemen risiko yang dibangun organisasi, dengan menggunakan maturitas MR
pada auditable unit:

a. Penetapan pengawasan/audit yang bersifat mandatory

Kebijakan dan kriteria audit yang bersifat mandatori dan khusus serta wajib
untuk dilaksanakan oleh APIP tertuang dalam Piagam Pengawasan Intern
(Internal Audit Charter) yang disusun APIP dan disetujui oleh Pimpinan K/L. 15
Terhadap penugasan yang sifatnya wajib ini, APIP memprioritaskan kegiatan
ini untuk dimasukkan terlebih dahulu dalam PKPTnya. Bila dalam penugasan
mandatori ini memungkinkan APIP dalam memilih auditable unit yang akan
diuji, APIP dapat mempertimbangkan skor risiko, maupun faktor risiko sebagai
alat untuk memilih auditable unit

b. Penetapan Pengawasan Individu Bagi Auditable Unit dengan Maturitas

Manajemen Risiko Rendah (level 1 dan level 2)
Karakteristik Auditable unit yang berada di level ini adalah penerapan
Karena penerapan manajemen risiko belum dilakukan secara formal, sehingga
dalam kondisi ini, selain kegiatan assurance , peran APIP sangat dibutuhkan
untuk melakukan fasilitasi proses identifikasi risiko dan evaluasi risiko kepada
manajemen. Kegiatan fasilitasi diarahkan untuk memandu bagaimana auditable
unit mampu menerapkan manajemen risiko dengan baik, melalui proses
identifikasi dan evaluasi risiko yang benar. Agar lebih efektif dan efisien,
disarankan agar pelaksanaan fasilitasi digabungkan untuk seluruh auditable unit

15
Peraturan BPKP nomor 6 tahun 2018, pedoman PIBR

65
52
 yang maturitas manajemen risikonya masih rendah, tujuannya agar seluruh
auditable unit dalam kelompok maturitas manajemen risiko rendah dapat belajar
bersama dan saling termotivasi untuk maju.manajemen risikonya belum
dilaksanakan secara formal, atau kalau sudah dilaksanakan, namun masih bersifat
silo atau pada unit masing masing. Karena kondisi kematangan manajemen risiko
yang masih rendah, sehingga APIP belum dapat menyakini keandalan proses
manajemen risiko yang dilaksanakan oleh manajemen. Oleh karenanya, APIP belum
dapat melaksanakan assurance atas implementasi manajemen risiko dan masih
menerapkan kegiatan audit konvensional yang saat ini telah dilaksanakan.
Pemilihan jenis audit konvensional tergantung risiko utama yang melekat pada
auditable unit bersangkutan. Misalnya, jika risiko tertinggi adalah terkait kemahalan
harga dalam proses pengadaan barang dan jasa, maka assurance yang dapat
dilakukan adalah audit ketaatan atau compliance audit proses pengadaan barang
dan jasa.

c. Penetapan Pengawasan Individu Bagi Auditable Unit dengan Maturitas

Manajemen Risiko Sedang (level 3.)

Karakteristik Auditable unit yang berada di level ini adalah telah terbangunnya
kebijakan manajemen risiko dan telah dikomunikasikan kepada seluruh pihak
yang terkait, selain itu selera risiko juga telah ditetapkan. Karena kematangan
manajemen risiko yang sudah mulai meningkat, sehingga APIP perlu
mendorong kualitas implementasi manajemen risiko melalui kegiatan assurance
atas efektivitas pengendalian, yaitu menilai apakah rancangan pengendalian
telah mampu menurunkan risiko sampai level yang dapat diterima dan
bagaimana impelentasi pengendaliannya.
Selain assurance atas efektivitas pengendalian, APIP masih perlu melaksanakan
audit konvensional untuk melengkapi assurance atas efektivitas pengendalian
tersebut. Jenis audit konvensional yang ditetapkan perlu disesuaikan dengan
risiko utama yang melekat pada auditable unit yang bersangkutan. Misalnya
assurance atas capaian kinerja auditable unit untuk melihat kinerja di periode
yang lalu (post audit), ditambah dengan assurance atas efektivitas
pengendalian yang sifatnya melihat potensi permasalahan di masa depan
(forward looking). Gabungan forward looking dan post audit ini memungkinkan
bagi APIP untuk dapat menyajikan informasi yang lebih komprehensif kepada
pimpinan, namun konsekuensinya lingkup pengawasan perlu diperluas dan
sumber daya perlu ditambah, atau dengan sumber daya yang ada (tidak ada
penambahan), maka harus dibagi antara porsi untuk pengawasan yang bersifat
forward looking dan pengawasan terhadap kejadian masa lalu (post audit).
Selanjutnya, untuk kelompok auditable unit yang sudah mencapai maturitas
manajemen risiko level 3, masih dibutuhkan peran APIP untuk memfasilitasi
penerapan manajemen risiko. Namun, fasilitasi lebih difokuskan untuk
menginternalisasi penerapan manajemen risiko ke dalam proses bisnis. Agar
lebih efektif dan efisien, disarankan agar pelaksanaan fasilitasi pada tahap awal

66
53
 digabungkan untuk seluruh auditable unit yang maturitas manajemen risikonya
sudah level 3, tujuannya agar antar auditable unit dapat saling berbagi
pengalaman/sharing best practice penerapan manajemen risikonya
masing-masing untuk dapat diadopsi dan dikembangkan lebih lanjut oleh
auditable unit yang lain.

d. Penetapan Pengawasan Individu Bagi Auditable Unit dengan Maturitas

Manajemen Risiko Tinggi (level 4 dan 5).

Karakteristik Auditable unit yang berada di level ini adalah penerapan

manajemen risiko yang telah terintegrasi atau telah mengimplementasikan
enterprise risk management (ERM), bahkan pada maturitas level 5, dicirikan
dengan kondisi bahwa manajemen risiko dan pengendalian internal telah
menyatu dengan proses bisnis organisasi. Oleh karena kematangan manajemen
risiko yang sudah dinilai sangat baik, sehingga memungkinkan bagi APIP untuk
mulai melaksanakan assurance atas proses manajemen risiko secara
keseluruhan, meliputi penilaian proses manajemen risiko, desain pengendalian,
implementasi pengendalian, monitoring pengendalian, termasuk menilai
ketercapaian tujuan interim sampai dengan saat field work serta proyeksi
ketercapaian tujuan sampai dengan akhir periode. Melalui pendekatan yang
komprehensif ini, diharapkan peran APIP benar-benar telah berorientasi
kedepan (forward looking) serta menjadi early warning system bagi
pencapaian tujuan organisasi.
Selain melaksanakan assurance terhadap proses manajemen risiko secara
keseluruhan, APIP masih dapat melaksanakan kegiatan assurance lainnya
sepanjang dibutuhkan oleh organisasi atau dimandatkan oleh peraturan dan
stakeholder utama. Saat maturitas manajemen risiko sebagian besar instansi
sektor publik di Indonesia telah mencapai level 4 dan 5, kemungkinan informasi
kinerja sudah dapat tersedia secara real time melalui aplikasi dashboard kinerja.
Pengujian keakuratan data kemungkinan juga sudah tidak banyak diperlukan
lagi karena telah difasilitasi dengan teknologi informasi.
Oleh karena itu, peran APIP ke depan akan lebih banyak dibutuhkan untuk
memberikan keyakinan bahwa proses manajemen risiko telah memadai,
rancangan pengendalian telah dapat menurunkan risiko sampai level yang
dapat diterima dan diimplementasikan dengan baik, termasuk memastikan
monitoring atas kegiatan pengendalian sudah memadai. Kondisi inilah yang
akan terjadi saat revolusi industri 4.0 telah mempengaruhi sektor pemerintahan,
dimana peran internal audit dan peran manajemen telah terintegrasi dalam satu
model CA-CM (Continuous Auditing – Continuous Monitoring) sehingga peran
APIP akan jauh lebih efektif dan efisien, meskipun di dukung dengan sumber
daya yang masih terbatas.
Penugasan fasilitasi juga masih dapat dilaksanakan oleh APIP sepanjang masih
diperlukan, misalnya identifikasi risiko-risiko baru terkait dengan cyber security,
big data, social media intelegence dan lain sebagainya.

67
54
2. PENETAPAN PROGRAM KERJA PENGAWASAN TAHUNAN (PKPT).

Langkah-langkah dalam penyusunan PKPT adalah sebagai berikut:

a. Memilih area pengawasan yang menjadi fokus pengawasan APIP.

Pilih area pengawasan (auditable unit) terpilih yang telah ditetapkan
bersama antara APIP dan manajemen, kegiatan pemilihan ini
mempertimbangkan risiko utama auditable unit, tabel prioritas risiko
auditable unit (beserta data sumbernya; risk factor, risk register) dan

b. Alokasi sumber daya

Proses pengalokasian sumber daya dilakukan dengan cara melaksanakan
langkah langkah dibawah ini.

1) Dapatkan daftar nama SDM APIP yang tersedia,

No Jabatan Peran Jumlah

1 Auditor Utama Pengandali Mutu (PM) 1

2 Auditor Madya Pengandali Teknis (PT) 2

3 Auditor Muda Ketua Tim (KT) 2

4 Auditor Pertama Anggota Tim (AT) 4

Jumlah SDM APIP tersedia 9

2) Dikurangi dengan perkiraan hari libur, cuti, dan perkiraan hari hari
yang digunakan oleh APIP untuk kegiatan lainya. Contohnya:

Gambar 2.24 perhitungan ketersediaan hari penugasan

SDM auditor Keterangan

A Jumlah hari 1 tahun 365 = Jumlah hari dalam setahun (365)

B Dikurangi
1 Sabtu, Minggu, dan Libur Nasional 2020 104 = (52 minggu x2) + hari libur nasional 2020
2 Cuti Tahunan 12 = Cuti Tahunan 12 hari
3 Perkiraan Cuti Lainnya 5 = Cuti Lain-lain
4 Kegiatan administrasi jabatan fungsional 15 = Kegiatan administrasi
5 Pengembangan pegawai (diklat) 10 = Perkiraan (diklat) yang diikuti pegawai
6 Tindak lanjut pengawasan (terdahulu) 5 = perkiraan menindaklanjuti kegiatan terdahulu
7 Perencanaan pengawasan tahunan 5 = Perkiraan hari menyusun PKPT
JUMLAH PENGURANG HARI KERJA 156
C Jumlah hari tersedia untuk penugasan 209 = (365 hari kalender - jumlah pengurang hari kerja

3) Kemudian dibagi dengan area pengawasan dan jumlah hari

penugasan sesuai dengan peran masing-masing APIP dalam
pengawasan. Sehingga diperoleh perhitungan kesesuaian antara
penugasan dan jumlah SDM APIP yang tersedia. Contoh:

68
55
 Gambar 2.25 perhitungan sumberdaya APIP

4) Anggaran pengawasan yang tersedia (dalam rupiah)

5) Langkah berikutnya adalah mengalokasikan anggaran (Perjalanan Dinas, Uang Harian,

Transport dll) yang tersedia ke dalam usulan PKPT tersebut. Penyusunan Program Kerja
Pengawasan Tahunan (PKPT) merupakan ujung dari tahap perencanaan yang sifatnya
makro. Setelah ditentukan area pengawasan terpilih atau auditable unit yang menjadi
prioritas, maka mulailah disusun PKPT. PKPT tersebut telah berbasis risiko dan berisi
berbagai macam informasi terkait dengan rencana audit di tahun selanjutnya, yang
diantaranya:
a) Nama area pengawasan (auditable unit) yang akan dilakukan pengawasan;

b) Kapan dilaksanakan;

c) Sumber daya yang dibutuhkan;

d) Periode pelaksanaan:

e) Siapa personel tim yang akan melaksanakan; dan sebagainya.

69
56
 Format PKPT untuk perencanaan PIBR ini dapat disusun sebagai berikut:

Auditable Jenis Nama Tim

No HP RMP RML Dana Ket
Unit Pengawasan Penugasan Pelaksana

sebagai contoh PKPT ditampilkan sebagai berikut:

gambar 2.26 contoh format PKPT

Catatan : selain dikagorisasikan dalam jenis penugasan, PKPT dapat juga

dipilah-pilah berdasarkan unit organisasinya misalnya pada unit ABC akan
dilaksanakan penugasan fasilitasi penerapan MR, Audit Kinerja, dan Audit
Pengadaan Barang dan Jasa.

70
57
 Setiap area pengawasan terpilih yang termasuk dalam usulan PKPT didukung
dengan Deskripsi Area Pengawasan Terpilih dan Alokasi Sumber Daya.

Gambar 2.27 Deskripsi Area Pengawasan Terpilih

Catatan : Penyusunan PKPT dapat dibuat untuk satu inspektorat sekaligus,

ataupun masing masing Inspektur Pembantu (Irban) atau Inspektorat
Wilayah (Itwil), atau sesuai dengan penamaan struktur organisasi K/L
masing-masing.

c. Reviu dan Persetujuan PKPT

Usulan PKPT yang telah selesai disusun, selanjutnya disampaikan kepada
Pimpinan APIP. Usulan PKPT tersebut setelah direviu dan disetujui Pimpinan
APIP, oleh Pimpinan APIP diajukan kepada pimpinan organisasi untuk
disetujui dan disahkan.

d. Dokumentasi
Dokumen dan formulir yang terkait pada tahapan penyusunan PKPT adalah:
a. Komposisi sumber daya, yang meliputi anggaran, SDM dan waktu.

b. Daftar prioritas audit.

c. Profil area pengawasan terpilih/auditi.

d. Alokasi sumber daya.

e. Rencana Program Kerja Pengawasan Tahunan.

71
58
BAB III

72
TAHAPAN PELAKSANAAN
PENGAWASAN INDIVIDU

A. Gambaran Umum Pelaksanaan PIBR

B. Peran Assurance Sesuai Perkembangan Maturitas MR
C. Peran Consulting Sesuai Level Maturitas Manajemen Risiko
D. Pengawasan Intern Berbasis Risiko dan
Peningkatan Kapabilitas APIP
E.. Rekonfirmasi Tingkat Kematangan Manajemen Risiko
F.. Fasilitas Penerapan Manajemen Risiko
G.. Pelaksanaan Pengawasan Lanjutan

73
 A.
Gambaran Umum
Pelaksanaan Pengawasan Intern
Berbasis Risiko

Tahap pelaksanaan pengawasan intern berbasis risiko

merupakan proses lanjutan setelah perencanaan
pengawasan tahunan telah diselesaikan. Penyusunan
rencana pengawasan tahunan menghasilkan output
berupa Program Kerja Pengawasan Tahunan (PKPT),
berisi seluruh kegiatan pengawasan intern dalam satu
tahun, termasuk sumber daya pengawasan yang
dialokasikan. Dengan kata lain, tahap pelaksanaan
pengawaan intern berbasis risiko pada dasarnya
merupakan kegiatan untuk mengeksekusi PKPT yang
merupakan output tahap perencanaan pengawasan
intern berbasis risiko.
Pelaksanaan pengawasan intern berbasis risiko secara
garis besar dibagi dalam tiga tahapan, yang pertama
adalah perencanaan pengawasan individu, salah satu
kegiatannya adalah rekonfirmasi kematangan
manajemen risiko pada seluruh auditable unit yang
masuk dalam PKPT, kemudian tahap pelaksanaan, yang
merupakan implementasi pengawasan intern (assurance

74
61
dan consulting) sesuai dengan hasil rekonfirmasi kematangan
manajemen risiko, dan tahap terakhir adalah pengkomunikasian
hasil pengawasan. Jika dari hasil rekonfirmasi kematangan
manajemen risiko menunjukkan bahwa auditable unit belum
matang (level 1 dan level 2), maka metode pengawasan individu
yang diterapkan adalah audit konvensional (misalnya audit
ketaatan dan audit kinerja), serta kegiatan fasilitasi dilaksanakan
di waktu terpisah bersamaan dengan auditable unit lain (yang
level maturitasnya sama), sehingga akan tercipta model
pembelajaran bersama, komitmen bersama serta saling
memotivasi antar auditable unit.
Jika hasil rekonfirmasi kematangan manajemen risiko auditable
unit berada di Level 3 dan secara umum auditable unit telah
memiliki register risiko yang cukup handal, maka pengawasan
individu yang diterapkan adalah audit konvensional (misalnya
audit ketaatan dan audit kinerja), ditambah assurance atas
efektivitas pengendalian (kecukupan desain pengendalian dan
implementasinya). Kegiatan fasilitasi tetap dilaksanakan dengan
fokus menginternalisasikan manajemen risiko ke dalam proses
bisnis. Selanjutnya, jika hasil rekonfirmasi maturitas manajemen
risiko menunjukkan bahwa maturitas auditable unit sudah tinggi
(level 4 dan 5), maka pengawasan individu yang dilaksanakan
adalah assurance atas efektivitas manajemen risiko secara
keseluruhan, sedangkan audit konvensional dan fasilitasi
dilaksanakan sesuai dengan kebutuhan.
Untuk mempermudah uraian tahap pelaksanaan pengawasan
intern berbasis risiko, petunjuk pelaksanaan ini akan dibagi
dalam tiga kategori, yaitu: (1) pelaksanaan pengawasan intern
berbasis risiko bagi auditable unit yang maturitas manajemen
risikonya masih rendah (level 1 dan level 2), bagi auditable unit
dengan maturitas MR sedang (level 3), dan bagi auditable unit
dengan maturitas MR tinggi (level 4 dan level 5) sebagaimana
gambar di bawah ini.

62
75
04
 Program Kerja
Pengawasan Tahunan

Rekonfirmasi Maturitas MR
Auditable Unit

1. 2. 3. Perencanaan
Maturitas MR Rendah Maturitas MR Sedang Maturitas MR Tinggi
Pengawasan
(Level 1 dan 2) (Level 3) (Level 4 dan 5)
Individu

Pemahaman Risiko Utama Pemahaman Risiko Utama Pemahaman Risiko Utama

dan Efektivitas Pengendaliannya dan Efektivitas Pengendaliannya dan Efektivitas Pengendaliannya

Penyusunan PKA dan Penyusunan PKA dan Penyusunan PKA dan

Pembentukan tim Pengawas Pembentukan tim Pengawas
Pelaksanaan
Pembentukan tim Pengawas
Pengawasan
Individu

Audit Konvensional
Audit Konvensional Audit Konvensional (sesuai Kebutuhan)

Assurance
Assurance
Assurance atas
atas
atas Assurance atas
Efektivitas
Efektivitas Pengendalian
Pengendalian
Efektivitas Pengendalian Efektivitas Pengendalian

Assurance atas
Efektivitas MR Keseluruhan

Fasilitasi Penerapan MR Fasilitasi Penerapan MR Fasilitasi MR

(Waktu Terpisah) (Waktu Terpisah) (Sesuai Kebutuhan)

Laporan Laporan Laporan Pengkomunikasian

Hasil Pengawasan Hasil Pengawasan Hasil Pengawasan Pengawasan
Individu

Stakeholder (untuk pengambilan Kebijakan dan Updating Register Risiko)

76
63
Berdasarkan rincian kegiatan yang telah ditetapkan dalam perencanaan pengawasan
tahunan (PKPT), selanjutnya tim menyusun rencana pengawasan individu, antara lain
dengan menetapkan sasaran, ruang lingkup, dan metodologi pengawasan, termasuk
menyusun program kerja pengawasan yang akan dilaksanakan. Setelah persiapan selesai,
berdasarkan surat tugas yang dimiliki, tim melaksanakan pengawasan sesuai dengan
rencana yang telah dietapkan. Proses pengawasan didokumentasikan dalam kertas kerja
pengawasan yang selanjutnya menjadi bahan penyusunan pelaporan/komunikasi hasil
pengawasan.

Secara rinci, ketiga tahapan di atas, dapat

dijelaskan sebagai berikut:

Perencanaan Sesuai dengan Standar Audit Intern Pemerintah Indonesia

1.
Pengawasan (SAIPI), tahap perencanaan pengawasan individu, perlu
Individu memperhatikan beberapa hal, antara lain: penetapan
pertimbangan dalam perencanaan, penetapan sasaran,
ruang lingkup, metodologi, dan alokasi sumber daya,
penyusunan program kerja pengawasan, evaluasi sistem
pengendalian intern, serta evaluasi ketidakpatuhan auditi
terhadap peraturan perundangan, kecurangan dan
ketidakpatutan.

Secara rinci, standar terkait perencanaan pengawasan

individu, disajikan sebagai berikut:

No. Paragraf Uraian

1. 3200 Auditor harus mengembangkan dan
mendokumentasikan rencana untuk setiap
penugasan, termasuk tujuan, ruang lingkup,
waktu, dan alokasi sumber daya penugasan

2. 3210 Dalam merencanakan penugasan audit intern,

Auditor harus mempertimbangkan berbagai hal,
termasuk sistem pengendalian intern dan
ketidakpatuhan auditi terhadap peraturan
perundang-undangan, kecurangan, dan
ketidakpatutan (abuse).

77
64
 No. Paragraf Uraian

3. 3220 Dalam membuat rencana penugasan audit intern,

Auditor harus menetapkan sasaran, ruang lingkup,
metodologi, dan alokasi sumber daya.

4. 3230 Auditor harus mengembangkan dan

mendokumentasikan program kerja penugasan
untuk mencapai tujuan penugasan.

5. 3240 Auditor harus memahami rancangan sistem

pengendalian intern dan menguji penerapannya
serta memberikan rekomendasi yang diperlukan

6. 3250 Auditor harus merancang audit internnya untuk

mendeteksi adanya ketidakpatuhan terhadap
peraturan perundang-undangan, kecurangan, dan
ketidakpatutan (abuse).

Dalam petunjuk pelaksanaan ini, sasaran, ruang lingkup dan alokasi sumber
daya pengawasan intern ditetapkan berdasarkan hasil rekonfirmasi
kematangan manajemen risiko setiap auditable unit. Tahapan perencanaan
pengawasan individu, terdiri dari empat kegiatan, yaitu rekonfirmasi
kematangan manajemen risiko, pemahaman risiko utama auditable unit dan
rancangan pengendalian intern, penetapan metode pengawasan, serta
penyusunan program kerja pengawasan, sebagaimana rincian berikut:

a. Rekonfirmasi Kematangan Manajemen Risiko

a.
Auditable Unit

Rekonfirmasi kematangan manajemen risiko auditable unit

merupakan langkah pertama yang perlu dilakukan oleh tim
auditor sebelum memulai pengawasan intern. Pelaksanaan
rekonfirmasi kematangan manajemen risiko perlu diterapkan
terhadap seluruh auditable unit yang masuk dalam PKPT,
tujuannya adalah untuk menetapkan metode pengawasan
intern yang tepat (assurance atau consulting), dengaan cara
mengkategorikan auditable unit dalam tiga kelompok
berdasarkan maturitas manajemen risikonya, yaitu rendah,
sedang, dan tinggi. Rekonfirmasi kematangan manajemen

78
65
 risiko perlu dilakukan karena penilaian maturitas manajemen risiko
pada tahap perencanaan pengawasan dilaksanakan sebelum tahun
anggaran dimulai (Y-1), sehingga dikhawatirkan sudah ada update
atau perkembangan implementasi manajemen risiko sehingga perlu
disesuaikan terlebih dahulu sebelum pelaksanaan pengawasan
individu. Alasan kedua, kemungkinan pada tahap perencanaan
pengawasan, belum diperoleh hasil penilaian maturitas manajemen
risiko setiap auditable unit, sehingga APIP menggunakan nilai
maturitas manajemen risiko entitas atau nilai maturitas SPIP entitas
sebagai alternatifnya, oleh karenanya perlu dilakukan rekonfirmasi
terhadap maturitas manajemen risiko setiap auditable unit untuk
memastikan apakah nilai maturitas manajemen risiko atau nilai
maturitas SPIP level entitas masih konsisten dengan nilai maturitas
manajemen risiko di tingkat auditable unit.
Apabila dalam tahap perencanaan pengawasan telah dilakukan
penilaian maturitas manajemen risiko untuk setiap auditable unit dan
sampai dengan waktu pelaksanaan pengawasan tidak ada
perubahan yang signifikan, maka APIP dapat menggunakan nilai
maturitas manajemen risiko masing-masing auditable unit yang telah
tersedia pada tahap perencanaan pengawasan tersebut. Artinya,
level maturitas manajemen risiko di tingkat auditable unit masih
relevan untuk digunakan untuk tahap pelaksanaan pengawasan.
Untuk mendukung kesimpulan auditor bahwa level maturitas
manajemen risiko masih relevan, maka prosedur rekonfirmasi tetap
harus dilaksanakan serta hasilnya dituangkan dalam kertas kerja
rekonfirmasi. Jika tidak ada perubahan signifikan, maka proses
rekonfirmasi dapat diselesaikan dalam waktu yang relatif lebih cepat.
Lebih lanjut, langkah kerja rekonfirmasi kematangan manajemen
risiko dilakukan dengan menggunakan 15 pernyataan yang akan
dijelaskan lebih rinci pada BAB ini.

Pemahaman Risiko Utama Auditable Unit dan

b b.
Efektivitas Pengendaliannya
Pemahaman risiko utama auditable unit sangat penting agar
pengawasan intern lebih fokus dan efisien. Tim pengawasan perlu
mengidentifikasi risiko utama dari auditable unit sehingga
pengawasan dapat difokuskan pada risiko utama yang dihadapi oleh
auditable unit tersebut. Salah satu caranya adalah dengan
mengidentifikasi faktor risiko apa yang dominan sehingga
menyebabkan auditable unit tersebut terpilih sebagai prioritas
pengawasan dan masuk dalam PKPT. Cara lainnya adalah dengan
melihat register risiko yang dimiliki oleh auditable unit, namun dengan
asumsi bahwa register risikonya sudah andal.

79
66
 Sebagai contoh, auditable unit terpilih sebagai prioritas pengawasan
karena mengelola anggaran yang paling besar, temuan BPK tahun
sebelumnya banyak dan sebagainya. Berangkat dari informasi itu,
kemudian tim pengawasan melakukan wawancara dengan auditi untuk
memperoleh informasi apakah telah memiliki register risiko, jika sudah
memiliki register risiko, identifikasi risiko terbesar apa yang dihadapi
oleh auditable unit, program/kegiatan apa yang paling berisiko, serta
capaian kinerja sampai dengan saat field work.

Jika auditable unit belum menyusun register risiko, tim pengawasan

dapat berdiskusi dengan manajemen untuk menentukan risiko utama
dari auditable unit yang akan di awasi. Hal ini penting agar lingkup
pengawasan individu lebih terarah dan fokus pada risiko terbesar
yang dihadapi oleh auditable unit. Beberapa informasi yang dapat
dipertimbangkan agar tim pengawasan dapat menemukan risiko
utama yang melekat pada auditable unit, antara lain:

1)
Signifikansi Program/kegiatan utama yang dilaksanakan
oleh auditable unit untuk mendukung IKU entitas;

2)
Faktor risiko yang menyebabkan auditable unit itu
masuk dalam prioritas pengawasan, misalnya anggaran
yang dikelola, temuan BPK tahun sebelumnya,
seringnya pergantian pegawai, pengaduan masyarakat,
potensi fraud, waktu terakhir di audit, volume transaksi,
tingkat otomatisasi dan lain sebagainya;

3)
Informasi pencapaian kinerja auditable unit sampai
dengan saat field work;

Register risiko yang menginformasikan

4)
kegiatan/program di lingkup auditable unit yang
berisiko tinggi.

Selain memahami risiko utama auditable unit, tim pengawasan juga

perlu memahami rancangan dan implementasi pengendalian internal
yang dilakukan oleh auditable unit. Pemahaman ini merupakan informasi
dasar bagi tim pengawasan, untuk selanjutnya dapat diperdalam lagi
pada saat melaksanakan pengawasan individu berupa assurance atas
efektivitas pengendalian (merupakan salah satu tahapan dalam
pengawasan intern berbasis risiko untuk auditable unit yang sudah
memenuhi maturitas manajemen risiko level 3).

80
67
b c. Penetapan Metode Pengawasan Intern Berdasarkan
Tingkat Kematangan Manajemen Risiko
Setelah diperoleh hasil rekonfirmasi kematangan manajemen
risiko berupa level maturitas manajemen risiko, selanjutnya tim
pengawasan dapat menetapkan lingkup dan metode
pengawasan intern yang akan diterapkan. Beberapa
kemungkinan yang muncul adalah sebagai berikut:

1)
Jika hasil rekonfirmasi kematangan manajemen risiko
masih sama dengan penilaian kematangan manajemen
risiko pada tahap perencanaan pengawasan (saat
menyusun PKPT), maka lingkup dan metode
pengawasan individu yang akan diterapkan adalah
sama dengan rencana awal (sesuai dengan PKPT);

2.
Jika hasil rekonfirmasi kematangan manajemen risiko
hasilnya lebih rendah atau lebih tinggi dari penilaian
kematangan manajemen risiko pada tahap
perencanaan, maka tim pengawasan perlu
menyesuaikan lingkup dan metode pengawasan
berdasarkan hasil penilaian yang terakhir.

Ruang lingkup dan metode pengawasan intern berbasis risiko

dibedakan menjadi tiga kelompok berdasarkan kematangan
manajemen risiko. Yang pertama, untuk auditable unit dengan
maturitas manajemen risiko rendah (level 1 dan level 2), maka
metode pengawasan yang diterapkan adalah audit konvensional
(misalnya audit ketaatan dan audit kinerja), dan melakukan fasilitasi
dengan fokus utama bagaimana menerapkan manajemen risiko.
Yang kedua, untuk auditable unit dengan maturitas manajemen
risiko sedang (level 3), maka assurance yang dilaksanakan adalah
audit konvensioan (misalnya audit ketaatan dan audit kinerja),
ditambah assurance atas efektivitas pengendalian. Kegiatan
fasilitasi masih diperlukan utamanya untuk mendorong internalisasi
manajemen risiko dalam proses bisnis. Sedangkan untuk auditable
unit dengan matruitas manajemen risiko tinggi (level 4 dan 5), maka
assurance yang dilakukan adalah atas efektivitas manajemen risiko
secara keseluruhan, termasuk di dalamnya assurance atas
efektivitas pengendalian. Sedangkan kegiatan assurance lain dan
fasilitasi dilakukan sesuai dengan kebutuhan.

81
68
Secara umum lingkup dan metode pengawasan intern
dibedakan menjadi tiga kelompok berdasarkan kematangan
 Menyusun Program Kerja
b d.
Pengawasan Individu
Program kerja pengawasan intern berbasis risko merupakan dokumen yang
berisi langkah kerja sebagai panduan bagi tim pengawasan dalam
melaksanakan kegiatan pengawasan intern di lapangan. Langkah kerja
disusun sesuai dengan tujuan pengawaan dan pengujian yang diperlukan
untuk mencapai tujuan pengawasan yang ditetapkan. Program kerja
pengawasan disusun oleh ketua tim pengawasan sebagai media komunikasi
dalam satu tim pengawasan. Petunjuk pelaksanaan ini tidak memberikan
panduan secara khusus bagaimana menyusun program kerja pengawasan,
namun langkah kerja penting untuk melaksanakan pengawasan intern
berbasis risiko dijelaskan secara singkat, yang selanjutnya dapat
dikembangkan lebih lanjut sesuai kondisi lingkungan dan sumber daya yang
dimiliki oleh APIP, namun untuk memudahkan bagaimana
bentuk/contoh/format Program Kerja Pengawasan dapat disajikan pada
lampiran nomor 2 huruf B dan C.

Pelaksanaan Setelah perencanaan pengawasan berhasil diselesaikan,

2.
Pengawasan langkah selanjutnya adalah tahapan pelaksanaan pengawasan
Individu individu. Berdasarkan Standar Audit Intern Pemerintah
Indonesia (SAIPI), beberapa hal yang diatur terkait
pelaksanaan pengawasan individu, antara lain:

No. Paragraf Uraian

1. 3310 Auditor harus mengidentifikasi informasi audit

intern yang cukup, kompeten, dan relevan

2. 3320 Auditor harus mendasarkan kesimpulan dan hasil

penugasan audit intern pada analisis dan evaluasi
informasi yang tepat

3. 3330 Auditor harus menyiapkan dan menatausahakan

pendokumentasian informasi audit intern dalam
bentuk kertas kerja audit intern. Informasi harus
didokumentasikan dan disimpan secara tertib dan
sistematis agar dapat secara efektif diambil
kembali, dirujuk, dan dianalisis

4. 3340 Pada setiap tahap penugasan audit intern, auditor

harus disupervisi secara memadai untuk
memastikan tercapainya sasaran, terjaminnya
kualitas, dan meningkatnya kompetensi auditor

82
69
Secara umum, standar menghendaki agar pelaksanaan pengawasan intern
didukung dengan bukti-bukti yang kuat, didokumentasikan dengan baik,
serta melalui proses supervisi yang memadai. Petunjuk pelaksanaan ini
mengatur lebih lanjut mengenai langkah kerja apa yang dapat dilakukan
oleh tim pengawasan dalam melaksanakan pengawasan intern berbasis
risiko, termasuk contoh kertas kerja sebagai gambaran dokumentasi
pengawasan intern dan supervisi secara berjenjang mulai dari ketua tim,
pengendali teknis, dan penanggung jawab penugasan.
Berdasarkan output dari tahapan rekonfirmasi maturitas manajemen risiko,
akan mengerucut pada tiga kelompok auditable unit berdasarkan level
maturitasnya, yaitu auditable unit dengan maturitas manajemen risiko
rendah (level 1 dan 2), sedang (level 3), dan tinggi (level 4 dan 5).
Masing-masing kelompok akan dilakukan pengawasan intern dengan
menggunakan metode yang disesuaikan dengan tingkat kematangan
manajemen risikonya masing-masing.

83
70
 Pengkomu- Hasil pengawasan intern perlu disampaikan dalam format yang
3.
nikasian Hasil tepat, kepada pihak yang tepat, pada waktu yang tepat, serta
Pengawasan dimonitoring tindak lanjutnya secara berkesinambungan. Oleh
Individu karena itu, pengkomunikasian atau pelaporan hasil pengawasan
perlu diatur dalam bab secara terpisah agar lebih jelas.

84
71
B.
Peran Assurance
Sesuai Perkembangan
Maturitas MR

Perkembangan penerapan manajemen

risiko berbanding lurus dengan perkem-
bangan organisasi, yang saat ini tidak
sekedar berusaha mematuhi regulasi yang
berlaku, namun lebih fokus pada aspek
strategis, yaitu upaya pencapaian tujuan
organisasi. Ketika manajemen risiko belum
diterapkan, atau sudah diterapkan oleh
organisasi tapi masih informal atau masih
silo, maka dalam masa transisi tersebut,
APIP masih perlu menerapkan audit
konvensional untuk menjamin pencapaian
tujuan organisasi. Dalam perkembangann-
ya, kegiatan assurance dibagi dalam
empat pendekatan mengikuti kematangan
manajemen risiko organisasi, sebagaimana
disampaikan oleh Sobel (2015), yaitu
pendekatan control based, process based,
risk based dan risk management based,
sebagaimana Gambar Perbandingan
Pendekatan Pengawasan Intern sebagai
berikut:

85
72
Perbandingan Pendekatan
Pengawasan Intern

Risk-
No. Aspek control based Process based Risk-based
management based

1. Sasaran Kepatuhan Efektivitas dan Efektivitas Efektivitas manajemen

terhadap efisiensi proses pengendalian & risiko untuk pencapaian
peraturan/ bisnis prosedur untuk tujuan organisasi dan
pedoman/ memitigasi risiko kunci optimalisasi/pengelolaan
standar risiko

2. Pendekatan Memahami Membandingkan Mengidentifikasi risiko Memahami tujuan

peraturan dan operasi/proses bisnis kunci dan strategis, identifikasi risiko
audit ketaatan berjalan dengan mengevaluasi strategis, toleransi risiko,
best practice pengendaliannya kinerja dan pengelolaan
risiko, serta menilai
efektivitas MR

3. Fokus Mengidentifikasi Gap antara proses Pengendalian & Kesenjangan antara

penyimpangan saat ini dengan prosedur yang tidak efektivitas MR saat ini
dan data yang best practice berjalan sesuai dengan yang diharapkan
error rencana untuk
menangani risiko
kunci

4. Pengujian Uji Substantif dan Evaluasi yang Kombinasi uji Kombinasi uji substantif
Kepatuhan secara fokus pada substantive dan dan ketaatan yang fokus
statistik konsultasi untuk ketaatan yang fokus pada tujuan kunci dan
menilai gap hanya pada risiko risiko terkait
praktik saat ini kunci
dengan best
practice disertai
pengujian
kepatuhan

5. Rekomendasi Terkait dengan Terkait dengan Terkait Mengaitkan antara gap

penyimpangan gap pencapaian eksepsi/penyimpangan efektivitas MR dengan
tujuan atas proses pada risiko kunci risiko dan tujuan
tertentu organisasi

Sumber: Paul J. Sobel. 2015.

Auditor's Risk Management Guide: Integrating Auditing and ERM

Berdasarkan tabel di atas, untuk menilai kepatuhan terhadap peraturan, maka pendekatan penga-
wasan dapat diterapkan adalah control based yaitu dengan mengidentifikasi area yang pengenda-
liannya masih lemah, untuk selanjutnya dilakukan audit ketaatan. Namun, ketika sasaran penga-
wasannya berubah untuk menilai efektivitas efisiensi proses bisnis, maka pendekatan pengawasan

86
73
perlu melihat proses bisnis secara keseluruhan dibandingkan dengan best practice nya, inilah
pendekatan proses atau process based. Audit ketaatan dan audit kinerja inilah yang dalam petun-
juk pelaksanaan ini disebut dengan audit konvensional, yang dapat dilaksanakan oleh APIP,
khususnya terhadap auditable unit yang belum menerapkan manajemen risiko, atau sudah mener-
apkan namun maturitas manajemen risikonya masih rendah (level 1 dan level 2). Kegiatan audit
konvensional masih dilaksanakan karena APIP belum dapat meyakini kualitas implementasi mana-
jemen risiko oleh auditable unit.
Sehubungan dengan auditable unit yang mulai menerapkan manajemen risiko, maka kegiatan
assurance yang dilakukan APIP juga mengalami perkembangan. Sebagaimana dijelaskan dalam
tahapan pelaksanaan pengawasan intern, bagi auditable unit yang sudah memenuhi level maturi-
tas manajemen risiko level 3, maka pendekatan pengawasan intern yang diterapkan adalah assur-
ance atas efektivitas pengendalian atau dalam tabel 2.2 disebut pendekatan risk based, dengan
fokus pengujian atas dua hal sebagai berikut:

Menilai kecukupan rancangan pengendalian atas risiko teridentifikasi untuk menjamin

1. efektivitasnya sehingga dapat menurunkan tingkat risiko sampai tingkat yang dapat
diterima dalam rangka tercapainya tujuan;

Menilai bahwa kegiatan pengendalian telah diimplementasikan secara efektif dan efisien
2. sesuai dengan rancangan pengendalian yang ditetapkan.

Dalam perkembangan selanjutnya, ketika maturitas manajemen risiko telah memenuhi level 4 dan
level 5, maka assurance yang dilaksanakan oleh APIP juga berkembang, tidak sekedar penilaian
efektivitas pengendalian, namun termasuk menilai penerapan manajemen risiko secara keseluruhan,
atau tabel 2.2 menyebutnya dengan pendekatan risk management based, yang terdiri dari lima
simpulan utama, antara lain:

Menilai proses manajemen risiko Menilai apakah kegiatan pengendalian

1. secara keseluruhan apakah telah
memadai;
Menilai kecukupan rancangan
2. pengendalian atas risiko teridentifikasi
untuk menurunkan risiko sampai
tingkat yang dapat diterima dalam
rangka tercapainya tujuan;
Menilai bahwa kegiatan pengendalian
3. telah diimplementasikan secara efektif
dan efisien sesuai dengan rancangan
pengendalian yang telah ditetapkan;
4. telah dimonitor secara periodik oleh
manajemen untuk menjamin bahwa
proses dilakukan secara
berkesinambungan dan berjalan
secara efektif.
Menilai pencapaian tujuan interim
5. auditable unit sampai dengan saat
fieldwork, termasuk proyeksi
pencapaian tujuan sampai dengan
akhir periode.

Pelaksanaan lebih lanjut atas assurance yang dilaksanakan oleh APIP tersebut, akan
dibahas lebih rinci di Bab ini.

87
74
 c. Peran Consulting
Sesuai Level
Maturitas Manajemen Risiko

Selain melaksanakan kegiatan yang bersifat assurance atau penjaminan, peran APIP sebagai
bagian internal organisasi, diharapkan dapat memberikan solusi atas permasalahan yang dihadapi
oleh manajemen, termasuk ketika manajemen telah memutuskan untuk menerapkan manajemen
risiko. Beberapa peran consulting yang dapat dilakukan oleh APIP sehubungan dengan
penerapan manajemen risiko oleh manajemen, disajikan sebagaimana gambar berikut:

Peran APIP dalam Konsultasi

Implementasi Manajemen Risiko

Membangun strategi Memfasilitasi

pengelolaan risiko untuk
disetujui Pimpinan
1 7 identifikasi dan
evaluasi risiko

Peran Consulting Membantu manajemen

Memperjuangkan
pembentukan ERM 2 APIP dalam MR 6 dalam melakukan
respon risiko

Memelihara dan
membangun
kerangka ERM
3 5 Mengkoordinasikan
aktivitas ERM

4
Mengkonsolidasi pelaporan
mnajemen risiko

Sumber : The Role of Internal Auditing in Enterprise-wide Risk Management, COSO-2004

88
75
Sebagaimana gambar 2.3 di atas, peran
consulting oleh APIP telah dimulai sejak
awal ketika organisasi baru menyusun
strategi penerapan manajemen risiko,
sebagaimana digambarkan dalam kipas di
atas. Ketika peran itu diurutkan dari kiri ke
kanan, maka akan terlihat perkembangan
peran consulting yang dapat diberikan oleh
APIP dikaitkan dengan perkembangan
maturitas manajemen risiko organisasi.
Bagian warna biru yang paling kiri adalah
kondisi ketika organisasi belum menerapkan
manajemen risiko, sehingga peran APIP
adalah memberikan konsultasi bagaimana
menyusun strategi penerapan manajemen
risiko dan kemudian diajukan kepada
pimpinan untuk memperoleh persetujuan.
Perkembangan berikutnya, APIP dapat
mengajarkan bagaimana mengintegrasikan
penerapan manajemen risiko dalam satu
organisasi secara menyeluruh atau
menerapkan Enterprise Risk Management
(ERM). Setelah ERM terbangun, selanjutnya
APIP dapat memberikan konsultasi
bagaimana cara mengkonsolidasikan
pelaporan manajemen risiko, yang dalam
hal ini APIP dapat menyarankan penguatan
peran second line of defense atau
pertanahan lini kedua organisasi, berupa
unit manajemen risiko dan kepatuhan
internal. Membangun manajemen risiko
perlu dukungan teknologi informasi berupa
aplikasi yang memungkinkan agar risk
register yang disusun oleh manajemen
dapat langsung dikompilasikan serta
dipantau secara real time oleh unit
manajemen risiko dan kepatuhan internal
sebagai pertahanan lini kedua dan APIP
sebagai pertahanan lini ketiga.
Perkembangan berikutnya, kegiatan ERM
perlu di koordinasikan sehingga APIP dapat
berperan dalam memberikan konsultasi dan
saran bagaimana ERM akan
dikoordinasikan, melalui apa media
koordinasinya, oleh siapa dan kapan
dilaksanakan. Dalam beberapa praktik di
89
76
Indonesia, koordinasi penerapan
manajemen risiko diintegrasikan dengan
pemantauan kinerja organisasi yang
diselenggarakan setiap triwulan. Rapat
koordinasi rutin tersebut dipimpin oleh
pimpinan tertinggi organisasi dan dihadiri
oleh seluruh jajaran pimpinan setingkat
dibawahnya. Materi yang dibahas dalam
pertemuan itu adalah perkembangan kinerja
organisasi dan pengelolaan risiko. Jika
terdapat risiko yang tidak dapat ditangani
di level bawah, akan dibahas dalam rapat
untuk diambil kebijakan di level yang lebih
tinggi.
Selain memberikan layanan konsultasi di
level entitas atau organisasi mengenai
bagaimana membangun ERM, APIP juga
dapat memberikan layanan konsultasi di
level unit kerja, dalam hal ini kepada
auditable unit atau unit kerja mandiri yang
diperankan sebagai pemilik risiko. Layanan
yang pertama adalah memberikan coaching
90
77
kepada manajemen bagaimana merespon
risiko. Kegiatan coaching dapat dilakukan di
kantor APIP dengan membuka coaching
clinic pengembangan manajemen risiko,
dapat juga dilakukan di kantor manajemen
atau unit kerja yang akan di training
mengenai bagaimana merespon risiko.
Layanan konsultasi berikutnya adalah
fasilitasi identifikasi dan analisis risiko.
Kegiatan konsultasi ini sudah masuk dalam
teknis bagaimana menilai risiko oleh
masing-masing auditable unit. Perlu digaris
bawahi bahwa peran fasilitator tidak boleh
mengambil alih tanggung jawab
manajemen, artinya identifikasi risiko dan
besarannya harus diputuskan oleh
manajemen, sedangkan peran fasilitator
hanyalah memandu jalannya diskusi agar
fokus. Fasilitasi identifikasi dan analisis risiko
dapat dilakukan dengan metode Control
Self Asessment (CSA) yang akan dibahas
lebih detail pada Bab IV.
 D.
Pengawasan Intern
Berbasis Risiko dan
Peningkatan Kapabilitas APIP

Pelaksanaan pengawasan intern berbasis risiko telah sejalan dengan model peningkatan
kapabilitas APIP sebagaimana konsep Internal Audit Capability Model (IACM) yang
dikembangkan oleh IIA Reseacrh Foundation, melalui riset oleh Elizabeth MacRae tahun 2007 dan
terakhir direvisi tahun 2017, berjudul “Internal Audit Capability Model for The Public Sector”.
Dalam buku tersebut, dijelaskan bahwa peningkatan kapabilitas APIP, perlu mempertimbangkan
enam elemen kunci sebagaimana diilustrasikan dalam gambar sebagai berikut:

Matrik
IACM
MATRIKS MODEL KAPABILITAS APIP
5 KPA 10 KPA 7 KPA 7 KPA 5 KPA 7 KPA
Peran dan Akuntabilitas Budaya dan
Pengelolaan SDM Praktik Profesional dan Manajemen Hubungan Struktur
Layanan AIP Tata Kelola
Kinerja Organisasi
Pimpinan APIP Praktik profesional
Level 5- berperan aktif dalam dikembangkan Outcome Kinerja Independensi,
Optimizing APIP diakui sebagai organisasi profesi secara berkelanjutan Hubungan berjalan
dan Nilai bagi kemampuan, dam
efektif dan terus-
agen perubahan APIP memiliki organisasi telah kewenangan penuh
Proyeksi tenaga/ tim menerus
tercapai APIP
8 KPA kerja Perencanaan
strategis

APIP berkontribusi
terhadap
Jaminan menyeuruh pengembangan Strategi audit Pimpinan APIP
Level 4- atas tata kelola, manajemen memberikan
Penggabungan
mampu memberikan Pengawasan
Managed manajemen risiko, pengaruh terhadap ukuran kinerja
saran dan independen terhadap
APIP mendukung kualitatif dan
dan pengendalian organisasi profesi manajemen risiko mempengaruhi kegiatan APIP
orgnisasi kuantitatif
organisasi manajemen
9 KPA Perencanaan
tenaga/tim kerja

3. Membangun tim 8. Pengukuran 11. Koordinasi dengan 13. Pengawasan

dan kompetensinya 6. Kualifikasi kerangka kinerja Pihak Lain yang manajemen terhadap
1. Layanan Konsultasi kegiatan APIP
kerja manajemen memberikan saran dan
Level 3- Penjaminan
Integrated 4. Pegawai yang 9. Informasi
berkualifikasi biaya 14. Pelaporan APIP ke
profesional 7. Perencanaan audit Pimpinan tertinggi
2. Audit Kinerja/ berbasis risiko 12. Komponen
14 KPA program evaluasi 10. Pelaporan
Manajemen Tim yang
Integral 15. Mekanisme
5. Koordinasi tim manajemen APIP Pendanaan

4. Kerangka kerja 6. Anggaran 9. Akses penuh

2. Pengembangan praktik profesional dan operasional terhadap informasi
profesi individu prosesnya kegiatan APIP organisasi, aset dan
Level 2- SDM
Infrastructure 8. Pengelolaan
Audit Ketaatan 5. Perencanaan organisasi APIP
pengawasan 7. Perencanaan
3. Identifikasi dan berdasarkan prioritas 10. Hubungan
10 KPA rekrutmen SDM yang
kompeten
manajemen/pemangku
kegiatan APIP pelaporan telah
terbangun
kepentingan

Ad hoc dan tidak terstruktur, audit terbatas untuk ketaatan, output tergantung padakeahlian orang pada posisi tertentu, tidak menerapkan praktik
Level 1- profesional secara spesifik selain yang ditetapkan asosiasi profesional, pendanaan disetujui oleh manajemen sesuai yang diperlukan, tidak adanya
Initial infrastruktur, auditor diperlukan sama seperti sebagian besar unit organisasi, tidak ada kapabilitas yang dibangun, oleh karena itu tidak memiliki
area proses kunci yang spesifik.

Sumber : Diterjemahkan dari IACM for Public Sector, 2017

91
78
Sebagaimana matrik di atas, peningkatan
kapabilitas APIP, khususnya elemen 3
(Praktik Profesional), telah dipersyaratkan
agar APIP menyusun perencanaan
pengawasan yang berbasis risiko. Untuk
pemenuhan kapabilitas APIP level 3, jika
manajemen belum menerapkan
manajemen risiko, masih dibuka
kemungkinan bagi APIP untuk menyusun
perencanaan dengan pendekatan
alternatif, salah satunya dengan
pertimbangan manajemen atau faktor
92
79
risiko. Namun, untuk pemenuhan
kapabilitas APIP level 4, dipersyaratkan
agar strategi pengawasan memberikan
pengaruh terhadap manajemen risiko
organisasi. Artinya, ketika APIP melihat
implementasi manajemen risiko oleh
manajemen maturitasnya masih rendah,
maka strategi pengawasan APIP harus
berupaya bagaimana mempercepat
implementasi manajemen risiko, salah
satunya melalui peran sebagai fasilitator
penerapan manajemen risiko.
Dalam konteks ini, penerapan pengawasan intern
berbasis risiko merupakan salah satu jalan bagi APIP
untuk dapat meningkatkan kapabilitasnya menuju level
4, terutama dalam memperbaiki elemen praktik
profesional. Tidak hanya itu, jika kita cermati elemen
pertama terkait peran dan layanan. Kapabilitas APIP
level 3 masih mensyaratkan layanan jasa advisory dan
audit kinerja, di sini peran APIP sudah mulai berubah ke
arah consulting. Ketika APIP mentargetkan untuk
mencapai kapabilitas level 4, maka salah satu peran dan
layanan yang harus dapat dilakukan adalah
memberikan jaminan menyeluruh atas tata kelola,
manajemen risiko, dan pengendalian organisasi.
Jaminan menyeluruh tersebut salah satunya dapat
dipenuhi ketika APIP telah menyusun perencanaan
pengawasan intern berbasis risiko, mendorong
penerapan manajemen risiko terintegrasi, serta
melakukan assurance atas implementasi manajemen
risiko secara keseluruhan.

93
80
 E.
Rekonfirmasi
Tingkat Kematangan
Manajemen Risiko

Sebelum tahap penyusunan rencana

pengawasan tahunan, idealnya APIP
telah memiliki informasi mengenai
tingkat kematangan atau maturitas
penerapan manajemen risiko pada
level organisasi maupun auditable unit
yang menjadi lingkup
kewenangannya. APIP selanjutnya
menggunakan informasi tersebut
sebagai pertimbangan penyusunan
rencana strategis pengawasan intern
serta pertimbangan dalam penetapan
bobot antara faktor risiko dan register
risiko dalam proses pemeringkatan
area pengawasan terpilih (penjelasan
lebih rinci terdapat pada Juklak
perencanaan pengawasan).
Namun, kondisi saat ini belum semua
instansi pemerintah menerapkan
manajemen risiko dan melakukan
penilaian maturitas manajemen risiko
sampai tingkat auditable unit. Oleh
karena itu, dalam tahap perencanaan
pengawasan tahunan, dibuka
kemungkinan bagi APIP untuk
menggunakan data tingkat maturitas
SPIP sebagai alternatif jika data
maturitas manajemen risiko memang
tidak tersedia. Alternatif lainnya
adalah APIP melakukan penilaian
sendiri terhadap maturitas
manajemen risiko seluruh auditable
unit pada tahap perencanaan
pengawasan, namun jika tidak
memungkinkan untuk dilakukan, maka
APIP dapat menggunakan level

94
81
maturitas SPIP yang saat ini hampir
seluruh Kementerian/Lembaga telah
memiliki datanya.
Urutan prioritas informasi yang dapat
digunakan untuk menggambarkan
maturitas manajemen risiko, antara lain:
Jika tersedia, gunakan nilai (1) maturitas
manajemen risiko setiap auditable unit.
Namun, jika tidak tersedia datanya,
maka (2) gunakan nilai maturitas
manajemen risiko level entitas. Jika tidak
tersedia datanya, (3) gunakan level
maturitas SPIP setiap auditable unit, jika
masih tidak ada datanya juga, baru (4)
gunakan nilai maturitas SPIP entitas
sebagai alternatif. Akan tetapi, apabila
pada tahap perencanaan pengawasan
tahunan, APIP telah melakukan penilaian
maturitas manajemen risiko setiap
auditable unit yang menjadi
kewenangannya, dan sampai dengan
periode pengawasan individu tidak ada
perubahan yang signifikan, maka APIP dapat
menggunakan informasi maturitas
manajemen risiko tersebut dalam tahap
pelaksanaan pengawasan individu.
Sebagaimana telah dijelaskan pada petunjuk
pelaksanaan perencanaan pengawasan
berbasis risiko, bahwa tingkat kematangan
penerapan manajemen risiko yang
digunakan pada tahap perencanaan
pengawasan dapat menggunakan hasil
penilaian maturitas SPIP level
Kementerian/Lembaga sebagai alternatif.
Namun, biasanya penilaian maturitas SPIP
tidak dilakukan setiap tahun, sehingga
kemungkinan besar ada jeda waktu antara
penyusunan PKPT dengan periode terakhir
SPIP dinilai dan periode paling cepat adalah
sebelum penyusunan rencana pengawasan
tahunan (Y-1). Dengan adanya perbedaan
waktu dan lingkup antara penilaian
95
82
kematangan manajemen risiko saat tahap perencanaan tahunan dan saat pelaksanaan
pengawasan individu, maka perlu dilakukan rekonfirmasi atas tingkat kematangan penerapan
manajemen risiko.
Terdapat kemungkinan bahwa dalam tahap perencanaan, nilai maturitas manajemen risiko
atau maturitas SPIP yang digunakan adalah level entitas, sedangkan pada tahap pelaksanaan
pengawasan individu, nilai maturitas manajemen risiko yang dibutuhkan adalah level
auditable unit, yang selanjutnya akan digunakan untuk menetapkan strategi pengawasan
(assurance atau consulting) pada saat field work. Untuk itu, rekonfirmasi kematangan
manajemen risiko ini penting dilakukan untuk meyakini kondisi terkini praktik manajemen
risiko pada tingkat auditable unit, terutama menyangkut proses dan hasil identifikasi,
penilaian dan rancangan pengendalian serta pemantauan berkelanjutan atas risiko signifikan
yang teridentifikasi pada unit yang dilakukan pengawasan. Salah menyimpulkan kematangan
manajemen risiko, secara langsung akan mempengaruhi kualitas pelaksanaan pengawasan
intern, atau bahkan mengarah pada pemborosan sumber daya karena pengawasan yang
tidak optimal.
Idealnya, pelaksanaan rekonfirmasi kematangan manajemen risiko dapat diselesaikan dalam
waktu yang singkat karena tugas utama APIP adalah melaksanakan pengawasan intern,
sedangkan rekonfirmasi kematangan manajemen risiko digunakan sebagai pertimbangan
dalam penyusunan strategi pengawasan yang akan diterapkan. Diharapkan, rekonfirmasi
kematangan manajemen risiko untuk suatu auditable unit yang sedang dilakukan
pengawasan dapat diselesaikan dalam satu hari kerja penugasan.

1. Manfaat Rekonfirmasi Kematangan Manajemen Risiko

Pelaksanaan rekonfirmasi kematangan manajemen risiko akan menghasilkan output

berupa nilai/level kematangan manajemen risiko setiap auditable unit yang masuk
dalam PKPT. Kematangan manajemen risiko, selanjutnya akan dimanfaatkan untuk
menentukan pendekatan pengawasan intern yang paling tepat dilakukan oleh APIP.
Untuk auditable unit dengan nilai maturitas manajemen risiko masih rendah (level 1 dan
2), maka APIP harus melakukan fasilitasi penerapan manajemen risiko terlebih dahulu,
sedangkan kegiatan assurance yang dilakukan adalah audit konvensional (misalnya
audit kinerja dan audit ketaatan).
Sedangkan untuk auditable unit dengan nilai maturitas manajemen risiko sedang (level
3), APIP sudah mulai dapat melakukan assurance atas efektivitas pengendalian, namun
di sisi lain, APIP juga masih perlu melaksanakan audit konvensional (process based atau
control based), disebabkan karena kondisi kematangan manajemen risiko yang belum
terlalu mapan. Bahkan, untuk kondisi ini, fasilitasi juga masih tetap diperlukan, utamanya
untuk menginternalisasi penerapan manajemen risiko dalam proses bisnis organisasi.
Selanjutnya bagi auditable unit yang maturitas manajemen risikonya sudah tinggi (level
4 dan 5), maka strategi pengawasan sudah memungkinkan bagi APIP untuk melakukan
pengujian atau assurance atas efektivitas manajemen risiko secara keseluruhan. Dalam
kondisi manajemen risiko yang sudah matang, maka pelaksanaan assurance lainnya
hanya dilakukan sesuai kebutuhan saja. Termasuk kegiatan consulting juga hanya
dilakukan sesuai kebutuhan. Penugasan assurance dan consulting tersebut
dilaksanakan dalam kegiatan/penugasan yang terpisah.

96
83
 Langkah Kerja Rekonfirmasi Kematangan Manajemen Risiko
2.
Penilaian tingkat kematangan manajemen risiko perlu dilakukan terhadap seluruh
auditable unit yang masuk dalam PKPT. Rekonfirmasi kematangan manajemen risiko
dilaksanakan oleh APIP dengan menggunakan kuesioner lima belas pernyataan sesuai
gambar 3.1. Selanjutnya, APIP memberikan skor 2 untuk pernyataan yang sepenuhnya
dilaksanakan, skor 1 untuk yang hanya sebagian dilaksanakan dan skor 0 jika belum
dilaksanakan. Selain itu, auditor perlu membandingkan total hasil penilaian dengan
kondisi sebenarnya di lapangan dikaitkan dengan karakteristik utama masing-masing
level maturitas manajemen risiko. Sedapat mungkin auditor harus dapat mendukung
setiap jawaban atas lima belas pernyataan itu dengan dokumentasi yang memadai
sehingga simpulan akhir level maturitas manajemen risiko setiap auditable unit tidak
bias. Rincian lima belas pernyataan dalam kuesioner tersebut disajikan sebagai
berikut:

Skor
No. Uraian Penjelasan
(0 2)
1 Tujuan organisasi terdokumentasi dan dipahami dengan baik
2 Pimpinan unit organisasi telah memahami risiko dan tanggung jawab
atas risiko tersebut
3 Sistem skoring untuk penilaian risiko telah ditetapkan
4 Risk appetite telah ditetapkan dengan sistem skoring
5 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam
risk register
6 Proses identifikasi risiko telah ditetapkan dan dipatuhi
7 Seluruh risiko telah dinilai dengan sistem skoring yang telah
ditetapkan
8 Respon atas risiko telah ditetapkan dan diimplementasikan
9 Pimpinan unit organisasi telah menetapkan model pemantauan atas
proses, respon dan action plan risiko.
10 Risk register di - update secara periodik (minimal sekali setahun)
11 Terdapat pelaporan kepada pimpinan puncak bila terdapat risiko yang
belum ditekan pada tingkat yang dapat diterima
12 Kegiatan yang bersifat program /prioritas selalu dinilai risikonya
13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan
mengelolanya, termasuk dalam uraian tugas dan tanggung jawab
pegawai.

14 Pimpinan memberikan jaminan atas efektivitas pengelolaan risiko

15 Pimpinan dinilai kinerjanya dalam mengelola risiko

Total Skor

Sumber: Risk Based Internal Auditing (IIA, 2014)

97
84
 Level kematangan manajemen risiko setiap auditable unit dinilai dengan cara
memberikan skor pada lima belas daftar uji/pernyataan sebagaimana gambar
3.1 di atas. Sistem skoring pemenuhan pernyataan kematangan manajemen
risiko, diberikan skor nol untuk pernyataan yang dijawab tidak, skor satu
untuk jawaban sebagian dan skor dua untuk jawaban iya. Lebih lengkap
mengenai sistem skoring ini, dapat menggunakan referensi sebagaimana
tabel skor hasil rekonfirmasi MR berikut:

No. Hasil Rekonfirmasi Kematangan Manajemen Risiko Skoring

1. Pernyataan dijawab tidak/belum dilaksanakan 0

2. Pernyataan dijawab iya sebagian/tidak lengkap/belum sempurna 1

3. Pernyataan dijawab iya/sudah dilaksanakan/lengkap 2

Perlu digaris bawahi, bahwa rekonfirmasi kematangan manajemen risiko

menggunakan sistem penilaian building block, dimana pernyataan
rekonfirmasi kematangan manajemen risiko telah diurutkan sesuai tahapan
pengembangan manajemen risiko. Sehingga, jika satu pernyataan telah
dinilai tidak (skor 0), maka pernyataan selanjutnya tidak dapat
terkonfirmasi dengan baik (tidak bisa dijawab Ya atau skor 2). Jika satu
pernyataan dijawab 1, maka penyataan selanjutnya, tidak dapat dijawab
lebih tinggi dari 1 (kemungkinannya hanya 0 dan 1). Misalnya pernyataan 1
sampai dengan 3 dijawab Ya (skor 2), kemudian pernyataan 4 dijawab
Tidak (skor 0), maka pernyataan selanjutnya (pernyataan 5 s.d. 15) tidak
bisa dijawab Ya. Sehingga skor maksimal yang bisa diperoleh auditable
unit hanyalah 6 (3 x 2).
Pernyataan nomor 3 yang berbunyi: “sistem skoring untuk penilaian risiko
telah ditetapkan”, merupakan pernyataan kunci sebelum dapat
melanjutkan ke pernyataan selanjutnya. Artinya, ketika pernyataan nomor
3 dijawab Tidak (skor 0), maka pernyataan selanjutnya belum dapat
dijawab dengan Ya (skor 2). Hal ini disebabkan sistem skoring dalam
penilaian risiko merupakan dasar bagi implementasi proses manajemen
risiko yang diuji dalam pernyataan selanjutnya (pernyataan 4 sampai
dengan 15).
Selanjutnya, jumlahkan total skor untuk lima belas pernyataan itu untuk
dapat menyimpulkan level maturitas manajemen risiko auditable unit.
Kriteria untuk mengkonversi total skor rekonfirmasi dalam penentuan level
maturitas manajemen risiko auditable unit, dapat menggunakan tabel
referensi sebagai berikut:

98
85
No. Total Skor Hasil Rekonfirmasi Kematangan MR Simpulan Level

1. 0-7 Risk Naive (Level 1)

2. 8-14 Risk Aware (Level 2)

3. 15-20 Risk Defined (Level 3)

4. 21-25 Risk Managed (Level 4)

5. 26 atau lebih Risk Enabled (Level 5)

Sumber: Guide on Risk Based Internal Audit, The Institute of Chartered Accountant, India (2007)

Langkah kerja lebih rinci dalam melakukan pengujian 15 pernyataan di

atas, terdapat pada lampiran nomor 2 huruf A, berupa kertas kerja
hasil rekonfirmasi tingkat kematangan manajemen risiko.
Setiap pernyataan dalam daftar uji harus didukung dengan analisis dan
dokumen yang memadai, misalnya pernyataan pertama, ‘tujuan
organisasi telah terdokumentasi dan di pahami dengan baik’. Pengujian
atas pernyataan ini dilakukan dengan mempertanyakan: tujuan
auditable unit apa saja? Terdokumentasi di mana tujuan itu? Apakah
sudah di sosialisaikan kepada seluruh pegawai? Lakukan pengujian
terhadap salah satu pegawai kunci, terkait pemahaman yang
bersangkutan mengenai tujuan organisasi.
Secara umum, prosedur perolehan bukti dapat dilakukan melalui
wawancara mendalam, observasi, analisis dokumen, survey dan lain
sebagainya. Langkah kerja dan dokumentasi pengujian inilah yang
perlu diperhatikan oleh auditor yang akan ditugaskan untuk melakukan
penilaian kematangan manajamen risiko agar hasil penilaian konsisten
dengan apa yang sebenarnya terjadi di lapangan. Jika ada pernyataan
yang tidak diperoleh pembuktiannya, auditor perlu menyiapkan
pembuktian alternatif, misalnya melalui pertimbangan auditor
berdasarkan professional judgement. Berikut adalah kriteria umum
level maturitas manajemen risiko untuk setiap tingkatan:

99
86
 Risk Naive Risk Aware Risk Defined Risk Managed Risk Enabled
No. Uraian Level 1 Level 2 Level 3 Level 4 Level 5

1. Karakteristik Belum Penerapan Kebijakan dan Pendekatan Manajemen

Utama mengembang manajemen strategi MR MR secara risiko dan
kan risiko masih sudah menyeluruh pengendalian
pendekatan silo (terpisah- dibangun dan telah intern telah
formal dalam pisah) dikomunikasika dikembangkan terintegrasi
penerapan n, selera risiko dan sepenuhnya
manajemen juga telah dikomunikasika dalam proses
risiko ditetapkan n bisnis

2. Pendekatan Mendorong Mendorong Fasilitasi untuk Assurance Assurance

Pengawasan penerapan penerapan internalisasi atas Proses atas Proses
Intern manajemen manajemen manajemen Manajemen manajemen
risiko risiko risiko Risiko Risiko
terintegrasi

Sumber: Risk Based Internal Auditing, IIA (2014)

Setelah diperoleh level kematangan manajemen risiko dari hasil rekonfirmasi,

selanjutnya level itu perlu dibandingkan dengan level maturitas manajemen risiko
yang dihasilkan pada tahap perencanaan, sehingga pembandingan kedua data
tersebut dapat digunakan sebagai dasar untuk mengoreksi strategi pengawasan
intern yang akan dilaksanakan. Kriteria dalam proses pembandingan tersebut,
dapat disajikan sebagai berikut:

Jika level maturitas manajemen risiko hasil rekonfirmasi sama dengan level
1. maturitas manajemen risiko pada saat perencanaan, maka pengawasan
individu dilaksanakan sesuai dengan perencanaan awal;

Jika level maturitas manajemen risiko hasil rekonfirmasi ternyata lebih rendah
2. dari level maturitas manajemen risiko saat perencanaan, maka diperlukan
penyesuaian strategi pengawasan. Misalnya, tadinya tahap perencanaan
menyimpulkan auditable unit sudah level 3, sehingga APIP mencantumkan
dalam PKPT akan melaksanakan audit konvensional (misalnya audit kinerja)
dan assurance atas efektivitas pengendalian. Namun, hasil rekonfirmasi
ternyata maturitas auditable unit masih level 2. Kondisi tersebut
menyebabkan APIP perlu menyesuaikan lingkup pengawasannya, hanya
melaksanaka audit konvensional (misalnya audit kinerja) saja, karena belum
memungkinkan bagi APIP untuk melakukan assurance atas efektivitas
pengendalian (karena maturitas MR masih level 2). Dengan asumsi
menggunakan sumber daya yang sama sebagaimana ditetapkan dalam
PKPT, maka sampel untuk audit kinerja bisa diperluas dan diharapkan hasil
pengawasannya juga lebih komprehensif;

100
87
 Jika level maturitas manajemen risiko hasil rekonfirmasi ternyata
3. lebih tinggi dari penilaian saat perencanaan, maka strategi
pengawasan perlu disesuaikan mengikuti level maturitas auditable
unit dari hasil assessment yang terakhir. Misalnya, saat perencanaan
diketahui bahwa maturitas manajemen risiko auditable unit adalah
level 3, namun selang 6 bulan kemudian, saat dilakukan rekonfirmasi
kematangan manajemen risiko ternyata organisasi telah
mengembangkan manajemen risiko terintegrasi dan penerapannya
di dukung teknologi informasi sehingga pemantauan atas
implementasi manajemen risiko semakin mudah. Oleh karenanya,
hasil rekonfirmasi menyimpulkan bahwa auditable unit telah berada
di level 4. Karena adanya perkembangan ini, maka lingkup assurance
yang dilaksanakan oleh APIP dapat diperluas tidak hanya menilai
efektivitas pengendalian saja tapi memungkinkan untuk menilai
efektivitas manajemen risiko secara keseluruhan karena manajemen
risiko telah diterapkan secara terintegrasi. Dengan asumsi bahwa
sumber daya pengawasan yang digunakan sama dengan yang telah
ditetapkan dalam PKPT, maka untuk dapat melaksanakan penilaian
efektivitas manajemen risiko secara keseluruhan, maka lingkup audit
konvensional sebagaimana direncanakan dalam PKPT perlu
disesuaikan, misalnya jumlah sampel dikurangi, sehingga sisa sumber
daya dapat digunakan untuk melaksanakan assurance atas
efektivitas Manajemen Risiko secara keseluruhan.

Selain untuk menentukan strategi pengawasan individu, level maturitas

manajemen risiko juga dapat dimanfaatkan untuk memfokuskan kegiatan
pengawasan APIP, yang teridiri dari kegiatan assurance dan consulting.
Misalnya, berdasarkan level kematangan manajemen risiko, auditable unit
dikelompokkan dalam tiga kategori, yaitu kelompok auditable unit dengan
kematangan rendah (level 1 dan 2), sedang (level 3), dan tinggi (level 4 dan
5). Setiap kelompok akan dilakukan assurance dengan pendekatan yang
sesuai dengan tingkat kematangan manajemen risikonya.
Berkaitan dengan kegiatan fasilitasi, kegiatan akan lebih efektif jika
dilaksanakan dengan cara mengumpulkan auditable unit berdasarkan
kelompok tingkat maturitas manajemen risikonya untuk difasilitasi secara
bersamaan. Dengan level kematangan manajemen risiko yang relatif sama,
sehingga pelaksanaan fasilitasi dapat lebih fokus dan disesuaikan dengan
kebutuhan auditable unit bersangkutan. Diharapkan, antar auditable unit
juga saling berinteraksi dan memperoleh manfaat dari pembelajaran
bersama, sehingga komitmen untuk menerapkan manajemen risiko lebih
tinggi.

101
88
 F.
Pelaksanaan
Fasilitasi Penerapan
Manajemen Risiko

Fasilitasi berasal dari kata facile (bahasa perancis), yang artinya

mempermudah. Berkaitan dengan penerapan manajemen risiko,
kegiatan fasilitasi merupakan upaya yang dilakukan oleh APIP atau
pihak lain untuk mempermudah organisasi dalam menerapkan
manajemen risiko. Fasilitasi penerapan manajemen risiko dalam
Juklak ini diartikan secara luas, tidak hanya sekedar memfasilitasi
auditable unit dalam melakukan penilaian risiko atau risk assessment,
tapi termasuk memfasilitasi penyusunan kebijakan untuk
membangun manajemen risiko. Sebelum membahas lebih jauh
tentang fasilitasi, perlu dipahami bahwa pihak yang difasilitasi oleh
APIP dapat dibagi dalam dua kelompok, yang pertama adalah
fasilitasi terhadap entitas secara keseluruhan, dan yang kedua
adalah fasilitasi terhadap auditable unit.

1 Fasilitasi Terhadap Entitas Kementerian/Lembaga

Pada tahap awal implementasi, fasilitasi manajemen risiko

dilakukan terhadap entitas secara keseluruhan, terutama
untuk merumuskan kebijakan dan pedoman penerapan
manajemen risiko. Upaya membangun manajemen risiko
perlu diawali dengan komitmen dari pimpinan dan seluruh
pegawai untuk menerapkan manajemen risiko, kemudian
menyusun kebijakan penerapan manajemen risiko,
menetapkan struktur manajemen risiko yang mengatur siapa

102
89
melakukan apa, termasuk mengintegrasikan
manajemen risiko dalam proses bisnis organisasi.
Peran perumusan kebijakan manajemen risiko
umumnya diperankan oleh unit pendukung di
lingkungan Kementerian/Lembaga, misalnya
Sekretariat Jenderal/Sekretaris Kementerian/unit
lain yang ditunjuk. Setelah kebijakan manajemen
risiko telah ditetapkan, yang di dalamnya termasuk
mengatur mengenai kriteria probabilitas, dampak,
dan selera risiko yang disepakati, barulah dapat
dilakukan fasilitasi kepada auditable unit. Hal ini
dikarenakan fasilitasi kepada auditable unit harus
didasarkan pada kebijakan yang telah ditetapkan
di level entitas. Kebijakan manajemen risiko di
tingkat Kementerian/Lembaga ditujukan agar
terdapat keseragaman serta memungkinkan agar
kualitas penerapan manajamen risiko dapat
diperbandingkan antar auditable unit.
Melakukan fasilitasi kepada jajaran pimpinan
Kementerian/Lembaga terkait perumusan selera
risiko di level entitas merupakan satu tantangan
tersendiri bagi APIP. Para pimpinan perlu diberikan
pemahaman terkait pentingnya selera risiko dan
konsekuensi atas selera risiko yang ditetapkan
terlalu tinggi atau terlalu rendah. Termasuk
kemungkinan untuk dapat menetapkan selera
risiko berdasarkan kategori risiko, misalnya untuk
risiko fraud, ditetapkan tidak ada toleransi atau
zero tolerance, namun untuk risiko kerugian
keuangan selain fraud, diberikan batas toleransi
tertentu.
Dalam tahap awal implementasinya, selera risiko
sebaiknya ditetapkan langsung oleh Menteri/
Pimpinan Lembaga dengan pertimbangan agar
seragam dan menghindari upaya dari pemilik risiko
untuk menetapkan selera risiko pada level yang
lebih tinggi, dengan tujuan agar pengelolaan risiko
terlihat bagus dan tidak masuk sebagai prioritas
pengawasan APIP. Namun, seiring dengan
kematangan manajemen risiko masing-masing
auditable unit, maka penetapkan selera risiko
dapat secara bertahap diserahkan kepada level
manajerial lebih rendah sesuai dengan kondisi
lingkungan dan sumber daya yang dikelolanya.

103
90
2 Fasilitasi Terhadap Auditable Unit
Berkaitan dengan fasilitasi kepada auditable unit, perlu diperhatikan beberapa
hal, salah satunya adalah kesesuaian dengan kebutuhan dan kondisi
kematangan manajemen risiko masing-masing auditable unit. Sesuai dengan
Peraturan BPKP Nomor 6 Tahun 2018 tentang pedoman pengawasan intern
berbasis risiko, dijelaskan bahwa bagi auditable unit yang maturitas manajemen
risikonya masih rendah, maka peran APIP agar difokuskan untuk memfasilitasi
penerapan manajemen risiko terlebih dahulu sebelum melakukan kegiatan
assurance atas efektivitas penerapan manajemen risiko.
Dalam petunjuk pelaksanaan pengawasan intern berbasis risiko ini, fasilitasi
kepada auditable unit akan dibedakan dalam tiga kelompok berdasarkan
tingkat kematangan manajemen risikonya, yang pertama adalah untuk
kelompok auditable unit dengan maturitas manajemen risiko rendah (level 1 dan
2), sedang (level 3), dan tinggi (level 4 dan 5). Secara umum, fasilitasi penerapan
manajemen risiko kepada auditable unit dapat diilustrasikan sebagaimana
gambar berikut:

1. 3.
Maturitas MR Rendah Rekonfirmasi Maturitas MR Tinggi
(Level 1 dan 2) Maturitas MR Auditable Unit (Level 4 dan 5)

2.
Matritas MR Sedang
(Level 3)

Fasilitasi Penerapan MR Fasilitasi Internalisasi MR Fasilitasi MR

(Waktu Terpisah) (Waktu Terpisah) (Sesuai Kebutuhan)

Laporan Hasil Laporan Hasil Laporan Hasil

Fasilitasi Fasilitasi Fasilitasi

Secara ringkas, fasilitasi penerapan manajemen risiko untuk auditable unit yang
kematangan manajemen risikonya masih rendah (level 1 dan 2) lebih difokuskan
bagaimana membangun manajemen risiko berdasarkan kebijakan manajemen
risiko yang telah ditetapkan di level entitas, termasuk bagaimana melakukan
penilaian risiko dengan benar. Untuk auditable unit yang sudah mencapai level
3, maka fasilitasi diarahkan untuk menginternalisasi penerapan manajemen
risiko dalam proses bisnis organisasi. Perkembangan selanjutnya, untuk
auditable unit yang maturitas manajemen risikonya sudah mencapai level 4 dan
5, maka pelaksanaan fasilitasi bukan lagi menjadi kewajiban, namun lebih
didasarkan pada kebutuhan organisasi, jika manajemen risiko sudah berjalan
dengan baik, maka kebutuhan fasilitasi manajemen risiko akan semakin
berkurang.
Untuk memudahkan memahami mekanisme fasilitasi penerapan manajemen
risiko, berikut adalah langkah-langkah yang dapat diterapkan:

104
91
a. Perencanaan Fasilitasi Manajemen Risiko

Pada tahap perencanaan fasilitasi, hal pertama yang perlu dipahami oleh APIP adalah
mengidentifikasi, kenapa fasilitasi perlu dilakukan (why), apa materi fasilitasi yang akan
diberikan (what), kepada siapa fasilitasi dilakukan (whom), siapa yang akan melaksanakan
fasilitasi (who), kapan fasilitasi dilakukan (when), dan bagaimana fasilitasi dilaksanakan (how).

Memahami Pada dasarnya fasilitasi penerapan manajemen risiko merupakan

1) wujud dari peran APIP untuk meningkatkan kualitas tata kelola
Kenapa
Fasilitasi organisasi secara keseluruhan. Dimulai dengan inisiasi dari APIP
untuk mendorong penerapan manajemen risiko, diharapkan
Manajemen
mampu meningkatkan kesadaran dan komitmen jajaran
Risiko
pimpinan untuk bersama-sama mengelola risiko yang
Diperlukan
menghambat pencapaian tujuan organisasi. Idealnya, peran
APIP adalah melakukan pengujian untuk memberikan keyakinan
bahwa risiko organisasi telah dikelola dengan baik, namun peran
APIP tersebut belum dapat dilaksanakan ketika organisasi belum
menerapkan manajemen risiko. Oleh karena itu, pada tahap
awal, peran APIP lebih dibutuhkan untuk memfasilitasi
bagaimana membangun manajemen risiko hingga saatnya nanti
siap untuk dilakukan pengawasan intern atas efektivitas
manajemen risiko yang dilakukan oleh APIP.

Mengetahui Pada prinsipnya fasilitasi dilakukan terhadap pihak-pihak yang

2) terlibat dalam pengelolaan risiko organisasi. Pada tahap awal
Kepada
Siapa penerapan manajemen risiko, fasilitasi dilakukan terhadap
entitas secara keseluruhan yang biasanya dikoordinasikan oleh
Fasilitasi
Sekretaris Jenderal/Sekretaris Kementerian atau unit lain yang
Diberikan
ditunjuk. Fasilitasi terutama ditujukan untuk membangun
kebijakan penerapan manajemen risiko, termasuk kriteria
dampak dan probabilitas serta kebijakan selera risiko.
Setelah kebijakan manajemen risiko ditetapkan, selanjutnya
fasilitasi dapat dilanjutkan kepada auditable unit, terutama untuk
menerapkan manajemen risiko sesuai dengan kebijakan
manajemen risiko yang sudah disusun di level
Kementerian/Lembaga. Jika auditable unit yang ditetapkan oleh
Kementerian/Lembaga adalah unit kerja, maka fasilitasi
dilakukan pada unit kerja tersebut. Namun, jika auditable unit
yang ditetapkan adalah program/kegiatan, maka fasilitasi
manajemen risiko dilakukan terhadap unit sebagai pelaksana
program/kegiatan tersebut. Dalam konteks manajemen risiko,
unit mandiri yang mengelola kinerja, keuangan, dan risiko secara
mandiri disebut sebagai unit pemilik risiko yang perannya adalah
sebagai lini pertahanan pertama organisasi, atau first line of
defense. Peran fasilitasi lebih banyak diarahkan untuk membantu
unit pemilik risiko tersebut.

105
92
 Peserta fasilitasi sebaiknya dipilih dari pegawai kunci yang
melaksanakan tugas dan fungsi atau kegiatan yang utama
auditable unit, pegawai yang memiliki pemahaman fungsional
dan teknis auditable unit bersangkutan, pegawai yang
kemungkinan akan menangani kegiatan kunci di masa
mendatang, serta pengambil keputusan terkait dengan kegiatan
kunci tersebut. Setelah mengetahui kepada siapa saja fasilitasi
akan dilakukan, maka APIP sudah dapat memperkirakan berapa
kali kegiatan fasilitasi yang akan dimasukkan dalam PKPT.

Pelaksanaan fasilitasi penerapan manajemen risikopadaumumnya

Memahami
3) dilaksanakan oleh APIP. Namun, ketika Kementerian/Lembaga
Siapa
telah membentuk unit manajemen risiko dan kepatuhan internal
yang sebagai lini pertahanan kedua organisasi, maka unit tersebut
Melaksanakan dapat dilibatkan dalam kegiatan fasilitasi. Dalam kerangka kerja
Fasilitasi three lines of defense, salah satu peran pertahanan lini kedua
adalah edukasi manajemen risiko, selain bertanggung jawab atas
implementasi manajemen risiko secara keseluruhan. Karena
penerapan manajemen risiko merupakan kewajiban manajemen,
maka dengan melibatkan unit manajemen risiko dan kepatuhan
internal, diharapkan lebih banyak pihak yang turut bertanggung
jawab terhadap keberhasilan implementasi manajemen risiko.
Kegiatan fasilitasi dapat dilaksanakan oleh satu orang auditor atau
ahli manajemen risiko sebagai fasilitator utama yang memimpin
jalannya fasilitasi dan satu fasilitator pendukung yang berperan
mencatat semua hal penting selama proses fasilitasi. Persyaratan
bagi fasilitator, antara lain harus memiliki pengalaman terkait teori
dan praktik manajemen risiko, sekaligus kemampuan
berkomunikasi. Ketika APIP belum memiliki sumber daya yang
memenuhi kualifikasi sebagai fasilitator, maka APIP dapat
melibatkan praktisi manajemen risiko, berkolaborasi dengan APIP
lain, atau menyelenggarakan pelatihan untuk auditor yang
dipersiapkan sebagai fasilitator implementasi manajemen risiko.
Terdapat beberapa catatan mengenai apa tidak boleh dilakukan
oleh fasilitator, antara lain menjawab pertanyaan sendiri,
memutuskan risiko atau pengendalian, mempengaruhi peserta,
menghakimi, dan mengabaikan masukan dari peserta fasilitasi.
Secara umum, tugas fasilitator adalah mengatur jalannya diskusi
agar tiap peserta ikut berpartisipasi aktif, tidak ada peserta yang
terlalu mendominasi acara, tidak ada percakapan yang terlalu
melebar, serta tidak ada penghakiman. Peran fasilitator juga
penting untuk menjaga disiplin waktu sehingga proses fasilitasi
lebih efisien dan efektif.

106
93
 Dengan mengetahui jumlah
fasilitator yang dimiliki, dibandingkan dengan kebutuhan
kegiatan fasilitasi, sehingga nantinya yang masuk dalam
PKPT sudah jelas berapa orang fasilitator yang akan
terlibat. Jika APIP belum memiliki sumber daya yang
memadai sebagai fasilitator, maka dimungkinkan untuk
berkolaborasi dengan APIP lain atau melalui organisasi
profesi.

Memahami Terdapat tiga alternatif pelaksanaan fasilitasi, yaitu sekaligus

4) dalam satu waktu, dikelompokkan sesuai kematangan
Bagaimana
Fasilitasi manajemen risiko, atau setiap auditable unit difasilitasi
sendiri-sendiri. Masing-masing pilihan ada kelebihan dan
Dilaksanakan
kekurangan. Jika APIP memiliki sumber daya yang cukup,
kegiatan fasilitasi dapat dilakukan pada masing-masing
auditable unit secara terpisah. Keunggulan dari sistem ini adalah
pelaksanaan kegiatan yang lebih fokus, sehingga peserta yang
dapat dilibatkan dalam fasilitasi bisa lebih banyak karena
dilakukan di tempat auditable unit masing-masing. Namun
kelemahannya, dibutuhkan sumber daya yang lebih banyak,
terutama jika jumlah auditable unit yang dimiliki organisasi
sangat banyak.
Alternatif kedua, fasilitasi dapat dilakukan berkelompok sesuai
dengan kematangan manajemen risiko, misalnya kelompok
auditable unit yang maturitas manajemen risikonya masih
rendah (level 1 dan 2), sedang (level 3), dan tinggi (level 4 dan
5). Keunggulan pengelompokan ini adalah efisiensi sumber
daya, keunggulan lainnya, materi fasilitasi dapat di fokuskan
sesuai karakteristik maturitas manajemen risiko masing-masing.
Dengan fasilitasi bersama, membuka peluang bagi auditable
unit untuk saling berinteraksi dengan auditable unit lain, jika
perlu dapat dibuat group media social untuk membahas
topik-topik yang menjadi kendala dalam implementasi
manajemen risiko. Kelemahan metode ini, salah satunya
keterbatasan peserta dari auditable unit yang dapat dilibatkan
dalam fasilitasi karena kemungkinan kegiatan akan
diselenggarakan di satu tempat dengan mengundang auditable
unit yang terkait. Semakin banyak peserta yang dilibatkan,
tentunya akan menambah biaya yang harus disediakan.
Pendekatan terakhir, apabila APIP sejak awal sudah mengetahui
bahwa manajemen risiko belum diterapkan sama sekali, maka
kegiatan fasilitasi dapat dilakukan dengan mengundang seluruh
auditable unit dalam satu kegiatan fasilitasi besar, terutama

107
94
 untuk memperoleh dukungan dan komitmen
bersama dalam menerapkan manajemen risiko,
penjelasan mengenai kebijakan manajemen risiko
yang akan diimplementasikan, termasuk
bagaimana mengimplementasikan manajemen
risiko pada auditable unit masing-masing.
Dengan pendekatan ini, pelaksanaan fasilitasi
jauh lebih efektif, tapi asumsinya seluruh
auditable unit memiliki level kematangan yang
sama, jika kematangan manajemen risikonya
beda-beda, ada baiknya pelaksanaan fasilitasi
beralih dengan sistem berkelompok sesuai level
maturitas manajemen risiko.
Jika peserta fasilitasi terlalu banyak, akan
mengakibatkan fasilitasi menjadi tidak efektif,
oleh karena itu disarankan agar pelaksanaan
fasilitasi dibagi dalam dua sesi, sesi pertama
adalah mengumpulkan semua peserta dan
diberikan materi mengenai penerapan
manajemen risiko dan best practice nya.
Kemudian sesi berikutnya, fasilitator membagi
peserta dalam kelompok-kelompok kecil dengan
jumlah peserta antara 6 sampai 15 orang.
Masing-masing kelompok difasilitasi oleh satu
orang fasilitator dan fasilitator pendukung.
Suasana dibuat lebih santai dan peserta
diberikan kebebasan untuk menyampaikan
pendapatnya, termasuk jika masih ada yang
belum jelas di sesi pertama (sesi yang melibatkan
seluruh peserta). Dalam sesi kecil inilah,
dilakukan praktik penerapan manajemen risiko,
termasuk pratik melakukan penilaian risiko untuk
masing-masing auditable unit sesuai dengan
karakter kematangan manajemen risikonya.
Output dari kegiatan fasilitasi, setidaknya adalah
register risiko dan profil risiko auditable unit,
yang menggambarkan proses manajemen risiko
yang telah dilaksanakan.

108
95
 Memahami Fasilitasi manajemen risiko untuk level entitas, yang
5) berkaitan dengan bagaimana membangun kebijakan
Kapan
manajemen risiko, dapat dilakukan oleh APIP sesegera
Fasilitasi
mungkin ketika sumber daya APIP telah siap. Namun untuk
Dilaksanakan
fasilitasi kepada auditable unit, baru dapat dilaksanakan
setelah kebijakan manajemen risiko di level entitas telah
ditetapkan. Kebijakan manajemen risiko di level entitas,
selanjutnya akan menjadi dasar dan payung hukum
penerapan manajemen risiko di level auditable unit,
terutama berkaitan dengan skala kriteria dampak dan
probabilitas, serta kebijakan selera risiko. Keseragaman
skala kriteria, dampak dan kebijakan toleransi risiko yang
berlaku untuk satu Kementerian/Lembaga bermanfaat
ketika manajemen risiko akan diperbandingkan antar
auditable unit, melalui kebijakan yang sama maka data
implementasi manajemen risiko akan lebih komparabel
daripada kebijakannya diatur sendiri-sendiri oleh auditable
unit.
Berkaitan dengan proses perencanaan kegiatan dan
anggaran, rencana pelaksanaan fasilitasi harus dimasukkan
dalam PKPT terlebih dahulu, sebelum dapat dilaksanakan.
Saat ini sudah ada regulasi yang dapat digunakan sebagai
dasar perencanaan penerapan manajemen risiko, yaitu
Peraturan Pemerintah Nomor 60 Tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah (SPIP), terutama
pasal 13 yang menyebutkan bahwa pimpinan instansi
pemerintah wajib melalukan penilaian risiko.
Pelaksanaan fasilitasi dapat dilakukan sekaligus dengan
menyampaikan seluruh materi penerapan manajemen
risiko, dapat juga dibuat bertahap, misalnya tahun ini fokus
pada perumusan kebijakan penerapan manajemen risiko,
kemudian tahun berikutnya fokus pada implementasi
manajemen risiko pada auditable unit, dan tahun ketiga
baru fokus bagaimana menginternalisasi penerapan
manajemen risiko dalam proses bisnis
Kementerian/Lembaga.

109
96
 Memahami Materi fasilitasi perlu disesuaikan dengan level
6) maturitas manajemen risiko auditable unit. Untuk
Materi
auditable unit yang maturitas manajemen risikonya
Fasilitasi
masih rendah (level 1 dan 2), maka materi fasilitasi
yang diberikan adalah bagaimana menerapkan
manajemen risiko dan melakukan penilaian risiko
dengan benar, selanjutnya untuk kelompok auditable
unit yang maturitas manajemen risikonya sedang
(level 3), maka materi fasilitasi yang diberikan lebih
pada bagaimana menginternalisasikan penerapan
manajemen risiko ke dalam proses bisnis. Untuk
kelompok auditable unit yang maturitas manajemen
risikonya sudah tinggi (level 4 dan 5), maka materi
fasilitasi disesuaikan dengan kebutuhan, misalnya
fasilitasi atas pengelolaan risiko yang baru muncul,
misalnya cyber crime, cyber security dan sebagainya.
Perlu dipahami bahwa fasilitasi merupakan kegiatan
consulting yang paling dekat dengan assurance,
artinya dalam kegiatan fasilitasi tersebut, materi yang
disampaikan tidak lagi banyak mengulas teori, tapi
lebih banyak praktik dan implementasi secara
langsung. Sehingga diharapkan, saat fasilitasi selesai,
langsung ada output yang kelihatan. Misalnya, jika
fasilitasi dilakukan terhadap perumusan kebijakan
manajemen risiko, maka idealnya output kegiatan itu
adalah draft peraturan Menteri/Kepala Lembaga
tentang manajemen risiko. Jika fasilitasi dilakukan
terhadap auditable unit untuk menerapkan
manajemen risiko, maka idealnya outputnya adalah
risk register dari masing-masing auditable unit.
Tahapan perencanaan fasilitasi sendiri, outputnya
adalah PKPT yang di dalamnya terdapat kegiatan
fasilitasi, dalam satu tahun berapa kali kegiatan, siapa
yang melakukan, berapa lama dan sumber daya yang
dibutuhkan berapa.

110
97
b. Pelaksanaan Fasilitasi Manajemen Risiko

Setelah kegiatan fasilitasi masuk dalam PKPT, selanjutnya tahap pelaksanaan fasilitasi
merupakan tahapan untuk melaksanakan PKPT terkait kegiatan fasilitasi yang telah
ditetapkan. Langkah kerja fasilitasi perlu disesuaikan dengan tujuan dan materi yang akan
disampaikan dalam kegiatan fasilitasi tersebut. Fasilitasi terkait penyusunan kebijakan
manajemen risiko di level entitas tidak secara khusus dibahas dalam petunjuk pelaksanaan ini
karena sangat tergantung dari arah kebijakan pimpinan untuk memanfaatkan implementasi
manajemen risiko. Sebagai contoh, kebijakan di Kementerian Keuangan, bahwa penerapan
manajemen risiko lebih diarahkan untuk mendukung compliance sehingga yang lebih
diperkuat perannya adalah unit kepatuhan internal. Oleh karena itu, dalam tahap awal
penerapan manajemen risiko, disarankan agar APIP membangun komunikasi dengan
pimpinan, khususnya untuk memperoleh masukan dan harapan-harapan pimpinan atas
implementasi manajemen risiko kedepan. Sedangkan fasilitasi bagaimana membangun
kebijakan penerapan manajemen risiko, dapat mengacu pada pedoman penerapan
manajemen risiko di lingkungan Kementerian/Lembaga yang diterbitkan oleh BPKP, maupun
framework manajemen risiko yang relevan untuk diterapkan di Indonesia.
Fasilitasi yang dibahas lebih rinci dalam petunjuk pelaksanaan ini adalah fasilitasi kepada
auditable unit, terutama tentang bagaimana mengimplementasikan manajemen risiko dan
menginternalisasi penerapan manajemen risiko. Berikut adalah rincian kegiatan fasilitasi
kepada auditable unit yang dapat dilaksanakan oleh APIP, antara lain:

Fasilitasi untuk Fasilitasi terhadap auditable unit yang maturitas manajemen

1) Auditable Unit risikonya masih rendah (Level 1 dan 2), difokuskan mendorong
dengan auditable unit untuk mulai menerapkan manajemen risiko,
Kematangan termasuk di dalamnya fasilitasi penilaian risiko atau risk
Manajemen assessment. Pelaksanaan fasilitasi penilaian risiko dapat
Risiko Rendah mengacu pada Peraturan Kepala BPKP Nomor 24 Tahun 2013
tentang pedoman pelaksanaan Control Self Assessment (CSA)
untuk penilaian risiko. Dalam pedoman tersebut dijelaskan
bahwa, metode untuk penilaian risiko yang lebih tepat adalah
dengan workshop. Tahapan pelaksasaan workshop penilaian
risiko dapat dijelaskan secara ringkas sebagai berikut:

a) Penjelasan Awal
Workshop diawali dengan penjelasan oleh fasilitator tentang
tujuan workshop, hasil yang hendak dicapai oleh kegiatan
workshop, peran masing-masing peserta, dan menjelaskan
susunan acaranya. Selanjutnya fasilitator menjelaskan
pemahaman tentang konsep risiko kepada peserta untuk
menyamakan persepsi tentang risiko. Memastikan seluruh
peserta memahami apa yang dimaksud dengan konteks,
risiko, penyebab dan dampaknya. Agar peserta memiliki
pemahaman yang sama, sebaiknya fasilitator dapat
memberikan contoh risiko yang dikaitkan dengan tujuan
kegiatan unit tersebut.

111
98
 b. Penetapan Konteks
Tahapan ini bertujuan agar diperoleh informasi dan
ditetapkannya tujuan dan sasaran strategis tingkat instansi
dan unit kerja, dan tujuan dan sasaran operasional tahunan
unit kerja. Penetapan Konteks dilaksanakan secara
berjenjang dari atas kebawah (top down), mulai dari
penetapan konteks atas tujuan dan sasaran strategis
instansi, tujuan dan sasaran strategis unit kerja, hingga
tujuan dan sasaran operasional unit kerja. Untuk itu perlu
dilakukan proses brainstorming, validasi dan konfirmasi
dalam rangka menetapkan konteks dengan tepat.

c. Identifikasi risiko berdasarkan tujuan/sasaran

yang telah ditetapkan:
Atas setiap tujuan/sasaran yang telah ditetapkan, perlu
dilakukan identifikasi proses/kegiatan untuk mencapai
tujuan/sasaran itu, kemudian dari kegiatan yang ada,
selanjutnya diidentifikasi risiko yang dapat menghambat
pencapaian tujuan/sasaran, yang dapat dilakukan dengan
cara brainstorming. Alur identifikasi risiko dilaksanakan
secara berjenjang secara bottom up dimulai dari
identifikasi Risiko Operasional Unit Kerja (ROU), dilanjutkan
dengan identifikasi Risiko Strategis Unit Kerja (RSU), dan
diakhiri dengan identifikasi Risiko Strategis Instansi (RSI).
Dalam proses identifikasi risiko, perlu dipertimbangkan
kelemahan atas 25 sub unsur SPIP entitas sebagai salah
satu sumber risiko. Identifikasi risiko-risiko terkait
kelemahan atas 25 sub unsur SPIP dapat diambil/diolah
dari formulir rekapitulasi temuan temuan
Irjen/Irtama/Inspektorat, pemberitaan media massa dan
pengaduan/WBS (whistle blowing system) sebagaimana
contoh formulir Lampiran 5.
Cara melakukan identifikasi risiko secara berjenjang
dengan cara brainstorming dapat dilakukan dengan cara
sebagai berikut:

1. Langkah identifikasi Risiko Operasional

Unit kerja (ROU):
(a) Arahkan auditable unit untuk menjelaskan secara
singkat program/kegiatan untuk mencapai
sasaran/indikator kinerja tahunannya.

112
99
 (b) Diskusikan apakah sasaran/indikator kinerja tahunan
yang hendak dicapai masih sama dengan tahun-
tahun sebelumnya atau sudah baru.
(c) Diskusikan apakah program/kegiatan yang
dilaksanakan untuk mencapai sasaran/indikator
kinerja tahunan auditable unit masih sama dengan
tahun-tahun sebelumnya atau sudah baru.
(d) Diskusikan dengan menggali kekhawatiran pimpinan
auditable unit atas adanya program/kegiatan yang
belum maksimal dalam mencapai indikator kinerja
auditable unit terkait.
(e) Diskusikan dan pahami lebih lanjut atas alur, siklus,
tahapan program/kegiatan terkait mulai dari
planning, organizing, actuating, controlling,
communicating/reporting, monitoring, dan
evaluation.
(f) Diskusikan dengan menggali lebih lanjut, di tahapan
mana terdapat hambatan atau kelemahan sehingga
program/kegiatan terkait gagal mencapai
sasaran/indikatornya.
(g) Diskusikan sudut pandang top management, middle
managament, lower management hingga pelaksana
teknis program/kegiatan atas hambatan yang
dimaksud.
(h) Arahkan peserta untuk memufakatkan dan
mengangkat peristiwa risiko (risk event) tersebut
menjadi Risiko Operasional Unit kerja (ROU).

(2) Langkah identifikasi Risiko Strategis

Unit Kerja (RSU):

(a) Diskusikan apakah ROU yang telah diidentifikasi

berpotensi besar untuk menghambat tujuan/sasaran
strategis unit kerja.
(b) Diskusikan apakah ROU yang telah diidentifikasi
berdampak pada lintas unit kerja.
(c) Diskusikan apakah ROU yang telah diidentifikasi
memiliki dampak cukup besar sehingga pantas
menjadi perhatian lebih lanjut oleh pimpinan unit
kerja lainnya.
(d) Diskusikan apakah ROU yang telah diidentifikasi
sanggup untuk ditangani pimpinan unit kerja sendiri
atau perlu ditangani secara bersama oleh pimpinan
lintas unit kerja.
(e) Arahkan peserta untuk memufakatkan dan
mengangkat peristiwa risiko ( risk event)/ROU
tersebut menjadi Risiko Strategis Unit kerja (RSU).

113
100
 (3). Langkah identifikasi Risiko Strategis Instansi (RSI):

(a) Diskusikan apakah RSU yang telah diidentifikasi

berpotensi besar untuk menghambat tujuan/sasaran
strategis Instansi.
(b) Diskusikan apakah RSU yang telah diidentifikasi
berdampak pada lintas unit kerja eselon 1.
(c) Diskusikan apakah RSU yang telah diidentifikasi
memiliki dampak cukup besar sehingga pantas
menjadi perhatian lebih lanjut oleh pimpinan eselon 1
dan pimpinan tertinggi instansi.
(d) Diskusikan apakah RSU yang telah diidentifikasi
perlu ditangani secara bersama oleh para pimpinan
eselon 1 dan pimpinan tertinggi instansi.
(e) Diskusikan apakah RSU yang telah diidentifikasi
hanya sanggup untuk ditangani dengan
kewenangan/kekuasaan yang dimiliki oleh pimpinan
tertinggi instansi.
(f) Arahkan peserta untuk memufakatkan dan
mengangkat peristiwa risiko (risk event)/RSU
tersebut menjadi Risiko Strategis Instansi (RSI).

d) Penilaian Risiko Inheren (Inherent Risk)

(1) Bagikan kepada seluruh peserta formulir penetapan
skala kriteria atas kemungkinan terjadinya risiko sesuai
dengan kebijakan manajemen risiko yang berlaku untuk
entitas (contohnya seperti lampiran 9).
(2) Bagikan kepada seluruh peserta formulir penetapan
skala dan kriteria atas dampak terjadinya risiko
(consequences) sesuai dengan kebijakan manajemen
risiko yang berlaku untuk entitas (contohnya seperti
Lampiran 10)
(3) Bagikan kepada seluruh peserta formulir kertas kerja
penilaian risiko (contohnya seperti Lampiran 11).
(4) Arahkan peserta untuk menuangkan skor kemungkinan
dan dampak atas setiap ROU/RSU/RSI yang telah
diidentifikasi dengan mempertimbangkan bahwa risiko
tersebut terjadi tanpa adanya pengendalian sama
sekali dan dengan berpedoman pada ketentuan skala
dan kriteria kemungkinan dan dampak kebijakan
manajemen risiko yang berlaku untuk entitas.
(5) Jumlahkan nilai dampak dan kemungkinan berdasarkan
usulan skor dari seluruh peserta, kemudian dibagi
dengan total peserta untuk mendapat rata-rata skor
dampak dan kemungkinan risiko.
(6) Berdasarkan rata-rata skor dampak dan skor
kemungkinan yang telah dinilai oleh peserta, tetapkan
nilai risikonya dengan mengisi angka yang merupakan
perpotongan (koordinat) antara frekuensi dan dampak

114
101
 pada matriks analisis risiko (heat map). Contoh formulir
matriks analisis risiko (heat map) dapat dilihat pada
contoh lampiran 12.

e) Penilaian Risiko setelah adanya Existing Control

Lakukan langkah yang sama dengan langkah Penilaian
Risiko Inheren (Inherent Risk), namun dengan
mempertimbangkan nilai dampak dan kemungkinan risiko
setelah adanya existing control dan setelah
mempertimbangkan seberapa efektifkah existing control
dalam menurunkan nilai dampak dan kemungkinan risiko.

f) Rancangan tindak pengendalian, meliputi

penilaian atas existing control,
Root Cause Analysis, dan mitigasi tambahan

(1) Atas seluruh risiko baik ROU, RSU, dan RSI yang telah
dinilai, arahkan peserta untuk memeringkatkan atau
mengurutkan risiko dari nilai yang paling besar hingga
yang terkecil.
(2) Tegaskan kembali ambang batas nilai (kuantitatif)
selera risiko (risk appetite) dan toleransi risiko (risk
tolerance) yang berlaku pada auditable unit yang
difasilitasi.
(3) Arahkan peserta untuk mencantumkan risiko-risiko
setelah existing control dengan nilai yang masih di atas
selera risiko atau toleransi risiko pimpinan tertinggi
instansi ke dalam formulir kertas kerja penilaian atas
existing control dan mitigasi tambahan (contohnya
seperti Lampiran 14).
(4) Arahkan peserta untuk menilai kecukupan existing
control dari risiko-risiko tersebut. Terdapat tiga
kemungkinan terhadap penilaian existing control, yang
pertama adalah pengendalian yang berlebihan, yang
kedua pengendalian yang kurang, dan yang ketiga
pengendalian yang sudah efektif/cukup.
(5) Bila terdapat existing control yang berlebihan atau
masih kurang, arahkan peserta untuk melakukan
analisis atas penyebab mengapa existing control
tersebut berlebihan/kurang. Arahkan peserta untuk
mengisi penyebab-penyebab tersebut, sebagaimana
contoh dalam Lampiran 14.
(6) Atas risiko-risiko setelah existing control dengan nilai
yang masih di atas selera risiko atau toleransi risiko,
arahkan peserta untuk untuk melakukan Root Cause
Analysis (RCA), sebagaimana contoh Lampiran 15 untuk
memastikan bahwa penyebab terjadinya risiko adalah
akar penyebab, sehingga control/ mitigasi risiko
tambahan dapat langsung mengarah kepada akar
penyebab risiko.
115
102
 (7) Dalam melakukan RCA, arahkan peserta untuk
mengidentifikasi penyebab risiko dengan mengacu
pada kategori penyebab 5M (Money, Material, Machine,
Method, Man) yang rangkaikan dengan rumus berikut
ini:

Method
Output/
Input + (SOP/Juknis/ + Man =
Indikator Kinerja
Manual)

Money Pimpinan

Material Pegawai

Machine

(8) Setelah diketahui letak penyebab dalam rumus di atas,

arahkan peserta untuk melakukan 5 Why, dengan
mempertanyakan terus menerus mempertanyakan atau
mencari apabila ada penyebab dari penyebab yang telah
diidentifikasi hingga ditemukan akar penyebab dari risiko
yang sedang dianalisis.
(9) Atas akar penyebab yang telah diidentifikasi, arahkan
peserta untuk mendiskusikan alternatif control atau
mitigasi tambahan yang paling efektif, efisien, dan
ekonomis dalam menurunkan nilai risiko tersebut.
(10) Atas mitigasi tambahan yang telah disepakati oleh para
p e s e r t a , a r a h k a n p e s e r t a u n t u k m e n ye p a k a t i
penunjukkan pihak-pihak/Person in charge (PIC) yang
bertanggung jawab melaksanakan mitigasi tambahan
tersebut.

g) Pengkomunikasian control/mitigasi tambahan

yang dibangun
(1) Agar control/mitigasi tambahan tersebut dapat
terimplementasi lebih cepat dan efektif, pastikan
peserta telah menuangkan rencana realisasi kegiatan
komunikasi atas control/mitigasi tambahan yang
dibangun sesuai dengan formulir pengkomunikasian
control/mitigasi tambahan yang dibangun
(sebagaimana contoh lampiran 17).
(2) Arahkan diskusi hingga mencapai kesimpulan bahwa
pimpinan unit kerja/pimpinan instansi berkomitmen
untuk melaksanakan pengkomunikasian mitigasi
tambahan yang dibangun dengan mempertimbangkan
media/bentuk sarana pengkomunikasian, penyedia
informasi, penerima informasi, dan rencana waktu
pelaksanaan.
116
103
 (3) Pastikan bahwa peserta berkomitmen untuk mencatat
realisasi waktu pelaksanaan mitigasi tambahan pada
formulir pengkomunikasian control/mitigasi tambahan
yang dibangun (Lampiran 17), ketika kegiatan
pengkomunikasian tersebut telah dilaksanakan.

h) Rancangan pemantauan mitigasi risiko secara

berkala
(1) Atas kegiatan control/mitigasi tambahan yang telah
disepakati, arahkan peserta untuk
menyetujui/menyepakati timeline rencana untuk
merealisasikan pelaksanaan control/mitigasi tambahan
tersebut dalam periode empat triwulan dalam satu
tahun.
(2) Arahkan peserta untuk mendiskusikan dan
menyepakati indikator/parameter tegas yang dapat
digunakan untuk mengukur terlaksananya
control/mitigasi tambahan.
(3) Pastikan bahwa peserta berkomitmen untuk mencatat
capaian/realisasi pelaksanaan control/mitigasi
tambahan pada formulir daftar pemantauan mitigasi
risiko (Lampiran 18).
(4) Pastikan bahwa peserta berkomitmen untuk mencatat
apabila terdapat kendala yang menyebabkan
control/mitigasi tambahan tidak terealisasi di kemudian
hari sesuai contoh lampiran 18.

i) Pencatatan kejadian risiko dalam satu tahun

(1) Beri pemahaman kepada peserta atas pentingnya

pencatatan kejadian risiko sebagai data, bahan, dan
input untuk melakukan revisi atas penilaian risiko pada
periode berikutnya.
(2) Jelaskan teknis cara mengisi formulir daftar kejadian
risiko (contoh pada lampiran 19) kepada peserta.
(3) Pastikan bahwa peserta berkomitmen untuk mencatat
uraian dan jumlah kejadian risiko berdasarkan periode
triwulanan dalam 1 tahun.
(4) Pastikan bahwa peserta berkomitmen untuk melakukan
RCA ulang atas peristiwa risiko yang terjadi, sehingga
dapat diketahui apabila akar penyebab risiko yang
diidentifikasi telah akurat atau tidak akurat yang
ditandai oleh adanya akar penyebab baru yang berhasil
diidentifikasi oleh proses RCA ulang.

117
104
Langkah kerja di atas adalah contoh ilustrasi
detail bagaimana fasilitasi risk assessment
dilakukan. Dalam praktiknya, APIP dapat
menyesuaikan langkah-langkahnya,
terutama ketika pelaksanaan workshop
digabungkan dalam kelompok-kelompok
berdasarkan kematangan manajemen risiko,
dimana dalam sesi fasilitasi berkelompok itu,
perlu satu sesi yang khusus mengidentifikasi
risiko-risiko spesifik dari setiap auditable
unit. Tantangan utama tim Fasilitator adalah
untuk merancang kegiatan fasilitasi yang
santai, terbuka, dan menarik, sehingga ide-
ide dari peserta fasilitasi dapat digali lebih
dalam.

118
105
 Fasilitasi Untuk Auditable Unit dengan Kematangan Manajemen
2)
Risiko Sedang

Fasilitasi yang dilakukan untuk auditable unit yang kematangan manajemen risikonya
sedang (level 3), lebih difokuskan untuk menginternalisasi penerapan manajemen
risiko ke dalam organisasi. Sebagaimana dijelaskan pada Bab II, bahwa karakteristik
auditable unit yang maturitas manajemen risiko mencapai level 3, antara lain telah
memiliki kebijakan penerapan manajemen risiko dan dikomunikasikan, serta telah
menetapkan kebijakan mengenai selera risiko organisasi. Berangkat dari kondisi ini,
APIP perlu mendorong agar penerapan manajemen risiko terintegrasi dalam proses
bisnis. Langkah yang dapat dilakukan dalam fasilitasi antara lain:

1. Diskusikan dengan peserta fasilitasi untuk menggali nilai tambah apa yang
diperoleh kertika auditable unit sudah menerapkan manajemen risiko?
2. Apakah terjadi perbaikan atau peningkatan kinerja sebelum dan setelah
auditable unit menerapkan manajemen risiko?
3. Apa saja kendala yang dihadapi dalam mengimplementasikan manajemen risiko
dan rencana pengembangan manajemen risiko ke depan?
4. Identifikasi apakah proses manajemen risiko sudah diintegrasikan dengan
proses bisnis organisasi? Jika belum, diskusikan proses bisnis apa yang dapat di
integrasikan dengan manajemen risiko?
5. Diskusikan bagaimana agar integrasi manajemen risiko dengan proses bisnis
organisasi dapat berhasil?
6. Diskusikan apakah kesadaran terhadap risiko sudah menjadi budaya organisasi,
sehingga semua pihak mendukung implementasi manajemen risiko.

Salah satu proses bisnis yang dapat diintegrasikan manajemen risiko adalah
manajemen strategis dan manajemen kinerja. Secara sederhana, integrasi tersebut
dapat digambarkan sebagai berikut:

Tujuan Organisasi

Pelaporan dan Pelaporan dan

MANAJEMEN STRATEGI

Monev Kinerja Monev Risiko

MANAJEMEN RISIKO

Implementasi Mitigasi
Strategi Risiko

Evaluasi Risiko
Perumusan
Analisis Risiko
Strategi
Identifikasi Risiko

119
106
Secara sederhana, dapat dijelaskan
bahwa setiap Kementerian/Lembaga
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
strategi yang terdiri dari strategi jangka
pendek dan jangka panjang, termasuk
indikator kinerja menjadi ukuran
ketercapaian tujuan yang ingin dicapai.
Setiap strategi mengandung risiko yang
harus dikelola dengan baik, oleh karena
itu bersamaan dengan perumusan
strategi, Kementerian/Lembaga perlu
mengidentifikasi risiko, menanalisis dan
mengevaluasi risiko sehingga
memperoleh profil risiko termasuk
rencana mitigasi risiko yang akan
diterapkan. Langkah selanjutnya, saat
strategi diimplementasikan, maka
prosedur mitigasi risiko juga perlu
dilaksanakan. Secara periodik, kinerja
Kementerian/Lembaga perlu dilaporkan
dan dilakukan monitoring dan reviu,
termasuk pemantauan risiko kunci yang
berpotensi menghambat pencapaian
tujuan. Praktik di salah satu Kementerian,
proses monitoring kinerja dan risiko ini
dilaksanakan sekaligus dalam satu rapat
periodik yang dihadiri oleh
Menteri/Pimpinan Lembaga dan seluruh
jajaran pimpinan (Eselon I)
Kementerian/Lembaga untuk membahas
capaian kinerja sekaligus pengelolaan
risiko yang menghambat pencapaian
tujuan.

Fasilitasi Untuk Auditable Unit dengan Kematangan Manajemen

3)
Risiko Tinggi

Bagi auditable unit yang kematangan manajemen risikonya sudah tinggi (level 4 dan
5), maka kegiatan fasilitasi masih dapat dilaksanakn oleh APIP, namun harus
disesuaikan dengan kebutuhan. Misalnya ketika terjadi perubahan lingkungan yang
signifikan, maka APIP dapat melakukan fasilitasi untuk melakukan penilaian terhadap
risiko-risko baru yang muncul, misalnya terkait cyber security, black out, dan
sebagainya. Petunjuk pelaksanaan ini tidak secara spesifik membahas fasilitasi untuk
auditable unit yang kematangan manajemen risikonya sudah tinggi karena sifatnya
yang kondisional dan harus disesuaikan dengan perkembangan lingkungan
Kementerian/Lembaga.

120
107
 c. Pelaporan Fasilitasi Manajemen Risiko

Laporan fasilitasi isinya adalah

action plan serta register risiko yang
sudah dibahas bersama dan
diperbaiki oleh
manajemen/auditable unit.
Ketentuan lebih lanjut mengenai
pengkomunikasian hasil/pelaporan
kegiatan fasilitasi, dibahas lebih
lanjut pada Petunjuk Pelaksanaan
Komunikasi Hasil Pengawasan.

121
108
 G. Pelaksanaan
Pengawasan Lanjutan

Pengawasan lanjutan merupakan kegiatan assurance yang dilaksanakan berdasarkan

hasil rekonfirmasi kematangan manajemen risiko sebagaimana telah dibahas pada Bab III.
Dari hasil rekonfirmasi kematangan manajemen risiko, selanjutnya auditable unit
dikelompokkan dalam tiga kategori, yaitu kelompok auditable unit yang maturitas
manajemen risikonya masih rendah (level 1 dan 2), kelompok auditable unit dengan
maturitas manajemen risiko sedang (level 3), dan kelompok auditable unit dengan
maturitas manajemen risiko tinggi (level 4 dan 5). Pengawasan lanjutan untuk
masing-masing kelompok sesuai kematangan manajemen risiko diilustrasikan
sebagaimana gambar berikut:

1. 3.
Maturitas MR Rendah Rekonfirmasi Maturitas MR Tinggi
(Level 1 dan 2) Maturitas MR Auditable Unit (Level 4 dan 5)

2.
Matritas MR Sedang
(Level 3)

Audit Konvensional
Audit Konvesional Audit Konvesional
(Sesuai Kebutuhan)

Assurance atas Efektivitas Assurance atas Efektivitas

Pengendalian Pengendalian

Assurance atas Efektivitas

Manajemen Risiko

Laporan Laporan Laporan

Hasil Pengawasan Hasil Pengawasan Hasil Pengawasan

122
109
Secara ringkas, pelaksanaan pengawasan untuk
auditable unit yang kematangan manajemen risikonya
masih rendah (level 1 dan 2) adalah audit konvensional
(misalnya audit ketaatan dan audit kinerja). Hal ini
dikarenakan pelaksanaan manajemen risiko belum
dapat diyakini keandalannya, sehingga APIP
sementara waktu masih menerapkan audit
konvensional. Perlu digaris bawahi, meskipun masih
menerapkan audit konvensional, namun fokus
pengawasan sudah harus difokuskan pada area yang
berisiko tertinggi atau area yang pengendalian intern
nya masih lemah, sehingga sumber daya pengawasan
dapat lebih optimal untuk mendukung pencapaian
tujuan dari auditable unit yang diawasi.
Untuk auditable unit yang maturitas manajemen
risikonya sedang (level 3), masih dibutuhkan audit
konvensional (misalnya audit ketaatan dan audit
kinerja). Mengingat proses manajemen risiko yang
sudah mulai diterapkan, maka APIP dapat
melaksanakan assurance atas implementasi
manajemen risiko, namun masih sebatas penilaian
efektivitas pengendalian saja. Kegiatan assurance ini
salah satunya dimaksudkan untuk mendorong kualitas
implementasi manajemen risiko pada setiap auditable
unit sehingga lebih cepat untuk mencapai level 4 dan
level 5, yang mensyaratkan penerapan manajemen
risiko yang sudah teritegrasi dengan proses bisnis.
Selanjutnya, untuk auditable unit yang maturitas
manajemen risikonya sudah tinggi (level 4 dan 5), maka
APIP memperoleh gambaran bahwa kualitas
implementasi manajemen risiko di lingkungan auditable
unit yang diawasi sudah baik. Dalam kondisi ini, APIP
sudah memungkinkan untuk melaksanakan perannya
dalam menilai efektivitas pengendalian dan juga
efektivitas manajemen risiko secara keseluruhan.
Sedangkan kegiatan audit konvensional (misalnya
audit ketaatan dan audit kinerja) tidak lagi menjadi
keharusan, namun tetap dapat dilaksanakan sesuai
kebutuhan, misalnya ketika ditemukan case tertentu
yang tidak dapat diselesaikan melalui pengawasan
intern berbasis risiko, contohnya kasus fraud yang

123
110
 harus ditangani dengan audit dengan tujuan tertentu atau audit
investigatif. Berikut adalah penjelasan lebih rinci mengenai
pengawasan lanjutan untuk kelompok auditable unit sesuai
kematangan manajemen risikonya masing-masing.
Mempertimbangkan bahwa kualitas implementasi manajemen risiko
di lingkungan auditable unit yang sedang diawasi sudah baik. Dalam
kondisi ini, APIP sudah memungkinkan untuk mulai melaksanakan
perannya dalam menilai efektivitas pengendalian dan juga
efektivitas manajemen risiko secara keseluruhan. Sedangkan
kegiatan assurance alternatif (audit konvensional) tidak lagi menjadi
keharusan, namun tetap dapat dilaksanakan sesuai kebutuhan,
misalnya ketika ditemukan case tertentu yang tidak dapat
diselesaikan melalui pengawasan intern berbasis risiko, misalnya
kasus fraud yang harus ditangani dengan audit dengan tujuan
tertentu atau audit investigatif. Berikut adalah penjelasan lebih rinci
mengenai pengawasan lanjutan untuk kelompok auditable unit
sesuai kematangan manajemen risikonya masing-masing.

124
111
1. Kelompok Auditable Unit dengan Maturitas
Manajemen Risiko Rendah (Level 1 dan 2)

Rekonfirmasi
Maturitas MR Auditable Unit

Maturitas MR Rendah
(Level 1 dan 2)

Fasilitasi Penerapan MR
(Terpisah) Audit Konvensional

Laporan Laporan
Hasil Fasilitasi Hasil Pengawasan

Secara umum pengawasan lanjutan yang dilakukan atas auditable unit yang
maturitas manajemen risikonya masih rendah (level 1 dan 2), disajikan
sebagaimana gambar di atas.
Berdasarkan gambar di atas assurance yang dilaksanakan bagi auditable
unit yang maturitas manajemen risikonya masih rendah adalah audit
konvensional (misalnya audit ketaatan dan audit kinerja), sedangkan fasilitasi
penerapan manajemen risiko akan dilaksanakan pada waktu tersendiri yang
telah dibahas secara detail pada Bab ini. Petunjuk pelaksanaan ini lebih fokus
untuk membahas rincian kegiatan assurance untuk kelompok auditable unit
yang maturitas manajemen risikonya masih rendah, yaitu pendekatan audit
konvensional (misalnya audit ketaatan dan audit kinerja).
Jika kegiatan yang dicantumkan dalam PKPT belum menyebutkan
pengawasan spesifik untuk auditable unit terpilih, maka untuk mengawali
tahap pelaksanaan pengawasan lanjutan, tim pengawasan perlu menetapkan
pendekatan pengawasan apa yang akan digunakan. Pendekatan
pengawasan perlu disesuaikan dengan risiko utama yang dihadapi oleh
auditable unit. Prosedur untuk mengetahui risiko utama auditable unit telah
dibahas pada Bab ini.

125
112
Setelah diketahui risiko utama yang melekat pada auditable unit, selanjutnya tim menetapkan
assurance apa yang dibutuhkan untuk memastikan tujuan organisasi tercapai. Sebagai contoh,
risiko utama yang dihadapi oleh auditable unit berkaitan dengan pengadaan barang dan jasa
karena mengelola anggaran paling besar dan informasi tahun lalu banyak temuan dari BPK terkait
administrasi dan kemahalan harga. Mempertimbangkan bahwa risiko yang dihadapi auditable unit
tersebut lebih banyak terkait dengan administrasi keuangan, maka pendekatan audit yang tepat
untuk dilaksanakan tim adalah audit ketaatan, bertujuan untuk memastikan bahwa pengadaan
barang dan jasa telah dilaksanakan sesuai dengan ketentuan yang berlaku.
Ilustrasi yang lain, misalnya diperoleh informasi bahwa kinerja auditable unit sampai dengan saat
field work masih sangat rendah, kemudian tim pengawasan memperoleh informasi bahwa banyak
kegiatan tidak terealisasi karena perencanaan yang kurang matang. Dengan mendasarkan pada
informasi itu, tim pengawasan dapat memutuskan untuk melaksanakan audit kinerja untuk
memastikan bahwa auditable unit telah mengelola kegiatannya secara ekonomis, efisien dan
efektif dalam mencapai tujuan organisasi.
Pelaksanaan audit konvensional secara lebih rinci, baik berupa audit ketaatan maupun audit
kinerja, harus dilaksanakan sesuai dengan pedoman audit ketaatan dan kinerja yang dimiliki oleh
APIP serta mematuhi standar audit intern dari AAIPI. Petunjuk pelaksanaan ini tidak secara khusus
membahas tahap demi tahap pelaksanaan pengawasan individu, khususnya audit konvensional
karena telah terdapat pedoman yang secara khusus mengulas mengenai pendekatan itu.

126
113
 2. Kelompok Auditable Unit dengan Maturitas
Manajemen Risiko Sedang (Level 3)

Bagi auditable unit yang telah tidak menggunakan istilah efektivitas

mencapai maturitas manajemen risiko pengendalian, tapi efektivitas respon
level 3 (risk defined), maka risiko karena dikaitkan langsung dengan
pelaksanaan pengawasan individu istilah dalam manajemen risiko. Petunjuk
meliputi dua jenis assurance, yang pelaksanaan ini menggunakan istilah
pertama adalah assurance efektivitas pengendalian, namun tidak
pendekatan alternatif (process based menutup kemungkinan termasuk di
atau control based), utamanya dalamnya membahas kecukupan respon
sebagai pembuktian atas kegiatan risiko atau risk responses. Secara
yang telah berlalu (post audit), dan sederhana, tahapan pengawasan
assurance atas efektivitas individu untuk auditable unit dengan
pengendalian, untuk melihat potensi maturitas manajemen risiko level 3, dapat
kedepan (forward looking). IIA (2014) digambarkan sebagai berikut:

Rekonfirmasi
Maturitas MR Auditable Unit

Maturitas MR Sedang
(Level 3)

Fasilitasi Internalisasi MR
Audit Konvensional
(Terpisah)

Laporan Assurance atas Efektivitas

Hasil Fasilitasi Pengendalian

Laporan
Hasil Pengawasan

127
114
Bagi auditable unit yang sudah mencapai level 3, yang dicirikan dengan kepemilikan
kebijakan penerapan manajemen risiko, telah dikomunikasikan serta telah menetapkan
selera risikonya, maka telah memungkinkan bagi APIP untuk mulai melaksanakan assurance
atas efektivitas pengendalian, yang dilakukan dengan cara melakukan pengujian rancangan
pengendalian atas risiko kunci yang mempengaruhi kinerja dan implementasinya. Namun,
karena penerapan manajemen risiko belum sepenuhnya matang, maka masih diperlukan
audit konvensional, terutama untuk memastikan pencapaian tujuan auditable unit. Dalam
penerapannya, audit konvensional dilaksanakan terlebih dahulu dan dilanjutkan dengan
assurance atas efektivitas pengendalian.
Sebagai ilustrasi, audit konvensional yang akan diterapkan, misalnya audit kinerja,
dilaksanakan untuk menilai pencapaian tujuan auditable unit berdasarkan indikator
ekonomis, efisiensi, dan efektivitas. Atas kinerja yang misalnya belum tercapai, selanjutnya
auditor mencari informasi mengenai risiko kunci yang mempengaruhi kinerja auditable unit
tersebut. Informasi risiko kunci tersebut dapat diperoleh dari register risiko yang disusun
oleh auditable unit dan diskusi mendalam yang dilakukan dengan manajemen. Dalam kasus
tertentu, berdasarkan hasil audit kinerja, auditor dapat menemukan risiko yang mungkin
belum diidentifikasi oleh auditable unit, sehingga risiko baru tersebut dikomunikasikan lebih
lanjut bersama dengan auditable unit untuk dapat dipertimbangkan untuk mengupdate
register risikonya.
Berdasarkan risiko kunci yang telah diidentifikasi, selanjutnya auditor melaksanakan
pengujian atas kecukupan desain pengendalian terhadap risiko utama yang telah disepakati
bersama dengan auditable unit. Kemungkinan simpulannya adalah pengendalian cukup,
berlebihan, atau kurang. Setelah itu, dilakukan pengujian atas implementasi pengendalian
sehingga diperoleh simpulan mengenai efektivitas implementasi rancangan pengendalian
yang telah disusun.
Selain assurance, kegiatan fasilitasi juga masih dibutuhkan, utamanya untuk mendorong
internalisasi manajemen risiko dalam proses bisnis organisasi sehingga mempercepat
pencapaian maturitas manajemen risiko level empat. Pelaksanaan fasilitasi untuk auditable
unit yang telah mencapai level 3 telah dibahas secara khusus pada bab ini. Rincian kegiatan
assurance berupa audit konvensional dan assurance atas efektivitas pengendalian, berupa
pengujian atas rancangan pengendalian dan implementasi rancangan pengendalian,
disajikan sebagaimana rincian berikut:

a. Audit Konvensional
Bagi auditable unit yang sudah mencapai level 3, yang dicirikan dengan
kepemilikan kebijakan penerapan manajemen risiko, telah dikomunikasikan serta
telah menetapkan selera risikonya, maka telah memungkinkan bagi APIP untuk
mulai melaksanakan assurance atas efektivitas pengendalian, yang dilakukan
dengan cara melakukan pengujian rancangan pengendalian atas risiko kunci
yang mempengaruhi kinerja dan implementasinya. Namun, karena penerapan
manajemen risiko belum sepenuhnya matang, maka masih diperlukan audit
konvensional, terutama untuk memastikan pencapaian tujuan auditable unit.
Dalam penerapannya, audit konvensional dilaksanakan terlebih dahulu dan
dilanjutkan dengan assurance atas efektivitas pengendalian.

128
115
Sebagai ilustrasi, audit konvensional yang akan diterapkan, misalnya audit
kinerja, dilaksanakan untuk menilai pencapaian tujuan auditable unit
berdasarkan indikator ekonomis, efisiensi, dan efektivitas. Atas kinerja yang
misalnya belum tercapai, selanjutnya auditor mencari informasi mengenai
risiko kunci yang mempengaruhi kinerja auditable unit tersebut. Informasi
risiko kunci tersebut dapat diperoleh dari register risiko yang disusun oleh
auditable unit dan diskusi mendalam yang dilakukan dengan manajemen.
Dalam kasus tertentu, berdasarkan hasil audit kinerja, auditor dapat
menemukan risiko yang mungkin belum diidentifikasi oleh auditable unit,
sehingga risiko baru tersebut dikomunikasikan lebih lanjut bersama dengan
auditable unit untuk dapat dipertimbangkan untuk mengupdate register
risikonya.
Berdasarkan risiko kunci yang telah diidentifikasi, selanjutnya auditor
melaksanakan pengujian atas kecukupan desain pengendalian terhadap
risiko utama yang telah disepakati bersama dengan auditable unit.
Kemungkinan simpulannya adalah pengendalian cukup, berlebihan, atau
kurang. Setelah itu, dilakukan pengujian atas implementasi pengendalian
sehingga diperoleh simpulan mengenai efektivitas implementasi rancangan
pengendalian yang telah disusun.
Selain assurance, kegiatan fasilitasi juga masih dibutuhkan, utamanya untuk
mendorong internalisasi manajemen risiko dalam proses bisnis organisasi
sehingga mempercepat pencapaian maturitas manajemen risiko level
empat. Pelaksanaan fasilitasi untuk auditable unit yang telah mencapai level
3 telah dibahas secara khusus pada bab ini. Rincian kegiatan assurance
berupa audit konvensional dan assurance atas efektivitas pengendalian,
berupa pengujian atas rancangan pengendalian dan implementasi
rancangan pengendalian, disajikan sebagaimana rincian berikut:

Audit Konvensional Assurance atas efektifitas pengendalian

post Audit Forward Looking

Tahun N-1 Tahun N

Namun sebagai konsekuensinya, APIP perlu menyesuaikan lingkup

pengawasan yang akan dilaksanakan, yang sebelumnya hanya audit
konvensional saja, sekarang ditambahkan langkah kerja untuk menilai
efektivitas pengendalian. Namun, manfaat yang akan diperoleh sebanding
dengan tambahan sumber daya yang di alokasikan, utamanya untuk
mendorong peningkatan kualitas implementasi manajemen risiko,
memastikan pencapaian tujuan organisasi serta meningkatkan efektivitas
pengawasan intern.

129
116
 Namun, jika yang dilaksanakan adalah audit ketaatan, maka pengujian yang
dilaksanakan antara lain terkait ketaatan atas area tertentu yang menjadi
prioritas untuk dilakukan pengujian, utamanya karena pengendaliannya yang
masih lemah. Langkah kerja audit ketaatan secara umum diawali dengan
menilai efektivitas pengendalian intern, kemudian mengidentifikasi area-area
yang pengendaliannya masih lemah, dan selanjutnya dilakukan audit
ketaatan atas area tersebut. Selanjutnya, untuk menguji efektivitas
pengendalian, auditor perlu mengidentifikasi risiko utama terkait area yang
dilakukan audit ketaatan, misalnya risiko utamanya adalah kecurangan atau
fraud. Atas risiko fraud tersebut, auditor membicarakan dengan manajemen
untuk menilai lebih lanjut efektivitas pengendalian atas risiko fraud tersebut
(desain dan implementasinya).
Langkah kerja lebih rinci atas pelaksanaan audit konvensional tidak dibahas
secara khusus dalam petunjuk pelaksanaan ini karena sudah dipandu dalam
pedoman tersendiri serta harus mengacu pada standar audit intern
pemerintah indonesia yang dikeluarkan AAIPI. Sedangkan pelaporan atas
kegiatan ini akan dibahas lebih lanjut pada petunjuk pelaksanaan PIBR tahap
pengkomunikasian hasil pengawasan.

b. Pengujian Rancangan Pengendalian

Tujuan pengujian rancangan pengendalian adalah untuk memberikan
keyakinan bahwa rancangan pengendalian atas risiko kunci telah mampu
menurunkan risiko sampai tingkat yang dapat diterima (dibawah selera
risiko). Terdapat tiga kondisi yang mungkin ditemui oleh auditor, yang
pertama adalah rancangan pengendalian yang berlebihan, yang kedua
rancangan pengendalian kurang, dan yang ketiga rancangan pengendalian
telah cukup (tidak kurang, tidak lebih) untuk menurunkan risiko sampai level
yang dapat diterima.
Kondisi pertama, kemungkinan auditor menemui kondisi rancangan
pengendalian yang berlebihan, artinya pengendalian yang dirancang oleh
auditable unit terlalu banyak sehingga terdapat pengendalian yang
sebenarnya tidak perlu. Meskipun pada kenyataannya risiko berhasil ditekan
sampai level yang dapat diterima, namun pengendalian yang berlebihan
hanya akan menambah biaya bagi organisasi. Sebagai contoh, untuk
mengamankan kas dari risiko kecurian, maka manajemen menyimpan uang
dalam brankas dan menempatkan satpam yang khusus menjaga brankas itu
24 jam. Jika nilai nominal uang dalam brankas tidak signifikan, maka
penempatan dalam brankas yang terkunci, aksesnya dibatasi, dan
pemasangan CCTV sudah memadai untuk mengamankannya dari risiko
kecurian, sehingga tidak perlu menyewa satpam untuk menjaganya 24 jam.
Dalam kondisi ini, auditor dapat merekomendasikan untuk menghilangkan
pengendalian yang dinilai tidak perlu, karena hanya akan memboroskan

130
117
sumber daya. Dalam contoh di atas, rekomendasinya adalah dengan
mengurangi pengendalian berupa penjagaan satpam 24 jam.
Kondisi kedua, terdapat kemungkinan rancangan pengendalian yang kurang,
artinya pengendalian yang ada belum mampu menurunkan risiko sampai level
yang dapat diterima. Untuk kondisi ini, auditor dapat merekomendasikan
pengendalian tambahan yang perlu dilakukan oleh auditable unit sehingga
mampu menurunkan risiko sampai level yang dapat diterima. Terdapat
kemungkinan bahwa auditable unit sesuai dengan kewenangannya, tidak
memungkinkan untuk menurunkan risiko sampai level yang dapat diterima,
misalnya karena risiko itu melibatkan auditable unit yang lain, sehingga
diperlukan mitigasi berupa kebijakan strategis yang sifatnya lintas auditable
unit. Untuk kondisi ini, rekomendasi yang diberikan oleh APIP dapat ditujukan
kepada level yang lebih strategis yaitu pimpinan tertinggi organisasi, sehingga
mitigasi yang dilakukan lebih tepat sasaran.
Selanjutnya, kondisi ketiga adalah ketika auditor menilai bahwa rancangan
pengendalian sudah cukup (tidak berlebihan dan tidak kurang), sehingga
rekomendasi yang diberikan hanyalah untuk memantau risiko secara periodik.
Untuk dapat menyimpulkan pengendalian sudah cukup, auditor perlu
memahami proses bisnis yang saat ini sedang berjalan serta
mempertimbangkan database keterjadian risiko. Jika risiko masih sering
terjadi, menunjukkan bahwa pengendalian yang ada belum efektif.
Pengujian rancangan pengendalian tidak dilakukan atas seluruh risiko, tapi
dipilih risiko utama yang dihadapi organisasi saja. Pemilihan itu perlu
melibatkan manajemen, terutama jika register risiko yang dimiliki oleh
auditable unit belum dapat diyakini keandalannya. Perlu dilakukan diskusi
untuk menyepakati risiko mana saja yang akan diuji rancangan
pengendaliannya.
Secara lebih rinci, langkah kerja pengujian rancangan pengendalian sebagai
berikut:

1) Dapatkan dokumen register risiko terakhir unit kerja;

2) Pilihlah risiko-risiko kunci yang dianggap perlu penanganan

prioritas sesuai kesepakatan dengan manajemen. Untuk auditable
unit yang maturitas manajemen risikonya sudah level 4 dan 5,
maka identifikasi risiko kunci dapat dilakukan dengan
memperimbangkan risiko residual yang masih berada di atas
selera risiko. Namun, untuk auditable unit yang maturitas
manajemen risikonya masih rendah atau sedang, maka identifikasi
risiko kuci dapat dipertimbangkan dari risiko inheren yang paling
tinggi. Hal ini dilakukan karena APIP belum dapat meyakini
keandalan manajemen risiko yang dilaksanakan manajemen.
Kertas kerja daftar risiko inheren/residual yang dikendalikan
sebagaimana contoh lampiran nomor 2 huruf D;awal, peran APIP
lebih dibutuhkan untuk memfasilitasi bagaimana membangun

131
118
 manajemen risiko hingga saatnya nanti siap untuk dilakukan
pengawasan intern atas efektivitas manajemen risiko yang
dilakukan oleh APIP.

3) Jumlah risiko kunci yang akan diuji perlu disesuaikan dengan

ketersediaan sumber daya, semakin banyak sumber daya
pengawasan, maka semakin banyak risiko kunci yang dapat diuji;

4) Dapatkan kebijakan tertulis atas pengendalian dan lakukan

identifikasi atribut pengendalian atas risiko-risiko kunci yang
terpilih untuk dilakukan pengujian;

5) Lakukan reviu kecukupan rencana tindak pengendalian dengan

menganalisis atribut pengendalian apakah telah dirancang dapat
menurunkan risiko ke level yang dapat diterima berupa penurunan
probabilitas dan dampak (sebagaimana contoh lampiran nomor 2
huruf E), termasuk menganalisis akar penyebab dan kebutuhan
pengendalian tambahan (sebagaimana contoh lampiran nomor 2
huruf F).

6) Tuangkan hasil analisis dalam Kertas kerja Daftar Temuan Detail,

sebagaimana dijelaskan dalam contoh lampiran nomor 2 huruf G.

Dalam tahap ini auditor memberi simpulan mengenai kecukupan rancangan

pengendalian. Dalam hal rancangan pengendalian dinilai belum memadai,
bersama-sama dengan manajemen, auditor memformulasikan tambahan
rancangan pengendalian sehingga diperoleh keyakinan bahwa rancangan
pengendalian dapat menekan tingkat risiko hingga level yang dapat diterima.

c. Pengujian Implementasi Rancangan Pengendalian

Pengujian kesesuaian implementasi pengendalian dengan rancangan
pengendalian dilaksanakan untuk memberikan bukti tambahan bahwa aktivitas
pengendalian telah sesuai dengan rancangan pengendalian terhadap risiko
utama dan menilai bahwa suatu pengendalian telah dijalankan dengan cara,
oleh orang, dan waktu yang tepat sesuai dengan rancangan pengendalian.
Meskipun hasil pengujian rancangan pengendalian menunjukkan bahwa
pengendalian belum efektif/memadai, maka tetap dilakukan pengujian
implementasi untuk mengetahui komitmen manajemen dalam implementasi
rencana pengendalian. Namun, ketika rancangan pengendalian disimpulkan
belum efektif, maka implementasi rancangan pengendalian belum dapat
disimpulkan telah efektif, meskipun pengendalian telah dilaksanakan sesuai
dengan rancangan pengendalian sebelum diperbaiki sesuai hasil pengawasan
intern. Hal ini untuk menghindari penyimpulan yang keliru atas kondisi
manajemen risiko auditable unit.

132
119
Pengujian implementasi rancangan pengendalian, dapat dilakukan dengan
menggunakan beberapa teknik sebagai berikut:

Wawancara dan/atau diskusi terfasilitasi dengan pegawai kunci

1)
Wawancara dengan pimpinan dan pelaksana pengendalian dapat
memberikan bukti yang memadai mengenai efektivitas
pengendalian tingkat aktivitas. Wawancara mempunyai dua
tujuan, yaitu mengonfirmasi pemahaman mengenai rancangan
pengendalian (apa yang seharusnya); dan mengidentifkasi temuan
antara praktik yang ada (apa yang terjadi) dengan prosedur yang
seharusnya.
Di samping untuk mendapatkan informasi mengenai pelaksanaan
pengendalian, wawancara juga bertujuan untuk meyakinkan
bahwa pegawai yang diwawancarai telah memiliki kualifkasi dalam
melaksanakan prosedur yang ditetapkan. Pegawai dikatakan
memiliki kualifkasi apabila memiliki keahlian dan pelatihan yang
relevan, dan tidak menjalankan fungsi-fungsi yang seharusnya
terpisah.
Sebagai alternatif dari wawancara, auditor dapat mengundang
beberapa pimpinan dan pegawai kunci untuk melakukan diskusi
yang terfasilitasi untuk menilai pengendalian intern. Diskusi
terfasilitasi mempunyai tujuan yang sama dengan wawancara,
tetapi ada beberapa keuntungan apabila menggunakan diskusi
terfasilitasi, yaitu antara lain:

a) Mendapat gambaran atas seluruh proses (end-to-end) apabila

pimpinan/ pelaksana pengendalian dari seluruh hadir; dan,

a) Meningkatkan komunikasi dan pemahaman mengenai prosedur

kegiatan, pengendalian terkait dan tanggung jawabnya dalam
pencapaian tujuan kegiatan.

Auditor dapat melakukan inspeksi/ observasi terutama atas

2)
pelaksanaan pengendalian yang sifatnya berkala, seperti
perhitungan fisik persediaan dan rekonsiliasi realisasi belanja.
Auditor melihat secara cermat pelaksanaan suatu kegiatan secara
langsung dan menyeluruh (end-to-end).
Hal ini dilakukan untuk meyakini bahwa pengendalian telah
dilaksanakan sesuai dengan rancangannya. Apabila terdapat
perbedaan antara rancangan dengan pelaksanaan pengendalian,
Tim Penilai diharapkan dapat mengidentifkasi penyebab
perbedaan dan menilai dampaknya. Dalam melaksanakan
inspeksi/observasi, Tim Penilai harus berhati-hati terhadap adanya
kemungkinan bahwa pegawai akan bekerja lebih baik apabila
mereka mengetahui bahwa mereka sedang diobservasi.
Kertas kerja hasil observasi/inspeksi sebagaimana dicontohkan
pada lampiran nomor 2 huruf I.

133
120
 Pelaksanaan ulang suatu kegiatan (reperformance)
3)
Apabila langkah pengujian yang telah dilakukan dirasa belum
dapat memberikan keyakinan yang memadai bahwa suatu
pengendalian telah dijalankan sesuai rancangannya, maka dapat
dilakukan reperformance atas pengendalian tersebut. Sebagai
contoh, auditor melaksanakan ulang reviu atas kertas kerja untuk
memastikan bahwa semua aspek yang seharusnya direviu sudah
direviu dan memastikan kebenaran angka-angka dan perhitungan
dalam kertas kerja. Jenis pengendalian yang dapat dilakukan
reperformance cukup beragam, misalnya: reviu atasan langsung,
pengecekan kelengkapan dokumen, verifikasi angka,
pembandingan suatu data dengan data lainnya, dan rekonsiliasi.
Oleh karena itu, Tim Penilai harus menetapkan terlebih dahulu
tujuan dilakukannya reperformance, misalnya: (1) memastikan
bahwa pengendalian telah dilaksanakan atas semua aspek yang
seharusnya dicakup; (2) memastikan kebenaran angka-angka atau
perhitungan yang disajikan dalam suatu dokumen yang merupakan
output suatu pengendalian; dan (3) memastikan bahwa
pengendalian berupa verifikasi kelengkapan dokumen telah
didukung dengan bukti yang memadai (dokumen yang dinyatakan
ada dalam checklist verifikasi kelengkapan dokumen memang
benar-benar ada) . Kertas kerja pelaksanaan ulang suatu kegiatan
(reperformance) sebagaimana lampiran nomor 2 huruf J.
Hasil pengujian kesesuaian implementasi pengendalian dengan
rancangan dapat didokumentasikan dengan menggunakan kertas
kerja sebagaimana lampiran nomor 2 huruf K.

d. Kesimpulan Hasil Pengawasan

Kesimpulan pengawasan mencakup simpulan audit konvensional dan simpulan
efektivitas pengendalian, baik terhadap rancangan pengendalian dan
seberapa baik pengendalian telah berjalan. Kesimpulan tersebut perlu
dikaitkan dengan risiko yang dikelola oleh pengendalian yang ada sehingga
dapat memberikan keyakinan atas apa yang menjadi tujuan tahap ini.
Pelaksanaan pengawasan lanjutan perlu memberikan opini atas efektivitas
pengendalian, yang dapat diambil dari dua pertanyaan kunci, antara lain:

Apakah secara umum rancangan pengendalian telah mampu

1)
mengurangi risiko sampai tingkat yang dapat diterima.

Apakah implementasi pengendalian/tindakan telah diambil

2)
sesegera mungkin untuk memperbaiki kegagalan yang signifikan.

134
121
Panduan dalam menyusun simpulan dapat mengikuti tabel sebagai berikut:

Panduan SimpulanAssuranceatas Efektivitas Pengendalian

Tingkatan Dapat Diterima Menjadi Perhatian Tidak Dapat Diterima

Warna Hijau Kuning Merah

Dilaporkan sebagai Tidak perlu dilaporkan Isu- isu utama Isu- isu utama

Simpulan audit Kriteria

Syaratnya: Syaratnya: Syaratnya:

Seluruh risiko yang Sebagian risiko yang Seluruh risiko yang
terpilih sudah memiliki terpilih belum terpilih belum
Kecukupan Rancangan
pengendalian/mitigasi memiliki memiliki
Pengendalian untuk
yang efektif menurunkan pengendalian/mitigasi pengendalian/mitigasi
mengurangi risiko sampai
risiko sampai level yang yang efektif yang efektif
level yang dapat diterima
dapat diterima menurunkan risiko menurunkan risiko
sampai level yang sampai level yang
dapat diterima dapat diterima

Syaratnya: Syaratnya: Syaratnya:

Pada Kertas Kerja Hasil Pada Kertas Kerja pada Kertas Kerja
Efektivitas Implementasi Implementasi Hasil Implementasi Hasil Implementasi
Rancangan Pengendalian Pengendalian, tidak ada Pengendalian, ada Pengendalian, ada
temuan pada seluruh temuan pada temuan pada
risiko terpilih sebagian risiko bagian besar risiko
terpilih terpilih

Ketika digabungkan antara simpulan atas audit konvensional (misalnya audit kinerja)
dengan simpulan hasil assurance atas efektivitas pengendalian, maka simpulan umum
pengawasan adalah sebagai berikut:

Jika kinerja/tujuan tidak tercapai (berdasarkan hasil audit kinerja)

1)
dan desain serta implementasi pengendalian atas risiko utama
penghambat kinerja belum efektif (berdasarkan assurance atas
efektivitas pengendalian), maka pencapaian kinerja sampai dengan
akhir periode, berpotensi untuk gagal/tidak tercapai;

Jika kinerja/tujuan tercapai (berdasarkan hasil audit kinerja) dan

2)
desain serta implementasi pengendalian atas risiko utama
penghambat kinerja sudah efektif (berdasarkan assurance atas
efektivitas pengendalian), maka pencapaian kinerja sampai dengan
akhir periode, berpotensi untuk tercapai;

Jika kinerja/tujuan tercapai (berdasarkan hasil audit kinerja) dan

3)
desain serta implementasi pengendalian atas risiko utama
penghambat kinerja belum efektif (berdasarkan assurance atas
efektivitas pengendalian), maka pencapaian kinerja sampai dengan
akhir periode, berpotensi untuk terhambat.

135
122
 Jika kinerja/tujuan tidak tercapai (berdasarkan hasil audit kinerja)
4)
dan desain serta implementasi pengendalian atas risiko utama
penghambat kinerja sudah efektif (berdasarkan assurance atas
efektivitas pengendalian), maka pencapaian kinerja sampai dengan
akhir periode, berpotensi untuk terhambat. Bisa jadi karena
tujuan/target yang tidak realistis untuk dicapai.

d. Dokumentasikan Hasil Kerja Pengawasan

Pengujian yang dilakukan auditor harus didokumentasikan. Dokumentasi hasil
pengawasan atau KKA meliputi pengendalian yang diuji, metode pengujian
yang dilakukan, termasuk ukuran sampel yang diambil, hasil pengujian dan
simpulan pengujian.
Dalam pelaksanaan pengawasan individu KKA yang harus didokumentasikan
minimal adalah:

1) Register risiko

2) Dokumen-dokumen, gambar-gambar, serta laporan-laporan;

3) Bagan alur proses (flowchart), hasil ringkasan wawancara dengan

pemilik risiko;

4) Kertas kerja pengujian rancangan pengendalian;

Kertas kerja pengujian implementasi atas

5)
rancangan pengendalian;

6) Kertas kerja simpulan

136
123
3. Kelompok Auditable Unit dengan Maturitas
Manajemen RisikoTinggi (Level 4, 5)
Untuk auditable unit yang maturitas manajemen risikonya sudah tinggi,
maka telah memungkinkan bagi APIP untuk menilai efektivitas
manajemen risiko secara keseluruhan. Penilaian efektivitas manajemen
risiko secara keseluruhan, dilakukan dengan cara menguji lima hal, yaitu:

a. Menilai apakah proses identifikasi, analisis, dan evaluasi risiko

secara keseluruhan telah memadai;

b. Menilai kecukupan rancangan pengendalian atas risiko-risiko kunci

telah efektif menurunkan risiko sampai tingkat yang dapat diterima
dalam rangka tercapainya tujuan;

c. Menilai apakah kegiatan pengendalian telah diimplementasikan

secara efektif dan efisien sesuai dengan rancangan pengendalian
yang telah ditetapkan;

d. Menilai apakah kegiatan pengendalian telah dimonitor secara

periodik oleh manajemen untuk menjamin bahwa proses monitoring
dilakukan secara berkesinambungan dan berjalan secara efektif;

e. Menilai pencapaian tujuan interim auditable unit sampai dengan

saat fieldwork, termasuk proyeksi pencapaian tujuan sampai
dengan akhir periode.

Atas lima simpulan di atas, dapat diketahui bahwa simpulan nomor 2

dan nomor 3 merupakan simpulan atas penilaian efektivitas
pengendalian. Oleh karena itu, perlu digarisbawahi bahwa pelaksanaan
pengawasan atas efektivitas manajemen risiko secara keseluruhan,
pada dasarnya merupakan kegiatan pengujian atas efektivitas
pengendalian yang diperluas, dengan beberapa pengujian tambahan,
yaitu: (1) pengujian atas identifikasi, analisis dan evaluasi risiko secara
umum, (2) pengujian atas monitoring pengendalian, serta (3) pengujian
atas pencapaian tujuan sampai dengan periode field work, serta
proyeksi capaian sampai dengan akhir periode.
Menurut sobel (2015), pendekatan penilaian manajemen risiko secara
keseluruhan inilah yang dinilai paling komprehensif karena mampu
mengaitkan secara langsung antara efektivitas manajemen risiko
dengan pencapaian tujuan organisasi. Pendekatan ini dinilai merupakan
pendekatan yang ideal, sehingga kapabilitas pengawasan intern
diharapkan secara bertahap mengarah pada kondisi itu.
Secara sederhana, tahapan pengawasan lanjutan untuk kelompok
auditable unit yang maturitasnya sudah tinggi (level 4 dan 5), disajikan
sebagaimana gambar berikut:

137
124
 Rekonfirmasi
Maturitas MR Auditable Unit

Maturitas MR Tinggi
(Level 4 dan 5)

Fasilitasi MR Assurance atas Efektivitas

(Sesuai Kebutuhan) Pengendalian

Laporan Assurance atas Efektivitas

Hasil Fasilitasi MR Secara Keseluruhan

Audit Konvensional

Laporan
Hasil Pengawasan

Kegiatan assurance yang dilaksanakan APIP adalah penilaian efektivitas manajemen

risiko secara keseluruhan, yang di dalamnya termasuk melakukan assurance atas
efektivitas pengendalian. Audit konvensional hanya dilakukan jika memang
dibutuhkan. Sedangkan kegiatan fasilitasi telah dibahas secara detail di Bab IV.
Berikut adalah langkah pengujian efektivitas manajemen risiko secara keseluruhan,
yang dilihat dari lima simpulan utama yang dihasilkan, antara lain:

a. Pengujian Proses Manajemen Risiko secara Keseluruhan

Pengujian proses manajemen risiko secara keseluruhan bertujuan untuk
memperoleh keyakinan apakah risiko-risiko signifikan telah diidentifikasi,
dianalisis dan dievaluasi secara memadai. Pengujian dimulai dengan
menilai proses manajemen risiko, sejak penetapan konteks, identifikasi
risiko, analisis risiko sampai dengan evaluasi risiko. Termasuk keandalan
profil risiko yang dimiliki oleh auditable unit. Langkah kerja untuk
pengujian proses manajemen risiko, antara lain:
Dapatkan kebijakan manajemen risiko yang berlaku pada
1)
Kementerian/Lembaga;

2) Dapatkan Dokumen register risiko terbaru yang sudah di update;

3) Lakukan pengujian atas penetapan konteks, baik internal,

eksternal, maupun konteks manajemen risiko, termasuk menguji
penetapan kriteria probabilitas dan dampak, serta penetapan
selera risiko;

138
125
 Lakukan pengujian atas tahapan identifikasi risiko, mulai dari
4)
prosesnya, apakah telah melibatkan pihak yang memang
memahami risiko, apakah risiko telah diidentifikasi mulai dari
menganalisis tujuan, identifikasi kegiatan/program untuk mencapai
tujuan, baru mengidentifikasi risiko yang melekat pada setiap
kegiatan/program yang menghambat pencapaian tujuan. Apakah
penetapan risiko operasional, risiko strategis dan risiko entitas
Kementerian/Lembaga telah tepat;

Lakukan pengujian atas proses analisis risiko, berkaitan dengan

5)
pemberian nilai probabilitas dan dampak, apakah telah melibatkan
proses yang objektif melalui workshop/FGD/lainnya;

6) Lakukan pengujian atas evaluasi risiko, termasuk penyusunan profil

risiko dan pemetaannya dalam heatmap atau matriks risiko sesuai
dengan kebijakan manajemen risiko yang ditetapkan;

7) Pastikan seluruh risiko signifikan organisasi telah diidentifikasi,

dianalsis dan dievaluasi dengan baik.

Kertas kerja pengujian proses manajemen risiko secara keseluruhan

terdapat pada lampiran nomor 2 huruf L.

b. Pengujian Rancangan Pengendalian

Pengujian rancangan pengendalian bertujuan untuk memperoleh
keyakinan bahwa risko kunci telah dikendalikan sampai level yang dapat
diterima. Langkah dan prosedur pengujian rancangan pengendalian
telah dibahas pada bagian sebelumnya (ketika membahas assurance
atas efektivitas pengendalian untuk auditable unit dengan kematangan
manajemen risiko sedang).

c. Pengujian Implementasi Pengendalian

Pengujian implementasi pengendalian bertujuan untuk meyakini
implementasi pengendalian sesuai dengan rancangan pengendalian
yang dibuat. Langkah dan prosedur pengujian implementasi
pengendalian telah dibahas pada bagian sebelumnya (saat membahas
assurance atas efektivitas pengendalian untuk auditable unit dengan
kematangan manajemen risiko sedang)

d. Pengujian Monitoring dan Evaluasi Manajemen Risiko

Pengujian monitoring dan evaluasi pengelolaan risiko bertujuan untuk
meyakini bahwa proses manajemen risiko, termasuk pengendaliannya
telah dimonitor secara memadai. Pengujian dilakukan atas dua hal, yaitu
pengujian atas monitoring risiko dan pengendalian, serta pengujian atas
komunikasi dan konsultasi. Monitoring dan pengendalian setidaknya
dilakukan atas empat hal, yaitu:

139
126
 f. Simpulan Hasil Pengawasan Intern Berbasis Risiko

Setelah seluruh langkah kerja pengawasan dilakukan, selanjutnya tim

pengawasan perlu merumuskan simpulan akhir pengawasan, berupa opini atas
manajemen risiko secara keseluruhan. Panduan untuk menarik opini atas
implementasi manajemen risiko dapat disajikan sebagai berikut:

Uraian Telah Belum Sepenuhnya Belum

Syaratnya: Syaratnya: Syaratnya:

Memadainya identifikasi, analisis Auditable unit telah berhasil Masih terdapat risiko signifikan yang Auditable unit belum berhasil
dan evaluasi risiko-risiko signifikan mengidentifikasi seluruh risiko belum diidentifikasi, dievaluasi dan mengidentifikasi, mengevaluasi dan
pada auditable unit signifikan yang mempengaruhi tujuan, dikelola oleh auditable unit mengelola sebagian besar risiko
mengevaluasi, dan mengelolanya signifikan yang mempengaruhi tujuan

Syaratnya: Syaratnya:
Kecukupan Rancangan Pengendalian Syaratnya: Seluruh risiko yang terpilih belum
Sebagian risiko yang terpilih belum
untuk mengurangi risiko sampai level Seluruh risiko yang terpilih sudah memiliki pengendalian/mitigasi yang
memiliki pengendalian/mitigasi yang memiliki pengendalian/mitigasi yang
yang dapat diterima efektif menurunkan risiko sampai level
efektif menurunkan risiko sampai level efektif menurunkan risiko sampai level
yang dapat diterima yang dapat diterima yang dapat diterima

Syaratnya: Syaratnya: Syaratnya:

Efektivitas Implementasi Pada Kertas Kerja Hasil Implementasi pada Kertas Kerja Hasil Implementasi
Rancangan Pengendalian Pada kertas kerja hasil implementasi
pengendalian, tidak ada temuan pada Pengendalian, ada temuan pada Pengendalian, ada temuan pada
seluruh risiko terpilih sebagian risiko terpilih sebagian besar risiko terpilih

Syaratnya: Syaratnya: Syaratnya:

Kecukupan Monitoring, Evaluasi Masih diperlukan pemantauan Pemantauan dan evaluasi atas
Pemantauan dan evaluasi atas
serta Komunikasi dan Konsultasi tambahan atas manajemen risiko manajemen risiko belum sepenuhnya
implementasi MR telah efektif dan
MR dilakukan
dapat dilakukan real time

Syaratnya:
Tujuan/Kinerja interim sampai
KetercapaianTujuan
dengan fieldwork telah tercapai
Syaratnya:
Syaratnya:
Tujuan/Kinerja interim sampai dengan
Tujuan/Kinerja interim sampai
field work tidak tercapai
dengan
field work telah/hampir tercapai,

Sebagaimana dijelaskan dalam gambar di atas, APIP dapat memberikan opini

atas implementasi manajemen risiko secara keseluruhan, yang disimbulkan
dengan warna hijau, kuning, dan merah. Simpulan hijau mengindikasikan
bahwa proses manajemen risiko telah berjalan dengan baik sehingga
kemungkinan besar tujuan auditable unit akan tercapai. Simpulan kuning,
mengindikasikan bahwa terdapat beberapa kelemahan yang perlu
diperhatikan agar auditable unit dapat mencapai tujuannya. Simpulan warna
merah, mengidikasikan kualitas penerapan manajemen risiko yang masih perlu
banyak perbaikan dan kemungkinan besar tujuan auditable unit tidak tercapai
sampai dengan akhir periode. Kombinasi simpulan pengawasan yang mungkin
adalah sebagai berikut:
Jika kinerja/tujuan sampai dengan field work tidak tercapai
1)
(berdasarkan simpulan pengujian atas ketercapaian tujuan – simpulan
5) dan secara umum pengelolaan risiko organisasi belum efektif
(berdasarkan assurance atas efektivitas MR secara keseluruhan –
simpulan 1,2,3, dan 4), maka pencapaian kinerja sampai dengan akhir
periode berpotensi untuk gagal/tidak tercapai.

Jika kinerja/tujuan sampai dengan field work sudah tercapai

2)
(berdasarkan simpulan pengujian atas ketercapaian tujuan – simpulan
5) dan secara umum pengelolaan risiko organisasi belum efektif
(berdasarkan assurance atas efektivitas MR secara keseluruhan –
simpulan 1,2,3, dan 4), maka pencapaian kinerja sampai dengan akhir
periode berpotensi untuk terhambat.

140
127
periode berpotensi untuk terhambat. Jika kinerja/tujuan sampai
3)
dengan field work tidak tercapai/hampir tercapai (berdasarkan
simpulan pengujian atas ketercapaian tujuan – simpulan 5) dan secara
umum pengelolaan risiko organisasi belum efektif (berdasarkan
assurance atas efektivitas MR secara keseluruhan – simpulan 1,2,3, dan
4), maka pencapaian kinerja sampai dengan akhir

Jika kinerja/tujuan sampai dengan field work sudah tercapai 4)

(berdasarkan simpulan pengujian atas ketercapaian tujuan – simpulan
5) dan secara umum pengelolaan risiko organisasi sudah efektif
(berdasarkan assurance atas efektivitas MR secara keseluruhan –
simpulan 1,2,3, dan 4), maka pencapaian kinerja sampai dengan akhir
periode berpotensi untuk tercapai.

Pelaporan/Pengkomunikasian Hasil Pengawasan Individu e.

Laporan hasil pengawasan intern berbasis risiko berisi simpulan hasil
pengawasan, temuan pengawasan serta rekomendasi perbaikan yang
disampaikan oleh APIP. Terkait dengan pengkomunikasian hasil pengawasan,
akan diatur tersendiri dalam petunjuk pengkomunikasian hasil pengawasan
intern berbasis risiko.

141
128
BAB IV

142
TAHAP
PENGKOMUNIKASIAN
A. Gambaran Umum Pengkomunikasian dan Pelaporan
Hasil PIBR
B. Syarat Kualitas dan Kriteria Komunikasi Hasil Pengawasan
C. Pembahasan Hasil Pengawasan
D. Bentuk Laporan Hasil Pengawasan
E . Penyusunan Konsep Laporan Hasil Pengawasan
F . Reviu Konsep Laporan Hasil Pengawasan
G . Penandatanganan Laporan Hasil Pengawasan
H . Pendistribusian Laporan Hasil Pengawasan

I . Tindak Lanjut Hasil Pengawasan

J . Pendokumentasian Tahap Pengkomunikasian Hasil Pengawasan

143
 A.
Gambaran Umum
Pengkomunikasidan dan Pelaporan
Hasil PIBR

Laporan Hasil Pengawasan Intern Berbasis

Risiko adalah sarana mengomunikasikan
hasil kegiatan fasilitasi atau kegiatan
pengawasan lanjutan kepada pihak
manajemen dan pemakai laporan lainnya
secara tertulis. Para pemakai laporan
mengharapkan informasi yang akurat dan
objektif yang akan digunakan dalam
melaksanakan tugas dan fungsinya. Oleh
karena itu, auditor berkewajiban
menyediakan informasi yang berguna dan
tepat waktu mengenai kegiatan fasilitasi
atau kegiatan pengawasan lanjutan yang
telah dilaksanakan serta menyarankan
perbaikan.
Menurut Standar Audit Intern Pemerintah
Indonesia, penyusunan laporan hasil
pengawasan mempunyai tujuan sebagai
berikut:

mengomunikasikan hasil penugasan pengawasan kepada auditi dan pihak lain yang
1. berwenang berdasarkan peraturan perundang-undangan;

2. menghindari kesalahpahaman atas hasil penugasan pengawasan intern;

3. menjadi bahan perbaikan bagi auditi dan pihak terkait; serta

4. pemantauan tindak lanjut perbaikan yang telah dilakukan.

144
131
B. Syarat Kualitas dan Kriteria
Komunikasi Hasil Pengawasan

1. Syarat Komunikasi Hasil Pengawasan Berkualitas

Standar Audit Intern Pemerintah Indonesia (SAIPI) menyebutkan bahwa
komunikasi hasil pengawasan yang berkualitas (paragraph 4020) mempunyai
syarat sebagai berikut:

a. Tepat Waktu

Komunikasi hasil pengawasan yang tepat waktu adalah komunikasi hasil

pengawasan yang dilaksanakan tepat pada waktunya dan bermanfaat dengan
mempertimbangkan tingkat signifikansi isu, sehingga memungkinkan manajemen
dapat melakukan tindakan koreksi yang tepat. Jika terdapat isu yang sangat
signifikan sebelum penugasan berakhir, Tim Audit dapat mempertimbangkan
penyampaian laporan hasil pengawasan sementara kepada pihak manajemen
(auditi) dan/atau pihak lain yang terkait.

b. Lengkap

Komunikasi hasil pengawasan yang lengkap tidak meninggalkan hal-hal penting

bagi pengguna hasil pengawasan dan telah mencakup seluruh informasi dan
observasi yang signifikan dan relevan untuk mendukung kesimpulan dan
rekomendasi.

c. Akurat

Komunikasi hasil pengawasan yang akurat berarti komunikasi hasil pengawasan

yang didasarkan atas fakta, didukung dengan bukti yang memadai, dan bebas
dari kesalahan maupun distorsi. Jika dalam komunikasi hasil pengawasan
terdapat kesalahan, Tim Audit harus mengomunikasikan informasi yang telah
diperbaiki kepada seluruh pihak yang telah menerima komunikasi aslinya.

d. Objektif

Komunikasi hasil pengawasan yang objektif berarti adil, tidak memihak, tidak
berat sebelah, dan merupakan hasil dari pemikiran adil dan seimbang atas
seluruh fakta dan keadaan yang relevan.

145
132
 e. Menyakinkan

Informasi yang disajikan dalam komunikasi hasil pengawasan harus cukup

meyakinkan pengguna laporan untuk mengakui validitas temuan tersebut dan
mampu melaksanakan perbaikan sesuai rekomendasi.

f. Konstruktif

artinya membantu auditi dan mengarah pada perbaikan yang diperlukan;

g. Jelas

Komunikasi hasil pengawasan yang jelas berarti mudah dipahami dan logis,
terhindar dari pemakaian istilah teknis yang tidak penting dan menyajikan
seluruh informasi yang signifikan dan relevan.

h. Ringkas dan Singkat

Komunikasi hasil pengawasan yang ringkas berarti langsung pada masalahnya,

serta menghindari uraian yang tidak perlu, detail yang berlebihan, pengulangan,
dan terlalu panjang.

146
133
2. Kriteria Komunikasi Hasil Pengawasan
Kriteria komunikasi Hasil Pengawasan intern menjelaskan bahwa komunikasi
Hasil Pengawasan intern harus mencakup sasaran dan ruang lingkup penugasan
audit intern serta kesimpulan yang berlaku, rekomendasi, dan rencana aksi.
Lebih lanjut dijelaskan bahwa, komunikasi akhir hasil penugasan audit intern
harus berisi pendapat auditor dan/atau kesimpulan. Ketika dikeluarkan,
pendapat dan/atau kesimpulan harus mempertimbangkan harapan auditi dan
para pemangku kepentingan lainnya dan harus didukung oleh informasi yang
cukup, kompeten, relevan, dan berguna.
Auditor didorong untuk mengakui kinerja yang memuaskan dalam komunikasi
hasil penugasan audit intern. Ketika merilis/menerbitkan hasil penugasan audit
intern, komunikasi harus mencakup pembatasan distribusi dan penggunaan hasil.
Komunikasi kemajuan dan hasil dari penugasan consulting terkait kegiatan
fasilitasi akan bervariasi dalam bentuk dan isi tergantung pada sifat penugasan
dan kebutuhan auditi.

147
134
 C. Pembahasan
Hasil Pengawasan

Pembahasan hasil pengawasan dilakukan

setelah pelaksanaan pengawasan
dilapangan selesai dilaksanakan.
Komunikasi ini dapat membantu Tim
Pengawasan untuk memastikan fakta
yang ditemukan benar-benar akurat. Hasil
komunikasi ini akan dimanfaatkan untuk
penyusunan simpulan final yang akan
dimuat dalam Laporan Hasil Pengawasan.
Sebelum melaksanakan pembahasan hasil
pengawasan, Tim pengawasan sebaiknya
melakukan prosedur reviu berjenjang
dimulai dari ketua tim berkonsultasi
terlebih dahulu dengan pengendali teknis
dan/atau pengendali mutu agar dalam
Tim terdapat keseragaman pendapat
mengenai masalah yang akan dibicarakan
dengan pihak manajemen (auditi).

Auditor menyiapkan simpulan awal hasil pengawasan (preliminary conclusions) berisi efektivitas
pengelolaan setiap risiko dan memberikan keyakinan apakah:

1. Risiko dikelola sampai berada dalam risk appetite auditi/organisasi (acceptable); atau

Risiko tidak dikelola sampai berada dalam risk appetite (unacceptable, issue, supplementary
2.
issue); dan

3. Rencana Tindak/mitigasi risiko telah disetujui (risiko berada dalam risk appetite, atau risiko
akan dihadapi, atau risiko alihkan atau ditransfer, atau risiko tidak dikelola sampai berada
dalam risk appetite, dan atau tidak ada tindakan sesuai yang dilakukan.

Auditor Intern melakukan pembahasan dengan auditi mengenai risiko-risiko residual yang ada di atas
risk appetite dan tindakan agar risiko residual berada dalam risk appetite, atau risiko-risiko tersebut
akan alihkan/ditransfer, atau dihadapi dengan melakukan pengujian terhadap setiap rencana darurat
(contingency plans).
(Format simpulan awal hasil audit terdapat pada Lampiran nomor 3 huruf A, B, dan C)

148
135
 D. Bentuk Laporan
Hasil Pengawasan

SAIPI menyatakan bahwa komunikasi
audit harus dibuat secara tertulis berupa
laporan dan harus segera, yaitu pada
kesempatan pertama setelah berakhirnya
pelaksanan pengawasan. Hal ini juga
untuk menghindari kemungkinan salah
tafsir atas kesimpulan, fakta, dan
rekomendasi auditor. Pembuatan
komunikasi pengawasan secara tertulis
dapat dilakukan secara berkala sebelum
selesainya penugasan/pekerjaan
lapangan untuk memenuhi kebutuhan
oses
informasi hasil pengawasan yang
mendesak bagi stakeholders.
Bentuk laporan pada dasarnya bisa
berbentuk surat atau bab. Bentuk surat
digunakan apabila dari hasil pengawasan
tidak ditemukan banyak fakta yang
elenggarakan
signifikan. Adapun bentuk bab digunakan
apabila dari hasil pengawasan ditemukan
banyak fakta yang signifikan. Laporan
hasil pengawasan intern, baik bentuk
surat maupun bab, setidaknya harus
memuat (paragraf 4030):

1. Dasar melakukan pengawasan intern;

2. Identifikasi auditi (latar belakang auditi);

3. Tujuan/sasaran, lingkup, dan metodologi pengawasan intern;

4. Pernyataan bahwa penugasan telah dilaksanakan sesuai dengan standar audit;

5. Kriteria yang digunakan untuk mengevaluasi;

6. Hasil audit intern berupa kesimpulan, fakta, dan rekomendasi;

7. Tanggapan dari pejabat auditi yang bertanggung jawab;

8. Pernyataan adanya keterbatasan dalam pengawasan serta pihak-pihak yang

menerima laporan; serta

9. Pelaporan informasi rahasia apabila ada.

Meskipun format dan muatan laporan pengawasan dapat bervariasi menurut organisasi atau
jenis pengawasan, laporan memuat setidaknya tujuan, ruang lingkup penugasan, simpulan,
saran, dan rencana tindak lanjutnya.

149
136
1.
Laporan memuat latar belakang yang tidak diawasi. Aktivitas
unit organisasi dan aktivitas terkait yang tidak diawasi jika

C.
perlu diidentifikasi untuk
Pembahasan
yang akan dilakukan
pengawasan, serta ringkasan. menggambarkan batas-batas
Hasil Pengawasan
Informasi latar belakang dapat pengawasan. Sifat dan luas
mengidentifikasi unit-unit pengawasan yang dilakukan
organisasi dan aktivitas yang juga diuraikan.
ditelaah dan menyajikan

4.
informasi yang relevan. Laporan Hasil penugasan meliputi
pengawasan juga dapat observasi, simpulan, opini,
Pembahasan hasil pengawasan dilakukan
memasukkan status temuan, saran, dan rencana tindakan.
setelah pelaksanaan pengawasan
simpulan, dan saran dari laporan
dilapangan selesai dilaksanakan.
sebelumnya. Laporan
Komunikasi ini dapat membantu Tim

5.
pengawasan juga dapat menjadi
Pengawasan
Temuan untuk memastikan
berhubungan fakta
dengan
indikasi apakah laporan
yang ditemukan
pernyataan fakta. Temuan Hasil
benar-benar akurat.
mencakup pengawasan
komunikasi
yanginidiperlukan
akan dimanfaatkan
untuk untuk
terjadwal atau sebagai respon
penyusunan simpulan
mendukung final
atau yang akan
mencegah
terhadap permintaan. Ikhtisar,
dimuat dalam Laporan Hasil
kesalahpahaman Pengawasan.
terhadap
jika dimasukkan, harus menjadi
representasi yang seimbang Sebelumsimpulan dan saran
melaksanakan auditor hasil
pembahasan
atas muatan laporan intern Tim
pengawasan, dimasukkan
pengawasanke dalam
sebaiknya
pengawasan. melakukanlaporan pengawasan
prosedur akhir.
reviu berjenjang

2.
Informasi atau temuan yang
dimulai dari ketua tim berkonsultasi
Pernyataan tujuan menjelaskan terlebih kurang
dahulu signifikan dapat
dengan pengendali teknis
tujuan penugasan dan dan/atau dikomunikasikan
pengendali mutu secara
agar lisan
dalam
menginfor-masikan kepada atau melalui
Tim terdapat surat-menyurat
keseragaman pendapat
pembaca mengapa penugasan informal.
mengenai masalah yang akan dibicarakan
dilaksanakan dan apa yang dengan pihak manajemen (auditi).
diharapkan untuk dicapai.

3.
pengelolaan

1.
setiap risiko dan memberikan
Pernyataan ruang lingkup
mengidentifikasi aktivitas yang
keyakinan6.
apakah:
Temuan pengawasan
Auditor menyiapkan simpulan awal hasil pengawasan (preliminary conclusions)
dimunculkan olehberisi
suatuefektivitas
proses
pembandingan antara apa yang
seharusnya dengan apa yang
Risiko dikelola sampai berada dalam risk appetite auditi/organisasi (acceptable); atau
dilakukan pengawasan dan ada. Baik ada atau tidak ada
mungkin meliputi informasi perbedaan, auditor intern perlu
Risiko tidak dikelola sampai berada dalam risk appetite (unacceptable, issue, supplementary
2. pendukung, seperti periode waktu membuat laporan.
issue); dan
yang diawasi dan aktivitas terkait

3. Rencana Tindak/mitigasi risiko telah disetujui (risiko berada dalam risk appetite, atau risiko
akan dihadapi, atau risiko alihkan atau ditransfer, atau risiko tidak dikelola sampai berada
dalam risk appetite, dan atau tidak ada tindakan sesuai yang dilakukan.

Auditor Intern melakukan pembahasan dengan auditi mengenai risiko-risiko residual yang ada di atas
risk appetite dan tindakan agar risiko residual berada dalam risk appetite, atau risiko-risiko tersebut
akan alihkan/ditransfer, atau dihadapi dengan melakukan pengujian terhadap setiap rencana darurat
(contingency plans).
(Format simpulan awal hasil audit terdapat pada Lampiran nomor 3 huruf A, B, dan C)

150
137
 Gambar 1 Hubungan kondisi dan kriteria terkait fakta temuan

D. Bentuk Laporan
Hasil Pengawasan

oses
SAIPI menyatakan bahwa komunikasi informasi hasil pengawasan yang
audit harus dibuat secara tertulis berupa mendesak bagi stakeholders.
laporan dan harus segera, yaitu pada Bentuk laporan pada dasarnya bisa
kesempatan pertama setelah berakhirnya berbentuk surat atau bab. Bentuk surat
pelaksanan pengawasan. Hal ini juga digunakan apabila dari hasil pengawasan
untuk menghindari kemungkinan salah tidak ditemukan banyak fakta yang
elenggarakan
tafsir atas kesimpulan, fakta, dan signifikan. Adapun bentuk bab digunakan
rekomendasi auditor. Pembuatan apabila dari hasil pengawasan ditemukan
komunikasi pengawasan secara tertulis banyak fakta yang signifikan. Laporan
dapat dilakukan secara berkala sebelum hasil pengawasan intern, baik bentuk
Temuan didasarkan pada atribut-atribut berikut:
selesainya penugasan/pekerjaan surat maupun bab, setidaknya harus
lapangan untuk memenuhi
Kriteria: kebutuhan
Standar, memuat (paragraf
ukuran, atau ekspektasi 4030): dalam
yang digunakan
a. melakukan suatu evaluasi dan atau verifikasi (apa yang seharusnya
1. ada).
Dasar melakukan pengawasan intern;

2. Identifikasi auditiBukti
Kondisi: (latar faktual
belakangdan
auditi);
penjelasan atas pengendalian yang
b. ditemukan auditor intern dalam pelaksanaan pengujian (apa yang
3. benar-benar ada).
Tujuan/sasaran, lingkup, dan metodologi pengawasan intern;

4. Sebab:
Pernyataan Alasan
bahwa perbedaan
penugasan antara
telah kondisi yang
dilaksanakan diharapkan
sesuai dengan
dengan standar audit;
c. kondisi aktual (mengapa terjadi perbedaan).
5. Kriteria yang digunakan untuk mengevaluasi;
Akibat: Risiko atau ancaman yang dihadapi oleh organisasi auditi
d. dan atau lainnya karena kondisi tidak sama seperti kriteria
6. Hasil audit intern berupa kesimpulan, fakta, dan rekomendasi;
(kemungkinan permasalahan baik di masa lalu maupun masa depan)
dengan mempertimbangkan dampak (finansial, reputasi, keamanan,
7. Tanggapan dari pejabat auditi yang bertanggung jawab;
dan lain-lain) dan keterjadian

8. Pernyataan
Temuanadanya
yangketerbatasan dalam
dilaporkan juga pengawasan
dapat serta
memasukkan pihak-pihak
saran, yang
penjelasan
e.
menerima
olehlaporan; serta
auditi, dan informasi yang mendukung jika tidak dikecualikan di
tempat lain.
9. Pelaporan informasi rahasia apabila ada.

Meskipun format dan muatan laporan pengawasan dapat bervariasi menurut organisasi atau
jenis pengawasan, laporan memuat setidaknya tujuan, ruang lingkup penugasan, simpulan,
saran, dan rencana tindak lanjutnya.

138
151
 E. Penyusunan Konsep
Laporan Hasil Pengawasan

Adapun telah dijelaskan pada Petunjuk Pelaksanaan PIBR bahwa kesimpulan penilaian tingkat
kematangan manajemen risiko akan menentukan jenis pelaksanaan pengawasan yang akan
dilakukan, yaitu:

Pelaksanaan fasilitasi dilakukan jika level maturitas manajemen risiko initial/risk naive
1. (1), repeatable/risk aware (2) dan risk defined (3). Atau, jika pada prosedur
rekonfirmasi menghasilkan level maturitas manajemen risiko rendah (level 1 dan 2).
Atas unit kerja yang telah dilakukan fasilitasi, pelaksanaan audit konvensional kecuali
untuk risk defined. Fasilitasi tetap bisa dilaksanakan pada pada auditable unit dengan
level maturitas manajemen risiko risk managed dan risk optimized, secara terpisah.
Untuk fasilitasi pada level maturitas risiko risk defined,
Adapun pengkomunikasian atas pelaksanaan fasilitasi pada auditable unit dengan
level maturitas manajemen risiko risk defined, risk managed dan risk optimized
tersebut akan dituangkan dalam pedoman tersendiri.

Pelaksanaan audit konvensional dilakukan jika level maturitas manajemen risiko

2. initial/risk naive (1), repeatable/risk aware (2) Atau, jika pada prosedur rekonfirmasi
menghasilkan level maturitas manajemen risiko rendah (level 1 dan 2).

Pelaksanaan pengawasan lanjutan dilakukan jika level maturitas manajemen risiko

3. pada tingkat risk defined dimana APIP masih perlu melaksanakan audit konvensional
dan assurance atas efektivitas pengendalian. Jenis audit konvensional yang
ditetapkan perlu disesuaikan dengan risiko utama yang melekat pada auditable unit
yang bersangkutan.

Pelaksanaan pengawasan lanjutan dilakukan jika level maturitas manajemen risiko

4. pada tingkat Managed, dan Optimized. Atau, jika pada prosedur rekonfirmasi
menghasilkan level maturitas manajemen risiko tinggi (level 4 dan 5).

152
139
 Gambar 2 Tahapan Pelaksanaan PIBR

Program Kerja
Pengawasan Tahunan

Rekonfirmasi Maturitas MR
Auditable Unit

1. 2. 3. Perencanaan
Maturitas MR Rendah Maturitas MR Sedang Maturitas MR Tinggi
Pengawasan
(Level 1 dan 2) (Level 3) (Level 4 dan 5)
Individu

Pemahaman Risiko Utama Pemahaman Risiko Utama Pemahaman Risiko Utama

dan Efektivitas Pengendaliannya dan Efektivitas Pengendaliannya dan Efektivitas Pengendaliannya

Penyusunan PKA dan Penyusunan PKA dan Penyusunan PKA dan

Pembentukan tim Pengawas Pembentukan tim Pengawas
Pelaksanaan
Pembentukan tim Pengawas
Pengawasan
Individu

Audit Konvensional
Audit Konvensional Audit Konvensional (sesuai Kebutuhan)

Assurance
Assurance
Assurance atas
atas
atas Assurance atas
Efektivitas
Efektivitas Pengendalian
Pengendalian
Efektivitas Pengendalian Efektivitas Pengendalian

Assurance atas
Efektivitas MR Keseluruhan

Fasilitasi Penerapan MR Fasilitasi Penerapan MR Fasilitasi MR

(Waktu Terpisah) (Waktu Terpisah) (Sesuai Kebutuhan)

Laporan Laporan Laporan Pengkomunikasian

Hasil Pengawasan Hasil Pengawasan Hasil Pengawasan Pengawasan
Individu

Stakeholder (untuk pengambilan Kebijakan dan Updating Register Risiko)

Merujuk pada tahapan pelaksanaan di atas, maka pelaporan atas pelaksanaan bisa
dikategorikan menjadi empat jenis, antara lain:
• Laporan Fasilitasi;
• Laporan Pengawasan Lanjutan atas auditable unit dengan maturitas manajemen
risiko rendah;
• Laporan Pengawasan Lanjutan atas auditable unit dengan maturitas manajemen
risiko sedang;
• Laporan Pengawasan Lanjutan atas auditable unit dengan maturitas manajemen
risiko tinggi.

153
140
 Laporan Pelaporan pelaksanaan fasilitasi manajemen risiko oleh auditor dapat
1 Fasilitasi mengacu pada Standar Audit Intern Pemerintah Indonesia, dan
Peraturan Kepala BPKP Nomor 24 Tahun 2013 tentang Pedoman
Pelaksanaan Control Self Assessment untuk Penilaian Risiko. Tujuan
utama pelaporan fasilitasi adalah untuk merumuskan dan memberikan
informasi mengenai tujuan, risiko dan pengendalian yang sudah ada.
Laporan umumnya disiapkan selama pelaksanaan fasilitasi oleh notulis.
Kesepakatan kelompok terkait tujuan, risiko, rencana tindak, dan lain-lain
dicatat dan disampaikan kepada pimpinan organisasi. Laporan juga
dapat berisi mengenai voting yang diberikan oleh peserta selama
pelaksanaan fasilitasi. Laporan fasilitasi disampaikan dengan segera
setelah fasilitasi kepada pimpinan unit organisasi, sehingga dapat segera
ditindaklanjuti.

a. Isi Laporan
Laporan hasil penilaian risiko sekurang-kurangnya harus berisi
sebagai berikut:

1) Dasar Hukum
Cantumkan dasar hukum berupa peraturan
perundang-undangan yang memberikan kewenangan
APIP untuk melaksanakan tugas fasilitasi.

2) Dasar Penugasan;
Bab ini berisi mengenai dasar pelaksanaan (Surat Tugas,
Kerangka Acuan Kerja, dan seterusnya).
3) Tujuan Kegiatan;
Menjelaskan tujuan kegiatan fasilitasi penilaian risiko di K/L.

4) Ruang lingkup;
Menjelaskan mengenai ruang lingkup kegiatan yang
dibahas dalam fasilitasi.
5) Peserta;
Menjelaskan peserta yang mengikuti kegiatan fasilitasi
meliputi jumlah, latar belakang peserta, dan sebagainya.

6) Metode;
Menjelaskan metode fasilitasi yang digunakan, misalnya dengan
FGD, wawancara, pengisian kuesioner, reviu dokumen, dan
sebagainya. Selain itu, dijelaskan juga mengenai prosedur
pelaksanaan fasilitasi yang telah dilaksanakan dimulai tahap
perencanaan hingga tahap pelaksanaan
7) Hasil Kegiatan;
Menjelaskan hasil kegiatan fasilitasi meliputi daftar risiko
yang telah diidentifikasi, peta risiko, prioritas risiko yang
akan ditangani, dan sebagainya.

154
141
 8) Simpulan;
kesimpulan atas pelaksanaan fasilitasi.

9) Saran dan Rekomendasi;

Menjelaskan saran terkait dengan kegiatan yang akan
dilakukan selanjutnya setelah fasilitasi penilaian risiko.

10) Lampiran;

b. Format Laporan
Format laporan fasilitasi dapat disesuaikan dengan praktik
yang berlaku di K/L, tetapi untuk keseragaman dapat mengacu
pada lampiran nomor 3 Huruf D. Adapun lampiran laporan
fasilitasi, terkait erat dengan lampiran pada Petunjuk
Pelaksanaan Fasilitasi MR. Lampiran ini bersifat opsional,
khususnya pada auditable unit yang telah memiliki pedoman
pelaksanaan MR.

Laporan Pengawasan Pada auditable unit dengan maturitas manajemen risiko

2 Lanjutan atas auditable rendah, pengkomunikasian dan pelaporan atas
unit dengan maturitas pelaksanaan audit konvensional tidak diatur dalam juklak
manajemen risiko ini. APIP bisa langsung merujuk pada SAIPI serta
rendah pedoman lain yang berlaku pada masing-masing
instansi.

Laporan pengawasan Pada auditable unit dengan maturitas manajemen risiko

3 Lanjutan sedang, pengkomunikasian harus memuat audit
atas auditable unit konvensional dan assurance atas efektivitas
dengan maturitas pengendalian sekaligus.
manajemen risiko
sedang

Untuk audit konvensional bisa langsung merujuk pada SAIPI serta pedoman lain yang
berlaku pada masing-masing instansi. Sedangkan, untuk pengkomunikasian
assurance atas efektivitas pengendalian, perlu disampaikan simpulan atas
risiko-risiko yang telah diidentifikasi, dievaluasi, dan dikelola; tingkat pengendalian
untuk mengurangi risiko sampai pada tingkat yang diterima; dan tindakan yang telah
diambil untuk memperbaiki kegagalan atau kelemahan yang signifikan.

a) Ringkasan Eksekutif
Ringkasan Eksekutif meliputi:

1) Pendahuluan wajib berisikan pernyataan bahwa audit dilakukan sesuai

standar. Selain itu, pendahuluan juga menguraikan penjelasan singkat objek
yang diawasi dan alasan dilakukannya pengawasan;
2) Tujuan Obyek pengawasan;

3) Isu-isu yang ditemukan selama proses pengawasan;

155
142
 4) Simpulan pengawasan;
a) Hasil pengawasan konvensional, diisi simpulan fakta pengawasan yang
biasanya menyangkut ketidakefisienan; ketidakefektifan;
pemborosan/ketidakhematan; pengeluaran yang tidak sepatutnya atau
pendapatan/penerimaan yang tidak sebenarnya; ketidaktaatan
terhadap peraturan perundang-undangan.
b) Efektivitas pengendalian, diisi simpulan bahwa secara umum risiko pada
auditable unit telah/sebagian/belum dikelola pada tingkat yang dapat
diterima, dengan mempertimbangkan:
(1) kecukupan rancangan pengendalian dalam mitigasi risiko;
(2) implementasi atas rancangan pengendalian;
c) Hal-hal lain yang perlu diperhatikan
d) Capaian kinerja dan potensi pencapaian kinerja sampai dengan akhir
periode

5) Saran dan Jadwal Tindak Lanjut Pengawasan

b) Uraian Hasil pengawasan akan menjelaskan data umum penugasan dan isu-isu
utama dan tambahan terkait risiko, yaitu sebagai berikut:
1) Data Umum, yang berisikan:
a) Dasar Penugasan
b) Tujuan pengawasan
c) Ruang Lingkup dan Periode pengawasan
d) Batasan Tanggung Jawab
e) Metodologi Pengawasan

2) Uraian Hasil Audit, yang berisikan:

a) Audit Konvensional
(Berisi fakta pengawasan yang biasanya menyangkut hal-hal berikut
(1) Ketidakefisienan;
(2) Ketidakefektifan;
(3) Pemborosan/ketidakhematan;
(4) Pengeluaran yang tidak sepatutnya atau pendapatan/ penerimaan
yang tidak sebenarnya;
(5) Ketidaktaatan terhadap peraturan perundang-undangan)
b) Assurance atas efektivitas pengendalian
(1) Pengujian Rancangan Pengendalian
(2) Pengujian implementasi atas rancangan pengendalian
c) Kesimpulan Hasil Pengawasan
(untuk format laporan yang lebih detail, bisa dilihat pada Lampiran nomor 3
Huruf E)

156
143
 Laporan Setelah pembahasan hasil pengawasan, Auditor Intern
4 Pengawasan menyusun konsep laporan hasil pengawasan. Pokok
Lanjutan atas masalah yang harus disajikan dalam laporan hasil audit,
auditable unit yaitu hasil evaluasi pengendalian risiko yang telah
dengan maturitas dilakukan, apakah sudah sampai pada level yang dapat
manajemen risiko
diterima atau belum dapat diterima.
tinggi
Laporan yang dihasilkan oleh audit intern berbasis
risiko pada dasarnya tidak berbeda dari pengawasan
lainnya, walaupun formatnya mungkin sedikit berbeda.
Format dan isi laporan pengawasan tidak ditentukan
oleh standar, oleh karena itu format dan isi laporan
bisa berbeda-beda antar- pengawasan Intern. Format
laporan yang biasa digunakan dalam pelaporan
pengawasan intern berbasis risiko adalah sebagai
berikut:

a) Ringkasan Eksekutif
Ringkasan Eksekutif meliputi:

1) Pendahuluan wajib berisikan pernyataan bahwa pengawasan

dilakukan sesuai standar. Selain itu, pendahuluan juga menguraikan
penjelasan singkat objek yang diawasi dan alasan dilakukannya
pengawasan;

2) Tujuan proses-proses (bisnis proses) yang sedang diawasi;

3) Isu-isu yang ditemukan selama proses pengawasan;

4) Simpulan yang menyatakan

a) Risiko-risiko telah diidentifikasi, dievaluasi, dan dikelola;
b) Pengujian Rancangan Pengendalian;
c) Pengujian implementasi atas rancangan pengendalian;
d) Tingkat pemantauan saat ini adalah memadai.
e) Ketercapaian kinerja/tujuan interim sampai dengan saat fieldwork

5) Jadwal tindak lanjut hasil pengawasan.

157
144
 Penarikan simpulan sebagaimana pada poin 4) berpedoman pada

Tabel 1: Panduan Penentuan Simpulan Pengawasan

Uraian Telah Belum Sepenuhnya Belum

Syaratnya: Syaratnya: Syaratnya:

Memadainya identifikasi, analisis Auditable unit telah berhasil Masih terdapat risiko signifikan yang Auditable unit belum berhasil
dan evaluasi risiko-risiko signifikan mengidentifikasi seluruh risiko belum diidentifikasi, dievaluasi dan mengidentifikasi, mengevaluasi dan
pada auditable unit signifikan yang mempengaruhi tujuan, dikelola oleh auditable unit mengelola sebagian besar risiko
mengevaluasi, dan mengelolanya signifikan yang mempengaruhi tujuan

Syaratnya: Syaratnya:
Kecukupan Rancangan Pengendalian Syaratnya: Seluruh risiko yang terpilih belum
Sebagian risiko yang terpilih belum
untuk mengurangi risiko sampai level Seluruh risiko yang terpilih sudah memiliki pengendalian/mitigasi yang
memiliki pengendalian/mitigasi yang memiliki pengendalian/mitigasi yang
yang dapat diterima efektif menurunkan risiko sampai level
efektif menurunkan risiko sampai level efektif menurunkan risiko sampai level
yang dapat diterima yang dapat diterima yang dapat diterima

Syaratnya: Syaratnya: Syaratnya:

Efektivitas Implementasi Pada Kertas Kerja Hasil Implementasi pada Kertas Kerja Hasil Implementasi
Rancangan Pengendalian Pada kertas kerja hasil implementasi
pengendalian, tidak ada temuan pada Pengendalian, ada temuan pada Pengendalian, ada temuan pada
seluruh risiko terpilih sebagian risiko terpilih sebagian besar risiko terpilih

Syaratnya: Syaratnya: Syaratnya:

Kecukupan Monitoring, Evaluasi Masih diperlukan pemantauan Pemantauan dan evaluasi atas
Pemantauan dan evaluasi atas
serta Komunikasi dan Konsultasi tambahan atas manajemen risiko manajemen risiko belum sepenuhnya
implementasi MR telah efektif dan
MR dilakukan
dapat dilakukan real time

Syaratnya:
Tujuan/Kinerja interim sampai
KetercapaianTujuan
dengan fieldwork telah tercapai
Syaratnya:
Syaratnya:
Tujuan/Kinerja interim sampai dengan
Tujuan/Kinerja interim sampai
field work tidak tercapai
dengan
field work telah/hampir tercapai,

b) Uraian Hasil Pengawasan akan menjelaskan data umum

penugasan dan isu-isu utama dan tambahan terkait
risiko, yaitu sebagai berikut:
i
1) Data Umum, yang berisikan:
a) Dasar Penugasan
b) Tujuan Pengawasan
c) Ruang Lingkup dan Periode Pengawasan
d) Batasan Tanggung Jawab
e) Metodologi Pengawasan

2) Uraian Hasil Pengawasan, yang berisikan:

a) Isu-isu Utama
Yang dimaksud dengan isu-isu utama adalah risiko signifikan yang
belum cukup dikurangi oleh pengendalian-pengendalian dan
menghambat pencapaian beberapa tujuan.
Pada setiap isu utama yang dilaporkan diuraikan hal-hal berikut:

158
145
 (1) Judul Isu
(2) hasil observasi selama proses pengawasan;
(3) konsekuensi/dampak yang akan ditimbulkan apabila risiko tersebut terjadi;
(4) opsi atau saran untuk mengurangi risiko sampai pada tingkat yang dapat
diterima;
(5) tindakan yang perlu diambil berdasarkan saran yang ada, dengan
menetapkan siapa yang bertanggungjawab dan kapan harus dilaksanakan.

b) Isu-isu Tambahan
Isu tambahan timbul dari risiko melekat yang dalam batas risiko yang
telah ditetapkan (oleh pimpinan instansi) dan oleh karena itu tidak
mempengaruhi pencapaian tujuan utama. Tindakan atas isu-isu ini akan
meningkatkan pengendalian dan efisiensi. Sama dengan bagian isu-isu
utama, bagian isu-isu tambahan ini memerinci semua isu yang ditemukan
dalam audit. Pada setiap isu yang dilaporkan diuraikan observasi,
konsekuensi, dan tindakan yang biasanya disajikan dalam bentuk tabel.

c) Laporan proses-proses, risiko-risiko, dan pengendalian-pengendalian

Laporan ini biasanya disusun dalam bentuk tabel yang memuat proses yang
diawasi, risiko yang terkandung dan pengendalian yang ada. Laporan ini
dikembangkan dari database pengawasan dan panjang laporan bergantung
pada banyaknya proses, risiko, dan pengendaliannya.
Manfaat laporan ini adalah:
(1) Laporan ini menunjukkan pekerjaan yang dilaksanakan oleh
auditor untuk mendukung simpulan auditor. Laporan ini berguna
apabila auditor bekerja untuk jangka waktu lama, misalnya dua
minggu dan mengajukan dua lembar ringkasan eksekutif dengan
simpulan “hijau”.

(2) Laporan ini akan menempatkan risiko pada konteksnya.

Contohnya bila Auditor Intern menemukan dua risiko utama
yang tidak dikendalikan dari 100 risiko lainnya yang dapat
dikendalikan akan memberikan gambaran yang tidak terlalu
negatif. Dalam laporan ringkasan untuk eksekutif akan
disebutkan bahwa 98% risiko dapat dikendalikan dengan baik.

(3) Laporan ini menyajikan proses, risiko, dan pengendalian yang

lengkap kepada manajemen. Oleh karena itu, jika manajemen
akan mengubah sistem mereka, maka mereka dapat
mengetahui bagaimana perubahan itu akan berpengaruh
terhadap risiko residual.

159
146
(format Laporan Hasil Monitoring Tindak Lanjut ada pada Lampiran nomor 3 Huruf F)

Selayang Pandang pengkomunikasian PIBR di negara lain

Auditor Internal s ektor publik di negara maju seperti Amerika Serikat, Australia, Selandia
Baru, dan Inggris telah mengadopsi pengendalian internal berbasis risiko termasuk dalam
pengkomunikasiannya. Berikut adalah contoh identifikasi kesimpulan pada tahap
pengkomunikasian di salah satu negara bagian di Amerika Serikat dan pemerintah lokal
Inggris.

1. Ohio Internal Auditor (Amerika Serikat)

Ohio Internal Auditor (OIA) mengidentifikasi kesimpulan dengan klasifikasi sebagai berikut:

Kesimpulan Keterangan

Kontrol memadai proses dirancang dengan tepat dan / atau beroperasi secara
efektif untuk mengelola risiko. Masalah terkait kontrol mungkin
(well-controlled) ada tetapi kecil.

Kontrol memadai dengan
perbaikan
(well-controlled with
improvement needed)
Butuh perbaikan
(improvement needed)
Dibutuhkan perbaikan besar
(major improvement
needed)
proses memiliki kelemahan desain atau operasi tetapi tidak
mengganggu pencapaian atau tujuan kontrol secara
signifikan.
Kelemahan yang ada dapat menghambat pencapaian satu
atau lebih tujuan pengendalian tetapi tidak mencegah proses
mencapai tujuan keseluruhannya dan dampaknya tidak
tersebar luas.
kelemahan yang ada dapat berpotensi menghambat
pencapaian tujuan secara keseluruhan. Dampak kelemahan
pada manajemen risiko tersebar luas karena jumlah atau sifat
kelemahan.

Selain itu, terkait prioritas pelaporannya, OIA menggunakan klasifikasi sebagai berikut:
Rating Keterangan Level pelaporan
Rendah Hasil observasi mengungkap permasalahan atas Manajemen dan audit
(Low) lembaga yang ditinjau. Hal tersebut juga komite negara bagian tidak
merupakan peluang perbaikan proses perlu dilaporkan
Sedang Hasil observasi mengungkap masalah yang Manajemen dan audit
(Moderate) memiliki dampak moderat secara kelembagaan komite negara bagian
namun tidak untuk secara keseluruhan.
Pengendalian tambahan mungkin ada tetapi tidak
beroperasi seperti yang dirancang. Membutuhkan
perhatian agen jangka pendek
Tinggi Hasil observasi memiliki dampak luas (secara Manajemen dan audit
(High) kelembagaan) dan kemungkinan atau dampak komite negara bagian
material yang ada membutuhkan perhatian dan
perbaikan segera dari lembaga

160
147
2. Worcestershire County Council (Inggris)

Dalam pengkomunikasian pengawasan berbasis risiko, internal auditor menyimpulkan opini

atas tujuan pengendalian (control objectives) menjadi empat jenis, antara lain:

Kesimpulan Keterangan
Keyakinan penuh Keyakinan penuh jika sistem dari pengendalian internal telah
seluruhnya sesuai dengan tujuan organisasi dan telah diterapkan
(Full assurance) secara konsisten.
Keyakinan signifikan Keyakinan signifikan jika desain pengendalian internal secara umum
memadai untuk mencapai tujuan organisasi. Namun, masih terdapat
(Significant assurance) kelemahan dalam desain dan penerapan yang inkonsisten yang
mengancam pencapaian tujuan.
Keyakinan terbatas Keyakinan terbatas jika kelemahan dalam desain pengendalian dan
penerapan yang inkonsisten yang mengancam pencapaian tujuan
(Limited assurance) organisasi pada sebagian area yang direviu.

Tanpa Keyakinan T
Tidak ada keyakinan yang bisa diberikan jika pengendalian internal
pada desain atau operasi organisasi tidak bisa mengatasi kelemahan
(No assurance) pada seluruh area yang direviu.

Selain itu, terkait prioritas pelaporannya, Worcester City Council menggunakan klasifikasi
sebagai berikut:

Rating Keterangan Sifat pelaporan

Rendah Hasil observasi bersifat peningkatan pengendalian optional
(Low) internal
Sedang Hasil observasi penting karena menyediakan Wajib
(Moderate) pengendalian yang memuaskan atas risiko
Tinggi Hasil observasi bersifat wajib (esensial) yang Wajib
(High) menyediakan pengendalian yang memuasakan atas
risiko-risiko

161
148
 F.
bahwa setiap Kementerian/Lembaga

Reviu Konsep
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Kementerian/Lembaga perlu dilaporkan
Laporan Hasil Pengawasan
strategi yang terdiri dari strategi jangka
pendek dan jangka panjang, termasuk

Tim pengawasan intern berbasis risiko yang dilakukan mencakup:

bertanggung jawab atas keakuratan Perencanaan penyusunan laporan hasil
informasi dan kelayakan penyajian laporan pengawasan
audit yang diterbitkan. Tanggung jawab
Sebagai bagian dari proses penugasan audit,
utama untuk mereviu dan memeriksa
tim pengawasan mendiskusikan penyiapan
kualitas laporan hasil pengawasan yang
dan penelaahan laporan secara lebih efisien
akan diterbitkan terletak pada
dan efektif, mencakup hal-hal berikut ini:
penanggung jawab, dan pengendali teknis

Mengomunikasikan ekspektasi atau keinginan khusus dari pengguna laporan

a. terhadap isi laporan, proses penyiapan dan reviu, serta batas waktu penyerahan
laporan dikomunikasikan kepada tim audit.
Mempertimbangkan perubahan ketentuan tentang pelaporan. Suatu daftar tentang
b. perubahan dalam hal teknis harus dibahas untuk mengidentifikasi perubahan yang
berkaitan dengan penugasan pengawasan. Tanggung jawab, bahan acuan, dan waktu
untuk meneliti perubahan tersebut harus ditentukan.

Menentukan tanggung jawab untuk penyiapan, reviu, dan pengetikan konsep laporan.
c. Dalam menyiapkan konsep laporan harus dipertimbangkan pengalaman dari anggota
tim pengawasan yang ditugaskan dan pemahamannya terhadap penugasan yang
bersangkutan. Untuk mendapatkan konsep awal yang bermutu, khususnya untuk
bagian laporan atau pengungkapan yang kompleks, maka lebih efisien jika konsep
awal tersebut disiapkan oleh personel yang lebih berpengalaman (misalnya
pengawas). Penanggung jawab dan pengawas mengomunikasikan secara jelas
ekspektasinya kepada personel yang menyiapkan konsep laporan. Walaupun tim
pengawasan yang mengetik konsep laporan, sebaiknya dipertimbangkan pula untuk
mendapatkan bantuan auditi dalam penyiapan bagian-bagian tertentu dari konsep
laporan.

162
149
 Menentukan batas waktu dan sumber daya yang dibutuhkan. Jadwal mengenai
d. proses penyiapan dan reviu konsep laporan harus disiapkan. Jadwal tersebut
tidak hanya mencantumkan kapan batas akhir penyerahan laporan, tetapi juga
harus mencantumkan tahap-tahap kemajuan dari proses penyiapan dan reviu
konsep laporan. Personel auditi dan auditor yang diperlukan dalam proses
penyiapan dan reviu laporan harus pula dijadwalkan, dengan memerhatikan
tahap-tahap kemajuan proses dan batas akhir penyerahan laporan.

Mereviu kebutuhan informasi. Pastikan bahwa data atau informasi yang

e. disiapkan auditi telah memuat semua informasi yang dibutuhkan untuk
menyusun konsep laporan. Perhatian khusus diberikan untuk memastikan
bahwa kertas kerja telah sesuai dengan laporan, dan data atau informasi yang
disiapkan auditi telah sesuai dengan pengungkapan yang dibuat.

Penyusunan konsep awal laporan yang bermutu

Penyiapan konsep awal laporan yang bermutu merupakan komponen terpenting dari
proses penyiapan dan reviu laporan secara efektif, karena cara ini dapat mencegah
proses reviu yang berkepanjangan dan mengurangi banyaknya perbaikan yang harus
dilakukan.
Faktor penting untuk memperoleh konsep awal laporan yang bermutu antara lain:

Pengalaman personel yang bertanggung jawab untuk menyiapkan konsep

a. laporan. Sebagaimana didiskusikan sebelumnya, perlu dipertimbangkan untuk
menugaskan pengawas dalam menyiapkan konsep awal laporan.

Penggunaan konsep standar. Penggunaan bentuk standar laporan audit dan

b. pengungkapan (yang perlu dimodifikasi hanya jika kondisi auditi amat unik)
akan mengurangi proses awal dan proses selanjutnya dari tugas pengetikan
konsep laporan, serta memudahkan pelaksanaan proses reviu.

Penyiapan format laporan periode sebelumnya untuk digunakan pada periode

c. berjalan. Penyiapan format laporan periode sebelumnya sebaiknya dilakukan
segera setelah dilaksanakannya rapat perencanaan. Dengan demikian, personel
yang menyiapkan konsep laporan memiliki panduan untuk memasukkan
perubahan-perubahan yang diperlukan ke dalam laporan.

163
150
Penyusunan laporan dan pengoreksian revisi yang efisien
Laporan hendaknya disusun di tempat yang dekat dengan data yang diperlukan. Agar
modifikasi dapat dicerminkan secara lebih efisien ke dalam konsep awal laporan, perlu
dipertimbangkan hal-hal berikut ini::

Pertimbangkan waktu pemutakhiran data. Waktu yang tepat untuk mengisi

a. atau merevisi data sebaiknya dilaksanakan sesingkat mungkin.

Selama berlangsungnya penugasan pengawasan, penanggung jawab dan

b. pengawas harus memerhatikan masalah-masalah pengawasan yang
didokumentasikan di dalam dokumen. Penyiapan kalimat laporan secara dini
terhadap masing-masing masalah lebih efisien dibandingkan seandainya hal
tersebut baru dilaksanakan pada saat pelaksanaan reviu laporan secara
menyeluruh.

Reviu yang Terarah dan Efisien

Pertimbangkan hal-hal berikut ini untuk melakukan reviu secara efisen terhadap
konsep laporan hasil pengawasan:

hal yang sama tidak perlu direviu sekaligus oleh penanggung jawab dan
a. pengawas. Namun demikian, paling tidak penanggung jawab harus membaca
laporan pengawasan serta mendiskusikannya dengan tim pengawasan untuk
mengetahui apakah seluruh standar telah dipenuhi.

Jadwalkan reviu secara bersamaan daripada secara berurutan. Suatu

b. pendekatan yang efisien dalam proses reviu mencakup reviu dari penanggung
jawab dan pengawas, serta penyelenggaraan rapat untuk mengonsolidasikan
perubahan yang diusulkan dan mendiskusikan hasil reviu yang saling
bertentangan. Jika konsep laporan memiliki kualitas yang memadai, reviu dari
manajemen dapat dilakukan secara bersamaan. Komunikasi dan diskusi
mengenai hasil reviu yang saling bertentangan dapat mengurangi waktu reviu
dan mengeliminasi waktu yang dibutuhkan untuk memproses hasil reviu yang
saling bertentangan.

Pertegas tanggung jawab dan arahkan proses reviu. Ekspektasi mengenai

c. tanggung jawab Ketua Tim terhadap kelengkapan, akurasi, dan konsistensi
antar komponen laporan harus dikomunikasikan dan dapat diukur secara jelas.
Penanggung jawab dan pengawas mengatur reviu mereka sedemikian rupa
untuk memberi nilai tambah pada proses yang dilakukan, dengan meletakkan
fokus utama pada masalah-masalah pengawasan yang timbul pada periode
berjalan, hal yang dikonsultasikan dengan pihak lain, dan perubahan yang harus
dikomunikasikan kepada manajemen.

164
151
d. Reviu Ketua Tim dan tanggung jawab untuk mengendalikan laporan

e. Sedikitnya Ketua Tim harus bertanggungjawab atas laporan bahwa

pengungkapan telah lengkap dan akurat, serta telah mempertimbangkan saran
modifikasi dari anggota tim, dan pengecualian dalam laporan dan
pengungkapan yang dibutuhkan telah dimasukkan di dalam laporan audit.
Ketua Tim juga bertanggungjawab untuk mengendalikan versi konsep laporan
dan menonjolkan pengecualian dan pengungkapan, serta perubahan lain yang
berasal dari reviu sebelumnya agar reviu penanggungjawab dan pengawas
lebih terarah.

f. Dapatkan dan realisasikan komentar dari proses reviu yang dilakukan

manajemen. Tim pengawasan berusaha untuk memberi auditi suatu konsep
laporan sementara untuk keperluan diskusi pada saat rapat penutupan, yang
dilakukan pada atau sebelum hari terakhir pelaksanaan pekerjaan lapangan.
Batas waktu terakhir untuk mendapatkan komentar auditi dan penjilidan
laporan dikonfirmasi ulang di dalam rapat penutupan.

165
152
 G.
bahwa setiap Kementerian/Lembaga

Penandatanganan
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Laporan Hasil Pengawasan
Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka
pendek dan jangka panjang, termasuk
Laporan pengawasan harus ditandatangani/diterbitkan oleh Inspektur atau Pejabat
Organisasi yang berwenang. Jika pejabat organisasi yang menandatangani laporan
audit bukanlah penanggung jawab penugasan pengawasan yang bersangkutan karena
hal-hal yang berkaitan dengan perizinan, maka personel yang menandatangani laporan
menjadi bertanggungjawab sepenuhnya atas penugasan pengawasan tersebut. Oleh
karena itu, ia harus melakukan prosedur-prosedur yang dianggapnya harus dilakukan
(misalnya: mereviu laporan tersebut, mendiskusikan masalah-masalah yang signifikan
dengan penanggung jawab, dan mereviu kertas kerja) agar memiliki dasar yang kuat
untuk menandatangani laporan.
Berdasarkan hukum, peraturan atau ketentuan profesional yang mengatur profesi
auditor intern, laporan harus ditandatangani oleh seseorang yang memenuhi kualifikasi
dan memiliki izin untuk menandatangani laporan. Lebih lanjut, peraturan yang berlaku
saat ini mengharuskan orang yang menandatangani laporan harus diidentifikasikan
dengan jelas, sehingga orang yang menandatangani laporan memiliki tanggung jawab
pribadi atas penugasan pengawasan yang bersangkutan meskipun ia bukanlah
penanggungjawab dalam penugasan pengawasan tersebut. Jika seseorang yang bukan
penanggung jawab dalam penugasan pengawasan harus menandatangani laporan
karena hal-hal yang telah diuraikan sebelumnya, maka langkah-langkah berikut ini harus
dilakukan:

1. Orang yang menandatangani laporan (atau orang lain yang ditunjuk untuk
mewakili dirinya – lihat butir ketiga di bawah ini) harus mereviu: (a) laporan
auditor dan laporan yang terkait, dan (b) kertas kerja yang terkait apabila
dianggap perlu. Tujuan dari reviu ini adalah untuk mengevaluasi apakah
laporan auditor telah memenuhi segala ketentuan mengenai pelaporan.

2. Penanggung jawab bertanggung jawab untuk: (a) menyediakan waktu yang

cukup bagi personel organisasi yang akan menandatangani laporan untuk
melakukan reviu yang dibutuhkan sebelum laporan diterbitkan, dan (b)
menjawab segala pertanyaan yang timbul dari proses reviu.

3. Jika, berdasarkan alasan apapun, personel yang harus menandatangani laporan

berkeyakinan bahwa ia tidak dapat menerima tanggung jawab sebagaimana
diuraikan di atas, pimpinan organisasi harus dimintai konsultasi sehingga jalan
keluarnya dapat segera diambil. Jalan keluar tersebut dapat berupa penggantian
orang yang ditugaskan menandatangani laporan, atau penugasan seorang
penanggung jawab yang tidak terlibat dalam penugasan pengawasan tersebut
untuk melakukan reviu demi kepentingan personel yang menandatangani
laporan. Penanggung jawab dalam penugasan pengawasan, wajib memastikan
bahwa pengawasan dilaksanakan sesuai dengan ketentuan yang terdapat di
dalam Standar Praktik Pengawasan Intern.

166
153
 H. Pendistribusian
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Laporan Hasil Pengawasan
Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka

Standar Komunikasi 4060 – Pendistribusian Hasil Pengawasan Intern, menyatakan

bahwa auditor harus mengomunikasikan dan mendistribusikan hasil penugasan
pengawasan intern kepada pihak yang tepat, sesuai dengan ketentuan peraturan
perundang-undangan.
Pengkomunikasian hasil penugasan pengawasan intern harus dilaksanakan tepat
waktu kepada pemberi tugas dan pihak yang berkepentingan, sesuai dengan
ketentuan peraturan perundang-undangan. Namun, dalam hal yang diawasi
merupakan rahasia negara, maka untuk tujuan keamanan atau dilarang disampaikan
kepada pihak-pihak tertentu atas dasar ketentuan peraturan perundang-undangan,
auditor dapat membatasi pendistribusian hasil pengawasan. Apabila suatu
pengawasan dihentikan sebelum berakhir, tetapi auditor tidak mengeluarkan
laporan hasil pengawasan, maka auditor harus membuat catatan yang
mengikhtisarkan hasil pengawasannya sampai tanggal penghentian dan
menjelaskan alasan penghentian pengawasan tersebut. Auditor juga harus
mengomunikasikan secara tertulis alasan penghentian pengawasan tersebut kepada
auditi dan pejabat lain yang berwenang.
Ketepatan pendistribusian suatu hasil pengawasan merupakan kunci utama
kemanfaatan suatu proses audit. Kita dapat membayangkan suatu proses
pengawasan telah dilaksanakan dengan sebaik-baiknya, mulai saat perencanaan
awal hingga pelaksanaan dilapangan, serta penyajian laporan hasil pengawasan.
Namun, pada saat pendistribusian mengalami suatu kendala misalnya, waktu, pihak
yang menerima, serta cara penyampaian, maka tiadalah artinya kerja keras dari
rencana hingga pelaporan. Untuk itu, pendistribusian Laporan Hasil Pengawasan
pun harus direncanakan dari awal.
Sebelum dimulainya penugasan pengawasan, harus sudah diketahui secara pasti
kemana laporan tersebut akan didistribusikan. Dengan mengetahui secara dini
kemana Laporan Hasil Pengawasan tersebut akan dikirim, maka akan diketahui pula
siapa pemakai laporan tersebut. Perlunya diketahui pemakai laporan bermanfaat
untuk menentukan permasalahan apa yang perlu disajikan, sejauh mana suatu
permasalahan diungkapkan, serta kapan laporan itu harus sampai ke tangan
pemakai laporan.
Dalam hubungannya dengan pendistribusian, Laporan Hasil Pengawasan Intern
Berbasis Risiko sebenarnya lebih banyak diperlukan oleh pihak intern dalam rangka
pengungkapan atas risiko-risiko yang dihadapi oleh auditi.
Laporan hasil pengawasan berguna bagi manajemen untuk mengambil
langkah-langkah antisipasi terhadap risiko-risiko yang dipandang cukup signifikan
dan perbaikan-perbaikan strategi atau perubahan strategi atas kejadian atau kondisi
yang memang sudah terjadi dalam rangka menghindari kejadian tersebut akan
terulang kembali, dan tidak kalah pentingnya adalah pengembangan pengelolaan
risiko atas sistem manajemen risiko yang sudah dijalankan oleh auditi.

167
154
 1. Siapa yang Membutuhkan Laporan Hasil Pengawasan

Guna memperoleh gambaran yang jelas mengenai siapa yang membutuhkan

Laporan Hasil Pengawasan, perlu melihat relevansi dari isi laporan tersebut.
Dalam hubungannya dengan materi yang bersifat strategis, pihak manajemen
tingkat ataslah yang paling membutuhkan laporan tersebut, sedangkan untuk
materi yang sifatnya operasional maka manajemen tingkat menengah,
sedangkan untuk hal-hal yang sifatnya teknis, tentu staf pelaksanalah yang
paling berkepentingan.
Namun, dalam praktiknya masing-masing organisasi punya kebijakan sendiri,
sehingga hal-hal diatas mungkin dapat berubah sesuai dengan kebijakan yang
ada dan tujuan dari audit tersebut. Secara umum, pihak yang membutuhkan
laporan adalah:

a) Manajemen Tingkat Atas – Pimpinan Unit eselon II;

b) Manajemen Tingkat Menengah (Risk Taking Unit) – Pimpinan Unit eselon III/IV;

c) Sebagian Pelaksana yang secara langsung terkait; dan

d) Pihak luar yang memang memerlukan dan kompeten.

2. Kapan Laporan Harus Didistribusikan

Setelah kita mengetahui siapa yang memerlukan laporan tersebut, selanjutnya

harus menentukan kapan suatu laporan harus sampai kepada pemakainya.
Untuk menentukan kapan suatu laporan harus disitribusikan, harus juga
diketahui isi materi laporan, kapan laporan harus digunakan,dan kira-kira
memakan waktu berapa lama tindakan tersebut harus dilaksanakan. Sebagai
contoh, materi yang berisi hal-hal yang sifatnya harus cepat diambil tindakan,
maka perlu secepatnya laporan sampai kepada pihak yang terkait (laporan
secara lisan atau bentuk surat yang dapat cepat sampai). Dalam hal lain, untuk
materi laporan yang sifatnya perlu tindakan dalam jangka panjang, maka
laporan harus disampaikan menunggu sampai saat pemeriksaan berakhir (dalam
bentuk laporan final).

168
155
 I. Tindak Lanjut
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Laporan Hasil Pengawasan
Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka

Tindak lanjut hasil pengawasan merupakan bentuk monitoring yang melekat pada
tiap organisasi. Auditor diharuskan memantau dan mendorong tindak lanjut atas
simpulan, fakta, dan rekomendasi pengawasan berdasarkan SAIPI. Lebih lanjut
dijelaskan bahwa auditor harus mendokumentasikan fakta untuk keperluan
pemantauan tindak lanjut dan memutakhirkan fakta sesuai dengan informasi tentang
tindak lanjut yang telah dilaksanakan auditi. Pemantauan dan penilaian tindak lanjut
bertujuan untuk memastikan bahwa tindakan yang tepat telah dilaksanakan oleh
auditi sesuai dengan rekomendasi yang diberikan. Manfaat pengawasan intern tidak
hanya terletak pada banyaknya fakta yang dilaporkan, namun juga terletak pada
efektivitas tindak lanjut rekomendasi tersebut. Rekomendasi yang tidak ditindaklanjuti
dapat merupakan indikasi lemahnya pengendalian auditi dalam mengelola sumber
daya yang diserahkan kepadanya.
Apabila auditi telah menindaklanjuti rekomendasi dengan cara yang berlainan dengan
rekomendasi yang diberikan, auditor harus menilai efektivitas penyelesaian tindak
lanjut tersebut. Auditor tidak harus memaksakan rekomendasinya ditindaklanjuti,
namun harus dapat menerima langkah lain yang ternyata lebih efektif. Pada saat
pelaksanaan kegiatan pengawasan intern, auditor harus memeriksa tindak lanjut atas
rekomendasi pengawasan intern sebelumnya. Apabila terdapat rekomendasi yang
belum ditindaklanjuti, auditor harus memperoleh penjelasan yang cukup penyebab
rekomendasi belum dilaksanakan, dan selanjutnya auditor wajib mempertimbangkan
kejadian tersebut dalam program kerja penugasan yang akan disusun. Demikian pula
terhadap tindak lanjut yang sudah dilaksanakan, harus pula menjadi perhatian dalam
penyusunan program kerja penugasan.
Selain itu, dalam Standar Internasional Praktik Profesional Audit Intern 2017, paragraf
2500:A1 – Pemantauan Perkembangan, disebutkan bahwa Kepala audit intern harus
menetapkan proses tindak lanjut untuk memantau dan memastikan bahwa
manajemen senior telah melaksanakan tindakan perbaikan secara efektif, atau
menerima risiko untuk tidak melaksanakan tindakan perbaikan.
Jika dalam laporannya auditor menyimpulkan kondisi yang tidak dapat diterima
(unacceptable) atau isu (issues), yaitu yang mempunyai kode warna merah dan
kuning, maka auditor intern diwajibkan melakukan monitoring tindak lanjut. Monitoring
ini ditujukan terhadap pelaksanaan tindakan yang diambil oleh manajemen sebagai
tindak lanjut laporan pengawasan yang telah diterbitkan. Pada saat penerbitan
laporan, auditor dan manajemen telah menyepakati bahwa manajemen akan
mengambil tindakan sebagaimana yang disarankan oleh auditor. Dengan demikian,
tujuan monitoring ini adalah untuk memastikan bahwa manajemen atau pejabat yang
bertanggung jawab telah melaksanakan tindak lanjut sebagaimana yang disarankan
oleh auditor dan pada waktu yang disepakati.

169
156
Agar mencapai tujuan yang telah ditetapkan, maka pelaksanaan tindak lanjut
harus memerhatikan hal-hal berikut ini:

1. Monitoring tindak lanjut harus dilaksanakan terhadap simpulan yang

berwarna merah atau kuning tua;

2. Monitoring harus dilaksanakan sampai semua simpulan menunjukkan warna

hijau atau auditor intern puas bahwa manajemen mungkin menerima
risiko-risiko jika tidak mengambil tindakan;

3. Jika, setelah adanya persetujuan untuk mengambil tindakan sebagaimana

dilaporkan, pimpinan unit kerja kemudian memutuskan untuk tidak
mengambil tindakan, tetapi akan menerima risiko residual yang lebih besar
dari batas risiko yang dapat diterima oleh organisasi, auditor intern harus
mendiskusikannya dengan manajemen senior yang relevan. Jika hal ini tidak
terealisasikan, maka masalah ini akan diteruskan kepada pimpinan
organisasi.

Sebelum melakukan monitoring tindak lanjut, auditor intern harus memberitahu

manajemen, melalui surat,bahwa monitoring tindak lanjut akan dilaksanakan, kira-kira
2 (dua) minggu sebelum pelaksanaan audit.
Pelaksanaan pengawasan tindak lanjut seharusnya sesuai dengan tanggal yang
tercantum pada laporan final. Jika tidak memungkinkan, auditor intern harus
menginformasikannya kepada semua pihak yang terpengaruh, beserta alasan
penundaannya.

170
157
 Jika manajemen menyelenggarakan pertemuan teratur, auditor intern dapat
mendorong mereka untuk mengagendakan kemajuan tindak lanjut ini. Dengan
cara ini diharapkan mereka akan selalu diingatkan untuk melaksanakan tindak
lanjut sampai semua isu telah menjadi “hijau”.
Setelah melaksanakan monitoring tindak lanjut, auditor intern menerbitkan
laporan tindak lanjut. Laporan ini biasanya berbentuk surat yang menunjukkan
tindakan-tindakan yang telah diambil manajemen atas isu-isu yang disampaikan
auditor intern dalam laporan pengawasan, serta pemutakhiran simpulan.
Laporan tersebut juga dilampiri dengan ringkasan tindakan yang telah diambil
oleh manajemen.

Isi laporan tindak lanjut adalah sebagai berikut:

1. Pendahuluan
Bagian ini mengindikasikan tindak lanjut yang ke berapa, yang dilaporkan sejak
penerbitan laporan. Selain itu, auditor akan mengungkapkan tindakan-tindakan
yang telah diambil oleh manajemen sejak penerbitan laporan.

Simpulan
2. Bagian ini memuat simpulan auditor dengan membandingkan antara
simpulan yang diberikan pada laporan final dengan simpulan setelah
pengawasan tindak lanjut. Simpulan diberikan dalam bentuk tabel. Setelah
simpulan dalam bentuk tabel, auditor membuat simpulan secara
keseluruhan atas tindakan yang telah diambil. Jika belum semua isu
menunjukkan hijau, maka auditor akan menjelaskan jadwal pengawasan
tindak lanjut berikutnya.

(format Laporan Hasil Monitoring Tindak Lanjut ada pada Lampiran nomor 3
Huruf G)

171
158
 J. Pendokumentasian
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Tahap Pengkomunikasan
Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka
Hasil Pengawasan
Pendokumentasian pelaksanaan tahapan pelaporan hasil pengawasan intern
berbasis risiko tidak bisa lepas dari Petunjuk Pelaksanaan PIBR. Adapun
dokumentasi pada tahap pengkomunikasian terdiri dari:

1. Kertas Kerja Simpulan Awal Hasil Pengawasan;

(Sesuai Lampiran nomor 3 Huruf A Formulir Simpulan Awal Hasil

Pengawasan dan kertas kerja pendukung yang dimuat pada Petunjuk
Pelaksanaan PIBR)

Kertas Kerja Pengujian Kesesuaian Implementasi Pengendalian dengan

2. Rancangan;

(Sesuai Lampiran nomor 3 Huruf B Pengujian Kesesuaian Implementasi

Pengendalian dengan Rancangan dan kertas kerja pendukung yang dimuat
pada Petunjuk Pelaksanaan PIBR)

3. Kertas Kerja Simpulan Umum Pengawasan Intern Berbasis Risiko;

(Sesuai Lampiran nomor 3 Huruf C Simpulan Umum Pengawasan Intern

Berbasis Risiko dan kertas kerja pendukung yang dimuat pada Petunjuk
Pelaksanaan PIBR)

4. Format Laporan Hasil Pengawasan.

(Sesuai Lampiran nomor 3 Huruf E dan F tentang Format Laporan Hasil

Pengawasan)

5. Laporan Hasil Monitoring Tindak Lanjut.

(Sesuai Lampiran nomor 3 Huruf G tentang Format Laporan Hasil

Monitoring Tindak Lanjut)

172
159
 LAMPIRAN
PETUNJUK TAHAPAN FASILITASI
MANAJEMEN RISIKO

173
 -154-

Lampiran Petunjuk Pelaksanaan Nomor 1

FORMULIR TAHAPAN FASILITASI MANAJEMEN RISIKO

A. Daftar Kode Risiko

Tujuan: Daftar kode risiko ditetapkan untuk memudahkan manajemen

dalam mengidentifikasi dan melacak risiko dalam risk register berdasarkan
lingkup risiko, tahun identifikasi, kategori risiko, unit kerja yang menilai,
dan nomor urut di risk register
CONTOH DAFTAR KODE RISIKO
Nomor urut di
Unit Kerja yang
Lingkup Risiko Tahun Kategori Risiko Risk Register Kode Risiko
Menilai
Identifikasi Unit Kerja Gabungan
RSI 19 03 01 01 RSI.19.03.01.01
RSU 19 07 05 01 RSU.19.07.05.01
ROU 19 08 02 01 ROU.19.08.02.01

Lingkup Risiko, terdiri dari 3 huruf sebagai

berikut
RSI Risiko Strategis Instansi
RSU Risiko Strategis Unit Kerja
ROU Risiko Operasional Unit Kerja

Tahun Identifikasi merupakan tahun pada saat risiko bersangkutan pertama kali teridentifikasi
Kategori Risiko, terdiri dari 2 digit angka sebagai
berikut:
01 Risiko keuangan negara dan kekayaan Negara
02 Risiko kebijakan
03 Risiko reputasi
04 Risiko fraud
05 Risiko legal/hokum
06 Risiko kepatuhan
07 Risiko gangguan terhadap pelayanan
08 Risiko kinerja
09 Risiko proses bisnis
10 Risiko keselamatan kerja

Unit Kerja yang menilai terdiri dari 2 angka sebagai

berikut:
01 K/L/Pemda
02 Sekjen/Sestama/Sekda
03 Irjen/Irtama/Irda
04 Unit Kerja A
05 Unit Kerja B
06 dst

174
161
 -155-

B. Penetapan Konteks Risiko Strategis Instansi

Tujuan: memastikan bahwa manajemen menetapkan tujuan/sasaran strategis
instansi yang hendak dicapai sebagai dasar dalam identifikasi risiko dalam
lingkup Risiko Strategis Instansi (RSI)
CONTOH PENETAPAN KONTEKS RISIKO STRATEGIS INSTANSI

Nama Instansi :
Tahun Penilaian :
Periode yang :
dinilai :
Urusan Pemerintahan
Sumber Data : Renstra Instansi (K/L)
Unit Kerja Koordinator :

Unit Kerja Pendukung

Misi Renstra yang

terkait dengan urusan
Tujuan Renstra yang
terkait dengan urusan
1
Sasaran Renstra terkait
2
dengan urusan
3
IKU Sasaran Renstra

No IKU Target 2023

1.1
1.2
1.3
1.4
1.5

Sasaran/IKU yang Sasaran 2:

akan dinilai risikonya IKU:

Dst

Kementerian A, ....... Desember 2019

Menteri/Kepala

........................

175
162
 -156-

C. Penetapan Konteks Risiko Strategis Unit Kerja

Tujuan: memastikan bahwa unit kerja menetapkan tujuan/sasaran strategis
unit kerja yang hendak dicapai sebagai dasar dalam identifikasi risiko dalam
lingkup Risiko Strategis Unit kerja (RSU)
Contoh Penetapan Konteks Risiko Strategis Unit kerja

Nama Instansi : Kement erian A

Tahun Penilaian : 2019
Periode yang : Periode Renstr (Misal 2019-2023)
dinilai :
Urusan : a
Pemerintahan Unit :
kerja yang dinilai
Peran Unit Kerja
Sumber data Renstra Unit Kerja
U
1.

2.
Tujuan Strategis
3.

4.

1.

2
Sasaran Strategis 3
4

No IKSS Target 2023

IKSS Renstra Unit Kerja 1

Informasi Lain -

Kota XYZ, ....... Desember 2019

Deputi/Direktur ABC

...........................

176
163
 -157-

D. Penetapan Konteks Risiko Operasional Unit Kerja

Tujuan: memastikan bahwa manajemen menetapkan tujuan/sasaran
operasional unit kerja yang hendak dicapai sebagai dasar dalam identifikasi
risiko dalam lingkup Risiko Operasional Unit kerja (ROU)
Contoh Penetapan Konteks Risiko Operasional Unit Kerja DirektoratABC

Nama Instansi : Kementerian A

Tahun Penilaian : 2019
Periode yang dinilai : Periode Renstra (Misal 2019-
2023) Urusan Pemerintahan : Urusan …..
Unit kerja yang dinilai : Deputi/Direktorat …..
Peran Unit Kerja : Unit Kerja Koordinator
Sumber data Renja/RKA/Perkin Unit Kerja
1
Sasaran Kegiatan 2
3

No IKK Satuan Target 2019

IKK Renja Unit Kerja 1

Informasi Lain -

Kota XYZ, ....... Desember 2019

Deputi/Direktur ABC

...........................

177
164
 -158-

E. Rekapitulasi Temuan APIP

Tujuan: Memastikan bahwa temuan Irjen/Irtama/Inspektorat, Pemberitaan
Media Massa, dan Pengaduan terkait kelemahan sub unsur SPIP
diakomodir/dimasukan dalam risk register
Contoh Rekapitulasi Temuan Irjen/Irtama/Inspektorat, Pemberitaan

Media Massa dan Pengaduan di Kementerian A

Nama Instansi : Kementerian A

Tahun Penilaian : 2019
Periode yang dinilai : 2019
Urusan Pemerintahan :

No. Sumber data Uraian Kelemahan Klasifikasi Sub Unsur SPIP

a b c d
LHA Irjen No. Xxx Pengendalian fisik atas aset
tanggal xxx
1 tentang Audit
Kinerja pada

2 Media massa Otorisasi atas transaksi dan kejadian penting

3 Laporan Whistle Integritas dan nilai etika

Blowing System
Nomor
C

Keterangan:
Kolom a diisi dengan nomor urut
Kolom b diisi dengan sumber data
Kolom c diisi dengan uraian kelemahan
Kolom d diisi dengan klasifikasi sub unsur SPIP terkait

178
165
 -159-

F. Formulir Identifikasi Risiko

Tujuan: Memastikan bahwa seluruh Risiko Strategis Instansi terutama risiko yang signifikan telah teridentifikasi

Contoh Formulir Kertas Kerja Identifikasi Risiko Strategis Kementerian A

Nama Instansi : Kementerian A

Tahun Penilaian : 2019
Periode yang dinilai : Periode Renstra (Misal 2019-2023)
Urusan Pemerintahan : Urusan
Konteks Risiko Dampak
Kode Risiko
No Tingka Tahun Katego No. Urut Pemilik Pihak yang
Sasaran Strategis Indikator Kegiatan Uraian Peristiwa Risiko Sumber Unit Kerja Kode Uraian Kategori Dampak
Kinerja t Identif ri pada Risk Risiko Terkena
yang Risiko
Risiko i kasi Risiko Register
Menilai Gabungan
a b c d e f g h i j k l m n 0 p
A. Sasaran Strategis 1:
Sasaran 1: RSI 19 08 03 01 RSI19.08.03 Kementerian Instansi dan
. A Masyarakat
01
RSI 19 08 03 02 RSI19.08.03 Kementeria Instansi dan
. n
RSI 19 08 03 03 RSI19.08.03 Kementerian Instansi dan
. A Masyarakat
03

Sasaran 2: Dst
Dst
Sasaran 3: Dst
Dst
Kota XYZ, Desember 2019 Menteri A

...........................

Keterangan:
Kolom a diisi dengan nomor urut
Kolom b diisi dengan sasaran strategis sebagaimana tercantum dalam Renstra
Kolom c diisi dengan indikator kinerja sasaran strategis
Kolom d diisi dengan kegiatan yang dilaksanakan untuk mencapai indikator kinerja sasaran
strategis
Kolom e diisi dengan uraian peristiwa yang merupakan risiko
Kolom f diisi dengan sumber risiko (internal/eksternal)
Kolom g diisi dengan kode risiko khususnya tingkat risiko
Kolom h diisi dengan kode risiko, khususnya tahun identifikasi, merupakan tahun pada saat risiko
bersangkutan pertama kali teridentifikasi
Kolom i diisi dengan kode risiko khususnya kategori risiko
Kolom j diisi dengan kode risiko khususnya unit kerja yang menilai risiko
Kolom k diisi dengan kode risiko khususnya nomor urut pada risk register unit kerja
bersangkutan
Kolom l diisi dengan kode risiko gabungan
Kolom m diisi dengan pemilik risiko
Kolom n diisi dengan uraian dampak/potensi kerugian apabila risiko terjadi
Kolom o diisi dengan kategori dampak
Kolom p diisi dengan pihak/unit yang menderita/terkena dampak jika risiko benar-benar terjadi

179
166
 -160-

G. Formulir Identifikasi Risiko Strategis Unit Kerja

167
180
Tujuan: Memastikan bahwa seluruh risiko strategis unit kerja terutama risiko yang signifikan telah teridentifikasi
Contoh Formulir Kertas Kerja Identifikasi Risiko Strategis Unit Kerja
Nama Unit Kerja : Deputi/Direktur
Tahun Penilaian : 2019
Periode yang dinilai : Periode Renstra (Misal 2019-2023)
Urusan Pemerintahan: Urusan
Konteks Risiko Dampak
Kode Risiko
No Tingka Tahun Katego No. Urut Pemilik Pihak yang
Sasaran Strategis Indikator Kegiatan Uraian Peristiwa Risiko Sumber Unit Kerja Kode Uraian Kategori Dampak
Kinerja t Identif ri pada Risk Risiko Terkena
yang Risiko
Risiko i kasi Risiko Register
Menilai Gabungan
a b c d e f g h i j k l m n 0 p
A. Sasaran Strategis 1:
Sasaran 1: RSU 19 08 02 01 RSU19.08.0 Kedeputian/ Instansi dan
2 D Masyarakat
.01 irektorat
RSU 19 08 02 02 RSU19.08.0 Kedeputian/ Instansi dan
2 D
RSU 19 08 02 03 RSU19.08.0 Kedeputian/ Instansi dan
2 D Masyarakat
.03 irektorat

Sasaran 2: Dst
Dst
Sasaran 3: Dst
Dst
Kota XYZ, Desember 2019 Deputi/Direktur A

...........................

Keterangan

Kolom a diisi dengan nomor urut Kolom i diisi dengan kode risiko khususnya kategori risiko
Kolom b diisi dengan sasaran strategis sebagai mana tercantum dalam Renstra Kolom j diisi dengan kode risiko khususnya unit kerja yang menilai risiko
Kolom c diisi dengan indikator kinerja sasaran strategis Kolom k diisi dengan kode risiko khususnya nomor urut pada risk register unit kerja bersangkutan
Kolom d diisi dengan kegiatan yang dilaksanakan untuk mencapai indikator kinerja sasaran strategis Kolom l diisi dengan kode risiko gabungan
Kolom e diisi dengan uraian peristiwa yang merupakan risiko Kolom m diisi dengan pemilik risiko
Kolom f diisi dengan sumber risiko (internal/eksternal) Kolom n diisi dengan uraian dampak/potensi kerugian apabila risiko terjadi
Kolom g diisi dengan kode risiko khususnya tingkat risiko Kolom o diisi dengan kategori dampak
Kolom h diisi dengan kode risiko, khususnya tahun identifikasi, merupakan tahun pada saat risiko bersangkutan Kolom p diisi dengan pihak/unit yang menderita/terkena dampak jika risiko benar-benar terjadi
pertama kali teridentifikasi
 -161-

H. Formulir Identifikasi Risiko Operasional Unit Kerja

Tujuan: Memastikan bahwa seluruh risiko operasional unit kerja terutama risiko yang signifikan telah teridentifikasi
Contoh Formulir Kertas Kerja Identifikasi Risiko Operasional Unit Kerja

Nama Unit Kerja : Deputi/Direktur

Tahun Penilaian : 2019
Periode yang dinilai : 2019
Urusan Pemerintahan : Urusan

Konteks Risiko Dampak

Kode Risiko
No Tingka Tahun Katego No. Urut Pemilik Pihak yang
Sasaran Program/Kegiatan Indikator Kinerja Kegiatan Uraian Peristiwa Risiko Sumber Unit Kerja Kode Risiko Risiko Uraian Kategori Dampak
t Identifi ri pada Risk Terkena
yang Menilai Gabungan
Risiko kasi Risiko Register
a b c d e f g h i j k l m n 0 p
A.
Sasaran Program/Kegiatan 1:
Sasaran 1: ROU 19 08 02 01 ROU19.08.02 Kedeputian/D Instansi dan
.01 irektorat Masyarakat
ROU 19 08 02 02 ROU19.08.02 Kedeputian/D Instansi dan
ROU 19 08 02 03 ROU19.08.02 Kedeputian/D Instansi dan
.03 irektorat Masyarakat

Sasaran 2: Dst
Dst
Sasaran 3: Dst
Dst
Kota XYZ, Desember 2019 Deputi/Direktur A

...........................

Keterangan:

Kolom a diisi dengan nomor urut
Kolom b diisi dengan sasaran program/kegiatan sebagai mana tercantum dalam Renja/Perkin
Kolom c diisi dengan indikator kinerja sasaran strategis
Kolom d diisi dengan kegiatan yang dilaksanakan untuk mencapai indikator kinerja sasaran strategis
Kolom e diisi dengan uraian peristiwa yang merupakan risiko
Kolom f diisi dengan sumber risiko (internal/eksternal) Kolom g diisi dengan kode risiko khususnya tingkat risiko
Kolom h diisi dengan kode risiko, khususnya tahun identifikasi, merupakan tahun pada saat risiko bersangkutan
pertama kali teridentifikasi
Kolom i diisi dengan kode risiko khususnya kategori risiko
Kolom j diisi dengan kode risiko khususnya unit kerja yang menilai risiko
Kolom k diisi dengan kode risiko khususnya nomor urut pada risk register unit kerja bersangkutan
Kolom l diisi dengan kode risiko gabungan
Kolom m diisi dengan pemilik risiko
Kolom n diisi dengan uraian dampak/potensi kerugian apabila risiko terjadi
Kolom o diisi dengan kategori dampak
Kolom p diisi dengan pihak/unit yang menderita/terkena dampak jika risiko benar-benar terjadi

181
168
 -162-

I. Skala dan Kriteria atas Kemungkinan Terjadinya Risiko (Likelihood)

Tujuan: memastikan bahwa level kemungkinan dalam skala likert, kriteria
kemungkinan (baik presentase kemungkinan, maupun jumlah frekuensi
kemungkinan terjadinya risiko dalam 1 periode), dan definisi kriteria
kemungkinan pada tiap level kemungkinan telah ditetapkan secara kuantitatif

CONTOH SKALA DAN KRITERIA ATAS KEMUNGKINAN TERJADINYA RISIKO (LIKELIHOOD)

Kriteria Kemungkinan
Level Kemungkinan Persentase kemungkinan Jumlah frekuensi kemungkinan
terjadinya dalam 1 periode terjadinya
dalam 1 periode
Hampir tidak terjadi (1) x ≤ 5% sangat jarang: < 2 kali dalam 1 tahun
Jarang terjadi (2) 5% < x ≤ 10% Jarang: 2 kali s.d. 5 kali dalam 1 tahun
Kadang terjadi (3) 10% < x ≤ 20% cukup sering: 6 s.d. 9 kali dalam 1 tahun
Sering terjadi (4) 20% < x ≤ 50% Sering: 10 kali s.d. 12 kali dalam 1 tahun
Hampir pasti terjadi (5) x > 50% sangat sering: > 12 kali dalam 1 tahun

182
169
 -163-

J. Skala dan Kriteria atas Dampak Terjadinya Risiko

Tujuan: memastikan bahwa level dampak dalam skala likert, area dampak, dan definisi area dampak pada tiap level
dampak dan level unit kerja telah ditetapkan secara kuantitaif

CONTOH SKALA DAN KRITERIA ATAS DAMPAK TERJADINYA RISIKO

Level Dampak
NO Area Dampak Level Unit Kerja
Tidak Signifikan (1) Minor (2) Moderat (3) Signifikan (4) Sangat Signifikan (5)
1 Kepala K/L/Pemda
- - - Rp 100 juta ≤ x ≤ Rp 1 M x ≥ Rp 1M

Es.I
- - - Rp 10 juta ≤ x < Rp 100 x ≥ Rp 100 juta
Fraud juta
Beban Es.II
Keuangan - - - Rp 1 juta ≤ x < Rp 10 juta x ≥ Rp 10 juta
Negara
Es.III
- - - x < Rp 1 juta x ≥ Rp 1 juta

Kepala K/L/Pemda,
Non Fraud (Anggaran) Es.I, Es.II, Es.III ≤0,001% >0,001% - 0,01 >0,01% - 0,1% >0,1% - 1% > 1%

2 Kepala K/L/Pemda dan Jumlah keluhan
Es.I stakeholder
Jumlah (lisan/tertulis) ≤ 10
Keluhan/Pemberitaan
Jumlah keluhan
negatif
Es.II dan Es.III stakeholder
(lisan/tertulis) ≤ 3
Kepala K/L/Pemda dan Tingkat kepuasan
Es.I pengguna layanan (hasil
survei) sebesar 4,5 < x ≤
5 (skala 5)
Tingkat Kepuasan
Penurunan Tingkat kepuasan
Reputasi pengguna layanan (hasil
Es.II dan Es.III survei) sebesar 4,5 < x ≤
5 (skala 5)
Kepala K/L/Pemda dan Tingkat kepercayaan
Es.I stakeholder (hasil survei)
sebesar 4,5 < x ≤ 5
(skala 5)
Tingkat Kepercayaan
Tingkat kepercayaan
stakeholder (hasil survei)
Es.II dan Es.III sebesar 4,5 < x ≤ 5
(skala 5)
Jumlah keluhan
stakeholder (lisan/tertulis)
> 10
Jumlah keluhan
stakeholder (lisan/tertulis)
3 s.d 5
Tingkat kepuasan
pengguna layanan (hasil
survei) sebesar 4,25 < x ≤
4,5 (skala 5)
Tingkat kepuasan
pengguna layanan (hasil
survei) sebesar 4,25 < x ≤
4,5 (skala 5)
Tingkat kepercayaan
stakeholder (hasil survei)
sebesar 4,25 < x ≤ 4,5
(skala 5)
Tingkat kepercayaan
stakeholder (hasil survei)
sebesar 4,25 < x ≤ 4,5
(skala 5)
Pemberitaan negatif di Pemberitaan negatif di Pemberitaan negatif di media
media sosial yang sesuai media massa lokal massa nasional dan
fakta internasional
Pemberitaan negatif di Pemberitaan negatif di Pemberitaan negatif di media
media sosial yang sesuai media massa lokal massa nasional dan
fakta internasional
Tingkat kepuasan Tingkat kepuasan Tingkat kepuasan pengguna
pengguna layanan pengguna layanan (hasil layanan (hasil survei) ≤ 3,5
(hasil survei) sebesar 4 survei) sebesar 3,5 < x ≤ 4 (skala 5)
< x ≤ 4,25 (skala 5) (skala 5)
Tingkat kepuasan Tingkat kepuasan Tingkat kepuasan pengguna
pengguna layanan pengguna layanan (hasil layanan (hasil survei) ≤ 3,5
(hasil survei) sebesar 4 survei) sebesar 3,5 < x ≤ 4 (skala 5)
< x ≤ 4,25 (skala 5) (skala 5)
Tingkat kepercayaan Tingkat kepercayaan Tingkat kepercayaan
stakeholder (hasil stakeholder (hasil survei) stakeholder (hasil survei) ≤ 3,5
survei) sebesar 4 < x ≤ sebesar 3,5 < x ≤ 4 (skala (skala 5)
4,25 (skala 5) 5)
Tingkat kepercayaan Tingkat kepercayaan Tingkat kepercayaan
stakeholder (hasil stakeholder (hasil survei) stakeholder (hasil survei) ≤ 3,5
survei) sebesar 4 < x ≤ sebesar 3,5 < x ≤ 4 (skala (skala 5)
4,25 (skala 5) 5)

183
170
 -164-

Level Dampak
NO Area Dampak Level Unit Kerja
Tidak Signifikan (1) Minor (2) Moderat (3) Signifikan (4) Sangat Signifikan (5)

184
171
3 Sanksi pidana, perdata, dan/ atau Kepala K/L/Pemda Administratif: tergugat *Pidana: 4 < x ≤ 5 th *Pidana > 5 th
administratif adalah Pimpinan Eselon I, *Perdata: 75M < x ≤ 100M *Perdata > 100 M
II, atau pejabat yang setara *Administratif: tergugat
_ _ adalah Kepala K/L/Pemda

Es.I Administratif: tergugat *Pidana: 3 < x ≤ 4 th *Pidana > 4 th

adalah Pimpinan Eselon II, *Perdata: 50M < x ≤ 75M *Perdata > 75 M
III, atau pejabat yang *Administratif: tergugat
_ _ setara adalah Pimpinan Eselon I

Es.II Administratif: tergugat *Pidana: 2 < x ≤ 3 th *Pidana > 3 th

adalah Pimpinan Eselon *Perdata: 25M < x ≤ 50M *Perdata > 50 M
III, IIV, atau pejabat yang *Administratif: tergugat
_ _ setara adalah Pimpinan Eselon II/
Pejabat Fungsional Utama

Es.III Administratif: tergugat *Pidana: 2 < x ≤ 3 th *Pidana > 2 th

adalah Pimpinan Eselon
IV, pelaksana atau pejabat
yang setara
_ _
*Perdata: 25M < x ≤ 50M *Perdata > 25 M
*Administratif: tergugat
adalah Pimpinan Eselon III/
Pejabat Fungsional Pertama,
Muda, dan Madya

4 Kecelakaan Kerja Kepala K/L/Pemda, Es.I, Ancaman psikis Cedra fisik dan mental ringan Cedara fisik dan mental Cedera fisik dan mental Kematian
5 Gangguan Terhadap Waktu Pelayanan Kepala K/L/Pemda x < 25% dari jam 25% x < 50% dari jam 50% x < 75% dari jam 75% x < 90% dari jam x ≥ 90% dari jam operasional
operasional layanan harian operasional layanan harian operasional layanan harian operasional layanan harian layanan harian

Es.I x < 15% dari jam 15% x < 40% dari jam 40% x < 65% dari jam 65% x < 80% dari jam x ≥ 80% dari jam operasional
operasional layanan harian operasional layanan harian operasional layanan harian operasional layanan harian layanan harian

Es.II x < 10% dari jam 10% x < 25% dari jam 25% x < 50% dari jam 50% x < 65% dari jam x ≥ 65% dari jam operasional
operasional layanan harian operasional layanan harian operasional layanan harian operasional layanan harian layanan harian

Es.III x < 5% dari jam operasional 5% x < 15% dari jam 15% x < 35% dari jam 35% x < 50% dari jam x ≥ 50% dari jam operasional
layanan harian operasional layanan harian operasional layanan harian operasional layanan harian layanan harian

6 Gangguan Terhadap Waktu Pelaksanaan Kepala K/L/Pemda, Es.I, 0.5 hari kerja/hari 1 hari kerja/hari penugasan 2 hari kerja/hari penugasan
Tugas dan Fungsi Es.II, Es.III _ _ penugasan
7 Penurunan Kinerja Unit Kerja
x ≥ 95% 90% ≤ x < 95% 80% ≤ x < 90% 75% ≤ x < 80% x < 75%
 -165-

K. Kertas Kerja Penilaian Risiko

Tujuan: memastikan bahwa skor akhir level dampak dan level kemungkinan atas setiap risiko merupakan hasil
keputusan bersama seluruh responden workshop dari unit kerja terkait melalui metode nilai rata-rata dampak dan
kemungkinan atas setiap risiko yang diajukan seluruh responden tersebut

Contoh Kertas Kerja Penilaian Risiko

Responden 1 Responden 2 Responden 3 Responden 4 Responden 5 Responden 6 Responden 7 Responden 8 Responden 9 Responden 10 Responden 11 Responden 12 Responden 13 Responden 14 Responden 15 Jumlah Rata-rata Skala Risiko
Uraian Peristiwa berdasarkan
Risiko Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk heat map
Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan

Risiko 1 4 1 4 1 1 1 1 1 4 1 3 2 3 4 3 1 3 1 3 1 4 1 4 1 4 1 4 1 4 1 49 19 3.27 1.27 13

Risiko 2 4 2 3 1 1 1 1 1 4 2 3 3 4 4 3 1 3 2 3 1 4 2 4 2 4 1 4 2 3 1 48 26 3.20 1.73 13

Risiko 3 4 1 3 1 1 1 1 1 4 3 1 2 2 2 3 1 3 3 3 1 2 1 2 1 3 4 4 1 3 1 39 24 2.60 1.60 11

Risiko 4 4 2 2 3 4 4 1 1 4 2 1 1 2 4 3 2 3 3 4 2 4 4 4 4 4 3 4 4 3 1 47 40 3.13 2.67 17

172
185
 -166-

L. Matriks Analisis Risiko (Heatmap)

Tujuan: menetapkan parameter penilaian risiko dan selera risiko pimpinan
tertinggi instansi secara kuantitatif terkait tingkat dampak, tingkat
kemungkinan ( likelihood ), dan tingkat risiko
Contoh Matriks Analisis Risiko (Heatmap)
Tingkat Dampak
Matriks Analisis 1 2 3 4 5
Risiko 5 x 5 Tidak Signifikan Minor Moderat Signifikan Sangat Signifikan

Hampir
5 pasti 9 15 18 23 25
terjadi
Tingkat Kemungkinan (Likelihood )

4
Sering
terjadi 6 12 16 19 24

3
Kadang
terjadi 4 10 14 17 22

2
Jarang
terjadi 2 7 11 13 21

Hampir
1 tidak 1 3 5 8 20
terjadi

Tingkat Risiko
Warna Nilai Risiko Tingkat Risiko

Merah 20-25 Tinggi

Oranye 16-19 Agak Tinggi

Kuning 12-15 Sedang

Hijau 6-11 Agak Rendah

Abu-abu 1-5 Rendah

Keterangan:
1. Skor 1 hingga 25 dalam box heat map dapat disesuaikan dengan selera
pimpinan tertinggi instansi
2. Kisaran tingkat risiko dalam kategori tinggi, agak tinggi, sedang, agak rendah,
dan rendah dapat disesuaikan dengan selera pimpinan tertinggi instansi

186
173
 -167-

M. Penilaian Risiko Inherent dan Risiko setelah Existing Control

Tujuan: memastikan bahwa seluruh risiko inherent dan risiko setelah exiting control telah dinilai berdasarkan matrix
analisis risiko (heat map) yang telah ditentukan
CONTOH HASIL PENILAIAN RISIKO INHERENT DAN RISIKO SETELAH EXISTING CONTROL
Nama Instansi : .......... (a)
Nama Unit Kerja : .......... (b)
Nilai Kuantitatif Batas Selera Risiko (Risk Appetite) dan Toleransi Risiko (Risk Tolerance): ....
Periode yang dinilai : .......... (d)
Tahun Penilaian : .......... (e)

Risiko Inherent Risiko setelah Existing

Control
No Kegiatan Indikator Uraian Kode Risiko Nilai Risiko Existing Control Nilai Risiko
Kinerja Peristiwa Kemungkinan Inherent Kemung setelah
Dampak Dampa
Risiko berdasarkan kinan Existing
k
heat map Control
1 2 3 4 5 6 7 8 9
2 RSI19.08.03.02 5 4 23 4 4 19
3 RSU19.01.03.01 3 5 22 2 5 21
4 ROU19.04.04.01 5 3 18 4 3 16
Keterangan:
Butir (a) Diisi nama instansi
Butir (b) : Diisi nama unit kerja
Butir (c) : Diisi toleransi risiko Kepala Unit Kerja, yakni batasan besaran kuantitatif tingkat risiko yang membatasi antara risiko yang dapat diterima dan risiko
Butir (d) :Diisi periode tahun yang dinilai berdasarkan periode renstra/renja
Butir (e) : Diisi tahun berjalan
Kolom 1 : Diisi nomor urut risiko yang diurutkan berdasarkan urutan RSI, RSU, ROU, dan tingkat/nilai risiko tertinggi yang ingin dikendalikan
Kolom 2 : Diisi nama kegiatan di unit kerja yang risikonya ingin dikendalikan
Kolom 3 : Diisi IKU/IKSS/IKSP/IKK yang hendak dicapai dari kegiatan pada kolom 2 baik kualitatif atau kuantitatif
Kolom 4 : Diisi Uraian Peristiwa Risiko yang telah teridentifikasi dan diurutkan berdasarkan urutan RSI, RSU, ROU, dan tingkat/nilai risiko tertinggi yang ingin dikendalikan
Kolom 5 : Diisi kode risiko yang merujuk pada Lampiran nomor 1 huruf A.
Kolom 6 : Diisi angka dalam skala likert 1-5 yang menunjukkan tingkat probabilitas keterjadian risiko sesuai Lampiran nomor 1 huruf I
Kolom 7 : Diisi angka dalam skala likert 1-5 yang menunjukkan tingkat potensi dampak jika risiko terjadi sesuai Lampiran nomor 1 huruf J
Kolom 8 : Diisi angka yang merupakan perpotongan (koordinat) kemungkinan dan dampak pada matriks analisis risiko sesuai lampiran nomor 1 huruf I. Contoh: Jika kemungkinan = 1 dan
dampak = 5, maka nilai risikonya = 20
Kolom 9 : Diisi existing control y ang ditujukan untuk mengurangi nilai risiko inherent
Kolom 10 : Diisi angka dalam skala likert 1-5 yang menunjukkan tingkat probabilitas keterjadian risiko sesuai Lampiran nomor 1 huruf I
Kolom 11 : Diisi angka dalam skala likert 1-5 yang menunjukkan tingkat potensi dampak jika -168-
risiko terjadi sesuai
Lampiran nomor 1 huruf J
Kolom 12 : Diisi angka yang merupakan perpotongan (koordinat) antara kemungkinan dan dampak pada matriks analisis risiko sesuai lampiran nomor 1 huruf I. Contoh: Jika kemungkinan =

187
174
1 dan dampak = 5, maka nilai risikonya = 20
 -169-

N. Penilaian atas Existing Control dan Mitigasi Tambahan

Tujuan: Menganalisis apabila terdapat mitigasi tambahan yang dibutuhkan
untuk mengendalikan risiko-risiko prioritas dengan pertimbangan efektivitas
existing control dan celah pengendalian, serta memastikan pemilik/penanggung
jawab penyelenggara mitigasi tambahan tersebut
Penilaian atas Existing Control dan Mitigasi Tambahan

Nama Instansi : Kementerian A

Tahun Penilaian : 2019
Periode yang dinilai :
Urusan Pemerintahan : Urusan….
Pemilik/
Kecukupan Penanggun
Mitigasi
Existing
No Risiko Prioritas Kode Risiko Existing Control Celah existing control Tambahan/Pengurangan g
Control
(Mengacu pada RCA)

Jawab
a b c d e f g h
I Risiko Strategis Instansi
1 RSI19.08.01.
01

II Risiko Strategis Unit Kerja:

III Risiko Operasional Unit Kerja:

Keterangan
Kolom a diisi dengan nomor urut
Kolom b diisi dengan risiko prioritas, yakni nama risiko yang telah teridentifikasi dan diurutkan
berdasarkan urutan RSI, RSU, ROU, dan tingkat/nilai risiko tertinggi yang ingin dikendalikan
Kolom c diisi dengan kode risiko
Kolom d diisi dengan uraian existing control yang sudah ada/ terpasang.
Kolom e diisi dengan “cukup”, “berlebihan”, atau “kurang”, sesuai dengan hasil penilaian/
evaluasi. Existing control dikatakan cukup jika (1) sudah mampu menurunkan risiko sampai
level yang dapat diterima, dengan cara yang paling efisien, (3) existing control masih kurang, jika
belum mampu menurunkan risiko sampai level yang dapat diterima, (4) existing control
berlebihan, jika tidak sebanding antara biaya pengendalian dengan manfaatnya.
Kolom f diisi dengan celah existing control yang ada dalam hal kolom e, hasil analisis kenapa
existing control “kurang” atau “berlebihan”. Jika kurang, kurangnya di mana, dan jika
berlebihan, kelebihannya di mana
Kolom g diisi dengan mitigasi tambahan yang masih dibutuhkan.
Kolom h diisi dengan pihak/unit penanggung jawab untuk menyelenggarakan mitigasi
tambahan.

188
175
 -170-

O. Root Cause Analysis (RCA)

Tujuan: Memastikan bahwa penyebab terjadinya risiko adalah akar penyebab,
sehingga control/ mitigasi risiko tambahan dapat disasar kepada akar penyebab
risiko agar lebih efektif
CONTOH ROOT CAUSE ANALYSIS (RCA)

Nama Unit Kerja : .......... (a)

Tahun Penilaian : .......... (b)
Periode yang dinilai : .......... (c)
Uraian peristiwa risiko Akar Control/Mitigasi Risiko
No Kode Risiko Kategori Penyebab (5M) Why 1 Why 2 Why 3 Why 4 Why 5
(risk event ) Penyebab Tambahan/Pengurangan
1 2 3 4 5 6 7 8 9 10 11

Keterangan:
Butir (a) Diisi nama unit kerja
Butir (b) Diisi tahun berjalan
Butir (c) Diisi periode tahun yang dinilai sesuai periode renstra/renja
Kolom 1 Diisi nomor urut
Kolom 2 Diisi kode risiko sesuai yang ditetapkan pada lampiran nomor 1 huruf A
Kolom 3 Diisi uraian peristiwa risiko
Kolom 4 Diisi Kategori Penyebab Risiko (Money, Machine, Material, Method, Man) 5M
Kolom 5 Diisi alasan terjadinya risiko
Kolom 6 Diisi alasan terjadinya penyebab (why 1) pada kolom 5
Kolom 7 Diisi alasan terjadinya penyebab (why 2) pada kolom 6
Kolom 8 Diisi alasan terjadinya penyebab (why 3) pada kolom 7
Kolom 9 Diisi alasan terjadinya penyebab (why 4) pada kolom 8
Kolom 10Diisi alasan terjadinya penyebab (why 5) pada kolom 9. Ini merupakan akar penyebab
yang menimbulkan risiko terjadi. Jika masih terdapat alasan terjadinya akar penyebab
(kolom 10) maka sisipkan kolom why 6 dan seterusnya sampai menemukan akar
penyebab final. Namun jika akar penyebab sudah ditemukan sebelum why 5, maka
tidak perlu menguraikan sampai dengan why 5
Kolom 11Diisi Control /mitigasi risiko tambahan/pengurangan yang ingin dirancang untuk
menghindari terjadinya akar penyebab (kolom 10

189
176
 -171-

177
190
P. Daftar Mitigasi Risiko
Tujuan: Memastikan bahwa mitigasi atas setiap risiko merupakan langkah yang dapat diterapkan secara nyata,
setelah mempertimbangkan jumlah kejadian risiko tahun sebelumnya, akar penyebab risiko, target respon/mitigasi
risiko, penanggung jawab pelaksana mitigasi dan nilai risiko residual harapan.

CONTOH DAFTAR MITIGASI RISIKO

Nama Instansi/Unit Kerja : .......... (a)
Tahun/periode : .......... (b)

Target Indikator Terlaksananya Nilai Risiko Residual

Jumlah Penanggung
Penyebab Mitigasi Mitigasi (dokumen/ Harapan/Nilai Risiko
Kejadian aplikasi/ dsb) Jawab Setelah Mitigasi Tambahan
No Risiko Prioritas Kode Risiko Mitigasi Risiko Tahun
Risiko Pelaksana
Risiko (Dampak/ke ini
Tahun Uraian Kelompok Mitigasi kemungki
m ungkinan) Uraian Jumlah Dampa Nilai
Sebelumny Penyebab Penyebab n an
k Risiko
a (5M)
1 2 3 4 5 6 7 8 9 10 11 12 13 14

Keterangan:
Butir (a) : Diisi nama instansi/unit kerja
Butir (b) : Diisi tahun berjalan/periode renstra
Kolom 1 : Diisi nomor urut risiko yang diurutkan berdasarkan urutan RSI, RSU, ROU, dan tingkat/nilai risiko tertinggi yang ingin dikendalikan
Kolom 2 : Diisi nama risiko yang telah teridentifikasi dan diurutkan berdasarkan urutan RSI, RSU, ROU, dan tingkat/nilai risiko tertinggi yang ingin dikendalikan
Kolom 3 : Diisi kode risiko sebagaimana diatur dalam Lampiran nomor 1 huruf A
Kolom 4 : Diisi angka yang merupakan jumlah keterjadian risiko pada tahun sebelumnya
Kolom 5 : Diisi uraian penyebab terjadinya risiko yang diperoleh dari hasil analisis RCA (Root Cause Analysis ). Uraian penyebab bisa lebih dari satu
Kolom 6 : Diisi kelompok penyebab (5M) yang terdiri dari Man, Money, Method, Material, dan Machine
Kolom 7 : Diisi target mitigasi yang terdiri dari mengurangi kemungkinan risiko dan/atau mengurangi dampak risiko untuk setiap uraian penyebab
Kolom 8 : Diisi mitigasi risiko yang diperoleh dari hasil analisa (Root Cause Analysis ). Mitigasi risiko bisa lebih dari satu (tergantung jumlah penyebab)
Kolom 9 : Diisi indikator terlaksananya mitigasi misalnya dalam bentuk dokumen, aplikasi, dsb
Kolom 10 : Diisi jumlah indikator mitigasi (misalnya 7 dokumen/aplikasi) dalam satu tahun
Kolom 11 : Diisi Penanggung Jawab Pelaksana Mitigasi yang merupakan pejabat struktural atau fungsional yang ditunjuk
Kolom 12 : Diisi angka dalam skala likert 1-5 yang menunjukkan tingkat kemungkinan keterjadian risiko apabila rencana mitigasi risiko telah dilaksanakan, dengan catatan
target mitigasi risiko pada kolom 7 adalah mengurangi kemungkinan risiko
Kolom 13 : Diisi angka dalam skala likert 1-5 yang menunjukkan tingkat potensi dampak apabila rencana mitigasi risiko telah dilaksanakan, dengan catatan target mitigasi
risiko pada kolom 7 adalah mengurangi dampak risiko
Kolom 14 : Diisi angka yang merupakan perpotongan (koordinat) antara kemungkinan dan dampak pada matriks analisis risiko sesuai heat map . Contoh: Jika kemungkinan
= 1 dan dampak = 5, maka nilai risikonya = 20
 -172-

Q. Pengkomunikasian Control/Mitigasi Tambahan yang Dibangun

Tujuan: memastikan bahwa control/ mitigasi tambahan yang dibangun atas tiap
risiko telah dikomunikasikan dengan pihak-pihak terkait, sehingga
control/mitigasi tambahan tersebut dapat terimplementasi secara lebih cepat
dan efektif

CONTOH
PENGKOMUNIKASIAN CONTROL/MITIGASI TAMBAHAN YANG DIBANGUN

Nama Instansi : Kementerian A

Tahun Penilaian : 2019
Periode yang dinilai :
Urusan Pemerintahan : Urusan …...

No Control/ Mitigasi Media/Bentuk Penyedia Penerima Rencana Realisasi Keterangan

Tambahan Sarana Informasi Informasi Waktu Waktu
Pengkomunik Pelaksanaan Pelaksanaan
asian
a b c d e f g h
1

Dst -

Keterangan
Kolom a diisi dengan nomor urut
Kolom b diisi dengan Control /Mitigasi Tambahan
Kolom c diisi dengan Media/Bentuk Sarana Pengkomunikasian
Kolom d diisi dengan Penyedia Informasi
Kolom e diisi dengan penerima informasi
Kolom f diisi dengan Rencana Waktu Pelaksanaan
Kolom g diisi dengan Realisasi Waktu Pelaksanaan
Kolom h diisi dengan Keterangan tambahan

191
178
 -173-

R. Daftar Pemantauan Mitigasi Risiko

179
192
Tujuan: memantau dan membandingkan antara rencana dengan capaian/realisasi pelaksanaan mitigasi atas risiko
(terutama risiko prioritas) secara triwulanan, dan mengidentifikasi kendala/penyebab atas tidak terealisasinya
mitigasi tersebut.
CONTOH DAFTAR PEMANTAUAN MITIGASI RISIKO
Nama Instansi/Unit Kerja : .......... (a)
Tahun/periode : .......... (b)

Indikator Capaian/Realisasi Pelaksanaan Mitigasi

Terlaksananya Mitigasi
Mitigasi Tw. I Tw. II Tw. III Tw. IV
(dokumen/ Kendala
No Uraian Peristiwa Kode Risiko
Risiko Risiko aplikasi/dsb) jika
Tahun
ini mitigasi
Uraian Jumlah Ren Rea Ren Rea Ren Rea Ren Real tidak
c l c l c l c terealisasi
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Keterangan:
Butir (a) : Diisi nama instansi/unit kerja
Butir (b) : Diisi tahun berjalan/periode renstra
Kolom 1 : Diisi nomor urut risiko
Kolom 2 : Diisi uraian peristiwa risiko
Kolom 3 : Diisi kode risiko sebagaimana ditetapkan pada Lampiran nomor 1 huruf A
Kolom 4 : Diisi mitigasi risiko yang dilaksanakan
Kolom 5 : Diisi uraian indikator terlaksananya mitigasi
Kolom 6 : Diisi jumlah indikator mitigasi
Kolom 7,9,11,13 : Diisi rencana mitigasi risiko yang akan dilaksanakan mulai dari Triwulan I sampai dengan Triwulan IV dengan mengisi
jumlah dokumen yang menjadi target setiap triwulan. Jumlah dokumen tersebut merupakan rincian jumlah rencana
mitigasi risiko sebagaimana kolom 5
Kolom 8,10,12,14 : Diisi realisasi mitigasi risiko yang telah dilaksanakan mulai dari Triwulan I sampai dengan Triwulan IV dengan mengisi
jumlah dokumen realisasi mitigasi risiko setiap triwulan
Kolom 15 : Diisi alasan kenapa rencana mitigasi risiko belum/tidak terealisasi pada triwulan yang ditargetkan/direncanakan
 -174-

S. Daftar Kejadian Risiko

Tujuan: Mencatat jumlah kejadian atas setiap risiko yang ada secara
triwulanan, serta menganalisis akar penyebab dari kejadian risiko tersebut
sebagai bahan/input untuk mengoreksi tingkat kemungkinan keterjadian
risiko dalam tahap penilaian risiko di periode berikutnya.

CONTOH DAFTAR KEJADIAN RISIKO

Nama Instansi/Unit Kerja : .......... (a)

Tahun/periode : .......... (b)

Realisasi Keterjadian Risiko (Kejadian Risiko)

Kode
No Uraian Peristiwa Risiko
Risiko
Akar penyebab keterjadian
Tw I Tw II Tw III Tw IV Jumlah
Risiko (RCA)

1 2 3 4 5 6 7 8 9

Keterangan:
Butir (a) : Diisi nama instansi/unit kerja
Butir (b) : Diisi tahun berjalan/periode renstra
Kolom 1 : Diisi nomor urut risiko
Kolom 2 : Diisi uraian peristiwa risiko
Kolom 3 : Diisi kode risiko sebagaimana ditetapkan pada Lampiran nomor 1 huruf A
Kolom 4 s.d. 7 : Diisi jumlah risiko yang telah terjadi di Triwulan I sampai dengan IV
Kolom 8 : Diisi hasil penjumlahan dari kolom 3 sampai dengan 6
Kolom 9 : Diisi akar penyebab risiko terjadi setelah melalui analisis RCA (Root Cause Analysis )

193
180
 LAMPIRAN
TAHAPAN PELAKSANAAN PIBR

194
 -175-

Lampiran Petunjuk Pelaksanaan

Nomor 2

FORMULIR TAHAPAN PENGAWASAN LANJUTAN

A. Kertas Kerja Rekonfirmasi Maturitas Manajemen Risiko

Skor
No. Uraian Penjelasan Kriteria Skoring
(0-2)
1 Tujuan organisasi 1. Lakukan pengujian apakah • Skor 0 jika tujuan organisasi
terdokumentasi tujuan organisasi telah belum ditetapkan oleh
dan dipahami ditetapkan oleh pimpinan, pimpinan
dengan baik dikomunikasikan kepada • Skor 1 jika tujuan organisasi
seluruh pegawai dan telah ditetapkan oleh pimpinan,
terdokumentasi, misalnya namun belum konsisten dengan
berupa dokumen rencana sasaran dan target turunannya
strategis. • Skor 2 jika tujuan organisasi
2. Lakukan pengujian juga telah ditetapkan oleh pimpinan,
apakah sasaran dan target dikomunikasikan,
turunannya konsisten terdokumentasi, dan telah
dengan tujuan organisasi konsisten dengan sasaran dan
secara keseluruhan. target turunannya
2 Pimpinan unit 1. Lakukan wawancara kepada • Skor 0 jika pimpinan belum
organisasi telah pimpinan/manajemen memahami risiko organisasi
memahami risiko untuk menguji pemahaman dan tanggungjawabnya atas
dan tanggung mereka terhadap risiko. risiko tersebut
jawab atas risiko 2. Lakukan wawancara kepada • Skor 1 jika pimpinan telah
tersebut pimpinan/manajemen memahami risiko organisasi
untuk menguji bagaimana namun belum memahami
mereka menyikapi risiko bagaimana menyikapi risiko
tersebut. tersebut
• Skor 2 jika pimpinan paham
dengan risiko organisasi dan
memahami bagaimana
menyikapi risiko tersebut
3 Sistem skoring Pastikan telah ditetapkan • Skor 0 jika sistem skoring
untuk penilaian sistem skoring dalam penilaian untuk penilaian risiko belum
risiko telah risiko secara kuantitatif ditetapkan
ditetapkan (termasuk dalam penentuan • Skor 1 jika sistem skoring
kriteria tingkat untuk penilaian risiko telah
frekuensi/probabilitas dan
ditetapkan namun belum
kriteria dampak) serta
kuantitatif
menggunakan heatmap dalam
penilaian risiko • Skor 2 jika sistem skoring
untuk penilaian risiko telah
ditetapkan dan sudah
kuantitatif
4 Risk appetite telah Lakukan pengujian apakah • Skor 0 jika Risk appetite belum
ditetapkan dengan pimpinan/manajemen telah ditetapkan dengan sistem
sistem skoring menetapkan risk appetite skoring
dengan sistem skoring • Skor 1 jika Risk apetite telah
ditetapkan dengan sistem
skoring, namun masih terdapat
kelemahan

195
182
180
 -176-

Skor
No. Uraian Penjelasan Kriteria Skoring
(0-2)
• Skor 2 jika Risk appetite telah
ditetapkan dengan sistem
skoring dan penetapannya
sudah tepat
5 Risiko telah dibagi Lakukan pengujian terhadap • Skor 0 jika seluruh risiko belum
tanggung register risiko apakah seluruh dialokasikan/dibagi tanggung
jawabnya dan risiko telah dialokasikan/dibagi jawabnya kepada
didokumentasikan tanggung jawabnya kepada pejabat/pegawai yang
dalam risk register pejabat/pegawai yang ditunjuk/relevan
ditunjuk/relevan • Skor 1 jika baru sebagian risiko
yang telah dialokasikan/dibagi
tanggung jawabnya kepada
pejabat/pegawai yang
ditunjuk/relevan
• Skor 2 jika seluruh risiko telah
dialokasikan/dibagi tanggung
jawabnya kepada
pejabat/pegawai yang
ditunjuk/relevan
6 Proses identifikasi 1. Pastikan telah ditetapkan • Skor 0 jika kebijakan proses
risiko telah proses identifikasi risiko identifikasi risiko belum
ditetapkan dan yang cukup untuk ditetapkan
dipatuhi mendeteksi seluruh risiko • Skor 1 jika kebijakan proses
2. Pastikan bahwa proses identifikasi risiko telah
identifikasi risiko tersebut ditetapkan namun belum
dilaksanakan dilaksanakan sesuai ketentuan
• Skor 2 jika kebijakan proses
identifikasi risiko telah
ditetapkan dan telah
dilaksanakan sesuai ketentuan
7 Seluruh risiko Pastikan seluruh risiko telah • Skor 0 jika seluruh risiko belum
telah dinilai dinilai dengan sistem skoring dinilai dengan sistem skoring
dengan sistem yang telah ditetapkan secara yang telah ditetapkan secara
skoring yang telah kuantitatif kuantitatif
ditetapkan • Skor 1 jika baru sebagian risiko
yang telah dinilai dengan sistem
skoring yang telah ditetapkan
secara kuantitatif
• Skor 2 jika seluruh risiko telah
dinilai dengan sistem skoring
yang telah ditetapkan secara
kuantitatif
8 Respon atas risiko Lakukan pengujian dalam • Skor 0 jika respon atas risiko
telah ditetapkan register risiko apakah respon belum ditetapkan
dan atas • Skor 1 jika respon atas risiko
diimplementasikan risiko/pengendalian/mitigasi telah ditetapkan namun belum
risiko yang tepat telah diimplementasikan
ditetapkan pada seluruh risiko • Skor 2 jika respon atas risiko
serta diimplementasikan telah ditetapkan dan telah
diimplementasikan
9 Pimpinan unit Lakukan wawancara terhadap • Skor 0 jika pimpinan belum
organisasi telah pimpinan/manajemen menetapkan mekanisme
menetapkan model bagaimana jika mitigasi pemantauan atas proses,
pemantauan atas risiko/pengendalian yang ada respon an action plan risiko;
proses, respon dan gagal (tidak sesuai harapan • Skor 1 jika pimpinan

196
183
 -177-

Skor
No. Uraian Penjelasan Kriteria Skoring
(0-2)
action plan risiko. untuk mengurangi nilai risiko) menetapkan mekanisme
pemantauan atas sebagian
proses, respon dan action plan
risiko
• Skor 2 jika pimpinan telah
menetapkan mekanisme
pemantauan atas proses,
respon an action plan risiko.
10 Risk register di- Lakukan pengujian apakah • Skor 0 jika register risiko baru
update secara register risiko selalu dimutakhirkan setelah 2 tahun
periodik (minimal dimutakhirkan secara periodik atau lebih
sekali setahun) (minimal sekali setahun) • Skor 1 jika register risiko selalu
melalui proses reviu yang dimutakhirkan secara periodik
memadai (minimal sekali setahun)
namun belum melalui proses
reviu yang memadai
• Skor 2 jika register risiko selalu
dimutakhirkan secara periodik
(minimal sekali setahun) dan
telah melalui proses reviu yang
memadai
11 Terdapat Lakukan pengujian terhadap • Skor 0 jika pimpinan/
pelaporan kepada risiko yang bernilai di atas risk manajemen belum
pimpinan puncak appetite apakah menginformasikan risiko di atas
bila terdapat risiko pimpinan/manajemen telah risk appetite kepada pihak-
yang belum menginformasikannya kepada pihak yang berkepentingan
ditekan pada pihak-pihak yang • Skor 1 jika pimpinan/
tingkat yang dapat berkepentingan. manajemen telah
diterima menginformasikan risiko di atas
risk appetite kepada sebagian
pihak-pihak yang
berkepentingan
• Skor 2 jika pimpinan/
manajemen telah
menginformasikan risiko yang
bernilai di atas risk appetite
kepada pihak-pihak yang
berkepentingan, termasuk
kepada pimpinan tertinggi
12 Kegiatan yang Lakukan pengujian terhadap • Skor 0 jika belum terdapat
bersifat program usulan semua kegiatan baru analisis risiko yang mengancam
selalu dinilai yang signifikan apakah tujuan organisasi pada usulan
risikonya terdapat analisis risiko yang semua kegiatan/program baru
mengancam tujuan organisasi. yang signifikan.
• Skor 1 jika telah terdapat
analisis risiko yang mengancam
tujuan organisasi pada
sebagian usulan
kegiatan/program baru yang
signifikan
• Skor 2 jika terdapat analisis
risiko yang mengancam tujuan
organisasi pada usulan semua
kegiatan/program baru yang
signifikan.
13 Uraian tanggung Lakukan pengujian terhadap • Skor 0 jika tidak terdapat

197
184
 -178-

Skor
No. Uraian Penjelasan Kriteria Skoring
(0-2)
jawab menetapkan uraian jabatan/job description identifikasi/analisis risiko pada
risiko, menilai apakah terdapat uraian tugas seluruh uraian jabatan/job
risiko dan mengenai identifikasi/analisis description
mengelolanya, risiko. • Skor 1 jika terdapat
termasuk dalam identifikasi/analisis risiko pada
uraian tugas dan sebagian uraian jabatan/job
tanggung jawab description
pegawai. • Skor 2 jika terdapat
identifikasi/analisis risiko pada
seluruh uraian jabatan/job
description
14 Pimpinan Lakukan pengujian terhadap • Skor 0 jika
memberikan seluruh risiko strategis/utama, pengendalian/mitigasi atas
jaminan efektivitas apakah pengendalian/mitigasi risiko strategis/utama beserta
pengelolaan risiko risikonya beserta pemantauannya belum
pemantauannya telah dilaksanakan.
dilaksanakan. • Skor 1 jika
pengendalian/mitigasi atas
risiko strategis/utama telah
dilaksanakan namun belum
dilakukan pemantauannya.
• Skor 2 jika
pengendalian/mitigasi atas
risiko strategis/utama beserta
pemantauannya telah
dilaksanakan.
15 Pimpinan dinilai Lakukan pengujian terhadap • Skor 0 jika penerapan
kinerjanya dalam bukti bahwa manajemen risiko manajemen risiko belum
mengelola risiko dijadikan dasar penilaian dijadikan sebagai dasar
kinerja pimpinan/manajemen penilaian kinerja
pimpinan/manajemen.
• Skor 1 jika penerapan
manajemen risiko telah
dijadikan dasar penilaian
kinerja sebagian
pimpinan/manajemen
• Skor 2 jika penerapan
manajemen risiko telah
dijadikan sebagai dasar
penilaian kinerja seluruh
pimpinan/manajemen.
Jumlah

Keterangan: Tim audit harus memiliki bukti pendukung yang cukup untuk
menyimpulkan masing-masing pernyataan.

198
185
 -179-

B. Program Kerja Pengawasan (Fasilitasi)

Program Kerja Fasilitasi

Waktu yang
Dilaksanakan oleh Nomor Catat
No. Uraian Diperlukan
KKA an
Rencana Realisasi Rencana Realisasi
A. Tujuan Fasilitasi
Untuk membantu
manajemen dalam
membangun atau
meningkatkan proses
manajemen risiko
B. Langkah-Langkah Kerja
1. Identifikasi terhadap: Tim 1
a. Kenapa fasilitasi perlu
dilakukan?
b. Apa materi fasilitasi yang
akan diberikan?
c. Kepada siapa fasilitasi
dilakukan?
d. Siapa yang akan
melaksanakan fasilitasi?
e. Kapan fasilitasi
dilakukan?
f. Bagaimana fasilitasi
dilaksanakan?
2. Pembicaraan pendahuluan Tim 0,5
dengan pimpinan auditable
unit untuk
mengkomunikasikan:
a. Tujuan penugasan
(fasilitasi)
b. Rencana workshop/FGD
yang melibatkan pejabat
dan pegawai
3. Penjelasan awal mengenai Tim 0,5
tujuan workshop yang
hendak dicapai dan konsep
risiko dikaitkan dengan
pencapaian tujuan.
4. Penjelasan dan praktik Tim 7
manajemen risiko dengan
tahap:
a. Penetapan Konteks
b. Identifikasi Risiko
c. Analisis Risiko
d. Respon Risiko
e. Informasi/Komunikasi
f. Catatan Keterjadian
Risiko
g. Pemantauan
5. Penyusunan laporan hasil Tim 1
fasilitasi
Jumlah HP 10

199
186
 -180-

Pengendali Teknis Ketua Tim

(.................................) (.....................................)
NIP NIP ................................
..............................
Disetujui
Pengendali Mutu

(....................................)
NIP................................

200
187
 -181-

C. Program Kerja Pengawasan (Audit Lanjutan)

Program Kerja Audit Lanjutan

Waktu yang
Dilaksanakan oleh Nomor
No. Uraian Diperlukan Catatan
KKA
Rencana Realisasi Rencana Realisasi
A. Tujuan Audit (Pengelolaan Risiko):
Untuk menilai apakah proses
identifikasi, analisis, dan evaluasi
risiko secara keseluruhan telah
memadai
Langkah Kerja:
1. Pengujian terkait penetapan Tim 0,5
konteks
2. Pengujian terkait identifikasi risiko Tim 0,5
3. Pengujian terkait analisis risiko Tim 0,5
4. Pengujian terkait evaluasi risiko Tim 0,5
5. Simpulan atas Pengujian Tim 0,5
Pengelolaan Risiko
B. Tujuan Audit (Rancangan
Pengendalian):
Untuk menilai kecukupan
rancangan pengendalian atas risiko-
risiko kunci telah efektif
menurunkan risiko sampai tingkat
yang dapat diterima dalam rangka
tercapainya tujuan.
Langkah Kerja:
1. Penetapan risiko yang dikendalikan Tim 0,5
2. Reviu atribut pengendalian Tim 2
3. Root Cause Analysys (RCA) Tim 2
4. Temuan Detail Rancangan Tim 0,5
Pengendalian (Simpulan)
C. Tujuan Audit (Implementasi
Pengendalian):
Untuk menilai apakah kegiatan
pengendalian telah
diimplementasikan secara efektif
dan efisien sesuai dengan
rancangan pengendalian yang telah
ditetapkan
Langkah Kerja:
1. Melakukan wawancara Tim 1
2. Melakukan observasi Tim 1
3. Melakukan Reperformance Tim 1
4. Simpulan Implementasi Tim 0,5
Pengendalian
D. Tujuan Audit (Pemantauan
Pengendalian):
Untuk menilai apakah kegiatan
pengendalian telah dimonitor secara
periodik oleh manajemen dalam
rangka menjamin bahwa proses
monitoring dilakukan secara
berkesinambungan dan berjalan
secara efektif.
1. Pengujian terkait Pemantauan Tim 0,5 188
 -182-

Risiko
2. Pengujian terkait Komunikasi dan Tim 0,5
Konsultasi
E. Tujuan Audit (Pencapaian Tujuan
Interim):
Untuk menilai pencapaian tujuan
interim auditable unit sampai
dengan saat fieldwork, termasuk
proyeksi pencapaian tujuan sampai
dengan akhir periode.
Langkah Kerja:
1. Penilaian Capaian Tujuan/Kinerja Tim 0,5

F. Tujuan Audit (Simpulan Umum

PIBR): Melakukan proyeksi
pencapaian tujuan sampai dengan
akhir periode
Langkah Kerja:
1. Simpulan Audit berdasarkan Tim 0,5
pertimbangan huruf A sampai
dengan E.

Jumlah HP 13

Pengendali Teknis Ketua Tim

(.................................... (....................................
.) .)
NIP NIP
................................ ................................
Disetujui
Pengendali Mutu

(...................................
.)
NIP...............................
.

202
189
 -183-

D. Daftar Risiko yang Dikendalikan

Instansi/Unit : ............................ No. KKA : ............................

Pemeriksa
Nama Entitas : ............................ Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................ Disusun : ............................
Auditan oleh
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu

Kertas Kerja Audit

Daftar Risiko yang Dikendalikan

Tujuan: Untuk memperoleh kesepakatan dengan auditi mengenai risiko

inherent/residual utama yang hendak dikendalikan.

Berdasarkan Register Risiko Unit Kerja, telah diperoleh Risiko-Risiko

Inherent/Residual yang hendak dikendalikan sebagai berikut:

No. Pernyataan Probabilitas Dampak Level Penyebab Mitigasi

Risiko Risiko Risiko &
(Inherent/ (Inherent/
Existing
Residual) Residual)
Control

(1) (2) (3) (4) (5) (6) (7)

Keterangan:
(1) Diisi nomor urut Risiko Inherent/Residual.
(2) Diisi pernyataan risiko yang merupakan risiko inherent (melekat)/residual (risiko yang tersisa
setelah manajemen mengambil tindakan untuk mengurangi dampak (impact) dan
kemungkinan/probabilitas (likelihood) dari suatu peristiwa buruk (adverse events), termasuk
aktivitas pengendalian dalam menanggapi risiko)
(3) Diisi nilai frekuensi atas kemungkinan kejadian risiko.
(4) Diisi nilai atas akibat terjadinya risiko, berupa dampak langsung dan signifikan serta paling
relevan dengan sasaran yang akan dicapai.
(5) Diisi hasil ukuran tingkatan risiko yang merupakan kombinasi probabilitas pada kolom 3
dengan dampak pada kolom 4.
(6) Diisi penyebab/akar masalah dari timbulnya risiko.
(7) Diisi tindakan/kegiatan yang diperlukan untuk mengatasi risiko. Pengendalian ini dikaitkan
dengan penyebab risiko (Existing Control yang masih dijalankan dan Kegiatan Mitigasi Risiko)

203
190
 -184-

E. Reviu Atribut Pengendalian

Instansi/Unit : ............................ No. KKA : ............................

Pemeriksa
Nama Entitas : ............................ Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................ Disusun oleh : ............................
Auditan
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Reviu Atribut Pengendalian

Tujuan: Untuk memperoleh gambaran apakah atribut pengendalian pada

rancangan pengendalian yang ditetapkan manajemen dalam kerangka kerja
manajemen risiko telah cukup (tidak kurang, tidak lebih) untuk
menurunkan risiko sampai level yang dapat diterima.

Berdasarkan Kertas Kerja Audit pada Lampiran nomor 2 Huruf D, telah

dilakukan analisis terhadap risiko yang hendak dikendalikan sebagai
berikut:

1. Risiko ......................... (Diisi pernyataan Risiko)

a. Level Risiko
Uraikan diperolehnya nilai level risiko dengan menuangkan nilai
probabilitas dikombinasikan dengan nilai dampak. Dapat diambil dari
Lampiran nomor 2 Huruf D.

b. Penyebab
Uraikan/identifikasi penyebab timbulnya risiko. Dapat diisi lebih dari
satu penyebab. Cari penyebab langsung & utama atau akar masalah
dari kemungkinan kejadian/risiko. Penyebab ini akan menjadi acuan
rencana penanganan risiko. Dapat diambil dari Lampiran nomor 2
Huruf D.

c. Mitigasi Risiko
Uraikan/identifikasi tindakan/kegiatan yang diperlukan untuk
mengatasi risiko. Pengendalian ini dikaitkan dengan penyebab risiko.
Dapat diambil dari Lampiran nomor 2 Huruf D.
Keterangan:
Mitigasi risiko dapat diisi lebih dari satu.

204
191
 -185-

d. Atribut Pengendalian
No. Bentuk Atribut Kecukupan Kelemahan yang ditemui
Mitigasi (optional)
Risiko
(1) (2) (3) (4)
1. ........................... ..................... .........................
............ ....
diisi jika diperlukan
diisi bentuk Cukup/sedan
nyata g/
pengendalian
kurang
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

keterangan:
Tingkat mitigasi pada kolom (3) merupakan:
1. kurang apabila pengendalian yang dirancang masih dibutuhkan
pengendalian lainnya atau tidak secara langsung memitigasi
risiko;
2. sedang apabila pengendalian yang dirancang belum sepenuhnya
mampu memitigasi risiko yang ada atau pengendalian yang ada
mampu memitigasi risiko namun pengendaliannya berlebihan
(terlalu banyak);
3. cukup apabila pengendalian yang dirancang telah memadai dalam
memitigasi risiko yang ada (cukup dengan kata lain tidak kurang
dan tidak berlebihan);

e. Analisis Rancangan Pengendalian

Uraikan simpulan yang berisi apakah kegiatan pengendalian
sebagaimana butir “c. mitigasi risiko” dianggap telah cukup (tidak
kurang, tidak lebih) jika dibandingkan dengan hasil penilaian
sebagaimana butir “d. atribut pengendalian”.

2. Risiko ..........................
3. Risiko ..........................
dst. .................................

205
192
 -186-

F. Root Cause Analysis

Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................ Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................ Disusun oleh : ............................
Auditan
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu

Kertas Kerja Audit

Root Cause Analysys (RCA)
dengan 5 Why

Tujuan: Untuk menggali lebih dalam lagi mengenai akar penyebab

terjadinya risiko.

Berdasarkan Register Risiko Unit Kerja, telah diperoleh Risiko-Risiko

Residual yang hendak dikendalikan sebagai berikut:

No. Risiko Why Why Why Why Why Akar Mitigasi

1 2 3 4 5 Penyebab Risiko
(1) (2) (3) (4) (5) (6) (7) (8) (9)

Keterangan:
(1) : diisi nomor urut
(2) : diisi deskripsi risiko sesuai kolom 2 pada lampiran nomor 2 Huruf D
(3) : diisi alasan mengapa risiko sebagaimana kolom 2 bisa terjadi
(4) : diisi alasan mengapa penyebab sebagaimana kolom 3 bisa terjadi
(5) : diisi alasan mengapa penyebab sebagaimana kolom 4 bisa terjadi
(6) : diisi alasan mengapa penyebab sebagaimana kolom 5 bisa terjadi
(7) : diisi alasan mengapa penyebab sebagaimana kolom 6 bisa terjadi
(8) : diisi akar penyebab yang diambil dari penyebab terakhir dari kolom 3
sampai dengan kolom 7
(9) : diisi rancangan pengendalian yang dapat mencegah terjadinya akar
penyebab sebagaimana kolom 8

206
193
 -187-

G. Temuan Detail atas Rancangan Pengendalian

Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................ Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................ Disusun oleh : ............................
Auditan
Tahun/Masa : ............................
Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit Temuan Detail atas Rancangan Pengendalian

Tujuan: Untuk mengetahui temuan/kelemahan atas rancangan pengendalian

berdasarkan reviu atribut pengendalian dan identifikasi akar penyebab risiko serta
memberikan rekomendasi yang dapat diimplementasikan.
Temuan 1 Uraikan kecukupan pengendalian berdasarkan analisis rancangan
pengendalian sebagaimana lampiran nomor 2 Huruf E butir e. dan
dihubungkan dengan ketidakakuratan mengidentifikasi penyebab
sebagaimana lampiran nomor 2 Huruf F

Level Risiko: Frekuensi : Penanggung Target

Jawab: Waktu:
Dampak :

Level Risiko :

Risk Appetite: ...............

Risk Tolerance: ...............

Deskripsi Temuan:

Uraikan daftar kelemahan atas atribut pengendalian sebagaimana lampiran nomor 2 huruf
E butir d dan uraikan hasil identifikasi penyebab oleh manajemen yang bukan merupakan
akar penyebab sebagaimana lampiran nomor 2 Huruf F

Akar Penyebab:

Identifikasi apa yang menjadi akar permasalahan/temuan (dapat diambil dari lampiran
nomor 2 huruf F

Risiko:

Diisi risiko yang dikendalikan sebagaimana KKA lampiran nomor 2 huruf D

Rekomendasi:

Buatkan kebijakan atau lakukan aktivitas pengendalian sebagaimana uraian kriteria

pada deskripsi temuan di atas (dapat diambil dari lampiran nomor 2 huruf F)

Tanggapan Manajemen:

Pilihan Terima Rekomendasi

Tanggapan
Tolak Rekomendasi

Rencana Tindak yang disetujui

207
194
 -188-

H. Kertas Kerja Hasil Wawancara

Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................ Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................ Disusun oleh : ............................
Auditan
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Hasil Wawancara atas Implementasi Pengendalian

Tujuan: Untuk mengonfirmasi pemahaman mengenai rancangan pengendalian

(apa yang seharusnya); dan mengidentifkasi temuan antara praktik yang ada (apa
yang terjadi) dengan prosedur yang seharusnya. Di samping untuk mendapatkan
informasi mengenai pelaksanaan pengendalian, wawancara juga bertujuan untuk
meyakinkan bahwa pejabat/pegawai yang diwawancarai telah memiliki kualifkasi
dalam melaksanakan prosedur yang ditetapkan.

Nama yang diwawancarai :

Jabatan :
Unit Kerja :
Pernyataan Risiko :
Mitigasi Risiko :
Program :
Kegiatan :
Pemilik Risiko :

No. Pertanyaan Jawaban

1. Apakah .....mitigasi risiko..... telah

dilaksanakan secara konsisten dan tepat
waktu?

2. Apakah .....mitigasi risiko..... telah

dilaksanakan sesuai standar dan prosedur
yang ditetapkan?

3. Apakah .....mitigasi risiko..... telah

dilaksanakan oleh orang yang kompeten
(terlatih dan berpengalaman)?

4. Apakah .....mitigasi risiko..... telah dipantau

oleh atasan langsung secara berkala?

dan seterusnya....

208
195
 -189-

Simpulan:
I. Kertas Kerja Hasil Observasi
Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................
Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................
Disusun : ............................
Auditan oleh
Tahun/Masa : ............................
Tgl & Paraf : ............................
Audit Penyusun
Program : ............................
Direviu oleh : ............................
Kegiatan : ............................
Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Hasil Observasi/Inspeksi atas Implementasi Pengendalian

Tujuan: Untuk meyakini bahwa pengendalian telah dilaksanakan sesuai dengan

rancangannya.

No. Parameter (contoh) Implementasi Analisis

(1) (2) (3) (4)

1. Bentuk atribut pengendalian .......

a. Adanya sistem/aplikasi Lakukan pengamatan

sebagai mekanisme atas sistem/aplikasi
pelaksanaan .......... yang digunakan
untuk melaksanakan
pengendalian. Cek
apakah
sistem/aplikasi
tersebut berfungsi
secara efektif.

b. Apakah sistem/aplikasi Cek apakah

memiliki fasilitas untuk sistem/aplikasi
melakukan pemantauan tersebut bisa diakses
secara online? secara online oleh
atasan langsung
sebagai alat untuk
melakukan
pemantauan.

c. Apakah terdapat Lakukan pengamatan

pengendalian atas untuk meyakinkan
keamanan akses dalam
bahwa pengendalian
menggunakan
aplikasi telah
sistem/aplikasi?
dilakukan, antara lain
Penggunaan

209
196
 -190-

No. Parameter (contoh) Implementasi Analisis

password, adanya
otorisasi input data,
adanya pengecekan
kelengkapan data,
adanya pengecekan
akurasi data, dll

d. Pengamanan BMD/BMN Lakukan pengamatan

BMN/D, apakah
BMN/D telah
diberikan
label/tanda/ tanda
batas milik
pemerintah dan
disimpan di ruangan
yang aman.

e. Terdapat Lakukan pengamatan

pendokumentasian atas pengarsipan
implementasi SPI serta dokumen secara
transaksi dan kejadian hardcopy dan
penting secara hardcopy softcopy. Apakah
dan softcopy. tersimpan secara
memadai?

2. Bentuk atribut pengendalian .......

Simpulan:
................................................................................................................................
.....

210
197
 -191-

J. Kertas Kerja Hasil Reperformance

Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................ Ref. : ............................
Auditan Program
Audit No.
Nama Satker : ............................ Disusun : ............................
Auditan oleh
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu

Kertas Kerja Audit

Hasil Reperformance atas Implementasi Pengendalian

Tujuan: Untuk mendapat keyakinan yang lebih memadai apabila langkah

pengujian yang telah dilakukan dirasa belum dapat memberikan keyakinan yang
memadai bahwa suatu pengendalian telah dijalankan sesuai rancangannya.

Obyek/Atribut Temuan
No Mitigasi
Pengendalian yang
Risiko Uraian Penyebab Dampak
Diuji
1 2 3 4 5 6

Keterangan:
(1) : diisi nomor urut
(2) : diisi nama pengendalian (mitigasi risiko)
(3) : diisi Obyek/Atribut Pengendalian yang Diuji
(4) : diisi uraian mengenai kelemahan atas pelaksanaan pengendalian
sebagaimana kolom 3
(5) : diisi penyebab/alasan kenapa temuan dapat terjadi
(6) : diisi risiko atas pengendalian utama sebagaimana kolom 2 pada
lampiran nomor 2 huruf D

211
198
 -192-

K. Kertas Kerja Hasil Implementasi Pengendalian

Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................ Ref. : ............................
Auditan Program
Audit No.
Nama Satker : ............................ Disusun : ............................
Auditan oleh
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Hasil Implementasi Pengendalian

Tujuan: Untuk memberikan simpulan apakah suatu pengendalian telah

dijalankan sesuai rancangannya serta menguraikan temuan atas
permasalahan yang dihadapi oleh manajemen

Pengujian Kesesuaian Implementasi Pengendalian dengan Rancangan

Oleh Temuan
No Pengendalian Telah Caranya orang
Utama dijalankan tepat yang Uraian Penyebab Dampak
tepat
1 2 3 4 5 6 7 8

Nilai Risiko Pasca Implementasi Pengendalian:

Nilai Risiko Setelah

Nilai Risiko Awal
No Risiko Implementasi Pengendalian
Prob. Dampak Nilai Prob. Dampak Nilai

Nilai Risiko inilah yang selanjutnya digunakan untuk mengupdate register risiko
manajemen
Keterangan:
(1) : diisi nomor urut
(2) : diisi nama pengendalian utama
(3) : diisi hasil penilaian apakah pengendalian telah dilaksanakan
(4) : diisi hasil penilaian apakah cara pelaksanaan pengendalian telah tepat
(5) :diisi hasil penilaian apakah pengendalian telah dilaksanakan oleh
orang/pegawai/pejabat yang tepat
(6) : diisi deskripsi temuan
(7) : diisi penyebab temuan -186-
(8) : diisi dampak temuan terhadap tujuan kegiatan
Rencana Tindak yang disetujui

212
199
 -193-

L. Kertas Kerja Pengujian Pengelolaan Risiko

Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................ Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................ Disusun : ............................
Auditan oleh
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Pengujian Pengelolaan Risiko

Tujuan: Untuk memperoleh keyakinan apakah risiko-risiko telah diidentifikasi, di

analisis dan dievaluasi secara memadai.

Berdasarkan hasil rekonfirmasi kematangan Manajemen risiko, telah dilakukan

pengembangan pengujian sebagai berikut:

1. Pengujian terkait penetapan konteks

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

1 Apakah risiko ditetapkan Diisi dengan Diisi Diisi

dengan mengacu kepada daftar dengan dengan
tujuan/sasaran dan pertanyaan nama apa yang
perencanaan strategis dan siapa dokumen diamati
instansi? respondennya yang
diperiksa
serta
teknik
yang
digunakan

2 Dalam menetapkan
konteks, apakah unit kerja
mempertimbangkan baik
tantangan dan/atau
peluang?

3 Apakah unit kerja

mempertimbangkan baik
konteks eksternal maupun
internal dalam
hubungannya dengan

213
200
 -194-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

pengelolaan risiko?

4 Apakah instansi
menentukan dan
mendokumentasikan risk
appetite dan risk
tolerance-nya terhadap
berbagai kondisi?

5 Apakah konteks secara

rutin direviu untuk
meyakinkan bahwa
konteks tetap
sesuai/sejalan dengan
sistem dan pengendalian
instansi?

6 Apakah instansi
menentukan kriteria risiko
yang tepat yang selaras
(align) dengan
sasaran-sasarannya?

Risiko Operasional Unit Kerja

7 Apakah sasaran-sasaran
proyek/program individual
telah dipertimbangkan
sebagai bagian dari
konteks manajemen risiko?

8 Apakah unit kerja telah

mempertimbangkan
kapabilitas dan
kapasitasnya untuk
mengelola risiko (contoh:
teknologi, anggaran,
waktu, SDM, dsb)

Risiko Strategis Unit Kerja

9 Apakah instansi telah

mempertimbangkan
praktik manajemen risiko
dari unit-unit kerja lain
yang berkaitan (lintas

214
201
 -195-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

sektor)?

10 Apakah unit kerja

mempertimbangkan risiko
antar unit kerja dan
mengomunikasikan
risiko-risiko ini kepada
unit kerja yang relevan?

Risiko Strategis Instansi

11 Apakah instansi telah

mempertimbangkan
lingkungan politik dan
publik yang lebih
luas?

12 Apakah instansi telah

mempertimbangkan isu-isu
risiko strategis (sebagai
contoh
perubahan iklim) yang
memerlukan koordinasi
dengan instansi lain yang
terkait?

13 Apakah instansi telah

mempertimbangkan
dampak potensial dari
risiko-risiko
industri dan komunitas?

Keterangan:
(1) ......
(2) ......

215
202
 -196-

2. Pengujian terkait identifikasi risiko

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

1 Apakah risiko yang Diisi dengan Diisi Diisi

teridentifikasi merujuk dan daftar dengan dengan
terkait kepada rencana pertanyaan nama apa yang
strategis instansi/unit dan siapa dokumen diamati
kerja, yaitu terkait dengan respondennya yang
sasaran dan hasil yang diperiksa
harus disampaikan oleh serta
instansi/unit kerja? teknik
yang
digunakan

2 Apakah risiko yang

teridentifikasi merujuk dan
terkait dengan rencana
operasional instansi/unit
kerja?

3 Apakah risiko yang

teridentifikasi merujuk dan
terkait dengan rencana
proyek dan program
instansi/unit kerja?

4 Apakah instansi/unit kerja

mengidentifikasikan
tantangan dan/atau
peluang?

5 Apakah instansi/unit kerja

mempertimbangkan baik
risiko internal maupun
eksternal?

6 Apakah instansi/unit kerja

memiliki proses-proses
identifikasi risiko yang
diterapkan, komprehensif
dan sistematik?

7 Apakah risiko
teridentifikasi dicatat

216
203
 -197-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

dalam register risiko?

8 Apakah staf yang terlibat

dalam identifikasi risiko
paham atas proses atau
kegiatan yang diidentifikasi
risikonya?

9 Apakah identifikasi risiko

melibatkan stakeholders
yang tepat?

10 Apakah risiko strategis

bersumber dari/tergambar
dalam rencana strategis
organisasi?

Risiko Operasional Unit Kerja

11 Ketika dilakukan
identifikasi risiko, apakah
unit kerja telah
mempertimbangkan
temuan-temuan dari hasil
audit, asesmen dan
evaluasi sebelumnya?

12 Apakah unit kerja mereviu

catatan-catatan organisasi
yang relevan untuk
menentukan apakah
terdapat suatu pola
(sebagai contoh, kerugian
bernilai keuangan atau
kehilangan aset,
kehilangan data/catatan,
laporan-laporan kesehatan
dan keselamatan kerja)?

13 Apakah unit kerja telah

mempertimbangkan
identifikasi risiko dari
pengalaman/catatan
historis

sebelumnya?

217
204
 -198-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

Risiko Strategis Unit Kerja

14 Apakah unit kerja telah

mempertimbangkan
bagaimana risiko-risiko
yang dimiliki oleh satu unit
kerja dapat memberi
pengaruh kepada unit
kerja lainnya?

15 Apakah pemilik risiko telah

mengidentifikasi
risiko-risiko yang berkaitan
dengan proyek-proyek
Kerjasama (lintas sektor)?

16 Adakah suatu
proses/sistem
notifikasi/komunikasi atas
risiko lintas sektoral
kepada stakeholder antar
Unit kerja?

Keterangan:
(1) ......
(2) ......

218
205
 -199-

3. Pengujian terkait analisis risiko

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

1 Apakah unit kerja telah Diisi dengan Diisi Diisi

mendokumentasikan daftar dengan dengan
prosedur-prosedur untuk pertanyaan nama apa yang
menganalisis dan siapa dokumen diamati
respondennya yang
kemungkinan dan dampak
diperiksa
atas masih-masing risiko?
serta
teknik
yang
digunakan

2 Apakah unit kerja

melakukan analisis secara
tepat atas akar penyebab
dan area serta besarnya
dampak dari risiko-risiko
yang dianalisis?

3 Apakah semua risiko yang

dianalisis
didokumentasikan dengan
baik?

4 Apakah unit kerja telah

memeriksa dan
mengevaluasi efektifitas
existing control

atas risiko teridentifikasi?

5 Apakah
pengendalian-pengendalian
dalam rangka pengelolaan
risiko secara rutin
dipantau?

6 Apakah manajemen dan

pegawai yang terlibat dalam
proses analisis
Risiko adalah manajemen
dan pegawai yang tepat?

219
206
 -200-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

7 Apakah analisis risiko telah

mempertimbangkan bahwa
pengendalian yang
dibangun atas risiko tidak
berlebihan (over-
controlled)?

Keterangan:
(3) ......
(4) ......

220
207
 -201-

4. Pengujian terkait evaluasi risiko

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

1 Apakah risiko-risiko yang Diisi dengan Diisi Diisi

telah analisis daftar dengan dengan
diperbandingkan pertanyaan nama apa yang
kesesuaiannya dengan dan siapa dokumen diamati
ketentuan dalam profil respondennya yang
risiko, risk appetite dan diperiksa
risk tolerance yang serta
ditetapkan oleh pimpinan teknik
instansi? yang
digunakan

2 Apakah unit kerja

sepenuhnya
mengintegrasikan risiko ke
dalam rencana strategis
dan operasional atau
rencana perlakuan
terhadap risiko dalam
rangka pengelolaan risiko?

3 Apakah semua risiko di

dalam unit kerja dievaluasi
dengan menggunakan
metodologi yang
diterapkan secara
konsisten?

4 Apakah daftar prioritas

risiko dievaluasi untuk
meyakinkan bahwa
perlakuan terhadap risiko
diutamakan untuk risiko-
risiko tertinggi?

5 Apakah risiko yang

dievaluasi direviu oleh
pihak yang independen
untuk meyakinkan bahwa
risk treatment telah
diterapkan secara
konsisten?

6 Apakah risiko dievaluasi

secara terus menerus
untuk menentukan apabila

221
208
 -202-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

diperlukan perubahan
prioritas risiko yang
ditangani?

7 Apakah risiko-risiko
dievaluasi dengan
pertimbangan sebagai
bagian dari strategi dan
perencanaan operasional
instansi/unit kerja?

Panduan Simpulan Atas Pengujian Pengelolaan Risiko:

1. Jika seluruh pernyataan dapat dijawab iya (terpenuhi), maka dapat disimpulkan
bahwa secara umum proses identifikasi, analisis, dan evaluasi risiko telah
memadai;
2. Jika masih ada pernyataan dijawab tidak (belum terpenuhi), maka dapat
disimpulkan bahwa secara umum proses identifikasi, analisis, dan evaluasi
risiko belum memadai atau perlu perbaikan pada area yang dijawab tidak
tersebut;
3. Jika seluruh pernyataan dijawab tidak (belum terpenuhi), maka dapat
disimpulkan bahwa secara umum proses identifikasi, analisis, dan evaluasi
risiko belum memadai;

222
209
 -203-

M. Kertas Kerja Pengujian Pemantauan

Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................ Disusun : ............................
Auditan oleh
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Pengujian Pemantauan, Komunikasi, dan Konsultasi

Tujuan: Untuk memperoleh keyakinan apakah tingkat pemantauan atas risiko

telah memadai, dan apakah komunikasi dan konsultasi atas manajemen risiko
telah dilakukan.

1. Pengujian terkait Pemantauan risiko

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

1 Apakah organisasi Diisi dengan Diisi Diisi

melaksanakan kegiatan daftar dengan dengan
pemantauan secara rutin pertanyaan nama apa yang
untuk mengevaluasi: dan siapa dokumen diamati
respondennya yang
a. Relevansi risiko
diperiksa
terhadap tercapainya
serta
sasaran-sasaran
instansi/unit kerja? teknik
b. Efektivitas existing yang
control yang digunakan
diterapkan?
c. Implementasi mitigasi
tambahan?
d. Relevansi kegiatan
pengendalian atas
sasaran-sasaran
strategis dan
operasional
instansi/unit kerja?
2 Apakah instansi memiliki
kebijakan dan prosedur
yang diterapkan untuk
melakukan penilaian
kembali atas profil risiko
atau ancaman/peluang
yang muncul akibat

223
210
 -204-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

perubahan lingkungan
internal

dan/atau eksternal
instansi?

3 Apakah terdapat sistem

manajemen informasi yang
cukup untuk

memfasilitasi pemantauan
risiko?

4 Apakah risk appetite telah

diupdate secara berkala
terkait dengan perubahan
selera akibat pergantian
pimpinan tertinggi
instansi?

5 Apakah risiko-risiko
prioritas, existing control,
dan mitigasi tambahan
terkait telah direviu secara
rutin?

Risiko Operasional Unit Kerja

6 Adakah terdapat pelaporan

rutin tentang status risiko
kepada pimpinan
organisasi dan/atau
kepada komite manajemen
risiko?

7 Apakah APIP memberikan

asistensi dalam
manajemen risiko dan
pengidentifikasian
kelemahan-kelemanan
dalam pengelolaan risiko?

8 Apakah APIP
melaksanakan reviu secara
rutin atas proses-proses
manajemen risiko?

Risiko Strategis Unit Kerja

224
211
 -205-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

9 Apakah terdapat
proses-proses yang
digunakan untuk
meyakinkan jalannya
pemantauan dan pelaporan
risiko lintas unit kerja
(lintas sektor)?

Risiko Strategis Instansi

10 Apakah terdapat
proses-proses yang
digunakan untuk
meyakinkan jalannya
pemantauan dan
pelaporan risiko tingkat
strategis instansi?

11 Apakah risiko strategis

instansi direviu dan
dievaluasi melalui
proses-proses yang tepat?
12 Apakah hasil dari proses
reviu risiko strategis
dikomunikasikan kepada
instansi lain yang memiliki
resiko serupa?

Keterangan:
(1) ......
(2) ......

225
212
 -206-

2. Pengujian terkait Komunikasi dan Konsultasi

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

1 Apakah semua staf sadar Diisi dengan Diisi Diisi

akan tanggungjawab daftar dengan dengan
mereka terkait identikasi, pertanyaan nama apa yang
pengendalian dan dan siapa dokumen diamati
manajemen risiko? respondennya yang
diperiksa
serta
teknik
yang
digunakan

2 Apakah kerangka
manajemen risiko
mendorong perbaikan
berkelanjutan melalui
pembelajaran dan inovasi?

3 Dalam kerangka
manajemen risiko, adakah
suatu proses untuk
menjamin
teridentifikasinya semua
stakeholder terkait?

4 Apakah terdapat suatu

strategi untuk melakukan
komunikasi MR ke
khalayak luas dalam
institusi/unit kerja?

5 Apakah terdapat
konsultasi atas
stakeholders kunci
sepanjang pelaksanaan
siklus manajemen risiko?

6 Apakah pandangan
stakeholder terkait atas
risiko menjadi
pertimbangan dalam
pelaksanaan manajemen
risiko?

Risiko Operasional Unit Kerja

226
213
 -207-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

7 Adakah komunikasi secara

rutin antara kepala APIP
dengan komite manajemen
risiko (atau fungsi yang
mirip dengan unit ini)?

8 Apakah risk management

champion memiliki akses
langsung kepada komite
manajemen risiko untuk
menyampaikan sesuatu
yang perlu mendapat
perhatian?

9 Adakah sistem pelaporan

manajemen risiko yang
diterapkan yang
meyakinkan bahwa semua
pihak yang relevan terus
menerima informasi
tentang risiko yang
dimiliki unit kerja?

Risiko Strategis Unit Kerja

10 Apakah terdapat strategi

komunikasi yang efektif
untuk risiko-risiko lintas
Unit kerja (sebagai contoh
forum rutin pimpinan,
rapat kerja, forum
kebidangan, dsb)?

11 Apakah risk management

champion berkomunikasi
dengan counterpart
mereka di unit kerja lain?

12 Apakah unit rendal

manajemen risiko (second
line) menetapkan standar
untuk matriks analisis
risiko yang harus diikuti
sebagai acuan risiko lintas
unit kerja (lintas sektor),

227
214
 -208-

No. Kriteria Prosedur Pengujian Simpulan

Wawancara Periksa Observasi Ya/Tidak

Dokumen

(1) (2) (3) (4) (5) (6)

dan menetapkan jalur

komunikasi dan konsultasi
yang jelas?

Risiko Strategis Instansi

13 Apakah instansi memiliki

proses untuk meyakinkan
bahwa para pimpinan
tertinggi instansi
memperoleh informasi
terkait risiko-risiko
strategis instansi?

14 Apakah terdapat strategi

komunikasi yang efektif
untuk mengelola risiko-
risiko strategis instansi?

15 Apakah risk management

champion berkomunikasi
dengan counterpart
mereka di instansi lain?

Keterangan:
(1) ......
(2) ......

Panduan Simpulan Atas Pengujian Pemantauan:

1. Jika seluruh pernyataan dapat dijawab iya (terpenuhi), maka dapat disimpulkan
bahwa secara umum proses monitoring evaluasi, dan informasi konsultasi telah
memadai;
2. Jika masih ada pernyataan dijawab tidak (belum terpenuhi), maka dapat
disimpulkan bahwa secara umum proses monitoring evaluasi, dan informasi
konsultasi belum memadai atau perlu perbaikan pada area yang masih dijawab
tidak tersebut;
3. Jika seluruh pernyataan dijawab tidak (belum terpenuhi), maka dapat
disimpulkan bahwa secara umum proses monitoring evaluasi, dan informasi
konsultasi belum memadai;

228
215
 -209-

N. Kertas Kerja Penilaian Capaian Tujuan/Kinerja

Instansi : ............................ No. KKA : ............................
Auditable Unit : ............................ Ref. Program : ............................
Audit No.
Alamat : ............................ Disusun : ............................
oleh
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Penilaian Capaian Tujuan/Kinerja

Tujuan: Menilai pencapaian tujuan interim auditable unit sampai dengan saat field work.
Simpulan atas ketercapaian tujuan/kinerja
No. Uraian Penjelasan

1. Sasaran Strategis uraikan

2. Indikator Kinerja/Tujuan uraikan

3. Capaian Kinerja/Tujuan Sampai dengan fieldwork ….

(atau periode terdekat)

4. Target Kinerja/Tujuan sampai dengan fieldwork …..

(atau periode terdekat)

5. % Capaian Kinerja sampai dengan fieldwork (atau …. %

periode terdekat)

6. Simpulan Capaian Tujuan/Kinerja sampai dengan Tercapai/Hampir

fieldwork (atau periode terdekat) Tercapai/Tidak Tercapai

(Tercapai jika minimal 100%, hampir jika 90%

keatas, dan tidak tercapai jika kurang dari 90%)

Keterangan:
1. Target kinerja/tujuan sampai dengan fieldwork (atau periode terdekat),
maksudnya adalah tujuan interim sampai saat tim pengawasan ke lapangan.
Misalnya, tim melaksanakan penugasan mulai tanggal 30 April 2019, jika
monitoring kinerja dilakukan bulanan, maka data kinerja yang dipakai adalah
bulan April, namun jika monitoring kinerja dilakukan triwulanan, maka
periode terdekat adalah triwulan I, yaitu kinerja sampai dengan 31 Maret
2019;
2. Jika data kinerja sudah tersedia secara real time, maka gunakan data terakhir
yang dapat diperoleh;
3. Data target sampai dengan field work (atau periode terdekat), diperoleh dari
data target kinerja yang disusun manajemen, contohnya adalah data
disbursement plan.

229
216
 -210-

O. Kertas Kerja Simpulan Umum PIBR

Instansi : ............................ No. KKA : ............................
Auditable Unit : ............................
Ref. Program : ............................
Audit No.
Alamat : ............................ Disusun : ............................
oleh
Tahun/Masa : ............................ Tgl & Paraf : ............................
Audit Penyusun
Program : ............................ Direviu oleh : ............................
Kegiatan : ............................ Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Simpulan Umum Pengawasan Intern Berbasis Risiko

Tujuan: Menilai pencapaian tujuan interim auditable unit sampai dengan saat field
work, termasuk proyeksi pencapaian tujuan sampai dengan akhir periode.
Simpulan umum pengawasan intern berbasis risiko

No. Uraian Penjelasan

1. Simpulan capaian Tujuan/Kinerja (diambil dari Tercapai/Hampir
simpulan lampiran nomor 2 huruf N) Tercapai/Tidak Tercapai
2. Simpulan atas identifikasi, analisis, dan evaluasi Memadai/Terdapat
risiko signifikan auditable unit (diambil dari Kelemahan/Tidak
simpulan lampiran nomor 2 huruf L) Memadai
3. Simpulan atas Kecukupan Desain Pengendalian Cukup/Terdapat
(diambil dari simpulan lampiran nomor 2 huruf G) Kelemahan/Kurang
4. Simpulan atas Efektivitas Implementasi Efektif/Kurang
Pengendalian (diambil dari simpulan lampiran Efektif/Tidak Efektif
nomor 2 huruf K)
5. Simpulan atas Kecukupan Monitoring dan Cukup/Terdapat
Evaluasi, serta Informasi dan Komunikasi (diambil Kelemahan/Kurang
dari lampiran nomor 2 huruf M)
Simpulan proyeksi pencapaian tujuan/kinerja sampai dengan akhir periode,
disajikan sebagai berikut:
1. Jika kinerja/tujuan tidak tercapai (berdasarkan simpulan pengujian atas
ketercapaian tujuan – simpulan 1) dan secara umum pengelolaan risiko
organisasi belum efektif (berdasarkan assurance atas efektivitas MR secara
keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian kinerja sampai dengan
akhir periode berpotensi untuk gagal/tidak tercapai.
2. Jika kinerja/tujuan sudah tercapai (berdasarkan simpulan pengujian atas
ketercapaian tujuan – simpulan 1) namun secara umum pengelolaan risiko
organisasi belum efektif (berdasarkan assurance atas efektivitas MR secara
keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian kinerja sampai dengan
akhir periode berpotensi untuk terhambat.
3. Jika kinerja/tujuan sudah tercapai (berdasarkan simpulan pengujian atas
ketercapaian tujuan – simpulan 1) dan secara umum pengelolaan risiko
organisasi sudah efektif (berdasarkan assurance atas efektivitas MR secara
keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian kinerja sampai dengan
akhir periode berpotensi untuk tercapai.

230
217
LAMPIRAN
TAHAPAN PENGKOMUNIKASIAN
PENGAWASAN INTERN

218
231
 Lampiran Petunjuk Pelaksanaan
Nomor 3

FORMULIR PENGKOMUNIKASIAN PIBR

A. Formulir Simpulan Awal Capaian Tujuan/Kinerja

Auditable Unit :
Periode : Didiskusikan :
Pengawasan dengan
Tanggal Diskusi :
Dilakukan

Tujuan: Menilai pencapaian tujuan interim auditable unit sampai dengan saat field work.
Simpulan atas ketercapaian tujuan/kinerja
% Simpulan
Capaian Target Capaian Capaian
Sasaran Indikator Kinerja/Tujuan Kinerja/Tujuan Kinerja Tujuan/Kinerja
No.
Strategis Kinerja/Tujuan Sampai dengan sampai dengan sampai sampai dengan
fieldwork fieldwork dengan fieldwork
fieldwork
1.
2.
3.
Tanda Tangan Tim Pengawas Tanda tangan pemilik risiko

ABC XYZ
NIP. XXXXXXXX XXXXXX X XXX NIP. XXXXXXXX XXXXXX X
XXX

219
232
B. Formulir Pengujian Kesesuaian Implementasi Pengendalian dengan
Rancangan

Nama Auditable Unit : (diisi dengan auditable unit baik berupa unit
maupun program/kegiatan)
Didiskusikan dengan :
Tanggal Diskusi :
Dilakukan

Tujuan: Untuk memberikan simpulan apakah suatu pengendalian telah dijalankan

sesuai rancangannya serta menguraikan temuan atas permasalahan yang
dihadapi oleh manajemen

Oleh Temuan
No Pengendalian Telah Caranya orang
Utama dijalankan tepat yang Uraian Penyebab Dampak
tepat
1 2 3 4 5 6 7 8

Nilai Risiko Pasca Implementasi Pengendalian:

Nilai Risiko Setelah

Nilai Risiko Awal
No Risiko Implementasi Pengendalian
Prob. Dampak Nilai Prob. Dampak Nilai

Nilai Risiko inilah yang selanjutnya digunakan untuk mengupdate register risiko
manajemen
Keterangan:
(1) : diisi nomor urut
(2) : diisi nama pengendalian utama
(3) : diisi hasil penilaian apakah pengendalian telah dilaksanakan
(4) : diisi hasil penilaian apakah cara pelaksanaan pengendalian telah tepat
(5) :diisi hasil penilaian apakah pengendalian telah dilaksanakan oleh orang/pegawai/pejabat
yang tepat
(6) : diisi deskripsi temuan
(7) : diisi penyebab temuan
(8) : diisi dampak temuan terhadap tujuan kegiatan

Tanda Tangan Tim Pengawas Tanda tangan pemilik risiko

ABC XYZ
NIP. XXXXXXXX XXXXXX X XXX NIP. XXXXXXXX XXXXXX X XXX

220
233
C. Formulir Simpulan Umum Pengawasan Intern Berbasis Risiko

Nama Auditable Unit : (diisi dengan auditable unit baik berupa unit
maupun program/kegiatan)
Didiskusikan dengan :
Tanggal Diskusi Dilakukan :

(Tujuan: Menilai pencapaian tujuan interim auditable unit sampai dengan saat field
work, termasuk proyeksi pencapaian tujuan sampai dengan akhir periode)

No. Uraian Penjelasan

1. Simpulan capaian Tujuan/Kinerja sampai dengan Tercapai/Hampir
fieldwork Tercapai/Tidak Tercapai
(diambil dari simpulan lampiran nomor 2 huruf N)
2. Simpulan atas identifikasi, analisis, dan evaluasi Memadai/Terdapat
risiko signifikan auditable unit (diambil dari Kelemahan/Tidak
simpulan lampiran nomor 2 huruf L) Memadai
3. Simpulan atas Kecukupan Desain Pengendalian Cukup/Terdapat
(diambil dari simpulan lampiran nomor 2 huruf Kelemahan/Kurang
G)
4. Simpulan atas Efektivitas Implementasi Efektif/Kurang
Pengendalian (diambil dari simpulan lampiran Efektif/Tidak Efektif
nomor 2 huruf K)
5. Simpulan atas Kecukupan Monitoring dan Cukup/Terdapat
Evaluasi, serta Informasi dan Komunikasi Kelemahan/Kurang
(diambil dari lampiran nomor 2 huruf M)

Tanda Tangan Tim Pengawas Tanda tangan pemilik risiko

ABC XYZ
NIP. XXXXXXXX XXXXXX X NIP. XXXXXXXX XXXXXX X
XXX XXX

221
234
221
Simpulan proyeksi pencapaian tujuan/kinerja sampai dengan akhir periode,
disajikan sebagai berikut:
1. Jika kinerja/tujuan sampai dengan field work tidak tercapai (berdasarkan
simpulan pengujian atas ketercapaian tujuan – simpulan 1) dan secara umum
pengelolaan risiko organisasi belum efektif (berdasarkan assurance atas
efektivitas MR secara keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian
kinerja sampai dengan akhir periode berpotensi untuk gagal/tidak tercapai.
2. Jika kinerja/tujuan sampai dengan field work sudah tercapai (berdasarkan
simpulan pengujian atas ketercapaian tujuan – simpulan 1) namun secara umum
pengelolaan risiko organisasi belum efektif (berdasarkan assurance atas
efektivitas MR secara keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian
kinerja sampai dengan akhir periode berpotensi untuk terhambat.
3. Jika kinerja/tujuan sampai dengan field work sudah tercapai (berdasarkan
simpulan pengujian atas ketercapaian tujuan – simpulan 1) dan secara umum
pengelolaan risiko organisasi sudah efektif (berdasarkan assurance atas
efektivitas MR secara keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian
kinerja sampai dengan akhir periode berpotensi untuk tercapai.

222
235
D. Formulir Template/Format Laporan Hasil Fasilitasi
INSTANSI APIP
KOP SURAT
Jalan ......... Nomor XX Kota......,1XXXX
INSTANSI
APIP Telepon 0XX-8XXXXXX (hunting), Faksimile 0XX-8XXXX
Email: apip@inst.go.id Situs:www.inspxyz.go.id

Nomor : .................. ........... 20XX

Lampiran : ....... berkas
Hal : Laporan Fasilitasi Penerapan Manajemen
Risiko pada ……. Tahun 20XX

Yth. Pimpinan Unit Kerja XYZ

Di tempat

Sesuai dengan Surat Tugas Inspektur Kementerian/Lembaga .... Nomor ......

tanggal ..... mengenai Fasilitasi Penyusunan Risk Register pada unit kerja XYZ.
Bersama ini kami sampaikan hasil dari kegiatan tersebut dengan rincian sebagai
berikut :

1. Dasar melakukan Fasilitasi

(Berisi dasar hukum dan dasar penugasan)
a. Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem
Pengendalian Intern Pemerintah
b. Keputusan Presiden Nomor … tentang … Kementerian/Lembaga ....
c. Keputusan Menteri Nomor ABC tentang Program Kerja Pengawasan
Tahunan
d. Keputusan Menteri Nomor ABC tentang Piagam Audit
e. Surat Tugas Inspektur Jenderal Kementerian/Lembaga ABC Nomor ...
(diisi dengan dasar penugasan pengawasan intern, antara lain Surat
Tugas)

2. Tujuan/Sasaran dan Ruang Lingkup Fasilitasi

Tujuan Fasilitasi adalah untuk memberikan pemahaman mengenai
manajemen risiko dan memandu pihak manajemen membuat register risiko
dan memandu pihak manajemen membuat register risiko yang dapat diukur
(measurable) dan dapat dibandingkan (comparable).
Lingkup penugasan fasilitasi adalah pemberian pemahaman mengenai
manajemen risiko dan pembuatan risiko.

223
236
223
 3. Peserta dan Metode Fasilitasi
Metode fasilitasi dapat dilaksanakan dengan metode workshop, survey dan
analisis manajemen.
Peserta yang mengikuti kegiatan fasilitasi meliputi …. (jumlah, latar belakang
peserta, dan sebagainya)
4. Kondisi sebelum fasilitasi.
(Bagian ini menguraikan kenapa instansi/unit kerja pada prosedur
rekonfirmasi menghasilkan level maturitas manajemen risiko rendah (level 1
dan 2) sebagai dasar dilaksanakannya fasilitasi untuk auditable unit dengan
maturitas manajemen rendah)
5. Proses Fasilitasi
a. Waktu, tempat, pelaksana kegiatan
(Diisikan periode fasilitasi, tempat penyelenggaraan fasilitasi dan diisikan
instansi/unit kerja yang melaksanakan kegiatan fasilitasi.)
b. Tahapan
(Bagian ini menguraikan tahapan fasilitasi. Dengan ringkasan masalah
sesuai Lampiran 1.)
6. Hasil fasilitasi
(Bagian ini menguraikan output fasilitasi yang idealnya berupa risk register
yang dihasilkan dari tahapan fasilitasi)
7. Hambatan pelaksanaan fasilitasi
(Bagian ini menceritakan hambatan yang dialami tim fasilitator selama
melaksanakan kegiatan fasilitasi)
8. Saran dan Rencana selanjutnya
(Bagian ini bercerita mengenai saran dari tim fasilitator kepada Unit
Kerja/Instansi dan menguraikan mengenai rencana selanjutnya tim fasilitator.
Adapun rencana selanjutnya dari manajemen atas saran tim fasilitator sesuai
tertuang dalam lampiran 2.)

Demikian, hasil kegiatan fasilitasi penyusunan risk register kami sampaikan,

atas kerja sama yang baik kami ucapkan terima kasih.

Inspektur

…………………..
NIP. ……………………..

224
237
Lampiran 1 (jika dibutuhkan)
1. Ringkasan permasalahan dari 20 Lampiran tahapan fasilitasi (Diambil dari
lampiran Petunjuk Pelaksanaan Fasilitasi MR). Contoh:
Uraian
Formulir Tujuan Formulir
Permasalahan

1 2 3
1 Daftar kode risiko ditetapkan untuk memudahkan manajemen dalam 1. Belum
mengidentifikasi dan melacak risiko dalam risk register berdasarkan dibuat kode
lingkup risiko, tahun identifikasi, kategori risiko, unit kerja yang risiko
menilai, dan nomor urut di risk register 2. ........

2 Memastikan bahwa manajemen menetapkan konteks tujuan/sasaran

strategis instansi yang hendak dicapai sebagai dasar dalam identifikasi
risiko dalam lingkup Risiko Strategis Instansi (RSI).

3 Memastikan bahwa unit kerja menetapkan konteks tujuan/sasaran

strategis unit kerja yang hendak dicapai sebagai dasar dalam
identifikasi risiko dalam lingkup Risiko Strategis Unit kerja (RSU).

4 Memastikan bahwa manajemen menetapkan konteks tujuan/sasaran

operasional unit kerja yang hendak dicapai sebagai dasar dalam
identifikasi risiko dalam lingkup Risiko Operasional Unit ke
Memastikan bahwa temuan Irjen/Irtama/Inspektorat dan Pemberitaan
Media Massa terkait kelemahan sub unsur SPIP
diakomodir/dimasukan dalam risk register operasional unit kerja
(ROU).

5 Memastikan bahwa temuan Irjen/Irtama/Inspektorat dan Pemberitaan

Media Massa terkait kelemahan sub unsur SPIP
diakomodir/dimasukan dalam risk register.

6 Memastikan bahwa seluruh Risiko Strategis Instansi terutama risiko

yang signifikan telah teridentifikasi.

7 Memastikan bahwa seluruh Risiko Strategis Unit Kerja terutama risiko

yang signifikan telah teridentifikasi.

8 Memastikan bahwa seluruh Risiko Operasional Unit Kerja terutama

risiko yang signifikan telah teridentifikasi.

9 Memastikan bahwa level kemungkinan dalam skala likert, kriteria

kemungkinan (baik presentase kemungkinan, maupun jumlah
frekuensi kemungkinan terjadinya risiko dalam 1 periode), dan definisi
kriteria kemungkinan pada tiap level kemungkinan telah ditetapkan
secara kuantitatif.

10 Memastikan bahwa level dampak dalam skala likert, area dampak, dan
definisi area dampak pada tiap level dampak dan level unit kerja telah
ditetapkan secara kuantitaif

11 Memastikan bahwa skor akhir level dampak dan level kemungkinan

atas setiap risiko merupakan hasil keputusan bersama seluruh
responden workshop dari unit kerja terkait melalui metode nilai rata-
rata dampak dan kemungkinan atas setiap risiko yang diajukan

225
238
 Uraian
Formulir Tujuan Formulir
Permasalahan

1 2 3
seluruh responden tersebut.

12 Menetapkan parameter penilaian risiko dan selera risiko pimpinan

tertinggi instansi secara kuantitatif terkait tingkat dampak, tingkat
kemungkinan (likelihood), dan tingkat risiko.

13 Memastikan bahwa seluruh risiko inherent dan risiko setelah existing

control telah dinilai berdasarkan matrix analisis risiko (heat map) yang
telah ditentukan

14 Menganalisis apabila terdapat mitigasi tambahan yang dibutuhkan

untuk mengendalikan risiko-risiko prioritas dengan pertimbangan
efektivitas existing control dan celah pengendalian, serta memastikan
pemilik/penanggung jawab penyelenggara mitigasi tambahan tersebut.

15 Memastikan bahwa penyebab terjadinya risiko adalah akar penyebab,

sehingga control/ mitigasi risiko tambahan dapat disasar kepada akar
penyebab risiko agar lebih efektif.

16 Memastikan bahwa mitigasi atas setiap risiko merupakan langkah

yang dapat diterapkan secara nyata, setelah mempertimbangkan
jumlah kejadian risiko tahun sebelumnya, akar penyebab risiko, target
respon/mitigasi risiko, penanggung jawab pelaksana mitigasi dan nilai
risiko residual harapan.

17 Memastikan bahwa control/ mitigasi tambahan yang dibangun atas

tiap risiko telah dikomunikasikan dengan pihak-pihak terkait,
sehingga control/mitigasi tambahan tersebut dapat terimplementasi
secara lebih cepat dan efektif.

18 Memantau dan membandingkan antara rencana dengan

capaian/realisasi pelaksanaan mitigasi atas risiko (terutama risiko
prioritas) secara triwulanan, dan mengidentifikasi kendala/penyebab
atas tidak terealisasinya mitigasi tersebut.

19 Mencatat jumlah kejadian atas setiap risiko yang ada secara

triwulanan, serta menganalisis akar penyebab dari kejadian risiko
tersebut sebagai bahan/input untuk mengoreksi tingkat kemungkinan
keterjadian risiko dalam tahap penilaian risiko di periode berikutnya.

Tanda Tangan Tim Fasilitator Tanda tangan pemilik risiko

ABC XYZ
NIP. XXXXXXXX XXXXXX X XXX NIP. XXXXXXXX XXXXXX X
XXX

226
239
2. Rencana tindak lanjut auditi (atas 20 lampiran dan saran fasilitator). Contoh:

No. Permasalahan Action Plan Hasil

1 2 3 4
1 Belum dibuat Akan dibuatkan kodefikasi 1. Diskusi internal
kode risiko yang ditetapkan dengan 2. Pembuatan draft Keputusan
Keputusan Kepala K/L/D K/L/D
3. Penetapan Keputusan
Kepala K/L/D
2

Tanda Tangan Tim Fasilitator Tanda tangan pemilik risiko

ABC XYZ
NIP. XXXXXXXX XXXXXX X NIP. XXXXXXXX XXXXXX X
XXX XXX

227
240
E. Formulir Template/Format Laporan Hasil Pengawasan Lanjutan atas
Auditable Unit dengan Maturitas Manajemen Risiko Sedang

BAB I
RINGKASAN EKSEKUTIF
A. Pendahuluan

Kami telah melakukan pengawasan intern atas pelaksanaan program/kegiatan

(obyek pengawasan) …. dan penerapan manajemen risiko Tahun 20xx pada
Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah ABC. Pengawasan
kami lakukan berdasarkan Standar Audit Internal Pemerintah Indonesia. Kami
yakin bahwa prosedur pengawasan yang telah kami lakukan dan bukti bukti
yang kami peroleh dapat memberikan dasar yang memadai untuk mengambil
simpulan dan memberikan rekomendasi.

Pengawasan kami lakukan untuk memberikan masukan kepada Pimpinan

Satuan Kerja XYZ dalam rangka meningkatkan penerapan manajemen risiko
sebagai upaya pencapaian tujuan/sasaran Satuan Kerja XYZ yang telah
ditetapkan.
(menguraikan secara singkat objek yang sedang dilakukan pengawasan dan
alasan untuk melakukan pengawasan)

B. Tujuan Obyek Pengawasan

Sesuai dengan Rencana Kerja Satuan Kerja XYZ pada Kementerian/Lembaga

XYZ, sasaran strategis beserta indikator kinerja dan targetnya untuk Tahun
20xx sebagai berikut:
(menjelaskan mengenai tujuan kegiatan yang menjadi obyek pengawasan)

C. Isu-isu yang ditemukan selama proses pengawasan

Selama penugasan berlangsung, (tidak) terdapat kendala ……..

D. Simpulan Pengawasan
1. Hasil Audit Konvensional
(diisi dengan simpulan fakta pengawasan yang biasanya menyangkut
ketercapaian tujuan/kinerja, termasuk ketidakefisienan; ketidakefektifan;
pemborosan/ketidakhematan; pengeluaran yang tidak sepatutnya atau
pendapatan/ penerimaan yang tidak sebenarnya; Ketidaktaatan terhadap
peraturan perundang-undangan).

2. Efektifitas Pengendalian
Dari hasil pengawasan lanjutan, dapat kami simpulkan bahwa secara umum
risiko pada Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah
telah/sebagian/belum dikelola sampai pada tingkat yang dapat diterima
atau termasuk dalam tingkatan Dapat Diterima (Hijau)/ Mendapat
Perhatian (Kuning)/Tidak Dapat Diterima (Merah) dengan penjelasan
sebagai berikut:

228
241
 a. Kecukupan rancangan pengendalian dalam mitigasi risiko termasuk dalam
tingkatan Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak
Dapat Diterima (Merah). Pengendalian telah/belum sepenuhnya/belum
mengurangi risiko sampai tingkat yang diterima

b. Efektifitas implementasi rancangan pengendalian termasuk dalam

tingkatan Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak
Dapat Diterima (Merah). Tindakan telah/belum sepenuhnya/belum
diambil sesegera mungkin untuk memperbaiki kegagalan Signifikan.
3. Simpulan Umum Pengawasan Intern
Capaian kinerja pada pelaksanaan pengawasan lanjutan atas
program/kegiatan/unit ABC pada periode …. sampai dengan saat field work
telah/tidak tercapai. Dan pengendalian atas risiko kunci yang menghambat
capaian kinerja sudah/belum efektif. Hal ini menyebabkan pencapaian tujuan
sampai dengan akhir periode berpotensi tercapai/terhambat/tidak tercapai.
4. Hal-hal Lain yang Perlu Diperhatikan
(Sebutkan)

E. Saran dan Jadwal Tindak Lanjut Pengawasan Intern

Atas hasil pengawasan intern, kami sarankan kepada Pimpinan Satuan Kerja
XYZ Kementerian/Lembaga/Pemerintah Daerah ABC agar:
1. Rekomendasi atas hasil audit konvensional
a.
b.
c.dst
2. Rekomendasi atas Efektifitas Pengendalian
a. Kecukupan rancangan pengendalian
1)
2)
3) dst
b. Efektifitas implementasi rancangan pengendalian
1)
2)
3) dst
3. Rekomendasi Hal-hal Lain yang Perlu Diperhatikan

Kami telah melakukan pembahasan hasil pengawasan intern dengan pihak

manajemen Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah ABC.
Pihak manajemen telah menyepakati hasil pengawasan intern beserta
rekomendasi yang kami berikan, serta telah merancang Rencana Tindak Lanjut
yang akan dilaksanakan paling akhir … bulan setelah laporan hasil pengawasan
diterima.

(diisi dengan jadwal tindak lanjut atas penangan risiko dan pemantauannya)

229
242
 BAB II
URAIAN HASIL PENGAWASAN
A. Data Umum
1. Dasar Penugasan
a) Peraturan Pemerintah Nomor 60 Tahun 208 tentang Sistem Pengendalian Intern
Pemerintah
b) Keputusan Presiden Nomor…tentang…Kementerian/Lembaga/Pemerintah Daerah
ABC
c) Keputusan Menteri Nomor …. tentang Program Kerja Pengawasan Tahunan
d) Keputusan Menteri Nomor …. tentang Piagam Audit
e) Surat Tugas Inspektur Jenderal Kementerian/Lembaga/Pemerintah Daerah ABC
Nomor...
(diisi dengan dasar penugasan pengawasan, antara lain Surat Tugas)

2. Tujuan Pengawasan Intern

Tujuan pengawasan intern adalah untuk: memberikan opini/pendapat atas:

(diisi dengan tujuan pengawasan intern yaitu memberikan opini/pendapat antara lain
: ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan risiko;
kecukupan pengendalian dalam mitigasi risiko; tindakan pengendalian tambahan yang
diperlukan; efisiensi dan efektivitas pelaksanaan program/kegiatan)

3. Ruang Lingkup dan Periode Pengawasan

Ruang lingkup pengawasan intern meliputi penerapan manajemen risiko Satuan

Kerja XYZ Tahun 20xx dan pelaksanaan program/kegiatan.

(iisi dengan ruang lingkup/cakupan pengawasan intern atas kegiatan yang menjadi
obyek pengawasan dan periode kegiatan yang dilakukan pengawasan).

4. Batasan Tanggung Jawab

Tanggung jawab kami terbatas pada simpulan dan rekomendasi yang kami berikan,
sedangkan kebenaran data menjadi tanggungjawab pihak Manajemen Satuan Kerja
XYZ Kementerian/Lembaga/Pemerintah Daerah ABC.

(disi dengan tanggung jawab auditan dan Tim pengawasan)

5. Metodologi Pengawasan

Pengawasan intern dilakukan dengan audit/reviu/evaluasi/pemantauan/lainnya

metode reviu dokumen, wawancara, observasi, kuesioner, dan metode lain sesuai
yang diperlukan.

(diisi dengan metodologi yang digunakan dalam kegiatan pengawasan intern)

B. Uraian Hasil Pengawasan

1. Audit Konvensional (Fakta Audit)
(berisi fakta dan rekomendasi yang akan disampaikan kepada pihak pembaca
berdasarkan hasil audit dengan basis proses atau basis kontrol, adapun fakta audit
biasanya menyangkut hal-hal sebagai berikut: ketidakefisienan, ketidakefektifan;
pemborosan/ketidakhematan; pengeluaran yang tidak sepatutnya atau
pendapat/penerimaan yang tidak sebenarnya; ketidaktaatan terhadap peraturan
perundang-undangan)

230
243
 2. Efektifitas Pengendalian
a) Kecukupan rancangan pengendalian
Atribut pengendalian pada rancangan pengendalian yang ditetapkan
manajemen dalam kerangka kerja manajemen risiko telah cukup/kurang
untuk menurunkan risiko sampai level yang dapat diterima. Adapun
masih terdapat risiko-risiko yang masih perlu mendapat perhatian, antara
lain sebagai berikut:

Temuan/Risiko 1 Uraikan kecukupan pengendalian berdasarkan analisis rancangan

pengendalian sebagaimana lampiran nomor 2 Huruf E butir e. dan
dihubungkan dengan ketidakakuratan mengidentifikasi penyebab
sebagaimana lampiran nomor 2 Huruf F

Level Risiko: Frekuensi : Penanggung Target

Jawab: Waktu:
Dampak :

Level Risiko :

Risk Appetite: ...............

Risk Tolerance: ...............

Deskripsi Temuan:

Uraikan daftar kelemahan atas atribut pengendalian sebagaimana lampiran nomor 2

huruf E butir d dan uraikan hasil identifikasi penyebab oleh manajemen yang bukan
merupakan akar penyebab sebagaimana lampiran nomor 2 Huruf F

Akar Penyebab:

Identifikasi apa yang menjadi akar permasalahan/temuan (dapat diambil dari

lampiran nomor 2 huruf F

Risiko:

Diisi risiko yang dikendalikan sebagaimana KKA lampiran nomor 2 huruf D

Rekomendasi:

Buatkan kebijakan atau lakukan aktivitas pengendalian sebagaimana uraian kriteria

pada deskripsi temuan di atas (dapat diambil dari lampiran nomor 2 huruf F)

Tanggapan Manajemen:

Pilihan Terima Rekomendasi

Tanggapan
Tolak Rekomendasi

Rencana Tindak yang disetujui

Uraian Temuan/Risiko selanjutnya (nomor 2, 3, dan seterusnya) jika ada.

231
244
 b) Efektifitas implementasi rancangan pengendalian
Dari …. risiko yang dilakukan pengujian, (tidak) terdapat risiko yang
memerlukan tindakan sesegera mungkin untuk memperbaiki kegagalan
signifikan. Adapun kelemahan-kelemahan atas implementasi atas
rancangan pengendalian, antara lain:

Oleh Temuan
No Pengendalian Telah Caranya orang
Utama dijalankan tepat yang Uraian Penyebab Dampak
tepat
1 2 3 4 5 6 7 8

Nilai Risiko Pasca Implementasi Pengendalian:

Nilai Risiko Setelah

Nilai Risiko Awal
No Risiko Implementasi Pengendalian
Prob. Dampak Nilai Prob. Dampak Nilai

Nilai Risiko inilah yang selanjutnya digunakan untuk mengupdate register

risiko manajemen

3. Kesimpulan Hasil Pengawasan

(Kesimpulan pengawasan mencakup simpulan audit konvensional dan
simpulan efektivitas pengendalian, baik terhadap rancangan pengendalian dan
seberapa baik pengendalian telah berjalan. Kesimpulan tersebut perlu
dikaitkan dengan risiko yang dikelola oleh pengendalian yang ada sehingga
dapat memberikan keyakinan atas apa yang menjadi tujuan tahap ini)
a. Kesimpulan hasil audit konvensional
b. Kesimpulan assurance atas efektivitas pengendalian
Kecukupan pengendalian dalam mitigasi risiko telah mencapai Tingkatan
Dapat Diterima (Hijau)
Dari…..risiko yang dilakukan pengujian, seluruhnya telah dilakukan
pengendalian/mitigasi secara efektif sampai dengan tingkat yang dapat
diterima.

Kecukupan pengendalian dalam mitigasi risiko baru mencapai Tingkatan

Mendapat Perhatian (Kuning)
Dari…..risiko yang dilakukan pengujian, terdapat……risiko yang belum
dilakukan pengendalian/mitigasi secara efektif sampai dengan tingkat yang
dapat diterima.

232
245
 Uraian lebih lanjut atas risiko yang belum dilakukan pengendalian/mitigasi
secara efektif sampai dengan tingkat yang dapat diterima dapat dilihat pada
isu-isu utama.

Kecukupan pengendalian dalam mitigasi risiko baru mencapai tingkatan

Tidak dapat diterima (merah)
Dari…..risiko yang dilakukan pengujian, seluruhnya belum dilakukan
pengendalian/mitigasi secara efektif sampai dengan tingkat yang dapat
diterima.
Uraian lebih lanjut atas risiko yang belum dilakukan pengendalian/mitigasi
secara efektif sampai dengan tingkat yang dapat diterima dapat dilihat pada
isu-isu utama.

Kami sarankan kepada Pimpinan Satuan Kerja XYZ

Kementerian/Lembaga/Pemerintah Daerah ABC agar:
a)
b)
d) dst
Tindakan pengendalian tambahan yang diperlukan telah mencapai tingkatan
Dapat Diterima (Hijau)
Dari….risiko yang dilakukan pengujian, tidak terdapat risiko yang
memerlukan tindakan sesegera mungkin untuk memperbaiki kegagalan
signifikan.

Tindakan pengendalian tambahan yang diperlukan baru mencapai tingkatan

Mendapat Perhatian (Kuning)
Dari….risiko yang dilakukan pengujian, terdapat ..risiko yang memerlukan
tindakan sesegera mungkin untuk memperbaiki kegagalan signifikan, namun
tindakan tersebut belum dilakukan.

Tindakan pengendalian tambahan yang diperlukan baru mencapai tingkatan

Tidak Dapat Diterima (Merah)
Dari….risiko yang dilakukan pengujian, seluruhnya memerlukan tindakan
sesegera mungkin untuk memperbaiki kegagalan signifikan, namun tindakan
tersebut belum dilakukan.

Kami sarankan kepada Pimpinan Satuan Kerja XYZ

Kementerian/Lembaga/Pemerintah Daerah XYZ agar:
a)
b)
d) dst

4. Hal-hal Lain yang Perlu Diperhatikan

(Berisi gap antara nilai risiko sebelum dilakukan pengujian dan setelah
dilakukan pengujian; risiko yang baru teridentifikasi pada saat pengawasan
lanjutan (emerging risk), dan hal-hal signifikan yang perlu disampaikan)

233
246
 5. Simpulan Umum Pengawasan Intern

Capaian kinerja pada pelaksanaan pengawasan lanjutan atas

program/kegiatan/unit ABC pada periode …. sampai dengan saat fieldwork
telah/tidak tercapai. Dan pengendalian atas risiko kunci yang menghambat
capaian kinerja sudah/belum efektif. Hal ini menyebabkan pencapaian tujuan
sampai dengan akhir periode berpotensi tercapai/terhambat/tidak tercapai.
Sasaran yang berpotensi tercapai yaitu:
…

…
Sasaran yang berpotensi terhambat yaitu:

…
….
Sasaran yang berpotensi tidak tercapai yaitu:
….
…..

C. Lampiran :
1. Rencana Tindak Lanjut atas Hasil Pengawasan
2. …….

234
247
F. Formulir Template/Format Laporan Hasil Pengawasan Lanjutan atas
auditable unit dengan maturitas manajemen risiko tinggi

BAB I
RINGKASAN EKSEKUTIF
A. Pendahuluan

Kami telah melakukan pengawasan atas penerapan manajemen risiko Tahun

20xx pada Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah ABC.
Pengawasan intern kami lakukan berdasarkan Standar Audit Internal
Pemerintah Indonesia. Kami yakin bahwa prosedur pengawasan yang telah kami
lakukan dan bukti bukti yang kami peroleh dapat memberikan dasar yang
memadai untuk mengambil simpulan dan memberikan rekomendasi.
Pengawasan intern kami lakukan untuk memberikan masukan kepada
Pimpinan Satuan Kerja XYZ dalam rangka meningkatkan penerapan manajemen
risiko sebagai upaya pencapaian tujuan/sasaran Satuan Kerja XYZ yang telah
ditetapkan.
(menguraikan secara singkat objek yang sedang dilakukan pengawasan dan
alasan untuk melakukan pengawasan)

B. Tujuan Obyek Pengawasan

Sesuai dengan Rencana Kerja Satuan Kerja XYZ pada

Kementerian/Lembaga/Pemerintah Daerah XYZ, sasaran strategis beserta
indikator kinerja dan targetnya untuk Tahun 20xx sebagai berikut:
(menjelaskan mengenai tujuan kegiatan yang menjadi obyek pengawasan)

C. Simpulan Pengawasan Intern

1. Ketercapaian Tujuan/Kinerja Sampai dengan Field Work
Capaian kinerja pada pelaksanaan pengawasan lanjutan atas
program/kegiatan/unit ABC pada periode …. sampai dengan saat
pengawasan telah/tidak tercapai.

2. Penerapan Manajemen Risiko

Dari hasil pengawasan intern, dapat kami simpulkan bahwa secara umum
risiko pada Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah
telah/sebagian/belum dikelola sampai pada tingkat yang dapat diterima
atau termasuk dalam tingkatan Dapat Diterima (Hijau)/ Mendapat
Perhatian (Kuning)/Tidak Dapat Diterima (Merah) dengan penjelasan
sebagai berikut:

a. Ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan

risiko termasuk dalam tingkatan Dapat Diterima (Hijau)/ Mendapat
Perhatian (Kuning)/Tidak Dapat Diterima (Merah). Risiko-risiko
telah/belum sepenuhnya/belum diidentifikasi, dievaluasi, dan dikelola.

235
248
 b. Kecukupan pengendalian dalam mitigasi risiko termasuk dalam tingkatan
Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak Dapat
Diterima (Merah). Pengendalian telah/belum sepenuhnya/belum
mengurangi risiko sampai tingkat yang diterima
c. Tindakan pengendalian tambahan yang diperlukan termasuk dalam
tingkatan Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak
Dapat Diterima (Merah). Tindakan telah/belum sepenuhnya/belum
diambil sesegera mungkin untuk memperbaiki kegagalan Signifikan.
d. Pemantauan atas efektifitas pengendalian atas risiko termasuk dalam
tingkatan Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak
Dapat Diterima (Merah).Tingkat Pemantauan saat ini telah/belum
sepenuhnya/belum memadai.
(diisi dengan simpulan tentang risiko dan penanganannya, serta
pemantauannya sesuai Panduan Penentuan Simpulan Pengawasan Intern)

3. Simpulan Umum Pengawasan Intern

Capaian kinerja pada pelaksanaan pengawasan lanjutan atas

program/kegiatan/unit ABC pada periode …. sampai dengan saat fieldwork
telah/tidak tercapai. Dan manajemen risiko secara keseluruhan
sudah/belum efektif. Hal ini menyebabkan pencapaian tujuan sampai dengan
akhir periode berpotensi untuk tercapai/terhambat/tidak tercapai.

D. Isu-Isu yang Ditemukan dan Dampaknya terhadap Pencapaian

Tujuan/Sasaran
1. Pengelolaan Risiko dan Dampaknya terhadap Pencapaian Sasaran
Dari….risiko yang dilakukan pengujian, terdapat…sasaran Satuan Kerja
XYZ Kementerian/Lembaga/Pemerintah Daerah ABC Tahun 20xx yang
capaiannya dipengaruhi oleh tingkat pengelolaan risiko yaitu…sasaran
berpotensi tercapai karena pengelolaan risiko dengan tingkatan dapat
diterima (hijau) dan…sasaran berpotensi tidak tercapai karena pengelolaan
risiko tidak dapat diterima (merah) atau mendapat perhatian (kuning).
Sasaran yang berpotensi tercapai yaitu:
…
….
Sasaran yang berpotensi tidak tercapai yaitu:
….
…..
2. Isu Utama
Dari hasil pengawasan, dari seluruh risiko Satuan Kerja XYZ
Kementerian/Lembaga/Pemerintah Daerah ABC Tahun 20xx sebanyak …
(jumlah risiko yang dilakukan pengujian) risiko, terdapat … risiko yang
belum dikelola secara efektif sampai pada tingkat yang dapat diterima sesuai
risk appetite Pimpinan Satuan Kerja XYZ (Isu Utama) yang terdiri dari…risiko
dengan tingkatan Tidak Dapat Diterima (Merah) dan…risiko dengan
tingkatan Mendapat Perhatian (Kuning), sehingga berpotensi menghambat
pencapaian sasaran strategis yaitu:

236
249
 a. Risiko dengan tingkatan Tidak Dapat Diterima (Merah)
1) Risiko…., belum dikelola secara efektif sehingga berpotensi
menghambat pencapaian sasaran…
2) Risiko…., belum dikelola secara efektif sehingga berpotensi
menghambat pencapaian sasaran…
3) dst
b. Risiko dengan tingkatan Mendapat Perhatian (Kuning)
1) Risiko…., belum dikelola secara efektif sehingga berpotensi
menghambat pencapaian sasaran…
2) Risiko…., belum dikelola secara efektif sehingga berpotensi
menghambat pencapaian sasaran…
3) Dst

Dengan demikian, dapat disimpulkan bahwa terdapat…..sasaran Satuan

Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah ABC yang
berpotensi tidak tercapai.
(menjelaskan risiko-risiko yang mengancam tujuan proses, dan
isu/permasalahan terkait dengan kegiatan yang menjadi obyek pengawasan)
3. Isu Tambahan
Terdapat/tidak … risiko yang telah dikelola sampai pada tingkat yang dapat
diterima, namun karena tingkat urgensinya terhadap capaian sasaran
stretegis, perlu mendapatkan perhatian. Jika sumberdaya yang tersedia
memungkinkan, tindakan tambahan untuk mengelola risiko ini akan
meningkatkan pengendalian dan efisiensi yaitu Risiko…, Risiko….
E. Saran dan Jadwal Tindak Lanjut Pengawasan

Atas hasil pengawasan, kami sarankan kepada Pimpinan Satuan Kerja XYZ
Kementerian/Lembaga/Pemerintah Daerah ABC agar:
1. Ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan
risiko
a.
b.
c.dst
2. Kecukupan pengendalian dalam mitigasi risiko
a.
b.
c.dst
3. Tindakan pengendalian tambahan yang diperlukan
a.
b.
c.dst
4. Pemantauan atas efektifitas pengendalian atas risiko
a.
b.
c.dst

250
237
237
5. Ketercapaian kinerja/tujuan auditable unit

a.
b.
c.dst
6. Isu Utama dan Isu Tambahan

a.
b.
c.dst
Kami telah melakukan pembahasan hasil pengawasan dengan pihak
manajemen Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah ABC.
Pihak manajemen telah menyepakati hasil pengawasan intrn beserta
rekomendasi yang kami berikan, serta telah merancang Rencana Tindak Lanjut
yang akan dilaksanakan paling akhir … bulan setelah laporan hasil pengawasan
diterima.
(diisi dengan jadwal tindak lanjut atas penangan risiko dan pemantauannya)

238
251
 BAB II
URAIAN HASIL PENGAWASAN
A. Data Umum
1. Dasar Penugasan
a) Peraturan Pemerintah Nomor 60 Tahun 208 tentang Sistem Pengendalian
Intern Pemerintah
b) Keputusan Presiden Nomor…tentang…Kementerian/Lembaga/Pemerintah
Daerah ABC
c) Keputusan Menteri Nomor …. tentang Program Kerja Pengawasan
Tahunan
d) Keputusan Menteri Nomor …. tentang Piagam Audit
e) Surat Tugas Inspektur Jenderal Kementerian/Lembaga/Pemerintah
Daerah ABC Nomor...
(diisi dengan dasar penugasan pengawasan intern, antara lain Surat Tugas)

2. Tujuan Pengawaan

Tujuan pengawasan intern adalah untuk: memberikan opini/pendapat atas:

- Ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan
risiko;
- Kecukupan desain pengendalian dalam mitigasi risiko;
- Tindakan pengendalian tambahan yang diperlukan;
- Pemantauan atas efektifitas pengendalian atas risiko.
(diisi dengan tujuan pengawasan intern yaitu memberikan opini/pendapat
antara lain :
- ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan
risiko;
- kecukupan pengendalian dalam mitigasi risiko;
- tindakan pengendalian tambahan yang diperlukan;
monitoring atas efektifitas pengendalian atas risiko.)
- Ketercapaian tujuan/kinerja sampai dengan field work
3. Ruang Lingkup dan Periode Pengawasan

Ruang lingkup pengawasan intern meliputi penerapan manajemen risiko

Satuan Kerja XYZ Tahun 20xx yang terdiri dari penetapan konteks,
identifikasi risiko, analisis risiko, perancangan dan pelaksanaan respon
(mitigasi) risiko, komunikasi risiko, dan pemantauan risiko.
(iisi dengan ruang lingkup/cakupan pengawasan atas kegiatan yang menjadi
obyek pengawasan dan periode kegiatan yang diawasi).
4. Batasan Tanggung Jawab

Tanggung jawab kami terbatas pada simpulan dan rekomendasi yang kami
berikan, sedangkan kebenaran data menjadi tanggungjawab pihak
Manajemen Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah
ABC.
(disi dengan tanggung jawab auditi dan Tim pengawasan)

239
252
 5. Metodologi Pengawasan Intern

Pengawasan intern dilakukan dengan

audit/reviu/evaluasi/pemantauan/lainnya dengan metode reviu dokumen,
wawancara, observasi, kuesioner, dan metode lain sesuai yang diperlukan.
(diisi dengan metodologi yang digunakan dalam kegiatan pengawasan)

B. Uraian Hasil Pengawasan Intern

1. Penerapan Manajemen Risiko
a) Ketepatan/Kecukupan Identifikasi, Evaluasi dan
Pengelolaan/Penanganan Risiko
Ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan
risiko telah mencapai tingkatan Dapat Diterima (Hijau), dengan
mendapatkan skor 30 atas penilaian 15 parameter penerapan
manajemen risiko sebagai berikut:

Ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan

risiko baru mencapai tingkatan Mendapat Perhatian (Kuning) dengan
mendapatkan skor …(antara 15-29) atas penilaian 15 parameter
penerapan manajemen risiko sebagai berikut:
1) Parameter yang Telah Memadai:
a)
b)
c) dst
2) Parameter yang Belum Memadai:
a)
b)
d) dst
Ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan
risiko baru mencapai tingkatan Tidak Dapat Diterima (Merah) dengan
mendapatkan skor …(di bawah 15) atas penilaian 15 parameter
penerapan manajemen risiko sebagai berikut:

240
253
 Parameter penerapan manajemen yang belum memadai yaitu:
a)
b)
d) dst
Kami sarankan kepada Pimpinan Satuan Kerja xxx
Kementerian/Lembaga/Pemerintah Daerah xxx agar:
a)
b)
d) dst
b) Kecukupan Pengendalian Dalam Mitigasi Risiko
Kecukupan pengendalian dalam mitigasi risiko telah mencapai Tingkatan
Dapat Diterima (Hijau)
Dari…..risiko yang dilakukan pengujian, seluruhnya telah dilakukan
pengendalian/mitigasi secara efektif sampai dengan tingkat yang dapat
diterima.

Kecukupan pengendalian dalam mitigasi risiko baru mencapai Tingkatan

Mendapat Perhatian (Kuning)
Dari…..risiko yang dilakukan pengujian, terdapat……risiko yang belum
dilakukan pengendalian/mitigasi secara efektif sampai dengan tingkat
yang dapat diterima.
Uraian lebih lanjut atas risiko yang belum dilakukan
pengendalian/mitigasi secara efektif sampai dengan tingkat yang dapat
diterima dapat dilihat pada isu-isu utama.

Kecukupan pengendalian dalam mitigasi risiko baru mencapai tingkatan

Tidak dapat diterima (merah)
Dari…..risiko yang dilakukan pengujian, seluruhnya belum dilakukan
pengendalian/mitigasi secara efektif sampai dengan tingkat yang dapat
diterima.
Uraian lebih lanjut atas risiko yang belum dilakukan
pengendalian/mitigasi secara efektif sampai dengan tingkat yang dapat
diterima dapat dilihat pada isu-isu utama.

Kami sarankan kepada Pimpinan Satuan Kerja XYZ

Kementerian/Lembaga/Pemerintah Daerah ABC agar:
a)
b)
d) dst

c) Tindakan Pengendalian Tambahan yang Diperlukan

Tindakan pengendalian tambahan yang diperlukan telah mencapai
tingkatan Dapat Diterima (Hijau)
Dari….risiko yang dilakukan pengujian, tidak terdapat risiko yang
memerlukan tindakan sesegera mungkin untuk memperbaiki kegagalan
signifikan.
Tindakan pengendalian tambahan yang diperlukan baru mencapai
tingkatan Mendapat Perhatian (Kuning)

241
254
 Dari….risiko yang dilakukan pengujian, terdapat ..risiko yang
memerlukan tindakan sesegera mungkin untuk memperbaiki kegagalan
signifikan, namun tindakan tersebut belum dilakukan.

Tindakan pengendalian tambahan yang diperlukan baru mencapai

tingkatan Tidak Dapat Diterima (Merah)
Dari….risiko yang dilakukan pengujian, seluruhnya memerlukan
tindakan sesegera mungkin untuk memperbaiki kegagalan signifikan,
namun tindakan tersebut belum dilakukan.

Kami sarankan kepada Pimpinan Satuan Kerja XYZ

Kementerian/Lembaga/Pemerintah Daerah XYZ agar:
a)
b)
d) dst

d) Pemantauan atas Efektifitas Pengendalian atas Risiko.

Pemantauan atas efektifitas pengendalian atas risiko. telah mencapai
tingkatan Dapat Diterima (Hijau).
Dari…risiko yang dilakukan pengujian, atas …risiko tersebut telah
dilakukan pemantauan atas pengendaliannya secara memadai, sehingga
tidak diperlukan pemantauan tambahan.

Pemantauan atas efektifitas pengendalian atas risiko. baru mencapai

tingkatan Mendapat Perhatian (Kuning)
Dari…risiko yang dilakukan pengujian, terdapat …risiko yang belum
dilakukan pemantauan atas pengendaliannya secara memadai, sehingga
masih terdapat…..risiko yang memerlukan pemantauan tambahan.

Pemantauan atas efektifitas pengendalian atas risiko baru mencapai

tingkatan Tidak Dapat Diterima (Merah).
Dari…risiko yang dilakukan pengujian, seluruhnya belum dilakukan
pemantauan atas pengendaliannya secara memadai, sehingga diperlukan
pemantauan tambahan atas pengendalian seluruh risiko tersebut.

Kami sarankan kepada Pimpinan Satuan Kerja XYZ

Kementerian/Lembaga/Pemerintah Daerah ABC agar:
a)
b)
d) dst

242
255
 2. Pengelolaan Risiko dan Dampaknya terhadap Pencapaian Sasaran

Dari….risiko yang dilakukan pengujian, terdapat…sasaran Satuan Kerja

XYZ Kementerian/Lembaga/Pemerintah Daerah ABC Tahun 20xx yang
capaiannya dipengaruhi oleh tingkat pengelolaan risiko yaitu…sasaran
berpotensi tercapai karena pengelolaan risiko dengan tingkatan dapat
diterima (hijau) dan…sasaran berpotensi tidak tercapai karena pengelolaan
risiko tidak dapat diterima (merah) atau mendapat perhatian (kuning).

Sasaran yang berpotensi tercapai yaitu:

…
….
Sasaran yang berpotensi tidak tercapai yaitu:
….

…..
3. Isu Utama

Dari seluruh risiko Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah

Daerah ABC Tahun 20xx sebanyak … (jumlah risiko yang dilakukan
pengujian) risiko, terdapat … risiko yang belum dikelola secara efektif sampai
pada tingkat yang dapat diterima sesuai risk appetite Pimpinan Satuan Kerja
XYZ (Isu Utama) yang terdiri dari…risiko dengan tingkatan Tidak Dapat
Diterima (Merah) dan…risiko dengan tingkatan Mendapat Perhatian
(Kuning), sehingga berpotensi menghambat pencapaian sasaran strategis
yaitu:
a. Risiko dengan tingkatan Tidak Dapat Diterima (Merah)
1) Risiko….
Risiko… merupakan risiko yang melekat pada proses bisnis
kegiatan….yang telah diidentifikasi oleh manajemen jika tidak dikelola
dengan memadai dapat menghambat pencapaian sasaran……..
Penyebab Risiko…. yang telah diidentifikasi oleh manajemen adalah…..
Manajemen telah menetapkan tingkat Risiko….termasuk sebagai risiko
dengan kategori …. dengan skor inherent risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
Atas Risiko….manajemen telah merancang mitigasi/pengendalian
risiko berupa……dan….. dengan jadwal pelaksanaan masing masing
adalah ….dan….
Dengan dirancang dan dilaksanakannya mitigasi/pengendalian
tersebut, manajemen menetapkan tingkat Risiko….termasuk sebagai
risiko dengan kategori …. dengan skor residual risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….

Hasil pengujian dengan metode observasi/analisis/konfirmasi/dst…

atas rancangan dan implementasi mitigasi/ pengendalian
berupa……menunjukkan bahwa:

243
256
 a. Rancangan mitigasi/pengendalian kurang sesuai, yaitu…(misal
tidak terdapat rancangan pengendalian yang relevan dengan
penyebab risiko)
b. Implementasi pengendalian tidak optimal dilakukan, yaitu…(misal
tidak sesuai jadwal, kurang dilakukan)

Manajemen sepakat bahwa rancangan dan/atau implementasi

mitigasi/pengendalian atas risiko tersebut kurang efektif sehingga
nilai residual risk termasuk dalam tingkatan Tidak Dapat
Diterima (Merah) dengan skor…..
Kami sarankan kepada Pimpinan Satuan Kerja xxx
Kementerian/Lembaga/Pemerintah Daerah xxx agar:
a)
b)
d) dst

2) Risiko….
Risiko… merupakan risiko yang melekat pada proses bisnis
kegiatan….yang telah diidentifikasi oleh manajemen jika tidak dikelola
dengan memadai dapat menghambat pencapaian sasaran……..
Penyebab Risiko…. yang telah diidentifikasi oleh manajemen adalah…..
Manajemen telah menetapkan tingkat Risiko….termasuk sebagai risiko
dengan kategori …. dengan skor inherent risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
Atas Risiko….manajemen telah merancang mitigasi/pengendalian
risiko berupa……dan….. dengan jadwal pelaksanaan masing masing
adalah ….dan….
Dengan dirancang dan dilaksanakannya mitigasi/pengendalian
tersebut, manajemen menetapkan tingkat Risiko….termasuk sebagai
risiko dengan kategori …. dengan skor residual risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….

Hasil pengujian dengan metode observasi/analisis/konfirmasi/dst…

atas rancangan dan implementasi mitigasi/ pengendalian
berupa……menunjukkan bahwa:
a. Rancangan mitigasi/pengendalian kurang sesuai, yaitu…(misal
tidak terdapat rancangan pengendalian yang relevan dengan
penyebab risiko)
b. Implementasi pengendalian tidak optimal dilakukan, yaitu…(misal
tidak sesuai jadwal, kurang dilakukan)
Manajemen sepakat bahwa rancangan dan/atau implementasi
mitigasi/pengendalian atas risiko tersebut kurang efektif sehingga
nilai residual risk termasuk dalam tingkatan Tidak Dapat
Diterima (Merah) dengan skor…..

Kami sarankan kepada Pimpinan Satuan Kerja xxx

Kementerian/Lembaga xxx agar:

244
257
 b. Risiko dengan tingkatan Mendapat Perhatian (Kuning)
1) Risiko….
Risiko… merupakan risiko yang melekat pada proses bisnis
kegiatan….yang telah diidentifikasi oleh manajemen jika tidak dikelola
dengan memadai dapat menghambat pencapaian sasaran……..
Penyebab Risiko…. yang telah diidentifikasi oleh manajemen adalah…..
Manajemen telah menetapkan tingkat Risiko….termasuk sebagai risiko
dengan kategori …. dengan skor inherent risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
Atas Risiko….manajemen telah merancang mitigasi/pengendalian
risiko berupa……dan….. dengan jadwal pelaksanaan masing masing
adalah ….dan….
Dengan dirancang dan dilaksanakannya mitigasi/pengendalian
tersebut, manajemen menetapkan tingkat Risiko….termasuk sebagai
risiko dengan kategori …. dengan skor residual risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….

Hasil pengujian dengan metode observasi/analisis/konfirmasi/dst…

atas rancangan dan implementasi mitigasi/ pengendalian
berupa……menunjukkan bahwa:
a. Rancangan mitigasi/pengendalian kurang sesuai, yaitu…(misal
tidak terdapat pengendalian yang relevan dengan penyebab risiko)
b. Implementasi pengendalian tidak optimal dilakukan, yaitu…(misal
tidak sesuai jadwal, kurang dilakukan)

Manajemen sepakat bahwa rancangan dan/atau implementasi

mitigasi/pengendalian atas risiko tersebut kurang efektif sehingga
nilai residual risk termasuk dalam tingkatan Mendapat Perhatian
(Kuning) dengan skor…..
Kami sarankan kepada Pimpinan Satuan Kerja xxx
Kementerian/Lembaga/Pemerintah Daerah xxx agar:
a)
b)
d) dst

2) Risiko….
Risiko… merupakan risiko yang melekat pada proses bisnis
kegiatan….yang telah diidentifikasi oleh manajemen jika tidak dikelola
dengan memadai dapat menghambat pencapaian sasaran……..
Penyebab Risiko…. yang telah diidentifikasi oleh manajemen adalah…..
Manajemen telah menetapkan tingkat Risiko….termasuk sebagai risiko
dengan kategori …. dengan skor inherent risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
Atas Risiko….manajemen telah merancang mitigasi/pengendalian
risiko berupa……dan….. dengan jadwal pelaksanaan masing masing
adalah ….dan….
Dengan dirancang dan dilaksanakannya mitigasi/pengendalian
tersebut, manajemen menetapkan tingkat Risiko….termasuk sebagai

245
258
 risiko dengan kategori …. dengan skor residual risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….

Hasil pengujian dengan metode observasi/analisis/konfirmasi/dst…

atas rancangan dan implementasi mitigasi/ pengendalian
berupa……menunjukkan bahwa:
a. Rancangan mitigasi/pengendalian kurang sesuai, yaitu…(misal
tidak terdapat pengendalian yang relevan dengan penyebab risiko)
b. Implementasi pengendalian tidak optimal dilakukan, yaitu…(misal
tidak sesuai jadwal, kurang dilakukan)

Manajemen sepakat bahwa rancangan dan/atau implementasi

mitigasi/pengendalian atas risiko tersebut kurang efektif sehingga
nilai residual risk termasuk dalam tingkatan Mendapat Perhatian
(Kuning) dengan skor…..
Kami sarankan kepada Pimpinan Satuan Kerja XYZ
Kementerian/Lembaga/Pemerintah Daerah ABC agar:
a)
b)
d) dst
4. Isu Tambahan

Terdapat/tidak … risiko yang telah dikelola sampai pada Tingkatan Dapat

Diterima (Hijau), namun karena tingkat urgensinya terhadap capaian
sasaran stretegis, perlu mendapatkan perhatian.
Jika sumberdaya yang tersedia memungkinkan, tindakan tambahan untuk
mengelola risiko tersebut akan meningkatkan pengendalian dan efisiensi
yaitu:
a) Risiko…
Risiko…terkait dengan sasaran strategis….
Hasil pengujian menunjukkan bahwa atas risiko tersebut telah dikelola
sampai dengan batas yang diterima, namun demikian tindakan tambahan
dapat dipertimbangkan untuk meningkatkan efisiensi dan pengendalian
yaitu…
Kami sarankan kepada Pimpinan Satuan Kerja XYZ
Kementerian/Lembaga/Pemerintah Daerah ABC agar:
1)
2)
3) dst

b)Risiko….
Risiko…terkait dengan sasaran strategis….
Hasil pengujian menunjukkan bahwa atas risiko tersebut telah dikelola
sampai dengan batas yang diterima, namun demikian tindakan tambahan
dapat dipertimbangkan untuk meningkatkan efisiensi dan pengendalian
yaitu…

246
259
 Kami sarankan kepada Pimpinan Satuan Kerja XYZ
Kementerian/Lembaga/Pemerintah Daerah ABC agar:
1)
2)
3) dst
(Isu tambahan timbul dari risiko melekat yang dalam batas risiko yang telah
ditetapkan (oleh pimpinan instansi) dan oleh karena itu tidak mempengaruhi
pencapaian tujuan utama.Tindakan atas isu tambahan akan meningkatkan
pengendalian dan efisiensi

C. Lampiran :
1. Rencana Tindak Lanjut atas Hasil Pengawasan
2. …….

247
260
G. Formulir Template/Format Laporan Hasil Monitoring Tindak Lanjut
INSTANSI APIP
KOP SURAT
INSTANSI
Jalan ......... Nomor XX Kota......,1XXXX
APIP Telepon 0XX-8XXXXXX (hunting), Faksimile 0XX-8XXXX
Email: apip@inst.go.id Situs:www.inspxyz.go.id
Nomor : .................. ........... 20XX
Lampiran : ....... berkas
Hal : Hasil Pemantauan Tindak Lanjut atas
Hasil Pengawasan pada Unit Kerja XYZ

Yth. Pimpinan Unit Kerja XYZ

Di tempat
Dalam rangka mendorong peningkatan kinerja Auditi dan sesuai
dengan Standar Audit Intern Pemerintah Indonesia (SAIPI) –Standar
Komunikasi Paragraf 4100 yang menyatakan bahwa Auditor harus
memantau dan mendorong tindak lanjut atas simpulan, fakta, dan
rekomendasi pengawasan intern, dengan ini kami sampaikan hasil
pemantauan tindak lanjut atas hasil pengawasan pada Unit Kerja XYZ
dengan pokok-pokok sebagai berikut:
1. Pendahuluan
Sesuai dengan Laporan Hasil Pengawasan Intern Nomor….. Tanggal…,
penerapan manajemen risiko pada Unit Kerja XYZ termasuk dalam
tingkatan “Menjadi Perhatian”, yang ditunjukkan dengan masih
adanya 3 (tiga) risiko yang belum dikelola sampai dengan tingkat yang
dapat diterima (3 risiko status kuning/merah). Agar Unit Kerja XYZ
dapat meningkatkan pengelolaan atas ketiga risiko tersebut sampai
dengan tingkat yang dapat diterima, kami telah menyampaikan 6 (enam)
rekomendasi untuk ditindaklanjuti sebagaimana termuat dalam Laporan
Hasil Pengawasan Intern tersebut di atas.

248
261
2. Simpulan
Hasil pemantauan tindak lanjut sebagai berikut:
a. Dari 6 (enam) rekomendasi hasil pengawasan, seluruhnya telah
ditindaklanjuti dengan tindakan manajemen, dan seluruh tindak
lanjut telah sesuai dengan rekomendasi,
b. Dari 3 (tiga) risiko dengan status kuning, seluruhnya telah berubah
menjadi satus hijau atau seluruhnya telah dikelola sampai dengan
tingkat yang dapat diterima.
Rincian tindak lanjut atas hasil pengawasan terlampir.

Demikian, hasil pemantauan tindak lanjut hasil pengawasan kami

sampaikan, atas kerja sama yang baik kami ucapkan terima kasih.

249
262
 -243-

Lampiran
TINDAK LANJUT ATAS HASIL PENGAWASAN
No Pernyataan Risiko Status Risiko Rekomendasi Tindak Lanjut Kesesuaian Tindak Status Risikko
yang Belum Dikelola (Kuning/Merah) Hasil Audit yang Lanjut dengan Setelah Tindak Lanjut
sampai dengan Tingkat Menurut Hasil Dilakukan Rekomendasi (Hijau/Kuning/Merah)
Dapat Diterima Audit (Ya/Tidak)

1 2 3 4 5 6 7

263
250
 BAB V
Penutup

Penyusunan Petunjuk Pelaksanaan Pengawasan Intern Berbasis Risiko akan mendorong

Kementerian/Lembaga dalam membangun Manajemen Risiko karena Perencanaan dan
Pelaksanaan Auditnya membutuhkan Register Risiko dari Manajemen. Hal ini akan
berdampak positif bagi APIP dalam membantu manajemen untuk pencapaian tujuan
organisasi seiring dengan transformasi peran APIP menuju trusted advisor. Pada
perkembangannya nanti, BPKP akan melakukan pemutakhiran teknik pelaksanaan
pengawasan intern berbasis risiko khususnya untuk auditable unit dengan maturitas
manajemen risiko yang sudah tinggi (level 4 dan 5) karena saat ini belum ada organisasi
yang memenuhi maturitas manajemen risiko level 4 dan 5 sehingga memerlukan
pengembangan teknik/metode lebih lanjut.

DEPUTI KEPALA BADAN PENGAWASAN

KEUANGAN DAN PEMBANGUNAN BIDANG
PENGAWASAN INSTANSI PEMERINTAH
BIDANG POLITIK, HUKUM, KEAMANAN,
PEMBANGUNAN MANUSIA DAN
KEBUDAYAAN,

Iwan Taufiq Purwanto

251