PETUNJUK PELAKSANAAN
PENGAWASAN INTERN BERBASIS RISIKO
KEMENTERIAN/LEMBAGA
PERATURAN DEPUTI
Kepala BPKP Bidang Pengawasan Instansi Pemerintah
Bidang Politik, Hukum, Keamanan, Pembangunan Manusia
dan Kebudayaan
Nomor : 1 Tahun 2020
Tanggal : 20 Maret 2020
1
BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
DEPUTI PENGAWASAN INSTANSI PEMERINTAH BIDANG POLITIK,
HUKUM, KEAMANAN, PEMBANGUNAN MANUSIA DAN KEBUDAYAAN
PERATURAN
DEPUTI KEPALA BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
BIDANG PENGAWASAN INSTANSI PEMERINTAH BIDANG POLITIK, HUKUM,
KEAMANAN, PEMBANGUNAN MANUSIA DAN KEBUDAYAAN
NOMOR 1 TAHUN 2020
TENTANG
PETUNJUK PELAKSANAAN PENGAWASAN INTERN BERBASIS RISIKO
DI LINGKUNGAN KEMENTERIAN/LEMBAGA
MEMUTUSKAN:
Pasal 1
Dalam Peraturan Deputi Kepala ini yang dimaksud dengan:
1. Aparat Pengawasan Intern Pemerintah, yang
selanjutnya disingkat APIP adalah Instansi Pemerintah
yang mempunyai tugas pokok dan fungsi melakukan
pengawasan.
2. Pengawasan Intern Berbasis Risiko, yang selanjutnya
disingkat PIBR merupakan suatu metodologi yang
menghubungkan audit intern dengan seluruh kerangka
manajemen risiko yang memungkinkan proses audit
intern mendapatkan keyakinan memadai bahwa
manajemen risiko organisasi telah dikelola dengan
memadai sehubungan dengan risiko yang dapat
diterima.
Pasal 2
Pasal 3
(1) Peraturan Deputi Kepala ini dimaksudkan sebagai
dasar acuan pelaksanaan PIBR oleh APIP di
Lingkungan Kementerian/Lembaga.
(2) Peraturan Deputi Kepala ini bertujuan untuk
meningkatkan kualitas hasil pengawasan intern yang
dilakukan oleh APIP di Lingkungan
Kementerian/Lembaga.
Pasal 4 C
a. Bab I Pendahuluan; CM
CY
e. Bab V Penutup.
Pasal 5
Ketentuan mengenai Petunjuk Pelaksanaan PIBR di
Lingkungan Kementerian/Lembaga sebagaimana dimaksud
dalam Pasal 2 tercantum dalam Lampiran yang merupakan
bagian tidak terpisahkan dari Peraturan Deputi Kepala ini.
-5-
Pasal 6
Peraturan Deputi Kepala ini mulai berlaku pada tanggal
ditetapkan.
Ditetapkan di Jakarta
pada tanggal 20 Maret 2020
Petunjuk pelaksanaan ini merupakan penjabaran lebih lanjut dari Peraturan BPKP Nomor 6
Tahun 2018 tentang Pedoman Pengawasan Intern Berbasis Risiko. Melalui petunjuk
pelaksanaan ini, diharapkan dapat menjadi petunjuk bagi APIP dalam merencanakan,
melaksanakan dan mengkomunikasikan hasil-hasil Pengawasan Intern Berbasis Risiko
sehingga keterbatasan sumber daya, diharapkan tidak lagi menjadi kendala untuk
mewujudkan peran APIP yang efektif sebagaimana dimandatkan dalam Pasal 11 Peraturan
Pemerintah Nomor 60 Tahun 2008.
ii
Kata Pengantar
Peran APIP semakin lama semakin strategis dan bergerak mengikuti kebutuhan zaman.
APIP diharapkan menjadi agen perubahan yang mampu menciptakan nilai tambah pada
produk atau layanan instansi pemerintah. APIP merupakan bagian dari manajemen
pemerintahan yang berperan penting dalam rangka mewujudkan kepemerintahan yang
baik (good governance), yang bermuara pada terwujudnya birokrasi yang bersih (clean
government). Sebagaimana disebutkan dalam pasal 11 PP Nomor 60 Tahun 2008 yang
menyatakan bahwa salah satu peran APIP yang efektif adalah mampu memberikan
peringatan dini dan meningkatkan efektivitas manajemen risiko dalam penyelenggaraan
tugas dan fungsi Instansi Pemerintah. Untuk itu, APIP harus memiliki kapabilitas untuk
memastikan bahwa kegiatan pengawasan intern yang dilakukan memberikan nilai tambah
bagi organisasi dalam mencapai tujuannya, dengan pendekatan yang sistematis dan teratur
untuk menilai dan meningkatkan efektivitas manajemen risiko, pengendalian intern, dan tata
kelola organisasi. Kegiatan pengawasan intern harus mampu mengevaluasi efektivitas dan
berkontribusi terhadap perbaikan proses manajemen risiko.
Sehubungan dengan itu, salah satu tugas yang diamanatkan kepada Kedeputian Bidang
Pengawasan Instansi Pemerintah Bidang Perekonomian dan Kemaritiman adalah
penyusunan kebijakan, penyusunan pedoman, petunjuk teknis, pelaksanaan pengawasan,
serta pengoordinasian pengawasan intern terhadap akuntabilitas keuangan negara dan
program lintas sektoral pembangunan nasional pada instansi pemerintah pusat. Selaras
dengan tugas tersebut, Kedeputian Bidang Pengawasan Instansi Pemerintah Bidang
Perekonomian dan Kemaritiman bersinergi dengan Kedeputian Bidang Pengawasan
Instansi Pemerintah Bidang Politik, Hukum dan Keamanan PMK, bersama-sama
merumuskan Petunjuk Pelaksanaan Pengawasan Intern Berbasis Risiko (PIBR) ini, dengan
tujuan agar petunjuk pelaksanaan ini dapat dimanfaatkan oleh seluruh
Kementerian/Lembaga (K/L) di Indonesia.
Penerapan PIBR menetapkan fokus pengawasan terhadap pengelolaan risiko-risiko
signifikan yang mempengaruhi kinerja organisasi. Dengan pendekatan ini, suatu organisasi
dapat mengalokasikan sumber daya pengawasan dengan memprioritaskan unit-unit kerja
yang memang perlu dilakukan audit berdasarkan pertimbangan risiko dan perhitungan
risiko yang dihadapi oleh unit kerja yang bersangkutan. Lebih lanjut, petunjuk pelaksanaan
ini akan selalu dimutakhirkan untuk mengikuti perkembangan praktik pengawasan intern di
Indonesia.
Salamat Simanullang
NIP 19640101 198503 1 001
iii
Daftar Isi
01
Kata Pengantar
02Kata Pengantar
Deputi Kelapa BPKP Deputi Kelapa BPKP
Bidang Pengawasan Instansi Bidang Pengawasan Instansi
Pemerintah Bidang Politik, Pemerintah Bidang
Hukum, Keamanan, Perekonomian
Pembangunan Manusia, ii dan Kemaritiman iii
dan Kebudyaan
03 04
BAB I Pendahuluan 01
Daftar Isi iv A. Latar Belakang 01
B. Tujuan 03
C. Ruang lingkup 05
D. Dasar Penyusunan 05
05
E. Metodologi Penyusunan 07
F. Sistematika Penyusunan 07
10
iv
06
BAB III Tahapan Pelaksanaan Pengawasan Individu 60
A. Gambaran Umum Pelaksanaan PIBR 61
B. Peran Assurance Sesuai Perkembangan Maturitas MR 72
C. Pelaporan Consulting Sesuai Level Maturitas Manajemen Risiko 75
D. Pengawasan Intern Berbasis Risiko dan Peningkatan Kapabilitas APIP 78
E. Rekonfirmasi Tingkat Kematangan Manajemen Risiko 81
F. Pelaksanaan Fasilitasi Penerapan Manajemen Risiko 89
G. Pelaksanaan Pengawasan Lanjutan 109
07
BAB IV Tahap Pengkomunikasian 129
A. Gambaran Umum Pengkomunikasian dan Pelaporan Hasil PIBR 131
B. Pengembangan Petunjuk Pelaksanaan Selanjutnya 132
C. Pembahasan Hasil Pengawasan 135
D. Bentuk Laporan Hasil Pengawasan 136
E. Penyusunan Konsep Laporan Hasil Pengawasan 139
F. Reviu Konsep Laporan Hasil Pengawasan 149
G. Penandatanganan Laporan Hasil Pengawasan 153
H. Pendistribusian Laporan Hasil Pengawasan 154
I. Tindak Lanjut Hasil Pengawasan 156
J. Pendokumentasian Tahap Pengkomunikasian Hasil Pengawasan 159
08 09
BAB V Penutup 251
Lampiran Petunjuk Fasilitasi
Manajemen Risiko
Lampiran Tahapan
Pelaksanaan PIBR
160
181
11
v
BAB I
12
PENDAHULUAN
A. Latar Belakang
B. Tujuan
C. Ruang lingkup
D. Dasar Penyusunan Petunjuk Pelaksanaan
E . Metodologi Penyusunan
F . Sistematika Penyajian Petunjuk Pelaksanaan
13
A. Latar
Belakang
141
penetapan lingkup,
perlakuan risiko;
1. konteks, kriteria; 5.
pencatatan dan
identifikasi risiko;
2. 6. pelaporan; dan,
3. analisis risiko;
7 pemantauan dan evaluasi.
4. evaluasi risiko;
15
2
B. Tujuan
163
Mendukung implementasi manajemen risiko, terutama melalui peran fasilitasi
1. manajemen risiko yang dilaksanakan oleh APIP;
17
4
C. Ruang Lingkup
Ruang lingkup petunjuk pelaksanaan ini meliputi tahap perencanaan, pelaksanaan,
dan pengkomunikasian. Petunjuk pelaksanaan ini secara khusus ditujukan untuk
menjadi panduan bagi APIP di lingkungan Kementerian/Lembaga yang sedang
mengembangkan pengawasan intern berbasis risiko. Sedangkan petunjuk pelaksanaan
pengawasan intern berbasis risiko yang berlaku untuk Pemerintah Daerah akan
diatur tersendiri menyesuaikan dengan pedoman penerapan manajemen risiko
yang berlaku di lingkungan pemerintah daerah.
D. Dasar Penyusunan
Penyusunan Petunjuk Pelaksanaan Pengawasan Intern Berbasis Risiko di Lingkungan
Kementerian/Lembaga mengacu pada aturan sebagai berikut:
Peraturan Presiden Republik Indonesia Nomor 192 Tahun 2014 tentang Badan
3. Pengawasan Keuangan dan Pembangunan (Lembaran Negara Republik Indonesia
Tahun 2014 Nomor 400);
185
Peraturan Kepala Badan Pengawasan Keuangan dan Pembangunan
6. Nomor 24 Tahun 2013 tentang Pedoman Pelaksanaan Control Self
Assessment untuk Penilaian Risiko;
19
6
E. Metodologi Penyusunan
Metodologi penyusunan petunjuk pelaksanaan dengan mempertimbangkan berbagai
referensi ilmiah dan kebijakan atau standar audit yang telah ada, serta berdasarkan
hasil piloting (uji coba petunjuk pelaksanaan) pada beberapa kementerian/
lembaga. Petunjuk pelaksanaan ini dikembangkan berdasarkan kajian dan literatur
yang dikembangkan oleh IIA dengan beberapa penyesuaian mengikuti dinamika
lingkungan organisasi di Indonesia.
F. Sistematika Penyajian
Petunjuk Pelaksanaan PIBR terdiri dari 5 (lima) bab yaitu:
BAB I PENDAHULUAN
20
7
BAB IV TAHAP PENGKOMUNIKASIAN
Bab IV menjelaskan Gambaran Umum Pengkomunikasian, Syarat
Kualitas dan Kriteria Komunikasi Hasil Pengawasan, Pembahasan Hasil
Pengawasan, Bentuk Laporan Hasil Pengawasan, Penyusunan Konsep
Laporan Hasil Pengawasan, Reviu Konsep Laporan Hasil Pengawasan,
Penandatanganan Laporan Hasil Pengawasan, Pendistribusian Laporan
Hasil Pengawasan, Tindak Lanjut Hasil Pengawasan, Pendokumentasian
Tahap Pengkomunikasian Hasil Pengawasan.
BAB V PENUTUP
Bab V menjelaskan Dampak Pengawasan Intern Berbasis Risiko dan
Pengembangan ke Depan Teknik Pengawasan Intern Berbasis Risiko
untuk Auditable Unit dengan Maturitas Manajemen Risiko Level Tinggi.
21
8
BAB II
22
TAHAPAN PERENCANAAN
23
A.
Gambaran Umum
Perencanaan Pengawasan Intern
Berbasis Risiko
24
11
Latar Belakang Penyusunan Perencanaan
Pengawasan Intern Berbasis Risiko adalah:
Sesuai dengan The Three Lines of Defence Model unit audit intern
3.
menjadi lapisan paling akhir dari mekanisme tiga lapis pertahanan dalam
mengelola risiko organisasi, maksudnya adalah APIP melakukan
pengawasan intern terhadap pelaksanaan seluruh unit kerja untuk
memastikan risiko telah dikelola dan dikendalikan dengan baik untuk
mencapai tujuan organisasi.Kegiatan pengawasan intern harus dapat
mengevaluasi efektivitas dan berkontribusi terhadap perbaikan proses
manajemen risiko. Karenanya, diperlukan suatu metodologi yang efektif
dalam melakukan pengawasan intern, yaitu Pengawasan Intern Berbasis
Risiko (PIBR). Penerapan PIBR mengutamakan pengawasan terhadap
pengelolaan atas risiko-risiko signifikan organisasi. Dengan PIBR ini,
sebuah organisasi dapat mendistribusikan sumber daya pengawasan
dengan memprioritaskan unit-unit yang memang perlu dilakukan audit
berdasarkan pertimbangan risiko yang dihadapi oleh unit kerja yang
bersangkutan.
12
25
04
Fungsi BPKP, sebagaimana diamanatkan dalam Peraturan Presiden Nomor
4. 192 Tahun 2014 Pasal 2 huruf j, diantaranya adalah menyelenggarakan
fungsi pembinaan kapabilitas pengawasan intern pemerintah. Salah satu
upaya yang dilakukan untuk meningkatkan kapabilitas pengawasan
instansi pemerintah adalah dengan menyusun Petunjuk Pelaksanaan
Perencanaan Pengawasan Berbasis Risiko, yang dapat dijadikan acuan
bagi APIP Kementerian/Lembaga dan Pemerintah Daerah dalam
membangun PIBR.
No. Paragraf
1. 2010 Perencanaan
Kepala Audit Internal harus menyusun perenca-
naan berbasis risiko (risk-based plan) untuk
menetapkan prioritas kegiatan aktivitas audit
internal sesuai dengan tujuan organisasi.
26
13
Standards for International Professional Practice Framework of Internal
6 Auditing Tahun 2017, menyatakan bahwa dalam pelaksanaan aktivitas
assurance dan consulting auditor intern menggunakan suatu pendekatan
yang sistematis dan disiplin untuk mengevaluasi efektivitas proses
manajemen risiko, pengendalian intern, dan good governance.
Tujuan dari Bab Pelaksanaan Perencanaan Pengawasan Berbasis Risiko adalah menjadi
salah satu petunjuk teknis pelaksanaan Peraturan BPKP tentang Pedoman Pengawasan
Intern Berbasis Risiko. Manfaat dari Bab Perencanaan Pengawasan Berbasis Risiko
adalah:
1
Menjadi panduan bagi Aparat Pengawas Intern Pemerintah pada
Pemerintah Pusat (Kementerian/Lembaga) dalam menyelenggarakan
Perencanaan Pengawasan Intern Berbasis Risiko;
2
Terselenggaranya perencanaan pengawasan tahunan intern berbasis
risiko pada Aparat Pengawas Intern Pemerintah pada Pemerintah Pusat
(Kementerian/ Lembaga);
3
Ruang lingkup Bab Pelaksanaan Perencanaan Pengawasan Intern
Berbasis Risiko ini mencakup penilaian maturitas manajemen risiko,
penyusunan rencana strategis pengawasan, penyusunan audit universe,
penyusunan prioritas pengawasan, dan pengembangan PKPT berbasis
risiko, pada Aparat Pengawas Intern Pemerintah pada Pemerintah Pusat
(Kementerian/Lembaga).
Tahapan PIBR dimulai dengan penilaian maturitas Manajemen Risiko, dan digambarkan
dengan bagan dibawah ini, sedangkan ruang lingkup bab perencanaan dimulai sejak
penilaian maturitas MR sampai dengan penyusunan Program Kerja Pengawasan
Tahunan (PKPT). Tahapan Pelaksanaan audit individu menjadi topik bahasan PIBR-tahap
(Bab III), sedangkan pelaporan pengawasan menjadi topik bahasan PIBR-tahap (Bab IV).
27
14
Gambar 2.1 Tahapan Pelaksanaan PIBR
Rencana Strategis
Pengawasan Intern
el
28
15
B.
Penilaian Maturitas Manajemen Risiko
dan Penyusunan Rencana Strategis
Pengawasan Intern
1. Penilaian Maturitas MR
Sebelum tahap penyusunan rencana
pengawasan tahunan, idealnya APIP telah
memiliki informasi mengenai tingkat
kematangan atau maturitas penerapan
manajemen risiko pada level auditable unit
yang menjadi lingkup kewenangannya. APIP
selanjutnya menggunakan informasi tersebut
sebagai pertimbangan penyusunan rencana
strategis pengawasan intern serta
pertimbangan dalam penetapan bobot antara
faktor risiko dan register risiko dalam proses
pemeringkatan area pengawasan terpilih.
Penilaian maturitas manajemen risiko
dilaksanakan oleh APIP dengan
menggunakan kuesioner lima belas
pernyataan sesuai gambar 3.1. Selanjutnya,
APIP memberikan skor 2 untuk pernyataan
yang sepenuhnya dilaksanakan, skor 1 untuk
yang hanya sebagian dilaksanakan dan skor
0 jika belum dilaksanakan. Selain itu, auditor
perlu membandingkan total hasil penilaian
dengan kondisi sebenarnya di lapangan
dikaitkan dengan karakteristik utama
masing-masing level maturitas manajemen
risiko.
Sedapat mungkin auditor harus dapat
mendukung setiap jawaban atas lima belas
pernyataan itu dengan dokumentasi yang
memadai sehingga simpulan akhir level
maturitas manajemen risiko setiap auditable
unit tidak bias. Proses penilaian tingkat
kematangan manajemen risiko digambarkan
sebagai berikut:
29
16
Gambar 2.2
Proses Penilaian Tingkat Kematangan Manajemen Risiko
2.
Pimpinan unit organisasi
telah memahami risiko dan
tanggung jawab atas risiko
tersebut
6.
Proses identifikasi risiko
telah ditetapkan dan
dipatuhi
30
17
No. Uraian Dokumen Wawancara Observasi Skor (0-2)
Risk register di-update
10.
secara periodik (minimal
sekali setahun)
11.
Terdapat pelaporan
kepada pimpinan puncak
bila terdapat risiko yang
belum ditekan pada
tingkat yang dapat
diterima
12.
Kegiatan yang bersifat
proyek/program selalu
dinilai risikonya
14.
Pimpinan memberikan
jaminan efektivitas atas
pengelolaan risiko
Keterangan Skor:
0 : Tidak ada
1 : Ada hanya sebagian atau belum diterapkan
2 : Ada dan telah di implementasikan
Catatan : Tools dan kuisioner penilaian maturitas organisasi juga dibahas dalam bab pelaksanaan.
Penilaian maturitas dan rekonfirmasi maturitas MR menggunakan prosedur dan tools yang sama,
bedanya adalah penilaian maturitas pada bab perencanaaan adalah untuk menilai maturitas
manajemen risiko yang dapat digantikan dengan maturitas SPIP bertujuan untuk penyusunan PKPT,
sedangkan prosedur re-konfirmasi digunakan untuk menilai maturitas/kematangan manajemen risiko
pada area pengawasan (auditable unit) untuk menilai konsistensinya dengan tahap perencanaan.
31
18
Perlu digaris bawahi, bahwa penilaian kematangan manajemen risiko
menggunakan sistem penilaian building block, dimana pernyataan
rekonfirmasi kematangan manajemen risiko telah diurutkan sesuai
tahapan pengembangan manajemen risiko. Sehingga, jika satu
pernyataan telah dinilai tidak (skor 0), maka pernyataan selanjutnya
tidak dapat terkonfirmasi dengan baik (tidak bisa dijawab Ya atau skor
2). Jika satu pernyataan dijawab 1, maka penyataan selanjutnya, tidak
dapat dijawab lebih tinggi dari 1 (kemungkinannya hanya 0 dan 1).
Misalnya pernyataan 1 sampai dengan 3 dijawab Ya (skor 2), kemudian
pernyataan 4 dijawab Tidak (skor 0), maka pernyataan selanjutnya
(pernyataan 5 s.d. 15) tidak bisa dijawab Ya. Sehingga skor maksimal
yang bisa diperoleh auditable unit hanyalah 6 (3 x 2). Rincian mengenai
lima belas pernyataan dalam kuesioner tersebut disajikan dalam
lampiran juklak ini.
Selanjutnya, jumlahkan total skor untuk lima belas pernyataan itu untuk
dapat menyimpulkan level maturitas manajemen risiko auditable unit.
Kriteria untuk mengkonversi total skor dalam penentuan level maturitas
manajemen risiko auditable unit, dapat menggunakan tabel referensi
sebagai berikut:
32
19
Setiap pernyataan dalam daftar uji harus didukung dengan analisis dan
dokumen yang memadai, misalnya pernyataan pertama, ‘tujuan
organisasi telah terdokumentasi dan di pahami dengan baik’. Pengujian
atas pernyataan ini dilakukan dengan mempertanyakan: tujuan
auditable unit apa saja? Terdokumentasi di mana tujuan itu? Apakah
sudah di sosialisaikan kepada seluruh pegawai? Lakukan pengujian
terhadap salah satu pegawai kunci, terkait pemahaman yang
bersangkutan mengenai tujuan organisasi.
Secara umum, prosedur perolehan bukti dapat dilakukan melalui
wawancara mendalam, observasi, analisis dokumen, survey dan lain
sebagainya. Langkah kerja dan dokumentasi pengujian inilah yang perlu
diperhatikan oleh auditor yang akan ditugaskan untuk melakukan
penilaian kematangan manajamen risiko agar hasil penilaian konsisten
dengan apa yang sebenarnya terjadi di lapangan. Jika ada pernyataan
yang tidak diperoleh pembuktiannya, auditor perlu menyiapkan
pembuktian alternatif, misalnya melalui pertimbangan auditor
berdasarkan professional judgement.
Berikut adalah kriteria umum level maturitas manajemen risiko untuk
setiap tingkatan:
Risk Naive Risk Aware Risk Defined Risk Managed Risk Enabled
No. Uraian Level 1 Level 2 Level 3 Level 4 Level 5
20
33
Namun, kondisi saat ini belum semua instansi pemerintah menerapkan
manajemen risiko dan melakukan penilaian maturitas manajemen risiko. Oleh
karena itu, dalam tahap perencanaan pengawasan tahunan, dibuka
kemungkinan bagi APIP untuk menggunakan data tingkat maturitas SPIP
sebagai alternatif jika data maturitas manajemen risiko memang tidak
tersedia. Karena saat ini informasi mengenai level maturitas SPIP telah dimiliki
oleh seluruh Kementerian/Lembaga.
Kemudian secara substansi, penyelenggaraan SPIP secara utuh
(implementasi terhadap 5 unsur) merupakan bentuk dari kerangka kerja dan
proses implementasi manajemen risiko.
Oleh karenanya untuk mengukur tingkat kematangan manajemen risiko pada
K/L dapat menggunakan hasil penilaian maturitas SPIP pada K/L. Unsur
penilaian maturitas SPIP diantaranya meliputi unsur penilaian risiko, aktivitas
pengendalian serta pemantauan secara berkelanjutan dan terdokumentasi.
Unsur-unsur tersebut merupakan bagian dari proses manajemen risiko SNI
ISO 31000, sehingga penilaian maturitas SPIP relevan digunakan untuk
menilai kematangan penerapan manajemen risiko
Urutan prioritas informasi yang dapat digunakan untuk menggambarkan
maturitas manajemen risiko, antara lain: Jika tersedia, gunakan nilai (1)
maturitas manajemen risiko setiap auditable unit. Namun, jika tidak tersedia
datanya, maka (2) gunakan nilai maturitas manajemen risiko level entitas. Jika
tidak tersedia datanya, (3) gunakan level maturitas SPIP setiap auditable unit,
jika masih tidak ada datanya juga, baru (4) gunakan nilai maturitas SPIP
entitas sebagai alternatif terakhir.
Metode menghubungkan kematangan maturitas SPIP dengan tingkat
kematangan manajemen risiko menjadi tingkatan/level sebagai berikut:
34
21
Keterangan:
a. Risk Naive: berarti organisasi sudah ada manajemen risiko, namun masih
sangat lemah. Belum nampak adanya komitmen manajemen,
baik terhadap pembangunan maupun penerapan
manajemen risiko. Selain itu, terdapat indikasi pengendalian
intern organisasi belum memadai.
Pada tahapan ini, hasil penilaian atas maturitas Manajemen Risiko pada unit kerja atau
organisasi ini menjadi dasar untuk menetapkan seberapa besar register risiko
dipertimbangkan dalam proses penyusunan perencanaan pengawasan tahunan.
35
22
2. PENYUSUNAN RENCANA STRATEGIS
PENGAWASAN INTERN
36
23
dalam beberapa tahun kedepan, jika masih diperlukan fasilitasi, kapan
dilakukan dan oleh siapa, kemudian masuk dalam perencanaan tahunan
seperti apa. Rencana strategis ini dirasakan semakin penting untuk
menjadi road map bagi APIP mengenai bagaimana mendorong
kematangan penerapan manajemen risiko sebagai prasyarat penerapan
Pengawasan Intern Berbasis Risiko.
Perencanaan pengawasan dibagi menjadi tiga bagian, yaitu Perencanaan
pengawasan strategis (lebih dari setahun), Perencanaan pengawasan
tahunan, dan Perencanaan pengawasan individu (penugasan audit).
Namun, perencanaan individu (penugasan audit) dijelasakan lebih lanjut
dan menjadi satu bagian dengan pelaksanaan pengawasan individu.
37
24
Menurut IIA, berdasarkan hasil penilaian kematangan maturitas MR, maka ada
beberapa strategi yang dapat diterapkan sesuai dengan kondisi kematangan
manajemen risiko, yaitu:
Ilustrasi :
Berdasarkan gambar di atas, saat maturitas manajemen risiko masih berada
pada Level 1, maka strategi pengawasan intern yang dapat diterapkan antara
lain melaporkan kepada pimpinan bahwa belum ada proses manajemen risiko
secara formal dalam organisasi. Melalui laporan ini, diharapkan pimpinan mulai
sadar untuk mengimplementasikan manajemen risiko dan segera menyusun
kebijakan sebagai dasar penerapan manajemen risiko.
Strategi berikutnya, APIP melakukan penugasan Consulting (konsultansi) agar
unit kerja dapat segera memulai penerapan manajemen risiko. Karena apabila
manajemen risiko belum matang, maka kegiatan assurance yang dilakukan
masih dengan pendekatan audit konvensional (belum dapat melaksanakan
pengawasan intern berbasis risiko), berdasarkan pertimbangan/professional
judgement APIP, dan seterusnya sampai dengan maturitas mencapai level 5.
38
25
Berikut adalah contoh rencana strategis pengawasan intern yang dapat
dipraktikkan, yaitu:
1 5
Pendahuluan Organisasi dan Perkembangan Peran
Pengawasan Internal
a. Kondisi saat ini
2
b. Rencana Perkembangan
Pengawasan Intern
Misi dan Tujuan
Pengawasan Internal c. Alokasi Sumber Daya
Pengawasan Internal
3
Pertimbangan e. Rencana Pengawasan
6
Perumusan Rencana Internal Lainnya
Strategis Pengawasan Organisasi dan Perkembangan Peran
Internal Pengawasan Internal
4
internal
Rincian Rencana Strategis
b. Rencana Perkembangan
Pengawasan Internal
Pengawasan Intern
39
26
c. Penyusunan Audit Universe
dan Penyusunan Prioritas Pengawasan
Audit universe atau semesta audit adalah daftar semua kemungkinan audit yang dapat
dilakukan atas entitas‐entitas audit (area pengawasan/auditable units). Audit universe memuat
sejumlah entitas/unit organisasi yang diaudit. Sedangkan Area pengawasan (Auditable unit)
adalah bagian dari organisasi, yang baik secara nyata maupun potensial, dapat mengandung
risiko pada tingkatan yang memerlukan adanya pengendalian dan audit. Auditable unit dapat
berupa bagian dari struktur organisasi, proyek, kegiatan, dan aset organisasi.
Sebelum menentukan audit universe, APIP memerlukan pemahaman yang tepat atas KL dan
proses bisnisnya, pemahaman tersebut dapat diperoleh dan dikonfirmasi dari
dokumen-dokumen berikut ini (AAIPI, 2018) :
b. Peraturan Perundang-undangan
Penyusunan audit universe dapat dibagi dalam beberapa tahapan sebagai berikut:
Organisasi K/L seringkali disusun dengan pendekatan struktur organik, akan tetapi
sering kegiatannya disusun menggunakan pendekatan fungsional. APIP perlu
menyelaraskan pendekatan penyusunan audit universe-nya dengan pendekatan
penyusunan kegiatan klien agar fungsi pengawasan APIP sejalan.
40
27
Pendekatan Pendekatan ini dapat diterapkan pada kebanyakan organisasi
1) struktur pemerintahan terutama institusi yang sering mendapatkan
organisasi penugasan yang mandiri dan memiliki sangat sedikit
kebutuhan koordinasi dengan instansi pemerintahan lain
Struktur organisasi menggambarkan pembagian tugas,
kewenangan dan tanggung jawab, serta koordinasi dan
pengawasan yang digunakan untuk mengarahkan pencapaian
tujuan organisasi. Oleh karena itu, penggambaran struktur
organisasi yang baik akan menunjukkan hirarki fungsi serta
alur pelaporan baik administratif maupun fungsional. Sebagai
contoh pendekatan struktur organisasi pada area
pengawasan dapat berupa:
41
28
Pendekatan Beberapa kegiatan pemerintah dirancang dengan cakupan
2) program, luas yang membutuhkan koordinasi beberapa institusi yang
berbeda. Sebutan program digunakan untuk merujuk
sekelompok proyek atau kegiatan yang saling terkait yang
digunakan untuk mencapai suatu tujuan yang berdimensi luas.
Di lingkungan pemerintahan, program seringkali sangat besar
ukurannya, melibatkan sejumlah unit kerja pemerintahan dan
pengerahan sumberdaya yang sangat besar. Auditor intern
perlu berhati-hati dalam mengurai dan menganalisis program
agar dapat memperoleh gambaran mekanisme kerja yang
tepat serta kerentanannya. Hal ini dapat diamati pada
program-program semisal:
(a) Program Nasional Penanggulangan Kemiskinan,
(c) Fungsi,
42
29
Pendekatan Dapat diterapkan pada Unit kerja pemerintahan yang bersifat
3) Proses Bisnis pelayanan masyarakat, yang sering diorganisasikan dalam
bentuk matriks. Pendekatan penyusunan audit universe
dengan menggunakan proses bisnis akan memberikan
gambaran yang lengkap tentang entitas yang terlibat dalam
menghasilkan keluaran, fungsi/ peran yang dilakukan dan
kerentanan/ risikonya. Kondisi ini dapat diamati pada Kantor
Pelayanan Perijinan Terpadu dan Satuan Administrasi
Manunggal Satu Atap.
Selain dari AAIPI, Peraturan BPKP nomor 6 tahun 2018
menambahkan beberapa pendekatan yang dapat digunakan
untuk menyusun audit universe adalah:
1) Berdasarkan Aset
43
30
Langkah Kerja Penyusunan Audit Universe, diuraikan sebagai berikut:
1) Dapatkan dan pelajari Rencana Strategis (Renstra) dan Rencana Kerja Tahunan (RKT) K/L.
Renstra dan RKT berisi informasi mengenai segala aktivitas unit organisasi pada K/L yang
menggambarkan input, proses dan output dari setiap aktivitas unit organisasi. Renstra dan RKT juga
mencerminkan dukungan setiap unit organisasi pada pencapaian tujuan dan sasaran strategis maupun
tahunan dari K/L. Dengan mempelajari Renstra dan RKT, APIP diharapkan mampu memahami proses
bisnis K/L sehingga memiliki pengetahuan yang cukup untuk menetapkan tingkat/level area pengawasan
secara tepat dan mengidentifikasi unit-unit yang dapat diaudit untuk menjadi daftar area pengawasan.
Penetapan level area pengawasan dengan mempertimbangkan kompleksitas proses proses bisnis, besar
kecilnya struktur organisasi dan ketersediaan sumber daya pada APIP K/L, Jika level area pengawasan
berdasarkan struktur organisasi, maka tingkat area pengawasan dapat dibagi menjadi:
Area pengawasan harus memiliki tujuan/target, ukuran (seperti jumlah SDM, anggaran) dan ruang
lingkup yang dapat dijadikan obyek kegiatan pengawasan. Sebagai contoh:
BPKP, dalam rangka melakukan kegiatan pengawasan Internal terhadap K/L menetapkan level
Area Pengawasan adalah tingkat 0, maka area pengawasannya adalah Kementerian/ Lembaga
(berdasarkan struktur) dan atau Urusan Lintas sektoral (berdasarkan Program/ Kegiatan)
44
31
3) Tentukan dan identifikasi setiap area pengawasan atau auditable unit sesuai level area
pengawasan yang telah ditetapkan sebelumnya.
Area Pengawasan (Auditable Units) terpilih adalah bagian dari organisasi K/L (populasi dari audit
universe), baik secara nyata maupun potensial, dapat mengandung risiko pada tingkatan yang
memerlukan adanya pengendalian dan audit. Risiko yang terkandung dalam setiap auditable unit
sejatinya tampak dalam register risiko yang diselenggarakan oleh penanggungjawab setiap
auditable unit.
Setelah pendekatan dan level area pengawasan ditetapkan, maka langkah berikutnya adalah
mengidentifikasi setiap auditable unit atau bagian dari organisasi K/L yang dapat diaudit sesuai level
area pengawasan yang telah ditetapkan. Selain auditable unit yang teridentifikasi berdasarkan level
area pengawasan yang ditetapkan, APIP juga mencermati adanya kemungkinan auditable unit lain
yang bersifat khusus, ad-hoc dan insidentil. Auditable unit lainnya tersebut dapat berupa proyek,
event/kegiatan non rutin atau berasal dari adanya permintaan audit dari stakeholder (baik internal
maupun eksternal) maupun adanya indikasi kecurangan berdasarkan pengembangan audit
sebelumnya atau pengaduan masyarakat.
Kumpulan atau daftar area pengawasan/auditable unit yang telah teridentifikasi akan membentuk
audit universe atau semesta audit bagi auditor atau APIP K/L.
Sejatinya audit universe akan tidak berubah sepanjang tidak terjadi perubahan signifikan dalam
struktur organisasi, tugas pokok dan fungsi serta visi-misi K/L.
45
32
Chartered Institute of Internal Auditors 2, mengungkapkan tentang beberapa
katagorisasi risiko antara lain:
Sedangkan pada Internal Audit Community of Practice (IA CoP), mengatakan bahwa
secara tradisional auditable unit dikategorisasikan berdasarkan struktur organisasi dan
bersifat top-down (vertical analysis).
Namun adakalanya analisis vertikal ini bukan merupakan cara yang paling efektif dalam
melakukan perencanaan audit, sehingga perlu juga untuk mendesign perencanaan dari
sisi horizontal/pendekatan lintas fungsional organisasi (horizontal analysis) yaitu
perencanaan audit berdasarkan pada keseluruhan proses bisnis organisasi3 .
Sebagai contoh, akuntansi organisasi atau sistem manajemen bisnis dapat dikatakan
beroperasi secara horizontal karena itu mempengaruhi semua unit organisasi. Sistem ini
dapat menimbulkan risiko kritis di beberapa proses dan karenanya harus diperiksa
secara horizontal.
Oleh karena itu dalam audit universe dapat berupa campuran dari sejumlah irisan
top-down (vertikal) dan lintas-fungsional (horizontal). Pengadaan Barang dan jasa
seringkali merupakan kegiatan lintas fungsi utama. Namun kegiatan itu dapat dibagi
untuk keperluan audit menjadi berdasarkan lokasi (misalnya pengadaan pada kantor
pusat, pengadaan kantor perwakilan) dan jenis pembelian (misalnya pengadaan
makanan, dan pengadaan barang-barang bukan makanan)4 .
2
Risk based internal auditing, 2014
3
Internal Audit Community of Practice (IA CoP), Risk Assessment In Audit Planning : A guide for auditors on how best to
assess risks when planning audit work. 2014
4
Internal Audit Community of Practice (IA CoP), of the Public Expenditure Management Peer-Assisted Learning (PEM-PAL)
network. 2014
5
IIA Government survey
46
33
!
Berikut informasi hasil survey yang dilakukan oleh IIA, yang menyatakan tentang beberapa
kategorisasi yang paling umum digunakan yaitu sebagai berikut:5
1) Departments – 97%
2) Processes – 97%
7) Other – 22%
b. Nilai risiko setiap auditable unit. Nilai risiko setiap auditable unit disajikan berdasarkan
informasi yang diperoleh dari dokumen register risiko yang telah disusun masing-
masing unit organisasi.
c. Auditable unit atau area pengawasan yang ditetapkan menjadi populasi audit universe
adalah auditable unit yang memiliki nilai risiko di atas nilai risiko yang dapat
ditoleransi, yang besarannya ditetapkan berdasarkan selera risiko pimpinan
organisasi. Terhadap
risiko pada auditable
unit tersebut masih
memerlukan
penanganan oleh
APIP selaku lini
pertahanan ketiga
organisasi (third line
of defense).
47
34
3. PEMUTAKHIRAN AUDIT UNIVERSE
Dalam melaksanakan tugas dan fungsinya, K/L seringkali mengalami perubahan struktur dan
bentuk organisasi. Sehingga akibat dari dinamika perubahan organisasi K/L, audit universe
yang telah disusun APIP menjadi tidak lagi relevan untuk digunakan dalam pengembangan
rencana audit tahunan.
Sebagai akibat, pemutakhiran terhadap audit universe harus dilakukan agar audit universe
tetap mencerminkan peta organisasi yang disusun untuk mencapai tujuan sesuai dengan visi
dan misi organisasi (AAIPI, 2018).6
Auditor dapat mengidentifikasi auditable unit dengan melihat informasi dari berbagai sumber,
misalnya: daftar lembaga-lembaga dan badan-badan perusahaan, struktur organisasi, statistik
daerah/nasional, struktur akun kebijakan yang berkenaan dengan pembentukan unit, diskusi
dengan pihak eksekutif, dan melalui brainstorming.
Setelah auditable unit diidentifikasi, sebaiknya auditor melakukan validasi dan reviu untuk
memastikan tidak ada unit penting yang tidak dimutakhirkan dan terlewat (tidak dimasukkan
dalam audit universe).
Auditor dapat melakukan pemutakhiran dan validasi audit universe melalui bantuan beberapa
informasi di antaranya:
e. Brainstorming.
6
Asosiasi Auditor Intern Pemerintah Indonesia, Pedoman perencanaan Audit Berbasis Risiko : 2018
8
Peraturan BPKP no 6 tahun 2018, Tentang Pedoman Pengawasan Intern Berbasis Risiko
48
35
4. PENYUSUNAN PRIORITAS PENGAWASAN
Setelah area pengawasan disepakati dan ditetapkan, langkah selanjutnya adalah melengkapi
setiap area pengawasan dengan informasi mengenai besaran risiko komposit (dari risk register)
serta pertimbangan risiko hasil masukan dari manajemen (risk factor) kemudian menyusun
prioritas pengawasan berdasarkan besaran nilai risiko keduanya.
Penyusunan prioritas pengawasan dimulai dari menghitung komponen nilai dari risk register
dan komponen nilai dari risk factor; menentukan persentase bobot penilaian dari kedua
komponen nilai berdasarkan nilai maturitas auditable unit; menghitung nilai risiko setiap
auditable unit yang mempertimbangkan kedua komponen nilai; menyusun prioritas auditable
unit berdasarkan nilai risiko. Rincian dari tahapan penyusunan prioritas pengawasan disajikan
dalam uraian sebagai berikut:
1) Dapatkan register Dapatkan register risiko atas setiap entitas berupa unit
risiko yang up to kerja/kegiatan/proyek/ aktivitas insidentil atau tematik
date lainnya yang ditetapkan menjadi area pengawasan.
Register risiko harus memuat informasi mengenai nama
risiko teridentifikasi, hasil penilaian risiko baik nilai dampak
maupun nilai kemungkinan terjadinya serta unit pemilik
risiko. Register risiko yang diperoleh merupakan hasil
identifikasi dan penilaian risiko termutakhir.
49
36
2) Hitung nilai risiko berdasarkan level area pengawasannya, maka langkah
komposit auditable selanjutnya adalah menghitung nilai risiko komposit untuk
unit. masing-masing auditable unit.
Besaran risiko komposit merupakan hasil penghitungan
nilai risiko gabungan pada suatu auditable unit. Pedoman
dalam menghitung nilai besaran risiko auditable unit
sesuai dengan kebijakan manajemen risiko masing-masing
APIP K/L.
Dalam hal APIP tidak memiliki informasi hasil risk
assessment atau register risiko yang disusun oleh Auditi
belum dapat diandalkan sebagai dasar penyusunan
perencanaan audit tahunan, APIP dapat menetapkan
parameter-parameter atau faktor yang menjadi dasar
untuk menetapkan kegiatan atau obyek yang akan diaudit
dalam satu tahun ke depan .
Ini artinya bahwa kegiatan melengkapi setiap area
pengawasan dengan informasi mengenai besaran risiko
komposit hanya dilakukan jika APIP memiliki informasi
mengenai hasil penilaian maturitas manajemen risiko (K/L)
atau maturitas SPIP minimal berada pada level 3 atau
Defined/Terdefinisi.
Jika auditable unit sudah mencapai maturitas SPIP level 3
namun belum memiliki risk register atau sudah menyusun
risk register yang menurut pertimbangan profesional APIP
belum andal, maka dalam menyusun prioritas
pengawasan APIP hanya menggunakan pertimbangan
manajemen/faktor risiko
Terdapat dua metode dalam penilaian risiko menurut
AAIPI, yaitu riskmap dan heatmap. Dijelaskan sebagai
berikut:
50
37
Gambar 2.9 Perbedaan Riskmap dan Heatmap
2. Kelebihan: Kelebihan:
perhitungan lebih sederhana. Heatmap mengakomodasi
perbedaan cara pandang
organisasi terhadap dampak dan
kemungkinan dari suatu risiko.
3. Kelemahan : Kelemahan :
tidak dapat menggambarkan/ Lebih kompleks dibanding
mengakomodasi adanya riskmap
perbedaan bobot kemungkinan
dan dampak atas suatu risiko.
APIP perlu menelaah sifat operasi klien yang membuat ukuran dalam dimensi
risiko menjadi tidak simetris (berbeda bobot kepentingan dimensinya).
Berikut merupakan contoh perbedaan bobot kepentingan Dampak dan
Kemungkinan (AAIPI, 2018):
51
38
2) Apabila dampak memiliki bobot risiko lebih besar dari pada kemungkinan tercermin
dalam
Penjelasan dan pedoman penyusunan serta penggunaan Heatmap dalam menilai risiko
secara detil dibahas pada lampiran 3, “Pedoman Perencanaan Audit Berbasis Risiko” 10 yang
dikeluarkan oleh Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI, 2018).
Berikut adalah contoh Heatmap (Matriks Analisis Risiko) 5x5 dari Kementerian Keuangan:
Terjadi
4 Sering Terjadi 6 12 16 19 24
4 10 14 17 22
Risiko
3 Kadang Terjadi
2 Jarang Terjadi 2 7 11 13 21
Hampir Tidak 1 3 5 8 20
1
Terjadi
Contoh proses penghitungan Besaran Risiko (inherent) Komposit area pengawasan (AP)
dengan menggunakan Heatmap yang disajikan dalam bentuk tabel sebagai berikut:
52
39
Gambar 2.11 Proses penghitungan Besaran Risiko
Atas risiko risiko yang ada pada area pengawasan tersebut, teliti jika ada risiko
inherent yang berada dibawah risk appetitte (selera risiko) managemen, misalnya
risiko nomor 2 pada area pengawasan 2, setelah dilakukan penilaian dengan
heatmap menghasilkan besaran risiko 6 (dibawah selera risiko, 12), sehingga tidak
diperhitungkan lebih lanjut dalam penilaian risiko auditable unit berikutnya, disajikan
dalam tabel sebagai berikut:
Level Nilai
Area Daftar Level Besaran
No Kemungki RLD RLK risiko
Pengawasan risiko dampak risiko
nan komposit
Area risiko 1 4 3 17
1 4,33 2,67 22,00
Pengawasan 1 risiko 2 5 2 21
risiko 3 4 3 17
Area risiko 1 2 5 15
2 2,33 4,33 18
Pengawasan 2 risiko 3 3 3 14
risiko 4 2 5 15
Area
3 3,00 5,00 18
Pengawasan 3 risiko 1 3 5 18
Area risiko 1 5 3 24
4 4,50 4,00 24
Pengawasan 4
risiko 2 4 5 23
Keterangan:
Besaran Risiko: Diisi dengan nilai setiap risiko yang diperoleh berdasarkan nilai hasil perpotongan antara
level dampak dan level kemungkinan berdasarkan matriks analisis risiko
Rata-rata Level RLD = rata-rata nilai dampak pada area pengawasan yang diperoleh dari hasil perhitungan
Dampak (RLD jumlah seluruh nilai dampak dari risiko teridentifikasi dalam setiap area pengawasan dibagi
dengan jumlah risiko dalam setiap area pengawasan (∑LD/n)
Rata-rata Level RLK = rata-rata nilai keterjadian pada area pengawasan yang diperoleh dari hasil
Kemungkinan perhitungan jumlah seluruh nilai keterjadian dari risiko teridentifikasi dalam setiap area
pengawasan dibagi dengan jumlah risiko dalam setiap area pengawasan (∑LK/n)
53
40
BRK (Besaran jumlah nilai Rata-rata Level Dampak (RLD) dan Rata-rata Level Kemungkinan (RLK);
Risiko selanjutnya melihat nilai kombinasi keduanya pada Matriks Analisis Risiko
Berdasarkan daftar urutan nilai risiko komposit, kemudian dilakukan penentuan letak
koordinat risiko pada Heat Map, untuk mendapatkan skor atas risiko komposit area
pengawasan tersebut.
5 area pengawasan 3
9 15 18 23 25
area pengawasan 2
4 area pengawasan 4
Level Kemungkinan
6 12 16 19 24
3 area pengawasan 1
4 10 14 17 22
2
2 7 11 13 21
1
1 3 5 8 20
1 2 3 4 5
Level Dampak
Catatan: Matriks analisis risiko, heat map risiko, dan tabel tingkat prioritas audit
tersebut merupakan contoh. Penetapan jenis matriks analisis risiko (riskmap/heat
map) diserahkan kepada K/L sesuai dengan kondisi yang dihadapi masing-masing
11
Keputusan Menteri Keuangan RI Nomor: 845/KMK.01/2016 tentang Petunjuk Pelaksanaan Manajemen
Risiko di Lingkungan Kementerian Keuangan
54
41
b. Menyusun dan menghitung risk factor (faktor pertimbangan manajemen)
Apabila K/L belum menentukan risk Apabila K/L sudah menyusun Risk
factor maka APIP melakukan Focus Factor sebelumnya misalnya dalam
Group Discussion (FGD) dengan bentuk Keputusan Menteri/Kepala
Pimpinan dan atau manajer kunci Lembaga, maka APIP dapat
K/L untuk Mengidentifikasi menggunakan faktor-faktor
faktor-faktor pertimbangan pertimbangan manajemen dan kriteria
manajemen dalam menetapkan penilaian atas faktor-faktor
prioritas pengawasan serta pertimbangan tersebut.
memformulasikan kriteria penilaian Proses penilaian RF tersebut dilengkapi
atas faktor-faktor pertimbangan dengan dokumen pendukung yang
tersebut. FGD menjadi media yang relevan, dan perhitungannya
digunakan APIP untuk memperoleh didokumentasikan dalam kertas kerja.
pertimbangan pimpinan kunci K/L Dari hasil survey “IIA Government
dalam rangka penyusunan survey” kebanyakan organisasi
Perencanaan Pengawasan Tahunan. menggunakan lima sampai dengan
Pertimbangan manajemen mengacu delapan risk faktor, dan rata-rata
pada faktor-faktor pertimbangan bahkan kurang dari lima factor pada
serta kriteria penilaiannya yang internal auditor pemerintah. Hasil
disusun bersama antara Pimpinan survey tersebut juga menampilkan
K/L dan APIP . beberapa risk factor yang banyak
digunakan antara lain
Sumber IIA Government survey sebagaimana dikutip Internal Audit Community of Practice (IA CoP)
55
42
Tips:
Tentukan jumlah faktor risiko antara 4 sampai 8, jika terlalu sedikit dapat berakibat kurang efektifnya
penilaian faktor risiko, sedangkan jika terlalu banyak akan mengakibatkan pemborosan waktu dalam
pengumpulan informasinya dan tidak akan memberikan hasil yang lebih baik secara substansial.
Pilihlah risk factor yang paling tepat/make sense/relevan bagi organisasi/K/L yang diaudit, tidak harus
mengacu pada hasil survey diatas
Contoh faktor-faktor pertimbangan manajemen pada Badan Pengawas Obat dan Makanan :
1) Menentukan kriteria penilaian atas kategori atau sub kategori risk factor
APIP menghitung skor RF berdasarkan kriteria yang sudah ditentukan untuk tiap risk
factor. Skor RF dibuat dengan aturan sebagai berikut:
b) Angka kecil menunjukkan risiko yang kecil, sementara semakin angka yang
besar menunjukkan pertimbangan risiko yang lebih besar.
56
43
Gambar 2.17 Contoh kriteria penilaian Faktor Risiko
57
44
Gambar 2.18 penentuan persentase risk factor;
- Apabila jumlah risk factor tidak sama dengan jumlah skala dampak/kemungkinan, maka nilai
risk factor dihitung dengan cara sebagai berikut:
Contoh
- Jumlah RF = 8
- skala dampak/kemungkinan risiko = 5 (dari matrix 5 x 5),
- maka nilai total risk factor dihitung mengunakan rumus
RFn = skor RF x skor tertinggi skala likert x persentase bobot dari RFn
∑ RF = skor R1 + RF2 + ... + RFn
58
45
Gambar 2.19 perhitungan nilai Risk Factor
Dari tabel diatas, maka nilai risk factor untuk auditable unit tersebut
adalah 16.
Catatan: kriteria dan tabel bobot (nilai) dan persentase atas faktor
risiko/pertimbangan manajemen tersebut hanya merupakan
ilustrasi, kebijakan penentuan bobot faktor risiko/pertimbangan
manajemen diserahkan kepada K/L sesuai dengan kondisi yang
dihadapi masing-masing K/L.
c) Jika tingkat maturitas MR/SPIP > 3 (baca: 4 atau 5) (terkelola dan optimum),
maka bobot risk register dibanding risk factors adalah 70:30
59
46
Gambar 2.20 perbandingan Bobot Risk factor dan Risk Register
1. 1 s.d. 2 0 % RR : 100 % RF
2. 3 50 % RR : 50 % RF
3. 4 s.d 5 70 % RR : 30 % RF
Catatan
1) Kriteria dan tabel bobot proporsi penggunaan register risiko dan faktor
risiko/pertimbangan manajemen tersebut hanya merupakan ilustrasi,
kebijakan penentuan bobot proporsi penggunaan register risiko dan faktor
risiko/pertimbangan manajemen diserahkan kepada K/L sesuai dengan
kondisi yang dihadapi masing-masing K/L.
“...Jika tingkat maturitas manajemen risiko klien rendah, auditor intern tidak
mungkin menggunakan register risiko milik klien. Register risiko pada klien
dengan maturitas manajemen risiko yang rendah dinilai tidak handal. Auditor
intern akan memutuskan banyaknya muatan informasi yang akan diambil
dalam pengembangan Perancanan Audit Intern Tahunan yang berasal dari
register risiko klien. Kekurangan sebagian informasi ini harus auditor intern
peroleh dari hasil pengembangan faktor risiko.” (AAIPI, 2018)14
14
Pedoman Perencanaan Audit Berbasis Risiko Auditor Intern Pemerintah Indonesia dari AAIPI
60
47
Gambar 2.21 perhitungan nilai total risiko
(1) (2) (3) (4) (5) (6) (7) (8) (9) = 7x8 (10) = 6+9
2 Unit Kerja
4 25 70% 17,5 18 30% 5,4 22,90
DEF
3 Unit Kerja
2 18 0% 0 15 100% 15 15,00
GHI
Setelah diurutkan dari nilai risiko tertinggi sampai dengan terendah, diperoleh urutan
sebagai berikut:
(1) (2) (3) (4) (5) (6) (7) (8) (9) = 7x8 (10) = 6+9
1 Unit Kerja
3 25 50% 12,5 16 50% 8 20,50
ABC
4 Unit Kerja
5 16 70% 11,2 22 30% 6,6 17,80
JKL
61
48
5) Menentukan proporsi perbandingan Risk Register dengan Risk Factor
Kemudian APIP berkoordinasi dengan manajemen untuk menetapkan
assurance level atas area pengawasan yang akan dibuatkan Program Kerja
Pengawasan Tahunan (PKPT) berbasis risiko.
Misalnya dengan cara membagi/skoring dalam skala-skala tertentu, Contoh
pembagian area pengawasan
b) Prioritas Sedang
Prioritas sedang ini merupakan area pengawasan bagi middle
manajemen/Unit Kepatuhan Internal organisasi/MR.
c) Prioritas Rendah
Area pengawasan pelaksana operasional.
6) Dokumentasi
Dokumen yang dibutuhkan pada tahapan penyusunan audit universe adalah:
3 Register Risiko.
6 Register Risiko.
62
49
D.
Penyusunan
Program Kerja
Pengawasan Tahunan (PKPT)
63
50
Sebagaimana tercantum dalam SAIPI (paragraph 3130) kegiatan pengawasan intern
harus menjamin kecukupan dan efektivitas pengendalian intern pemerintah dalam
menanggapi risiko tata kelola organisasi, operasi, dan sistem informasi mengenai:
Pada tahap organisasi tersebut belum siap untuk menerapkan PIBR, penekanan APIP
adalah mendorong penerapan manajemen risiko yang memadai untuk meningkatkan
kualitas pengendalian internal. Oleh karena itu, sebelum melakukan penyusunan
Program Kerja Pengawasan Tahunan (PKPT), perlu diperjelas lagi mengenai strategi
pengawasan internal yang akan dipilih terkait dengan maturitas manajemen risiko.
Dalam Chartered Institute of Internal Auditors (2014), menyebutkan beberapa lingkup
dan metode pengawasan intern dibedakan menjadi tiga kelompok berdasarkan
kematangan manajemen risiko, yaitu:
Adapun pelaksanaan kegiatan PIBR sesuai dengan maturitas MR auditable unit yang
sesuai disajikan dalam tabel berikut:
Gambar 2.9 Kegiatan Assurance dan Consulting sesuai Maturitas Manajemen Risiko
Level MR Jenis Pengawasan
Assurance Consulting
64
51
Selain penugasan PIBR, PKPT APIP berisi juga rencana penugasan yang bersifat
mandatory, yaitu penugasan yang merupakan amanat peraturan perundangan, wajib
dilaksanakan, atau juga mandat bagi APIP, antara lain reviu RKA, reviu Laporan
Keuangan K/L, dan evaluasi LAKIP K/L, menindaklanjuti pengaduan/laporan dari
masyarakat, penugasan atas permintaan manajemen/pimpinan untuk melakukan
pengawasan. Berdasarkan sifatnya yang wajib dilaksanakan, maka penugasan
mandatory dapat langsung dimasukkan dalam PKPT, tanpa melalui proses
pemeringkatan berdasarkan prioritas risiko.
Pengawasan Intern Berbasis Risiko (PIBR) mengintegrasikan pengawasan intern ke
dalam proses manajemen risiko yang dibangun organisasi, sehingga
pengkomunikasian proses dan hasil pengawasan lebih mudah dipahami dan
ditindaklanjuti oleh pimpinan organisasi. Penugasan PIBR tidak menghilangkan
penugasan-penugasan tersebut, namun justru melengkapinya.
Berikut adalah strategi pengintegrasian antara pengawasan intern dengan proses
manajemen risiko yang dibangun organisasi, dengan menggunakan maturitas MR
pada auditable unit:
Kebijakan dan kriteria audit yang bersifat mandatori dan khusus serta wajib
untuk dilaksanakan oleh APIP tertuang dalam Piagam Pengawasan Intern
(Internal Audit Charter) yang disusun APIP dan disetujui oleh Pimpinan K/L. 15
Terhadap penugasan yang sifatnya wajib ini, APIP memprioritaskan kegiatan
ini untuk dimasukkan terlebih dahulu dalam PKPTnya. Bila dalam penugasan
mandatori ini memungkinkan APIP dalam memilih auditable unit yang akan
diuji, APIP dapat mempertimbangkan skor risiko, maupun faktor risiko sebagai
alat untuk memilih auditable unit
15
Peraturan BPKP nomor 6 tahun 2018, pedoman PIBR
65
52
yang maturitas manajemen risikonya masih rendah, tujuannya agar seluruh
auditable unit dalam kelompok maturitas manajemen risiko rendah dapat belajar
bersama dan saling termotivasi untuk maju.manajemen risikonya belum
dilaksanakan secara formal, atau kalau sudah dilaksanakan, namun masih bersifat
silo atau pada unit masing masing. Karena kondisi kematangan manajemen risiko
yang masih rendah, sehingga APIP belum dapat menyakini keandalan proses
manajemen risiko yang dilaksanakan oleh manajemen. Oleh karenanya, APIP belum
dapat melaksanakan assurance atas implementasi manajemen risiko dan masih
menerapkan kegiatan audit konvensional yang saat ini telah dilaksanakan.
Pemilihan jenis audit konvensional tergantung risiko utama yang melekat pada
auditable unit bersangkutan. Misalnya, jika risiko tertinggi adalah terkait kemahalan
harga dalam proses pengadaan barang dan jasa, maka assurance yang dapat
dilakukan adalah audit ketaatan atau compliance audit proses pengadaan barang
dan jasa.
Karakteristik Auditable unit yang berada di level ini adalah telah terbangunnya
kebijakan manajemen risiko dan telah dikomunikasikan kepada seluruh pihak
yang terkait, selain itu selera risiko juga telah ditetapkan. Karena kematangan
manajemen risiko yang sudah mulai meningkat, sehingga APIP perlu
mendorong kualitas implementasi manajemen risiko melalui kegiatan assurance
atas efektivitas pengendalian, yaitu menilai apakah rancangan pengendalian
telah mampu menurunkan risiko sampai level yang dapat diterima dan
bagaimana impelentasi pengendaliannya.
Selain assurance atas efektivitas pengendalian, APIP masih perlu melaksanakan
audit konvensional untuk melengkapi assurance atas efektivitas pengendalian
tersebut. Jenis audit konvensional yang ditetapkan perlu disesuaikan dengan
risiko utama yang melekat pada auditable unit yang bersangkutan. Misalnya
assurance atas capaian kinerja auditable unit untuk melihat kinerja di periode
yang lalu (post audit), ditambah dengan assurance atas efektivitas
pengendalian yang sifatnya melihat potensi permasalahan di masa depan
(forward looking). Gabungan forward looking dan post audit ini memungkinkan
bagi APIP untuk dapat menyajikan informasi yang lebih komprehensif kepada
pimpinan, namun konsekuensinya lingkup pengawasan perlu diperluas dan
sumber daya perlu ditambah, atau dengan sumber daya yang ada (tidak ada
penambahan), maka harus dibagi antara porsi untuk pengawasan yang bersifat
forward looking dan pengawasan terhadap kejadian masa lalu (post audit).
Selanjutnya, untuk kelompok auditable unit yang sudah mencapai maturitas
manajemen risiko level 3, masih dibutuhkan peran APIP untuk memfasilitasi
penerapan manajemen risiko. Namun, fasilitasi lebih difokuskan untuk
menginternalisasi penerapan manajemen risiko ke dalam proses bisnis. Agar
lebih efektif dan efisien, disarankan agar pelaksanaan fasilitasi pada tahap awal
66
53
digabungkan untuk seluruh auditable unit yang maturitas manajemen risikonya
sudah level 3, tujuannya agar antar auditable unit dapat saling berbagi
pengalaman/sharing best practice penerapan manajemen risikonya
masing-masing untuk dapat diadopsi dan dikembangkan lebih lanjut oleh
auditable unit yang lain.
67
54
2. PENETAPAN PROGRAM KERJA PENGAWASAN TAHUNAN (PKPT).
2) Dikurangi dengan perkiraan hari libur, cuti, dan perkiraan hari hari
yang digunakan oleh APIP untuk kegiatan lainya. Contohnya:
68
55
Gambar 2.25 perhitungan sumberdaya APIP
b) Kapan dilaksanakan;
d) Periode pelaksanaan:
69
56
Format PKPT untuk perencanaan PIBR ini dapat disusun sebagai berikut:
70
57
Setiap area pengawasan terpilih yang termasuk dalam usulan PKPT didukung
dengan Deskripsi Area Pengawasan Terpilih dan Alokasi Sumber Daya.
d. Dokumentasi
Dokumen dan formulir yang terkait pada tahapan penyusunan PKPT adalah:
a. Komposisi sumber daya, yang meliputi anggaran, SDM dan waktu.
71
58
BAB III
72
TAHAPAN PELAKSANAAN
PENGAWASAN INDIVIDU
73
A.
Gambaran Umum
Pelaksanaan Pengawasan Intern
Berbasis Risiko
74
61
dan consulting) sesuai dengan hasil rekonfirmasi kematangan
manajemen risiko, dan tahap terakhir adalah pengkomunikasian
hasil pengawasan. Jika dari hasil rekonfirmasi kematangan
manajemen risiko menunjukkan bahwa auditable unit belum
matang (level 1 dan level 2), maka metode pengawasan individu
yang diterapkan adalah audit konvensional (misalnya audit
ketaatan dan audit kinerja), serta kegiatan fasilitasi dilaksanakan
di waktu terpisah bersamaan dengan auditable unit lain (yang
level maturitasnya sama), sehingga akan tercipta model
pembelajaran bersama, komitmen bersama serta saling
memotivasi antar auditable unit.
Jika hasil rekonfirmasi kematangan manajemen risiko auditable
unit berada di Level 3 dan secara umum auditable unit telah
memiliki register risiko yang cukup handal, maka pengawasan
individu yang diterapkan adalah audit konvensional (misalnya
audit ketaatan dan audit kinerja), ditambah assurance atas
efektivitas pengendalian (kecukupan desain pengendalian dan
implementasinya). Kegiatan fasilitasi tetap dilaksanakan dengan
fokus menginternalisasikan manajemen risiko ke dalam proses
bisnis. Selanjutnya, jika hasil rekonfirmasi maturitas manajemen
risiko menunjukkan bahwa maturitas auditable unit sudah tinggi
(level 4 dan 5), maka pengawasan individu yang dilaksanakan
adalah assurance atas efektivitas manajemen risiko secara
keseluruhan, sedangkan audit konvensional dan fasilitasi
dilaksanakan sesuai dengan kebutuhan.
Untuk mempermudah uraian tahap pelaksanaan pengawasan
intern berbasis risiko, petunjuk pelaksanaan ini akan dibagi
dalam tiga kategori, yaitu: (1) pelaksanaan pengawasan intern
berbasis risiko bagi auditable unit yang maturitas manajemen
risikonya masih rendah (level 1 dan level 2), bagi auditable unit
dengan maturitas MR sedang (level 3), dan bagi auditable unit
dengan maturitas MR tinggi (level 4 dan level 5) sebagaimana
gambar di bawah ini.
62
75
04
Program Kerja
Pengawasan Tahunan
Rekonfirmasi Maturitas MR
Auditable Unit
1. 2. 3. Perencanaan
Maturitas MR Rendah Maturitas MR Sedang Maturitas MR Tinggi
Pengawasan
(Level 1 dan 2) (Level 3) (Level 4 dan 5)
Individu
Audit Konvensional
Audit Konvensional Audit Konvensional (sesuai Kebutuhan)
Assurance
Assurance
Assurance atas
atas
atas Assurance atas
Efektivitas
Efektivitas Pengendalian
Pengendalian
Efektivitas Pengendalian Efektivitas Pengendalian
Assurance atas
Efektivitas MR Keseluruhan
76
63
Berdasarkan rincian kegiatan yang telah ditetapkan dalam perencanaan pengawasan
tahunan (PKPT), selanjutnya tim menyusun rencana pengawasan individu, antara lain
dengan menetapkan sasaran, ruang lingkup, dan metodologi pengawasan, termasuk
menyusun program kerja pengawasan yang akan dilaksanakan. Setelah persiapan selesai,
berdasarkan surat tugas yang dimiliki, tim melaksanakan pengawasan sesuai dengan
rencana yang telah dietapkan. Proses pengawasan didokumentasikan dalam kertas kerja
pengawasan yang selanjutnya menjadi bahan penyusunan pelaporan/komunikasi hasil
pengawasan.
77
64
No. Paragraf Uraian
Dalam petunjuk pelaksanaan ini, sasaran, ruang lingkup dan alokasi sumber
daya pengawasan intern ditetapkan berdasarkan hasil rekonfirmasi
kematangan manajemen risiko setiap auditable unit. Tahapan perencanaan
pengawasan individu, terdiri dari empat kegiatan, yaitu rekonfirmasi
kematangan manajemen risiko, pemahaman risiko utama auditable unit dan
rancangan pengendalian intern, penetapan metode pengawasan, serta
penyusunan program kerja pengawasan, sebagaimana rincian berikut:
78
65
risiko perlu dilakukan karena penilaian maturitas manajemen risiko
pada tahap perencanaan pengawasan dilaksanakan sebelum tahun
anggaran dimulai (Y-1), sehingga dikhawatirkan sudah ada update
atau perkembangan implementasi manajemen risiko sehingga perlu
disesuaikan terlebih dahulu sebelum pelaksanaan pengawasan
individu. Alasan kedua, kemungkinan pada tahap perencanaan
pengawasan, belum diperoleh hasil penilaian maturitas manajemen
risiko setiap auditable unit, sehingga APIP menggunakan nilai
maturitas manajemen risiko entitas atau nilai maturitas SPIP entitas
sebagai alternatifnya, oleh karenanya perlu dilakukan rekonfirmasi
terhadap maturitas manajemen risiko setiap auditable unit untuk
memastikan apakah nilai maturitas manajemen risiko atau nilai
maturitas SPIP level entitas masih konsisten dengan nilai maturitas
manajemen risiko di tingkat auditable unit.
Apabila dalam tahap perencanaan pengawasan telah dilakukan
penilaian maturitas manajemen risiko untuk setiap auditable unit dan
sampai dengan waktu pelaksanaan pengawasan tidak ada
perubahan yang signifikan, maka APIP dapat menggunakan nilai
maturitas manajemen risiko masing-masing auditable unit yang telah
tersedia pada tahap perencanaan pengawasan tersebut. Artinya,
level maturitas manajemen risiko di tingkat auditable unit masih
relevan untuk digunakan untuk tahap pelaksanaan pengawasan.
Untuk mendukung kesimpulan auditor bahwa level maturitas
manajemen risiko masih relevan, maka prosedur rekonfirmasi tetap
harus dilaksanakan serta hasilnya dituangkan dalam kertas kerja
rekonfirmasi. Jika tidak ada perubahan signifikan, maka proses
rekonfirmasi dapat diselesaikan dalam waktu yang relatif lebih cepat.
Lebih lanjut, langkah kerja rekonfirmasi kematangan manajemen
risiko dilakukan dengan menggunakan 15 pernyataan yang akan
dijelaskan lebih rinci pada BAB ini.
79
66
Sebagai contoh, auditable unit terpilih sebagai prioritas pengawasan
karena mengelola anggaran yang paling besar, temuan BPK tahun
sebelumnya banyak dan sebagainya. Berangkat dari informasi itu,
kemudian tim pengawasan melakukan wawancara dengan auditi untuk
memperoleh informasi apakah telah memiliki register risiko, jika sudah
memiliki register risiko, identifikasi risiko terbesar apa yang dihadapi
oleh auditable unit, program/kegiatan apa yang paling berisiko, serta
capaian kinerja sampai dengan saat field work.
1)
Signifikansi Program/kegiatan utama yang dilaksanakan
oleh auditable unit untuk mendukung IKU entitas;
2)
Faktor risiko yang menyebabkan auditable unit itu
masuk dalam prioritas pengawasan, misalnya anggaran
yang dikelola, temuan BPK tahun sebelumnya,
seringnya pergantian pegawai, pengaduan masyarakat,
potensi fraud, waktu terakhir di audit, volume transaksi,
tingkat otomatisasi dan lain sebagainya;
3)
Informasi pencapaian kinerja auditable unit sampai
dengan saat field work;
80
67
b c. Penetapan Metode Pengawasan Intern Berdasarkan
Tingkat Kematangan Manajemen Risiko
Setelah diperoleh hasil rekonfirmasi kematangan manajemen
risiko berupa level maturitas manajemen risiko, selanjutnya tim
pengawasan dapat menetapkan lingkup dan metode
pengawasan intern yang akan diterapkan. Beberapa
kemungkinan yang muncul adalah sebagai berikut:
1)
Jika hasil rekonfirmasi kematangan manajemen risiko
masih sama dengan penilaian kematangan manajemen
risiko pada tahap perencanaan pengawasan (saat
menyusun PKPT), maka lingkup dan metode
pengawasan individu yang akan diterapkan adalah
sama dengan rencana awal (sesuai dengan PKPT);
2.
Jika hasil rekonfirmasi kematangan manajemen risiko
hasilnya lebih rendah atau lebih tinggi dari penilaian
kematangan manajemen risiko pada tahap
perencanaan, maka tim pengawasan perlu
menyesuaikan lingkup dan metode pengawasan
berdasarkan hasil penilaian yang terakhir.
81
68
Secara umum lingkup dan metode pengawasan intern
dibedakan menjadi tiga kelompok berdasarkan kematangan
Menyusun Program Kerja
b d.
Pengawasan Individu
Program kerja pengawasan intern berbasis risko merupakan dokumen yang
berisi langkah kerja sebagai panduan bagi tim pengawasan dalam
melaksanakan kegiatan pengawasan intern di lapangan. Langkah kerja
disusun sesuai dengan tujuan pengawaan dan pengujian yang diperlukan
untuk mencapai tujuan pengawasan yang ditetapkan. Program kerja
pengawasan disusun oleh ketua tim pengawasan sebagai media komunikasi
dalam satu tim pengawasan. Petunjuk pelaksanaan ini tidak memberikan
panduan secara khusus bagaimana menyusun program kerja pengawasan,
namun langkah kerja penting untuk melaksanakan pengawasan intern
berbasis risiko dijelaskan secara singkat, yang selanjutnya dapat
dikembangkan lebih lanjut sesuai kondisi lingkungan dan sumber daya yang
dimiliki oleh APIP, namun untuk memudahkan bagaimana
bentuk/contoh/format Program Kerja Pengawasan dapat disajikan pada
lampiran nomor 2 huruf B dan C.
82
69
Secara umum, standar menghendaki agar pelaksanaan pengawasan intern
didukung dengan bukti-bukti yang kuat, didokumentasikan dengan baik,
serta melalui proses supervisi yang memadai. Petunjuk pelaksanaan ini
mengatur lebih lanjut mengenai langkah kerja apa yang dapat dilakukan
oleh tim pengawasan dalam melaksanakan pengawasan intern berbasis
risiko, termasuk contoh kertas kerja sebagai gambaran dokumentasi
pengawasan intern dan supervisi secara berjenjang mulai dari ketua tim,
pengendali teknis, dan penanggung jawab penugasan.
Berdasarkan output dari tahapan rekonfirmasi maturitas manajemen risiko,
akan mengerucut pada tiga kelompok auditable unit berdasarkan level
maturitasnya, yaitu auditable unit dengan maturitas manajemen risiko
rendah (level 1 dan 2), sedang (level 3), dan tinggi (level 4 dan 5).
Masing-masing kelompok akan dilakukan pengawasan intern dengan
menggunakan metode yang disesuaikan dengan tingkat kematangan
manajemen risikonya masing-masing.
83
70
Pengkomu- Hasil pengawasan intern perlu disampaikan dalam format yang
3.
nikasian Hasil tepat, kepada pihak yang tepat, pada waktu yang tepat, serta
Pengawasan dimonitoring tindak lanjutnya secara berkesinambungan. Oleh
Individu karena itu, pengkomunikasian atau pelaporan hasil pengawasan
perlu diatur dalam bab secara terpisah agar lebih jelas.
84
71
B.
Peran Assurance
Sesuai Perkembangan
Maturitas MR
85
72
Perbandingan Pendekatan
Pengawasan Intern
Risk-
No. Aspek control based Process based Risk-based
management based
4. Pengujian Uji Substantif dan Evaluasi yang Kombinasi uji Kombinasi uji substantif
Kepatuhan secara fokus pada substantive dan dan ketaatan yang fokus
statistik konsultasi untuk ketaatan yang fokus pada tujuan kunci dan
menilai gap hanya pada risiko risiko terkait
praktik saat ini kunci
dengan best
practice disertai
pengujian
kepatuhan
Berdasarkan tabel di atas, untuk menilai kepatuhan terhadap peraturan, maka pendekatan penga-
wasan dapat diterapkan adalah control based yaitu dengan mengidentifikasi area yang pengenda-
liannya masih lemah, untuk selanjutnya dilakukan audit ketaatan. Namun, ketika sasaran penga-
wasannya berubah untuk menilai efektivitas efisiensi proses bisnis, maka pendekatan pengawasan
86
73
perlu melihat proses bisnis secara keseluruhan dibandingkan dengan best practice nya, inilah
pendekatan proses atau process based. Audit ketaatan dan audit kinerja inilah yang dalam petun-
juk pelaksanaan ini disebut dengan audit konvensional, yang dapat dilaksanakan oleh APIP,
khususnya terhadap auditable unit yang belum menerapkan manajemen risiko, atau sudah mener-
apkan namun maturitas manajemen risikonya masih rendah (level 1 dan level 2). Kegiatan audit
konvensional masih dilaksanakan karena APIP belum dapat meyakini kualitas implementasi mana-
jemen risiko oleh auditable unit.
Sehubungan dengan auditable unit yang mulai menerapkan manajemen risiko, maka kegiatan
assurance yang dilakukan APIP juga mengalami perkembangan. Sebagaimana dijelaskan dalam
tahapan pelaksanaan pengawasan intern, bagi auditable unit yang sudah memenuhi level maturi-
tas manajemen risiko level 3, maka pendekatan pengawasan intern yang diterapkan adalah assur-
ance atas efektivitas pengendalian atau dalam tabel 2.2 disebut pendekatan risk based, dengan
fokus pengujian atas dua hal sebagai berikut:
Menilai bahwa kegiatan pengendalian telah diimplementasikan secara efektif dan efisien
2. sesuai dengan rancangan pengendalian yang ditetapkan.
Dalam perkembangan selanjutnya, ketika maturitas manajemen risiko telah memenuhi level 4 dan
level 5, maka assurance yang dilaksanakan oleh APIP juga berkembang, tidak sekedar penilaian
efektivitas pengendalian, namun termasuk menilai penerapan manajemen risiko secara keseluruhan,
atau tabel 2.2 menyebutnya dengan pendekatan risk management based, yang terdiri dari lima
simpulan utama, antara lain:
Pelaksanaan lebih lanjut atas assurance yang dilaksanakan oleh APIP tersebut, akan
dibahas lebih rinci di Bab ini.
87
74
c. Peran Consulting
Sesuai Level
Maturitas Manajemen Risiko
Selain melaksanakan kegiatan yang bersifat assurance atau penjaminan, peran APIP sebagai
bagian internal organisasi, diharapkan dapat memberikan solusi atas permasalahan yang dihadapi
oleh manajemen, termasuk ketika manajemen telah memutuskan untuk menerapkan manajemen
risiko. Beberapa peran consulting yang dapat dilakukan oleh APIP sehubungan dengan
penerapan manajemen risiko oleh manajemen, disajikan sebagaimana gambar berikut:
Memelihara dan
membangun
kerangka ERM
3 5 Mengkoordinasikan
aktivitas ERM
4
Mengkonsolidasi pelaporan
mnajemen risiko
88
75
Sebagaimana gambar 2.3 di atas, peran APIP dapat memberikan konsultasi
consulting oleh APIP telah dimulai sejak bagaimana cara mengkonsolidasikan
awal ketika organisasi baru menyusun pelaporan manajemen risiko, yang dalam
strategi penerapan manajemen risiko, hal ini APIP dapat menyarankan penguatan
sebagaimana digambarkan dalam kipas di peran second line of defense atau
atas. Ketika peran itu diurutkan dari kiri ke pertanahan lini kedua organisasi, berupa
kanan, maka akan terlihat perkembangan unit manajemen risiko dan kepatuhan
peran consulting yang dapat diberikan oleh internal. Membangun manajemen risiko
APIP dikaitkan dengan perkembangan perlu dukungan teknologi informasi berupa
maturitas manajemen risiko organisasi. aplikasi yang memungkinkan agar risk
Bagian warna biru yang paling kiri adalah register yang disusun oleh manajemen
kondisi ketika organisasi belum menerapkan dapat langsung dikompilasikan serta
manajemen risiko, sehingga peran APIP dipantau secara real time oleh unit
adalah memberikan konsultasi bagaimana manajemen risiko dan kepatuhan internal
menyusun strategi penerapan manajemen sebagai pertahanan lini kedua dan APIP
risiko dan kemudian diajukan kepada sebagai pertahanan lini ketiga.
pimpinan untuk memperoleh persetujuan. Perkembangan berikutnya, kegiatan ERM
Perkembangan berikutnya, APIP dapat perlu di koordinasikan sehingga APIP dapat
mengajarkan bagaimana mengintegrasikan berperan dalam memberikan konsultasi dan
penerapan manajemen risiko dalam satu saran bagaimana ERM akan
organisasi secara menyeluruh atau dikoordinasikan, melalui apa media
menerapkan Enterprise Risk Management koordinasinya, oleh siapa dan kapan
(ERM). Setelah ERM terbangun, selanjutnya dilaksanakan. Dalam beberapa praktik di
89
76
Indonesia, koordinasi penerapan kepada manajemen bagaimana merespon
manajemen risiko diintegrasikan dengan risiko. Kegiatan coaching dapat dilakukan di
pemantauan kinerja organisasi yang kantor APIP dengan membuka coaching
diselenggarakan setiap triwulan. Rapat clinic pengembangan manajemen risiko,
koordinasi rutin tersebut dipimpin oleh dapat juga dilakukan di kantor manajemen
pimpinan tertinggi organisasi dan dihadiri atau unit kerja yang akan di training
oleh seluruh jajaran pimpinan setingkat mengenai bagaimana merespon risiko.
dibawahnya. Materi yang dibahas dalam Layanan konsultasi berikutnya adalah
pertemuan itu adalah perkembangan kinerja fasilitasi identifikasi dan analisis risiko.
organisasi dan pengelolaan risiko. Jika Kegiatan konsultasi ini sudah masuk dalam
terdapat risiko yang tidak dapat ditangani teknis bagaimana menilai risiko oleh
di level bawah, akan dibahas dalam rapat masing-masing auditable unit. Perlu digaris
untuk diambil kebijakan di level yang lebih bawahi bahwa peran fasilitator tidak boleh
tinggi. mengambil alih tanggung jawab
Selain memberikan layanan konsultasi di manajemen, artinya identifikasi risiko dan
level entitas atau organisasi mengenai besarannya harus diputuskan oleh
bagaimana membangun ERM, APIP juga manajemen, sedangkan peran fasilitator
dapat memberikan layanan konsultasi di hanyalah memandu jalannya diskusi agar
level unit kerja, dalam hal ini kepada fokus. Fasilitasi identifikasi dan analisis risiko
auditable unit atau unit kerja mandiri yang dapat dilakukan dengan metode Control
diperankan sebagai pemilik risiko. Layanan Self Asessment (CSA) yang akan dibahas
yang pertama adalah memberikan coaching lebih detail pada Bab IV.
90
77
D.
Pengawasan Intern
Berbasis Risiko dan
Peningkatan Kapabilitas APIP
Pelaksanaan pengawasan intern berbasis risiko telah sejalan dengan model peningkatan
kapabilitas APIP sebagaimana konsep Internal Audit Capability Model (IACM) yang
dikembangkan oleh IIA Reseacrh Foundation, melalui riset oleh Elizabeth MacRae tahun 2007 dan
terakhir direvisi tahun 2017, berjudul “Internal Audit Capability Model for The Public Sector”.
Dalam buku tersebut, dijelaskan bahwa peningkatan kapabilitas APIP, perlu mempertimbangkan
enam elemen kunci sebagaimana diilustrasikan dalam gambar sebagai berikut:
Matrik
IACM
MATRIKS MODEL KAPABILITAS APIP
5 KPA 10 KPA 7 KPA 7 KPA 5 KPA 7 KPA
Peran dan Akuntabilitas Budaya dan
Pengelolaan SDM Praktik Profesional dan Manajemen Hubungan Struktur
Layanan AIP Tata Kelola
Kinerja Organisasi
Pimpinan APIP Praktik profesional
Level 5- berperan aktif dalam dikembangkan Outcome Kinerja Independensi,
Optimizing APIP diakui sebagai organisasi profesi secara berkelanjutan Hubungan berjalan
dan Nilai bagi kemampuan, dam
efektif dan terus-
agen perubahan APIP memiliki organisasi telah kewenangan penuh
Proyeksi tenaga/ tim menerus
tercapai APIP
8 KPA kerja Perencanaan
strategis
APIP berkontribusi
terhadap
Jaminan menyeuruh pengembangan Strategi audit Pimpinan APIP
Level 4- atas tata kelola, manajemen memberikan
Penggabungan
mampu memberikan Pengawasan
Managed manajemen risiko, pengaruh terhadap ukuran kinerja
saran dan independen terhadap
APIP mendukung kualitatif dan
dan pengendalian organisasi profesi manajemen risiko mempengaruhi kegiatan APIP
orgnisasi kuantitatif
organisasi manajemen
9 KPA Perencanaan
tenaga/tim kerja
Ad hoc dan tidak terstruktur, audit terbatas untuk ketaatan, output tergantung padakeahlian orang pada posisi tertentu, tidak menerapkan praktik
Level 1- profesional secara spesifik selain yang ditetapkan asosiasi profesional, pendanaan disetujui oleh manajemen sesuai yang diperlukan, tidak adanya
Initial infrastruktur, auditor diperlukan sama seperti sebagian besar unit organisasi, tidak ada kapabilitas yang dibangun, oleh karena itu tidak memiliki
area proses kunci yang spesifik.
91
78
Sebagaimana matrik di atas, peningkatan risiko. Namun, untuk pemenuhan
kapabilitas APIP, khususnya elemen 3 kapabilitas APIP level 4, dipersyaratkan
(Praktik Profesional), telah dipersyaratkan agar strategi pengawasan memberikan
agar APIP menyusun perencanaan pengaruh terhadap manajemen risiko
pengawasan yang berbasis risiko. Untuk organisasi. Artinya, ketika APIP melihat
pemenuhan kapabilitas APIP level 3, jika implementasi manajemen risiko oleh
manajemen belum menerapkan manajemen maturitasnya masih rendah,
manajemen risiko, masih dibuka maka strategi pengawasan APIP harus
kemungkinan bagi APIP untuk menyusun berupaya bagaimana mempercepat
perencanaan dengan pendekatan implementasi manajemen risiko, salah
alternatif, salah satunya dengan satunya melalui peran sebagai fasilitator
pertimbangan manajemen atau faktor penerapan manajemen risiko.
92
79
Dalam konteks ini, penerapan pengawasan intern
berbasis risiko merupakan salah satu jalan bagi APIP
untuk dapat meningkatkan kapabilitasnya menuju level
4, terutama dalam memperbaiki elemen praktik
profesional. Tidak hanya itu, jika kita cermati elemen
pertama terkait peran dan layanan. Kapabilitas APIP
level 3 masih mensyaratkan layanan jasa advisory dan
audit kinerja, di sini peran APIP sudah mulai berubah ke
arah consulting. Ketika APIP mentargetkan untuk
mencapai kapabilitas level 4, maka salah satu peran dan
layanan yang harus dapat dilakukan adalah
memberikan jaminan menyeluruh atas tata kelola,
manajemen risiko, dan pengendalian organisasi.
Jaminan menyeluruh tersebut salah satunya dapat
dipenuhi ketika APIP telah menyusun perencanaan
pengawasan intern berbasis risiko, mendorong
penerapan manajemen risiko terintegrasi, serta
melakukan assurance atas implementasi manajemen
risiko secara keseluruhan.
93
80
E.
Rekonfirmasi
Tingkat Kematangan
Manajemen Risiko
94
81
maturitas SPIP yang saat ini hampir periode pengawasan individu tidak ada
seluruh Kementerian/Lembaga telah perubahan yang signifikan, maka APIP dapat
memiliki datanya. menggunakan informasi maturitas
manajemen risiko tersebut dalam tahap
Urutan prioritas informasi yang dapat
pelaksanaan pengawasan individu.
digunakan untuk menggambarkan
maturitas manajemen risiko, antara lain: Sebagaimana telah dijelaskan pada petunjuk
Jika tersedia, gunakan nilai (1) maturitas pelaksanaan perencanaan pengawasan
manajemen risiko setiap auditable unit. berbasis risiko, bahwa tingkat kematangan
Namun, jika tidak tersedia datanya, penerapan manajemen risiko yang
maka (2) gunakan nilai maturitas digunakan pada tahap perencanaan
manajemen risiko level entitas. Jika tidak pengawasan dapat menggunakan hasil
tersedia datanya, (3) gunakan level penilaian maturitas SPIP level
maturitas SPIP setiap auditable unit, jika Kementerian/Lembaga sebagai alternatif.
masih tidak ada datanya juga, baru (4) Namun, biasanya penilaian maturitas SPIP
gunakan nilai maturitas SPIP entitas tidak dilakukan setiap tahun, sehingga
sebagai alternatif. Akan tetapi, apabila kemungkinan besar ada jeda waktu antara
pada tahap perencanaan pengawasan penyusunan PKPT dengan periode terakhir
tahunan, APIP telah melakukan penilaian SPIP dinilai dan periode paling cepat adalah
maturitas manajemen risiko setiap sebelum penyusunan rencana pengawasan
auditable unit yang menjadi tahunan (Y-1). Dengan adanya perbedaan
kewenangannya, dan sampai dengan waktu dan lingkup antara penilaian
95
82
kematangan manajemen risiko saat tahap perencanaan tahunan dan saat pelaksanaan
pengawasan individu, maka perlu dilakukan rekonfirmasi atas tingkat kematangan penerapan
manajemen risiko.
Terdapat kemungkinan bahwa dalam tahap perencanaan, nilai maturitas manajemen risiko
atau maturitas SPIP yang digunakan adalah level entitas, sedangkan pada tahap pelaksanaan
pengawasan individu, nilai maturitas manajemen risiko yang dibutuhkan adalah level
auditable unit, yang selanjutnya akan digunakan untuk menetapkan strategi pengawasan
(assurance atau consulting) pada saat field work. Untuk itu, rekonfirmasi kematangan
manajemen risiko ini penting dilakukan untuk meyakini kondisi terkini praktik manajemen
risiko pada tingkat auditable unit, terutama menyangkut proses dan hasil identifikasi,
penilaian dan rancangan pengendalian serta pemantauan berkelanjutan atas risiko signifikan
yang teridentifikasi pada unit yang dilakukan pengawasan. Salah menyimpulkan kematangan
manajemen risiko, secara langsung akan mempengaruhi kualitas pelaksanaan pengawasan
intern, atau bahkan mengarah pada pemborosan sumber daya karena pengawasan yang
tidak optimal.
Idealnya, pelaksanaan rekonfirmasi kematangan manajemen risiko dapat diselesaikan dalam
waktu yang singkat karena tugas utama APIP adalah melaksanakan pengawasan intern,
sedangkan rekonfirmasi kematangan manajemen risiko digunakan sebagai pertimbangan
dalam penyusunan strategi pengawasan yang akan diterapkan. Diharapkan, rekonfirmasi
kematangan manajemen risiko untuk suatu auditable unit yang sedang dilakukan
pengawasan dapat diselesaikan dalam satu hari kerja penugasan.
96
83
Langkah Kerja Rekonfirmasi Kematangan Manajemen Risiko
2.
Penilaian tingkat kematangan manajemen risiko perlu dilakukan terhadap seluruh
auditable unit yang masuk dalam PKPT. Rekonfirmasi kematangan manajemen risiko
dilaksanakan oleh APIP dengan menggunakan kuesioner lima belas pernyataan sesuai
gambar 3.1. Selanjutnya, APIP memberikan skor 2 untuk pernyataan yang sepenuhnya
dilaksanakan, skor 1 untuk yang hanya sebagian dilaksanakan dan skor 0 jika belum
dilaksanakan. Selain itu, auditor perlu membandingkan total hasil penilaian dengan
kondisi sebenarnya di lapangan dikaitkan dengan karakteristik utama masing-masing
level maturitas manajemen risiko. Sedapat mungkin auditor harus dapat mendukung
setiap jawaban atas lima belas pernyataan itu dengan dokumentasi yang memadai
sehingga simpulan akhir level maturitas manajemen risiko setiap auditable unit tidak
bias. Rincian lima belas pernyataan dalam kuesioner tersebut disajikan sebagai
berikut:
Skor
No. Uraian Penjelasan
(0 2)
1 Tujuan organisasi terdokumentasi dan dipahami dengan baik
2 Pimpinan unit organisasi telah memahami risiko dan tanggung jawab
atas risiko tersebut
3 Sistem skoring untuk penilaian risiko telah ditetapkan
4 Risk appetite telah ditetapkan dengan sistem skoring
5 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam
risk register
6 Proses identifikasi risiko telah ditetapkan dan dipatuhi
7 Seluruh risiko telah dinilai dengan sistem skoring yang telah
ditetapkan
8 Respon atas risiko telah ditetapkan dan diimplementasikan
9 Pimpinan unit organisasi telah menetapkan model pemantauan atas
proses, respon dan action plan risiko.
10 Risk register di - update secara periodik (minimal sekali setahun)
11 Terdapat pelaporan kepada pimpinan puncak bila terdapat risiko yang
belum ditekan pada tingkat yang dapat diterima
12 Kegiatan yang bersifat program /prioritas selalu dinilai risikonya
13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan
mengelolanya, termasuk dalam uraian tugas dan tanggung jawab
pegawai.
Total Skor
97
84
Level kematangan manajemen risiko setiap auditable unit dinilai dengan cara
memberikan skor pada lima belas daftar uji/pernyataan sebagaimana gambar
3.1 di atas. Sistem skoring pemenuhan pernyataan kematangan manajemen
risiko, diberikan skor nol untuk pernyataan yang dijawab tidak, skor satu
untuk jawaban sebagian dan skor dua untuk jawaban iya. Lebih lengkap
mengenai sistem skoring ini, dapat menggunakan referensi sebagaimana
tabel skor hasil rekonfirmasi MR berikut:
98
85
No. Total Skor Hasil Rekonfirmasi Kematangan MR Simpulan Level
Sumber: Guide on Risk Based Internal Audit, The Institute of Chartered Accountant, India (2007)
99
86
Risk Naive Risk Aware Risk Defined Risk Managed Risk Enabled
No. Uraian Level 1 Level 2 Level 3 Level 4 Level 5
Jika level maturitas manajemen risiko hasil rekonfirmasi sama dengan level
1. maturitas manajemen risiko pada saat perencanaan, maka pengawasan
individu dilaksanakan sesuai dengan perencanaan awal;
Jika level maturitas manajemen risiko hasil rekonfirmasi ternyata lebih rendah
2. dari level maturitas manajemen risiko saat perencanaan, maka diperlukan
penyesuaian strategi pengawasan. Misalnya, tadinya tahap perencanaan
menyimpulkan auditable unit sudah level 3, sehingga APIP mencantumkan
dalam PKPT akan melaksanakan audit konvensional (misalnya audit kinerja)
dan assurance atas efektivitas pengendalian. Namun, hasil rekonfirmasi
ternyata maturitas auditable unit masih level 2. Kondisi tersebut
menyebabkan APIP perlu menyesuaikan lingkup pengawasannya, hanya
melaksanaka audit konvensional (misalnya audit kinerja) saja, karena belum
memungkinkan bagi APIP untuk melakukan assurance atas efektivitas
pengendalian (karena maturitas MR masih level 2). Dengan asumsi
menggunakan sumber daya yang sama sebagaimana ditetapkan dalam
PKPT, maka sampel untuk audit kinerja bisa diperluas dan diharapkan hasil
pengawasannya juga lebih komprehensif;
100
87
Jika level maturitas manajemen risiko hasil rekonfirmasi ternyata
3. lebih tinggi dari penilaian saat perencanaan, maka strategi
pengawasan perlu disesuaikan mengikuti level maturitas auditable
unit dari hasil assessment yang terakhir. Misalnya, saat perencanaan
diketahui bahwa maturitas manajemen risiko auditable unit adalah
level 3, namun selang 6 bulan kemudian, saat dilakukan rekonfirmasi
kematangan manajemen risiko ternyata organisasi telah
mengembangkan manajemen risiko terintegrasi dan penerapannya
di dukung teknologi informasi sehingga pemantauan atas
implementasi manajemen risiko semakin mudah. Oleh karenanya,
hasil rekonfirmasi menyimpulkan bahwa auditable unit telah berada
di level 4. Karena adanya perkembangan ini, maka lingkup assurance
yang dilaksanakan oleh APIP dapat diperluas tidak hanya menilai
efektivitas pengendalian saja tapi memungkinkan untuk menilai
efektivitas manajemen risiko secara keseluruhan karena manajemen
risiko telah diterapkan secara terintegrasi. Dengan asumsi bahwa
sumber daya pengawasan yang digunakan sama dengan yang telah
ditetapkan dalam PKPT, maka untuk dapat melaksanakan penilaian
efektivitas manajemen risiko secara keseluruhan, maka lingkup audit
konvensional sebagaimana direncanakan dalam PKPT perlu
disesuaikan, misalnya jumlah sampel dikurangi, sehingga sisa sumber
daya dapat digunakan untuk melaksanakan assurance atas
efektivitas Manajemen Risiko secara keseluruhan.
101
88
F.
Pelaksanaan
Fasilitasi Penerapan
Manajemen Risiko
102
89
melakukan apa, termasuk mengintegrasikan
manajemen risiko dalam proses bisnis organisasi.
Peran perumusan kebijakan manajemen risiko
umumnya diperankan oleh unit pendukung di
lingkungan Kementerian/Lembaga, misalnya
Sekretariat Jenderal/Sekretaris Kementerian/unit
lain yang ditunjuk. Setelah kebijakan manajemen
risiko telah ditetapkan, yang di dalamnya termasuk
mengatur mengenai kriteria probabilitas, dampak,
dan selera risiko yang disepakati, barulah dapat
dilakukan fasilitasi kepada auditable unit. Hal ini
dikarenakan fasilitasi kepada auditable unit harus
didasarkan pada kebijakan yang telah ditetapkan
di level entitas. Kebijakan manajemen risiko di
tingkat Kementerian/Lembaga ditujukan agar
terdapat keseragaman serta memungkinkan agar
kualitas penerapan manajamen risiko dapat
diperbandingkan antar auditable unit.
Melakukan fasilitasi kepada jajaran pimpinan
Kementerian/Lembaga terkait perumusan selera
risiko di level entitas merupakan satu tantangan
tersendiri bagi APIP. Para pimpinan perlu diberikan
pemahaman terkait pentingnya selera risiko dan
konsekuensi atas selera risiko yang ditetapkan
terlalu tinggi atau terlalu rendah. Termasuk
kemungkinan untuk dapat menetapkan selera
risiko berdasarkan kategori risiko, misalnya untuk
risiko fraud, ditetapkan tidak ada toleransi atau
zero tolerance, namun untuk risiko kerugian
keuangan selain fraud, diberikan batas toleransi
tertentu.
Dalam tahap awal implementasinya, selera risiko
sebaiknya ditetapkan langsung oleh Menteri/
Pimpinan Lembaga dengan pertimbangan agar
seragam dan menghindari upaya dari pemilik risiko
untuk menetapkan selera risiko pada level yang
lebih tinggi, dengan tujuan agar pengelolaan risiko
terlihat bagus dan tidak masuk sebagai prioritas
pengawasan APIP. Namun, seiring dengan
kematangan manajemen risiko masing-masing
auditable unit, maka penetapkan selera risiko
dapat secara bertahap diserahkan kepada level
manajerial lebih rendah sesuai dengan kondisi
lingkungan dan sumber daya yang dikelolanya.
103
90
2 Fasilitasi Terhadap Auditable Unit
Berkaitan dengan fasilitasi kepada auditable unit, perlu diperhatikan beberapa
hal, salah satunya adalah kesesuaian dengan kebutuhan dan kondisi
kematangan manajemen risiko masing-masing auditable unit. Sesuai dengan
Peraturan BPKP Nomor 6 Tahun 2018 tentang pedoman pengawasan intern
berbasis risiko, dijelaskan bahwa bagi auditable unit yang maturitas manajemen
risikonya masih rendah, maka peran APIP agar difokuskan untuk memfasilitasi
penerapan manajemen risiko terlebih dahulu sebelum melakukan kegiatan
assurance atas efektivitas penerapan manajemen risiko.
Dalam petunjuk pelaksanaan pengawasan intern berbasis risiko ini, fasilitasi
kepada auditable unit akan dibedakan dalam tiga kelompok berdasarkan
tingkat kematangan manajemen risikonya, yang pertama adalah untuk
kelompok auditable unit dengan maturitas manajemen risiko rendah (level 1 dan
2), sedang (level 3), dan tinggi (level 4 dan 5). Secara umum, fasilitasi penerapan
manajemen risiko kepada auditable unit dapat diilustrasikan sebagaimana
gambar berikut:
1. 3.
Maturitas MR Rendah Rekonfirmasi Maturitas MR Tinggi
(Level 1 dan 2) Maturitas MR Auditable Unit (Level 4 dan 5)
2.
Matritas MR Sedang
(Level 3)
Secara ringkas, fasilitasi penerapan manajemen risiko untuk auditable unit yang
kematangan manajemen risikonya masih rendah (level 1 dan 2) lebih difokuskan
bagaimana membangun manajemen risiko berdasarkan kebijakan manajemen
risiko yang telah ditetapkan di level entitas, termasuk bagaimana melakukan
penilaian risiko dengan benar. Untuk auditable unit yang sudah mencapai level
3, maka fasilitasi diarahkan untuk menginternalisasi penerapan manajemen
risiko dalam proses bisnis organisasi. Perkembangan selanjutnya, untuk
auditable unit yang maturitas manajemen risikonya sudah mencapai level 4 dan
5, maka pelaksanaan fasilitasi bukan lagi menjadi kewajiban, namun lebih
didasarkan pada kebutuhan organisasi, jika manajemen risiko sudah berjalan
dengan baik, maka kebutuhan fasilitasi manajemen risiko akan semakin
berkurang.
Untuk memudahkan memahami mekanisme fasilitasi penerapan manajemen
risiko, berikut adalah langkah-langkah yang dapat diterapkan:
104
91
a. Perencanaan Fasilitasi Manajemen Risiko
Pada tahap perencanaan fasilitasi, hal pertama yang perlu dipahami oleh APIP adalah
mengidentifikasi, kenapa fasilitasi perlu dilakukan (why), apa materi fasilitasi yang akan
diberikan (what), kepada siapa fasilitasi dilakukan (whom), siapa yang akan melaksanakan
fasilitasi (who), kapan fasilitasi dilakukan (when), dan bagaimana fasilitasi dilaksanakan (how).
105
92
Peserta fasilitasi sebaiknya dipilih dari pegawai kunci yang
melaksanakan tugas dan fungsi atau kegiatan yang utama
auditable unit, pegawai yang memiliki pemahaman fungsional
dan teknis auditable unit bersangkutan, pegawai yang
kemungkinan akan menangani kegiatan kunci di masa
mendatang, serta pengambil keputusan terkait dengan kegiatan
kunci tersebut. Setelah mengetahui kepada siapa saja fasilitasi
akan dilakukan, maka APIP sudah dapat memperkirakan berapa
kali kegiatan fasilitasi yang akan dimasukkan dalam PKPT.
106
93
Dengan mengetahui jumlah
fasilitator yang dimiliki, dibandingkan dengan kebutuhan
kegiatan fasilitasi, sehingga nantinya yang masuk dalam
PKPT sudah jelas berapa orang fasilitator yang akan
terlibat. Jika APIP belum memiliki sumber daya yang
memadai sebagai fasilitator, maka dimungkinkan untuk
berkolaborasi dengan APIP lain atau melalui organisasi
profesi.
107
94
untuk memperoleh dukungan dan komitmen
bersama dalam menerapkan manajemen risiko,
penjelasan mengenai kebijakan manajemen risiko
yang akan diimplementasikan, termasuk
bagaimana mengimplementasikan manajemen
risiko pada auditable unit masing-masing.
Dengan pendekatan ini, pelaksanaan fasilitasi
jauh lebih efektif, tapi asumsinya seluruh
auditable unit memiliki level kematangan yang
sama, jika kematangan manajemen risikonya
beda-beda, ada baiknya pelaksanaan fasilitasi
beralih dengan sistem berkelompok sesuai level
maturitas manajemen risiko.
Jika peserta fasilitasi terlalu banyak, akan
mengakibatkan fasilitasi menjadi tidak efektif,
oleh karena itu disarankan agar pelaksanaan
fasilitasi dibagi dalam dua sesi, sesi pertama
adalah mengumpulkan semua peserta dan
diberikan materi mengenai penerapan
manajemen risiko dan best practice nya.
Kemudian sesi berikutnya, fasilitator membagi
peserta dalam kelompok-kelompok kecil dengan
jumlah peserta antara 6 sampai 15 orang.
Masing-masing kelompok difasilitasi oleh satu
orang fasilitator dan fasilitator pendukung.
Suasana dibuat lebih santai dan peserta
diberikan kebebasan untuk menyampaikan
pendapatnya, termasuk jika masih ada yang
belum jelas di sesi pertama (sesi yang melibatkan
seluruh peserta). Dalam sesi kecil inilah,
dilakukan praktik penerapan manajemen risiko,
termasuk pratik melakukan penilaian risiko untuk
masing-masing auditable unit sesuai dengan
karakter kematangan manajemen risikonya.
Output dari kegiatan fasilitasi, setidaknya adalah
register risiko dan profil risiko auditable unit,
yang menggambarkan proses manajemen risiko
yang telah dilaksanakan.
108
95
Memahami Fasilitasi manajemen risiko untuk level entitas, yang
5) berkaitan dengan bagaimana membangun kebijakan
Kapan
manajemen risiko, dapat dilakukan oleh APIP sesegera
Fasilitasi
mungkin ketika sumber daya APIP telah siap. Namun untuk
Dilaksanakan
fasilitasi kepada auditable unit, baru dapat dilaksanakan
setelah kebijakan manajemen risiko di level entitas telah
ditetapkan. Kebijakan manajemen risiko di level entitas,
selanjutnya akan menjadi dasar dan payung hukum
penerapan manajemen risiko di level auditable unit,
terutama berkaitan dengan skala kriteria dampak dan
probabilitas, serta kebijakan selera risiko. Keseragaman
skala kriteria, dampak dan kebijakan toleransi risiko yang
berlaku untuk satu Kementerian/Lembaga bermanfaat
ketika manajemen risiko akan diperbandingkan antar
auditable unit, melalui kebijakan yang sama maka data
implementasi manajemen risiko akan lebih komparabel
daripada kebijakannya diatur sendiri-sendiri oleh auditable
unit.
Berkaitan dengan proses perencanaan kegiatan dan
anggaran, rencana pelaksanaan fasilitasi harus dimasukkan
dalam PKPT terlebih dahulu, sebelum dapat dilaksanakan.
Saat ini sudah ada regulasi yang dapat digunakan sebagai
dasar perencanaan penerapan manajemen risiko, yaitu
Peraturan Pemerintah Nomor 60 Tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah (SPIP), terutama
pasal 13 yang menyebutkan bahwa pimpinan instansi
pemerintah wajib melalukan penilaian risiko.
Pelaksanaan fasilitasi dapat dilakukan sekaligus dengan
menyampaikan seluruh materi penerapan manajemen
risiko, dapat juga dibuat bertahap, misalnya tahun ini fokus
pada perumusan kebijakan penerapan manajemen risiko,
kemudian tahun berikutnya fokus pada implementasi
manajemen risiko pada auditable unit, dan tahun ketiga
baru fokus bagaimana menginternalisasi penerapan
manajemen risiko dalam proses bisnis
Kementerian/Lembaga.
109
96
Memahami Materi fasilitasi perlu disesuaikan dengan level
6) maturitas manajemen risiko auditable unit. Untuk
Materi
auditable unit yang maturitas manajemen risikonya
Fasilitasi
masih rendah (level 1 dan 2), maka materi fasilitasi
yang diberikan adalah bagaimana menerapkan
manajemen risiko dan melakukan penilaian risiko
dengan benar, selanjutnya untuk kelompok auditable
unit yang maturitas manajemen risikonya sedang
(level 3), maka materi fasilitasi yang diberikan lebih
pada bagaimana menginternalisasikan penerapan
manajemen risiko ke dalam proses bisnis. Untuk
kelompok auditable unit yang maturitas manajemen
risikonya sudah tinggi (level 4 dan 5), maka materi
fasilitasi disesuaikan dengan kebutuhan, misalnya
fasilitasi atas pengelolaan risiko yang baru muncul,
misalnya cyber crime, cyber security dan sebagainya.
Perlu dipahami bahwa fasilitasi merupakan kegiatan
consulting yang paling dekat dengan assurance,
artinya dalam kegiatan fasilitasi tersebut, materi yang
disampaikan tidak lagi banyak mengulas teori, tapi
lebih banyak praktik dan implementasi secara
langsung. Sehingga diharapkan, saat fasilitasi selesai,
langsung ada output yang kelihatan. Misalnya, jika
fasilitasi dilakukan terhadap perumusan kebijakan
manajemen risiko, maka idealnya output kegiatan itu
adalah draft peraturan Menteri/Kepala Lembaga
tentang manajemen risiko. Jika fasilitasi dilakukan
terhadap auditable unit untuk menerapkan
manajemen risiko, maka idealnya outputnya adalah
risk register dari masing-masing auditable unit.
Tahapan perencanaan fasilitasi sendiri, outputnya
adalah PKPT yang di dalamnya terdapat kegiatan
fasilitasi, dalam satu tahun berapa kali kegiatan, siapa
yang melakukan, berapa lama dan sumber daya yang
dibutuhkan berapa.
110
97
b. Pelaksanaan Fasilitasi Manajemen Risiko
Setelah kegiatan fasilitasi masuk dalam PKPT, selanjutnya tahap pelaksanaan fasilitasi
merupakan tahapan untuk melaksanakan PKPT terkait kegiatan fasilitasi yang telah
ditetapkan. Langkah kerja fasilitasi perlu disesuaikan dengan tujuan dan materi yang akan
disampaikan dalam kegiatan fasilitasi tersebut. Fasilitasi terkait penyusunan kebijakan
manajemen risiko di level entitas tidak secara khusus dibahas dalam petunjuk pelaksanaan ini
karena sangat tergantung dari arah kebijakan pimpinan untuk memanfaatkan implementasi
manajemen risiko. Sebagai contoh, kebijakan di Kementerian Keuangan, bahwa penerapan
manajemen risiko lebih diarahkan untuk mendukung compliance sehingga yang lebih
diperkuat perannya adalah unit kepatuhan internal. Oleh karena itu, dalam tahap awal
penerapan manajemen risiko, disarankan agar APIP membangun komunikasi dengan
pimpinan, khususnya untuk memperoleh masukan dan harapan-harapan pimpinan atas
implementasi manajemen risiko kedepan. Sedangkan fasilitasi bagaimana membangun
kebijakan penerapan manajemen risiko, dapat mengacu pada pedoman penerapan
manajemen risiko di lingkungan Kementerian/Lembaga yang diterbitkan oleh BPKP, maupun
framework manajemen risiko yang relevan untuk diterapkan di Indonesia.
Fasilitasi yang dibahas lebih rinci dalam petunjuk pelaksanaan ini adalah fasilitasi kepada
auditable unit, terutama tentang bagaimana mengimplementasikan manajemen risiko dan
menginternalisasi penerapan manajemen risiko. Berikut adalah rincian kegiatan fasilitasi
kepada auditable unit yang dapat dilaksanakan oleh APIP, antara lain:
a) Penjelasan Awal
Workshop diawali dengan penjelasan oleh fasilitator tentang
tujuan workshop, hasil yang hendak dicapai oleh kegiatan
workshop, peran masing-masing peserta, dan menjelaskan
susunan acaranya. Selanjutnya fasilitator menjelaskan
pemahaman tentang konsep risiko kepada peserta untuk
menyamakan persepsi tentang risiko. Memastikan seluruh
peserta memahami apa yang dimaksud dengan konteks,
risiko, penyebab dan dampaknya. Agar peserta memiliki
pemahaman yang sama, sebaiknya fasilitator dapat
memberikan contoh risiko yang dikaitkan dengan tujuan
kegiatan unit tersebut.
111
98
b. Penetapan Konteks
Tahapan ini bertujuan agar diperoleh informasi dan
ditetapkannya tujuan dan sasaran strategis tingkat instansi
dan unit kerja, dan tujuan dan sasaran operasional tahunan
unit kerja. Penetapan Konteks dilaksanakan secara
berjenjang dari atas kebawah (top down), mulai dari
penetapan konteks atas tujuan dan sasaran strategis
instansi, tujuan dan sasaran strategis unit kerja, hingga
tujuan dan sasaran operasional unit kerja. Untuk itu perlu
dilakukan proses brainstorming, validasi dan konfirmasi
dalam rangka menetapkan konteks dengan tepat.
112
99
(b) Diskusikan apakah sasaran/indikator kinerja tahunan
yang hendak dicapai masih sama dengan tahun-
tahun sebelumnya atau sudah baru.
(c) Diskusikan apakah program/kegiatan yang
dilaksanakan untuk mencapai sasaran/indikator
kinerja tahunan auditable unit masih sama dengan
tahun-tahun sebelumnya atau sudah baru.
(d) Diskusikan dengan menggali kekhawatiran pimpinan
auditable unit atas adanya program/kegiatan yang
belum maksimal dalam mencapai indikator kinerja
auditable unit terkait.
(e) Diskusikan dan pahami lebih lanjut atas alur, siklus,
tahapan program/kegiatan terkait mulai dari
planning, organizing, actuating, controlling,
communicating/reporting, monitoring, dan
evaluation.
(f) Diskusikan dengan menggali lebih lanjut, di tahapan
mana terdapat hambatan atau kelemahan sehingga
program/kegiatan terkait gagal mencapai
sasaran/indikatornya.
(g) Diskusikan sudut pandang top management, middle
managament, lower management hingga pelaksana
teknis program/kegiatan atas hambatan yang
dimaksud.
(h) Arahkan peserta untuk memufakatkan dan
mengangkat peristiwa risiko (risk event) tersebut
menjadi Risiko Operasional Unit kerja (ROU).
113
100
(3). Langkah identifikasi Risiko Strategis Instansi (RSI):
114
101
pada matriks analisis risiko (heat map). Contoh formulir
matriks analisis risiko (heat map) dapat dilihat pada
contoh lampiran 12.
(1) Atas seluruh risiko baik ROU, RSU, dan RSI yang telah
dinilai, arahkan peserta untuk memeringkatkan atau
mengurutkan risiko dari nilai yang paling besar hingga
yang terkecil.
(2) Tegaskan kembali ambang batas nilai (kuantitatif)
selera risiko (risk appetite) dan toleransi risiko (risk
tolerance) yang berlaku pada auditable unit yang
difasilitasi.
(3) Arahkan peserta untuk mencantumkan risiko-risiko
setelah existing control dengan nilai yang masih di atas
selera risiko atau toleransi risiko pimpinan tertinggi
instansi ke dalam formulir kertas kerja penilaian atas
existing control dan mitigasi tambahan (contohnya
seperti Lampiran 14).
(4) Arahkan peserta untuk menilai kecukupan existing
control dari risiko-risiko tersebut. Terdapat tiga
kemungkinan terhadap penilaian existing control, yang
pertama adalah pengendalian yang berlebihan, yang
kedua pengendalian yang kurang, dan yang ketiga
pengendalian yang sudah efektif/cukup.
(5) Bila terdapat existing control yang berlebihan atau
masih kurang, arahkan peserta untuk melakukan
analisis atas penyebab mengapa existing control
tersebut berlebihan/kurang. Arahkan peserta untuk
mengisi penyebab-penyebab tersebut, sebagaimana
contoh dalam Lampiran 14.
(6) Atas risiko-risiko setelah existing control dengan nilai
yang masih di atas selera risiko atau toleransi risiko,
arahkan peserta untuk untuk melakukan Root Cause
Analysis (RCA), sebagaimana contoh Lampiran 15 untuk
memastikan bahwa penyebab terjadinya risiko adalah
akar penyebab, sehingga control/ mitigasi risiko
tambahan dapat langsung mengarah kepada akar
penyebab risiko.
115
102
(7) Dalam melakukan RCA, arahkan peserta untuk
mengidentifikasi penyebab risiko dengan mengacu
pada kategori penyebab 5M (Money, Material, Machine,
Method, Man) yang rangkaikan dengan rumus berikut
ini:
Method
Output/
Input + (SOP/Juknis/ + Man =
Indikator Kinerja
Manual)
Money Pimpinan
Material Pegawai
Machine
117
104
Langkah kerja di atas adalah contoh ilustrasi
detail bagaimana fasilitasi risk assessment
dilakukan. Dalam praktiknya, APIP dapat
menyesuaikan langkah-langkahnya,
terutama ketika pelaksanaan workshop
digabungkan dalam kelompok-kelompok
berdasarkan kematangan manajemen risiko,
dimana dalam sesi fasilitasi berkelompok itu,
perlu satu sesi yang khusus mengidentifikasi
risiko-risiko spesifik dari setiap auditable
unit. Tantangan utama tim Fasilitator adalah
untuk merancang kegiatan fasilitasi yang
santai, terbuka, dan menarik, sehingga ide-
ide dari peserta fasilitasi dapat digali lebih
dalam.
118
105
Fasilitasi Untuk Auditable Unit dengan Kematangan Manajemen
2)
Risiko Sedang
Fasilitasi yang dilakukan untuk auditable unit yang kematangan manajemen risikonya
sedang (level 3), lebih difokuskan untuk menginternalisasi penerapan manajemen
risiko ke dalam organisasi. Sebagaimana dijelaskan pada Bab II, bahwa karakteristik
auditable unit yang maturitas manajemen risiko mencapai level 3, antara lain telah
memiliki kebijakan penerapan manajemen risiko dan dikomunikasikan, serta telah
menetapkan kebijakan mengenai selera risiko organisasi. Berangkat dari kondisi ini,
APIP perlu mendorong agar penerapan manajemen risiko terintegrasi dalam proses
bisnis. Langkah yang dapat dilakukan dalam fasilitasi antara lain:
1. Diskusikan dengan peserta fasilitasi untuk menggali nilai tambah apa yang
diperoleh kertika auditable unit sudah menerapkan manajemen risiko?
2. Apakah terjadi perbaikan atau peningkatan kinerja sebelum dan setelah
auditable unit menerapkan manajemen risiko?
3. Apa saja kendala yang dihadapi dalam mengimplementasikan manajemen risiko
dan rencana pengembangan manajemen risiko ke depan?
4. Identifikasi apakah proses manajemen risiko sudah diintegrasikan dengan
proses bisnis organisasi? Jika belum, diskusikan proses bisnis apa yang dapat di
integrasikan dengan manajemen risiko?
5. Diskusikan bagaimana agar integrasi manajemen risiko dengan proses bisnis
organisasi dapat berhasil?
6. Diskusikan apakah kesadaran terhadap risiko sudah menjadi budaya organisasi,
sehingga semua pihak mendukung implementasi manajemen risiko.
Salah satu proses bisnis yang dapat diintegrasikan manajemen risiko adalah
manajemen strategis dan manajemen kinerja. Secara sederhana, integrasi tersebut
dapat digambarkan sebagai berikut:
Tujuan Organisasi
Implementasi Mitigasi
Strategi Risiko
Evaluasi Risiko
Perumusan
Analisis Risiko
Strategi
Identifikasi Risiko
119
106
Secara sederhana, dapat dijelaskan strategi diimplementasikan, maka
bahwa setiap Kementerian/Lembaga prosedur mitigasi risiko juga perlu
memiliki tujuan yang ingin dicapai, untuk dilaksanakan. Secara periodik, kinerja
mencapai tujuan tersebut perlu disusun Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka dan dilakukan monitoring dan reviu,
pendek dan jangka panjang, termasuk termasuk pemantauan risiko kunci yang
indikator kinerja menjadi ukuran berpotensi menghambat pencapaian
ketercapaian tujuan yang ingin dicapai. tujuan. Praktik di salah satu Kementerian,
Setiap strategi mengandung risiko yang proses monitoring kinerja dan risiko ini
harus dikelola dengan baik, oleh karena dilaksanakan sekaligus dalam satu rapat
itu bersamaan dengan perumusan periodik yang dihadiri oleh
strategi, Kementerian/Lembaga perlu Menteri/Pimpinan Lembaga dan seluruh
mengidentifikasi risiko, menanalisis dan jajaran pimpinan (Eselon I)
mengevaluasi risiko sehingga Kementerian/Lembaga untuk membahas
memperoleh profil risiko termasuk capaian kinerja sekaligus pengelolaan
rencana mitigasi risiko yang akan risiko yang menghambat pencapaian
diterapkan. Langkah selanjutnya, saat tujuan.
Bagi auditable unit yang kematangan manajemen risikonya sudah tinggi (level 4 dan
5), maka kegiatan fasilitasi masih dapat dilaksanakn oleh APIP, namun harus
disesuaikan dengan kebutuhan. Misalnya ketika terjadi perubahan lingkungan yang
signifikan, maka APIP dapat melakukan fasilitasi untuk melakukan penilaian terhadap
risiko-risko baru yang muncul, misalnya terkait cyber security, black out, dan
sebagainya. Petunjuk pelaksanaan ini tidak secara spesifik membahas fasilitasi untuk
auditable unit yang kematangan manajemen risikonya sudah tinggi karena sifatnya
yang kondisional dan harus disesuaikan dengan perkembangan lingkungan
Kementerian/Lembaga.
120
107
c. Pelaporan Fasilitasi Manajemen Risiko
121
108
G. Pelaksanaan
Pengawasan Lanjutan
1. 3.
Maturitas MR Rendah Rekonfirmasi Maturitas MR Tinggi
(Level 1 dan 2) Maturitas MR Auditable Unit (Level 4 dan 5)
2.
Matritas MR Sedang
(Level 3)
Audit Konvensional
Audit Konvesional Audit Konvesional
(Sesuai Kebutuhan)
122
109
Secara ringkas, pelaksanaan pengawasan untuk
auditable unit yang kematangan manajemen risikonya
masih rendah (level 1 dan 2) adalah audit konvensional
(misalnya audit ketaatan dan audit kinerja). Hal ini
dikarenakan pelaksanaan manajemen risiko belum
dapat diyakini keandalannya, sehingga APIP
sementara waktu masih menerapkan audit
konvensional. Perlu digaris bawahi, meskipun masih
menerapkan audit konvensional, namun fokus
pengawasan sudah harus difokuskan pada area yang
berisiko tertinggi atau area yang pengendalian intern
nya masih lemah, sehingga sumber daya pengawasan
dapat lebih optimal untuk mendukung pencapaian
tujuan dari auditable unit yang diawasi.
Untuk auditable unit yang maturitas manajemen
risikonya sedang (level 3), masih dibutuhkan audit
konvensional (misalnya audit ketaatan dan audit
kinerja). Mengingat proses manajemen risiko yang
sudah mulai diterapkan, maka APIP dapat
melaksanakan assurance atas implementasi
manajemen risiko, namun masih sebatas penilaian
efektivitas pengendalian saja. Kegiatan assurance ini
salah satunya dimaksudkan untuk mendorong kualitas
implementasi manajemen risiko pada setiap auditable
unit sehingga lebih cepat untuk mencapai level 4 dan
level 5, yang mensyaratkan penerapan manajemen
risiko yang sudah teritegrasi dengan proses bisnis.
Selanjutnya, untuk auditable unit yang maturitas
manajemen risikonya sudah tinggi (level 4 dan 5), maka
APIP memperoleh gambaran bahwa kualitas
implementasi manajemen risiko di lingkungan auditable
unit yang diawasi sudah baik. Dalam kondisi ini, APIP
sudah memungkinkan untuk melaksanakan perannya
dalam menilai efektivitas pengendalian dan juga
efektivitas manajemen risiko secara keseluruhan.
Sedangkan kegiatan audit konvensional (misalnya
audit ketaatan dan audit kinerja) tidak lagi menjadi
keharusan, namun tetap dapat dilaksanakan sesuai
kebutuhan, misalnya ketika ditemukan case tertentu
yang tidak dapat diselesaikan melalui pengawasan
intern berbasis risiko, contohnya kasus fraud yang
123
110
harus ditangani dengan audit dengan tujuan tertentu atau audit
investigatif. Berikut adalah penjelasan lebih rinci mengenai
pengawasan lanjutan untuk kelompok auditable unit sesuai
kematangan manajemen risikonya masing-masing.
Mempertimbangkan bahwa kualitas implementasi manajemen risiko
di lingkungan auditable unit yang sedang diawasi sudah baik. Dalam
kondisi ini, APIP sudah memungkinkan untuk mulai melaksanakan
perannya dalam menilai efektivitas pengendalian dan juga
efektivitas manajemen risiko secara keseluruhan. Sedangkan
kegiatan assurance alternatif (audit konvensional) tidak lagi menjadi
keharusan, namun tetap dapat dilaksanakan sesuai kebutuhan,
misalnya ketika ditemukan case tertentu yang tidak dapat
diselesaikan melalui pengawasan intern berbasis risiko, misalnya
kasus fraud yang harus ditangani dengan audit dengan tujuan
tertentu atau audit investigatif. Berikut adalah penjelasan lebih rinci
mengenai pengawasan lanjutan untuk kelompok auditable unit
sesuai kematangan manajemen risikonya masing-masing.
124
111
1. Kelompok Auditable Unit dengan Maturitas
Manajemen Risiko Rendah (Level 1 dan 2)
Rekonfirmasi
Maturitas MR Auditable Unit
Maturitas MR Rendah
(Level 1 dan 2)
Fasilitasi Penerapan MR
(Terpisah) Audit Konvensional
Laporan Laporan
Hasil Fasilitasi Hasil Pengawasan
Secara umum pengawasan lanjutan yang dilakukan atas auditable unit yang
maturitas manajemen risikonya masih rendah (level 1 dan 2), disajikan
sebagaimana gambar di atas.
Berdasarkan gambar di atas assurance yang dilaksanakan bagi auditable
unit yang maturitas manajemen risikonya masih rendah adalah audit
konvensional (misalnya audit ketaatan dan audit kinerja), sedangkan fasilitasi
penerapan manajemen risiko akan dilaksanakan pada waktu tersendiri yang
telah dibahas secara detail pada Bab ini. Petunjuk pelaksanaan ini lebih fokus
untuk membahas rincian kegiatan assurance untuk kelompok auditable unit
yang maturitas manajemen risikonya masih rendah, yaitu pendekatan audit
konvensional (misalnya audit ketaatan dan audit kinerja).
Jika kegiatan yang dicantumkan dalam PKPT belum menyebutkan
pengawasan spesifik untuk auditable unit terpilih, maka untuk mengawali
tahap pelaksanaan pengawasan lanjutan, tim pengawasan perlu menetapkan
pendekatan pengawasan apa yang akan digunakan. Pendekatan
pengawasan perlu disesuaikan dengan risiko utama yang dihadapi oleh
auditable unit. Prosedur untuk mengetahui risiko utama auditable unit telah
dibahas pada Bab ini.
125
112
Setelah diketahui risiko utama yang melekat pada auditable unit, selanjutnya tim menetapkan
assurance apa yang dibutuhkan untuk memastikan tujuan organisasi tercapai. Sebagai contoh,
risiko utama yang dihadapi oleh auditable unit berkaitan dengan pengadaan barang dan jasa
karena mengelola anggaran paling besar dan informasi tahun lalu banyak temuan dari BPK terkait
administrasi dan kemahalan harga. Mempertimbangkan bahwa risiko yang dihadapi auditable unit
tersebut lebih banyak terkait dengan administrasi keuangan, maka pendekatan audit yang tepat
untuk dilaksanakan tim adalah audit ketaatan, bertujuan untuk memastikan bahwa pengadaan
barang dan jasa telah dilaksanakan sesuai dengan ketentuan yang berlaku.
Ilustrasi yang lain, misalnya diperoleh informasi bahwa kinerja auditable unit sampai dengan saat
field work masih sangat rendah, kemudian tim pengawasan memperoleh informasi bahwa banyak
kegiatan tidak terealisasi karena perencanaan yang kurang matang. Dengan mendasarkan pada
informasi itu, tim pengawasan dapat memutuskan untuk melaksanakan audit kinerja untuk
memastikan bahwa auditable unit telah mengelola kegiatannya secara ekonomis, efisien dan
efektif dalam mencapai tujuan organisasi.
Pelaksanaan audit konvensional secara lebih rinci, baik berupa audit ketaatan maupun audit
kinerja, harus dilaksanakan sesuai dengan pedoman audit ketaatan dan kinerja yang dimiliki oleh
APIP serta mematuhi standar audit intern dari AAIPI. Petunjuk pelaksanaan ini tidak secara khusus
membahas tahap demi tahap pelaksanaan pengawasan individu, khususnya audit konvensional
karena telah terdapat pedoman yang secara khusus mengulas mengenai pendekatan itu.
126
113
2. Kelompok Auditable Unit dengan Maturitas
Manajemen Risiko Sedang (Level 3)
Rekonfirmasi
Maturitas MR Auditable Unit
Maturitas MR Sedang
(Level 3)
Fasilitasi Internalisasi MR
Audit Konvensional
(Terpisah)
Laporan
Hasil Pengawasan
127
114
Bagi auditable unit yang sudah mencapai level 3, yang dicirikan dengan kepemilikan
kebijakan penerapan manajemen risiko, telah dikomunikasikan serta telah menetapkan
selera risikonya, maka telah memungkinkan bagi APIP untuk mulai melaksanakan assurance
atas efektivitas pengendalian, yang dilakukan dengan cara melakukan pengujian rancangan
pengendalian atas risiko kunci yang mempengaruhi kinerja dan implementasinya. Namun,
karena penerapan manajemen risiko belum sepenuhnya matang, maka masih diperlukan
audit konvensional, terutama untuk memastikan pencapaian tujuan auditable unit. Dalam
penerapannya, audit konvensional dilaksanakan terlebih dahulu dan dilanjutkan dengan
assurance atas efektivitas pengendalian.
Sebagai ilustrasi, audit konvensional yang akan diterapkan, misalnya audit kinerja,
dilaksanakan untuk menilai pencapaian tujuan auditable unit berdasarkan indikator
ekonomis, efisiensi, dan efektivitas. Atas kinerja yang misalnya belum tercapai, selanjutnya
auditor mencari informasi mengenai risiko kunci yang mempengaruhi kinerja auditable unit
tersebut. Informasi risiko kunci tersebut dapat diperoleh dari register risiko yang disusun
oleh auditable unit dan diskusi mendalam yang dilakukan dengan manajemen. Dalam kasus
tertentu, berdasarkan hasil audit kinerja, auditor dapat menemukan risiko yang mungkin
belum diidentifikasi oleh auditable unit, sehingga risiko baru tersebut dikomunikasikan lebih
lanjut bersama dengan auditable unit untuk dapat dipertimbangkan untuk mengupdate
register risikonya.
Berdasarkan risiko kunci yang telah diidentifikasi, selanjutnya auditor melaksanakan
pengujian atas kecukupan desain pengendalian terhadap risiko utama yang telah disepakati
bersama dengan auditable unit. Kemungkinan simpulannya adalah pengendalian cukup,
berlebihan, atau kurang. Setelah itu, dilakukan pengujian atas implementasi pengendalian
sehingga diperoleh simpulan mengenai efektivitas implementasi rancangan pengendalian
yang telah disusun.
Selain assurance, kegiatan fasilitasi juga masih dibutuhkan, utamanya untuk mendorong
internalisasi manajemen risiko dalam proses bisnis organisasi sehingga mempercepat
pencapaian maturitas manajemen risiko level empat. Pelaksanaan fasilitasi untuk auditable
unit yang telah mencapai level 3 telah dibahas secara khusus pada bab ini. Rincian kegiatan
assurance berupa audit konvensional dan assurance atas efektivitas pengendalian, berupa
pengujian atas rancangan pengendalian dan implementasi rancangan pengendalian,
disajikan sebagaimana rincian berikut:
a. Audit Konvensional
Bagi auditable unit yang sudah mencapai level 3, yang dicirikan dengan
kepemilikan kebijakan penerapan manajemen risiko, telah dikomunikasikan serta
telah menetapkan selera risikonya, maka telah memungkinkan bagi APIP untuk
mulai melaksanakan assurance atas efektivitas pengendalian, yang dilakukan
dengan cara melakukan pengujian rancangan pengendalian atas risiko kunci
yang mempengaruhi kinerja dan implementasinya. Namun, karena penerapan
manajemen risiko belum sepenuhnya matang, maka masih diperlukan audit
konvensional, terutama untuk memastikan pencapaian tujuan auditable unit.
Dalam penerapannya, audit konvensional dilaksanakan terlebih dahulu dan
dilanjutkan dengan assurance atas efektivitas pengendalian.
128
115
Sebagai ilustrasi, audit konvensional yang akan diterapkan, misalnya audit
kinerja, dilaksanakan untuk menilai pencapaian tujuan auditable unit
berdasarkan indikator ekonomis, efisiensi, dan efektivitas. Atas kinerja yang
misalnya belum tercapai, selanjutnya auditor mencari informasi mengenai
risiko kunci yang mempengaruhi kinerja auditable unit tersebut. Informasi
risiko kunci tersebut dapat diperoleh dari register risiko yang disusun oleh
auditable unit dan diskusi mendalam yang dilakukan dengan manajemen.
Dalam kasus tertentu, berdasarkan hasil audit kinerja, auditor dapat
menemukan risiko yang mungkin belum diidentifikasi oleh auditable unit,
sehingga risiko baru tersebut dikomunikasikan lebih lanjut bersama dengan
auditable unit untuk dapat dipertimbangkan untuk mengupdate register
risikonya.
Berdasarkan risiko kunci yang telah diidentifikasi, selanjutnya auditor
melaksanakan pengujian atas kecukupan desain pengendalian terhadap
risiko utama yang telah disepakati bersama dengan auditable unit.
Kemungkinan simpulannya adalah pengendalian cukup, berlebihan, atau
kurang. Setelah itu, dilakukan pengujian atas implementasi pengendalian
sehingga diperoleh simpulan mengenai efektivitas implementasi rancangan
pengendalian yang telah disusun.
Selain assurance, kegiatan fasilitasi juga masih dibutuhkan, utamanya untuk
mendorong internalisasi manajemen risiko dalam proses bisnis organisasi
sehingga mempercepat pencapaian maturitas manajemen risiko level
empat. Pelaksanaan fasilitasi untuk auditable unit yang telah mencapai level
3 telah dibahas secara khusus pada bab ini. Rincian kegiatan assurance
berupa audit konvensional dan assurance atas efektivitas pengendalian,
berupa pengujian atas rancangan pengendalian dan implementasi
rancangan pengendalian, disajikan sebagaimana rincian berikut:
129
116
Namun, jika yang dilaksanakan adalah audit ketaatan, maka pengujian yang
dilaksanakan antara lain terkait ketaatan atas area tertentu yang menjadi
prioritas untuk dilakukan pengujian, utamanya karena pengendaliannya yang
masih lemah. Langkah kerja audit ketaatan secara umum diawali dengan
menilai efektivitas pengendalian intern, kemudian mengidentifikasi area-area
yang pengendaliannya masih lemah, dan selanjutnya dilakukan audit
ketaatan atas area tersebut. Selanjutnya, untuk menguji efektivitas
pengendalian, auditor perlu mengidentifikasi risiko utama terkait area yang
dilakukan audit ketaatan, misalnya risiko utamanya adalah kecurangan atau
fraud. Atas risiko fraud tersebut, auditor membicarakan dengan manajemen
untuk menilai lebih lanjut efektivitas pengendalian atas risiko fraud tersebut
(desain dan implementasinya).
Langkah kerja lebih rinci atas pelaksanaan audit konvensional tidak dibahas
secara khusus dalam petunjuk pelaksanaan ini karena sudah dipandu dalam
pedoman tersendiri serta harus mengacu pada standar audit intern
pemerintah indonesia yang dikeluarkan AAIPI. Sedangkan pelaporan atas
kegiatan ini akan dibahas lebih lanjut pada petunjuk pelaksanaan PIBR tahap
pengkomunikasian hasil pengawasan.
130
117
sumber daya. Dalam contoh di atas, rekomendasinya adalah dengan
mengurangi pengendalian berupa penjagaan satpam 24 jam.
Kondisi kedua, terdapat kemungkinan rancangan pengendalian yang kurang,
artinya pengendalian yang ada belum mampu menurunkan risiko sampai level
yang dapat diterima. Untuk kondisi ini, auditor dapat merekomendasikan
pengendalian tambahan yang perlu dilakukan oleh auditable unit sehingga
mampu menurunkan risiko sampai level yang dapat diterima. Terdapat
kemungkinan bahwa auditable unit sesuai dengan kewenangannya, tidak
memungkinkan untuk menurunkan risiko sampai level yang dapat diterima,
misalnya karena risiko itu melibatkan auditable unit yang lain, sehingga
diperlukan mitigasi berupa kebijakan strategis yang sifatnya lintas auditable
unit. Untuk kondisi ini, rekomendasi yang diberikan oleh APIP dapat ditujukan
kepada level yang lebih strategis yaitu pimpinan tertinggi organisasi, sehingga
mitigasi yang dilakukan lebih tepat sasaran.
Selanjutnya, kondisi ketiga adalah ketika auditor menilai bahwa rancangan
pengendalian sudah cukup (tidak berlebihan dan tidak kurang), sehingga
rekomendasi yang diberikan hanyalah untuk memantau risiko secara periodik.
Untuk dapat menyimpulkan pengendalian sudah cukup, auditor perlu
memahami proses bisnis yang saat ini sedang berjalan serta
mempertimbangkan database keterjadian risiko. Jika risiko masih sering
terjadi, menunjukkan bahwa pengendalian yang ada belum efektif.
Pengujian rancangan pengendalian tidak dilakukan atas seluruh risiko, tapi
dipilih risiko utama yang dihadapi organisasi saja. Pemilihan itu perlu
melibatkan manajemen, terutama jika register risiko yang dimiliki oleh
auditable unit belum dapat diyakini keandalannya. Perlu dilakukan diskusi
untuk menyepakati risiko mana saja yang akan diuji rancangan
pengendaliannya.
Secara lebih rinci, langkah kerja pengujian rancangan pengendalian sebagai
berikut:
131
118
manajemen risiko hingga saatnya nanti siap untuk dilakukan
pengawasan intern atas efektivitas manajemen risiko yang
dilakukan oleh APIP.
132
119
Pengujian implementasi rancangan pengendalian, dapat dilakukan dengan
menggunakan beberapa teknik sebagai berikut:
133
120
Pelaksanaan ulang suatu kegiatan (reperformance)
3)
Apabila langkah pengujian yang telah dilakukan dirasa belum
dapat memberikan keyakinan yang memadai bahwa suatu
pengendalian telah dijalankan sesuai rancangannya, maka dapat
dilakukan reperformance atas pengendalian tersebut. Sebagai
contoh, auditor melaksanakan ulang reviu atas kertas kerja untuk
memastikan bahwa semua aspek yang seharusnya direviu sudah
direviu dan memastikan kebenaran angka-angka dan perhitungan
dalam kertas kerja. Jenis pengendalian yang dapat dilakukan
reperformance cukup beragam, misalnya: reviu atasan langsung,
pengecekan kelengkapan dokumen, verifikasi angka,
pembandingan suatu data dengan data lainnya, dan rekonsiliasi.
Oleh karena itu, Tim Penilai harus menetapkan terlebih dahulu
tujuan dilakukannya reperformance, misalnya: (1) memastikan
bahwa pengendalian telah dilaksanakan atas semua aspek yang
seharusnya dicakup; (2) memastikan kebenaran angka-angka atau
perhitungan yang disajikan dalam suatu dokumen yang merupakan
output suatu pengendalian; dan (3) memastikan bahwa
pengendalian berupa verifikasi kelengkapan dokumen telah
didukung dengan bukti yang memadai (dokumen yang dinyatakan
ada dalam checklist verifikasi kelengkapan dokumen memang
benar-benar ada) . Kertas kerja pelaksanaan ulang suatu kegiatan
(reperformance) sebagaimana lampiran nomor 2 huruf J.
Hasil pengujian kesesuaian implementasi pengendalian dengan
rancangan dapat didokumentasikan dengan menggunakan kertas
kerja sebagaimana lampiran nomor 2 huruf K.
134
121
Panduan dalam menyusun simpulan dapat mengikuti tabel sebagai berikut:
Dilaporkan sebagai Tidak perlu dilaporkan Isu- isu utama Isu- isu utama
Ketika digabungkan antara simpulan atas audit konvensional (misalnya audit kinerja)
dengan simpulan hasil assurance atas efektivitas pengendalian, maka simpulan umum
pengawasan adalah sebagai berikut:
135
122
Jika kinerja/tujuan tidak tercapai (berdasarkan hasil audit kinerja)
4)
dan desain serta implementasi pengendalian atas risiko utama
penghambat kinerja sudah efektif (berdasarkan assurance atas
efektivitas pengendalian), maka pencapaian kinerja sampai dengan
akhir periode, berpotensi untuk terhambat. Bisa jadi karena
tujuan/target yang tidak realistis untuk dicapai.
1) Register risiko
136
123
3. Kelompok Auditable Unit dengan Maturitas
Manajemen RisikoTinggi (Level 4, 5)
Untuk auditable unit yang maturitas manajemen risikonya sudah tinggi,
maka telah memungkinkan bagi APIP untuk menilai efektivitas
manajemen risiko secara keseluruhan. Penilaian efektivitas manajemen
risiko secara keseluruhan, dilakukan dengan cara menguji lima hal, yaitu:
137
124
Rekonfirmasi
Maturitas MR Auditable Unit
Maturitas MR Tinggi
(Level 4 dan 5)
Audit Konvensional
Laporan
Hasil Pengawasan
138
125
Lakukan pengujian atas tahapan identifikasi risiko, mulai dari
4)
prosesnya, apakah telah melibatkan pihak yang memang
memahami risiko, apakah risiko telah diidentifikasi mulai dari
menganalisis tujuan, identifikasi kegiatan/program untuk mencapai
tujuan, baru mengidentifikasi risiko yang melekat pada setiap
kegiatan/program yang menghambat pencapaian tujuan. Apakah
penetapan risiko operasional, risiko strategis dan risiko entitas
Kementerian/Lembaga telah tepat;
139
126
f. Simpulan Hasil Pengawasan Intern Berbasis Risiko
Syaratnya: Syaratnya:
Kecukupan Rancangan Pengendalian Syaratnya: Seluruh risiko yang terpilih belum
Sebagian risiko yang terpilih belum
untuk mengurangi risiko sampai level Seluruh risiko yang terpilih sudah memiliki pengendalian/mitigasi yang
memiliki pengendalian/mitigasi yang memiliki pengendalian/mitigasi yang
yang dapat diterima efektif menurunkan risiko sampai level
efektif menurunkan risiko sampai level efektif menurunkan risiko sampai level
yang dapat diterima yang dapat diterima yang dapat diterima
Syaratnya:
Syaratnya: Syaratnya:
Tujuan/Kinerja interim sampai dengan
Tujuan/Kinerja interim sampai Tujuan/Kinerja interim sampai
KetercapaianTujuan field work tidak tercapai
dengan fieldwork telah tercapai dengan
field work telah/hampir tercapai,
140
127
periode berpotensi untuk terhambat. Jika kinerja/tujuan sampai
3)
dengan field work tidak tercapai/hampir tercapai (berdasarkan
simpulan pengujian atas ketercapaian tujuan – simpulan 5) dan secara
umum pengelolaan risiko organisasi belum efektif (berdasarkan
assurance atas efektivitas MR secara keseluruhan – simpulan 1,2,3, dan
4), maka pencapaian kinerja sampai dengan akhir
141
128
BAB IV
142
TAHAP
PENGKOMUNIKASIAN
A. Gambaran Umum Pengkomunikasian dan Pelaporan
Hasil PIBR
B. Syarat Kualitas dan Kriteria Komunikasi Hasil Pengawasan
C. Pembahasan Hasil Pengawasan
D. Bentuk Laporan Hasil Pengawasan
E . Penyusunan Konsep Laporan Hasil Pengawasan
F . Reviu Konsep Laporan Hasil Pengawasan
G . Penandatanganan Laporan Hasil Pengawasan
H . Pendistribusian Laporan Hasil Pengawasan
143
A.
Gambaran Umum
Pengkomunikasidan dan Pelaporan
Hasil PIBR
mengomunikasikan hasil penugasan pengawasan kepada auditi dan pihak lain yang
1. berwenang berdasarkan peraturan perundang-undangan;
144
131
B. Syarat Kualitas dan Kriteria
Komunikasi Hasil Pengawasan
a. Tepat Waktu
b. Lengkap
c. Akurat
d. Objektif
Komunikasi hasil pengawasan yang objektif berarti adil, tidak memihak, tidak
berat sebelah, dan merupakan hasil dari pemikiran adil dan seimbang atas
seluruh fakta dan keadaan yang relevan.
145
132
e. Menyakinkan
f. Konstruktif
g. Jelas
Komunikasi hasil pengawasan yang jelas berarti mudah dipahami dan logis,
terhindar dari pemakaian istilah teknis yang tidak penting dan menyajikan
seluruh informasi yang signifikan dan relevan.
146
133
2. Kriteria Komunikasi Hasil Pengawasan
Kriteria komunikasi Hasil Pengawasan intern menjelaskan bahwa komunikasi
Hasil Pengawasan intern harus mencakup sasaran dan ruang lingkup penugasan
audit intern serta kesimpulan yang berlaku, rekomendasi, dan rencana aksi.
Lebih lanjut dijelaskan bahwa, komunikasi akhir hasil penugasan audit intern
harus berisi pendapat auditor dan/atau kesimpulan. Ketika dikeluarkan,
pendapat dan/atau kesimpulan harus mempertimbangkan harapan auditi dan
para pemangku kepentingan lainnya dan harus didukung oleh informasi yang
cukup, kompeten, relevan, dan berguna.
Auditor didorong untuk mengakui kinerja yang memuaskan dalam komunikasi
hasil penugasan audit intern. Ketika merilis/menerbitkan hasil penugasan audit
intern, komunikasi harus mencakup pembatasan distribusi dan penggunaan hasil.
Komunikasi kemajuan dan hasil dari penugasan consulting terkait kegiatan
fasilitasi akan bervariasi dalam bentuk dan isi tergantung pada sifat penugasan
dan kebutuhan auditi.
147
134
C. Pembahasan
Hasil Pengawasan
Auditor menyiapkan simpulan awal hasil pengawasan (preliminary conclusions) berisi efektivitas
pengelolaan setiap risiko dan memberikan keyakinan apakah:
1. Risiko dikelola sampai berada dalam risk appetite auditi/organisasi (acceptable); atau
Risiko tidak dikelola sampai berada dalam risk appetite (unacceptable, issue, supplementary
2.
issue); dan
3. Rencana Tindak/mitigasi risiko telah disetujui (risiko berada dalam risk appetite, atau risiko
akan dihadapi, atau risiko alihkan atau ditransfer, atau risiko tidak dikelola sampai berada
dalam risk appetite, dan atau tidak ada tindakan sesuai yang dilakukan.
Auditor Intern melakukan pembahasan dengan auditi mengenai risiko-risiko residual yang ada di atas
risk appetite dan tindakan agar risiko residual berada dalam risk appetite, atau risiko-risiko tersebut
akan alihkan/ditransfer, atau dihadapi dengan melakukan pengujian terhadap setiap rencana darurat
(contingency plans).
(Format simpulan awal hasil audit terdapat pada Lampiran nomor 3 huruf A, B, dan C)
148
135
D. Bentuk Laporan
Hasil Pengawasan
oses
SAIPI menyatakan bahwa komunikasi informasi hasil pengawasan yang
audit harus dibuat secara tertulis berupa mendesak bagi stakeholders.
laporan dan harus segera, yaitu pada Bentuk laporan pada dasarnya bisa
kesempatan pertama setelah berakhirnya berbentuk surat atau bab. Bentuk surat
pelaksanan pengawasan. Hal ini juga digunakan apabila dari hasil pengawasan
untuk menghindari kemungkinan salah tidak ditemukan banyak fakta yang
elenggarakan
tafsir atas kesimpulan, fakta, dan signifikan. Adapun bentuk bab digunakan
rekomendasi auditor. Pembuatan apabila dari hasil pengawasan ditemukan
komunikasi pengawasan secara tertulis banyak fakta yang signifikan. Laporan
dapat dilakukan secara berkala sebelum hasil pengawasan intern, baik bentuk
selesainya penugasan/pekerjaan surat maupun bab, setidaknya harus
lapangan untuk memenuhi kebutuhan memuat (paragraf 4030):
Meskipun format dan muatan laporan pengawasan dapat bervariasi menurut organisasi atau
jenis pengawasan, laporan memuat setidaknya tujuan, ruang lingkup penugasan, simpulan,
saran, dan rencana tindak lanjutnya.
149
136
1.
Laporan memuat latar belakang yang tidak diawasi. Aktivitas
unit organisasi dan aktivitas terkait yang tidak diawasi jika
C.
perlu diidentifikasi untuk
Pembahasan
yang akan dilakukan
pengawasan, serta ringkasan. menggambarkan batas-batas
Hasil Pengawasan
Informasi latar belakang dapat pengawasan. Sifat dan luas
mengidentifikasi unit-unit pengawasan yang dilakukan
organisasi dan aktivitas yang juga diuraikan.
ditelaah dan menyajikan
4.
informasi yang relevan. Laporan Hasil penugasan meliputi
pengawasan juga dapat observasi, simpulan, opini,
Pembahasan hasil pengawasan dilakukan
memasukkan status temuan, saran, dan rencana tindakan.
setelah pelaksanaan pengawasan
simpulan, dan saran dari laporan
dilapangan selesai dilaksanakan.
sebelumnya. Laporan
Komunikasi ini dapat membantu Tim
5.
pengawasan juga dapat menjadi
Pengawasan
Temuan untuk memastikan
berhubungan fakta
dengan
indikasi apakah laporan
yang ditemukan
pernyataan fakta. Temuan Hasil
benar-benar akurat.
mencakup pengawasan
komunikasi
yanginidiperlukan
akan dimanfaatkan
untuk untuk
terjadwal atau sebagai respon
penyusunan simpulan
mendukung final
atau yang akan
mencegah
terhadap permintaan. Ikhtisar,
dimuat dalam Laporan Hasil
kesalahpahaman Pengawasan.
terhadap
jika dimasukkan, harus menjadi
representasi yang seimbang Sebelumsimpulan dan saran
melaksanakan auditor hasil
pembahasan
atas muatan laporan intern Tim
pengawasan, dimasukkan
pengawasanke dalam
sebaiknya
pengawasan. melakukanlaporan pengawasan
prosedur akhir.
reviu berjenjang
2.
Informasi atau temuan yang
dimulai dari ketua tim berkonsultasi
Pernyataan tujuan menjelaskan terlebih kurang
dahulu signifikan dapat
dengan pengendali teknis
tujuan penugasan dan dan/atau dikomunikasikan
pengendali mutu secara
agar lisan
dalam
menginfor-masikan kepada atau melalui
Tim terdapat surat-menyurat
keseragaman pendapat
pembaca mengapa penugasan informal.
mengenai masalah yang akan dibicarakan
dilaksanakan dan apa yang dengan pihak manajemen (auditi).
diharapkan untuk dicapai.
3.
pengelolaan
1.
setiap risiko dan memberikan
Pernyataan ruang lingkup
mengidentifikasi aktivitas yang
keyakinan6.
apakah:
Temuan pengawasan
Auditor menyiapkan simpulan awal hasil pengawasan (preliminary conclusions)
dimunculkan olehberisi
suatuefektivitas
proses
pembandingan antara apa yang
seharusnya dengan apa yang
Risiko dikelola sampai berada dalam risk appetite auditi/organisasi (acceptable); atau
dilakukan pengawasan dan ada. Baik ada atau tidak ada
mungkin meliputi informasi perbedaan, auditor intern perlu
Risiko tidak dikelola sampai berada dalam risk appetite (unacceptable, issue, supplementary
2. pendukung, seperti periode waktu membuat laporan.
issue); dan
yang diawasi dan aktivitas terkait
3. Rencana Tindak/mitigasi risiko telah disetujui (risiko berada dalam risk appetite, atau risiko
akan dihadapi, atau risiko alihkan atau ditransfer, atau risiko tidak dikelola sampai berada
dalam risk appetite, dan atau tidak ada tindakan sesuai yang dilakukan.
Auditor Intern melakukan pembahasan dengan auditi mengenai risiko-risiko residual yang ada di atas
risk appetite dan tindakan agar risiko residual berada dalam risk appetite, atau risiko-risiko tersebut
akan alihkan/ditransfer, atau dihadapi dengan melakukan pengujian terhadap setiap rencana darurat
(contingency plans).
(Format simpulan awal hasil audit terdapat pada Lampiran nomor 3 huruf A, B, dan C)
150
137
Gambar 1 Hubungan kondisi dan kriteria terkait fakta temuan
D. Bentuk Laporan
Hasil Pengawasan
oses
SAIPI menyatakan bahwa komunikasi informasi hasil pengawasan yang
audit harus dibuat secara tertulis berupa mendesak bagi stakeholders.
laporan dan harus segera, yaitu pada Bentuk laporan pada dasarnya bisa
kesempatan pertama setelah berakhirnya berbentuk surat atau bab. Bentuk surat
pelaksanan pengawasan. Hal ini juga digunakan apabila dari hasil pengawasan
untuk menghindari kemungkinan salah tidak ditemukan banyak fakta yang
elenggarakan
tafsir atas kesimpulan, fakta, dan signifikan. Adapun bentuk bab digunakan
rekomendasi auditor. Pembuatan apabila dari hasil pengawasan ditemukan
komunikasi pengawasan secara tertulis banyak fakta yang signifikan. Laporan
dapat dilakukan secara berkala sebelum hasil pengawasan intern, baik bentuk
Temuan didasarkan pada atribut-atribut berikut:
selesainya penugasan/pekerjaan surat maupun bab, setidaknya harus
lapangan untuk memenuhi
Kriteria: kebutuhan
Standar, memuat (paragraf
ukuran, atau ekspektasi 4030): dalam
yang digunakan
a. melakukan suatu evaluasi dan atau verifikasi (apa yang seharusnya
1. ada).
Dasar melakukan pengawasan intern;
2. Identifikasi auditiBukti
Kondisi: (latar faktual
belakangdan
auditi);
penjelasan atas pengendalian yang
b. ditemukan auditor intern dalam pelaksanaan pengujian (apa yang
3. benar-benar ada).
Tujuan/sasaran, lingkup, dan metodologi pengawasan intern;
4. Sebab:
Pernyataan Alasan
bahwa perbedaan
penugasan antara
telah kondisi yang
dilaksanakan diharapkan
sesuai dengan
dengan standar audit;
c. kondisi aktual (mengapa terjadi perbedaan).
5. Kriteria yang digunakan untuk mengevaluasi;
Akibat: Risiko atau ancaman yang dihadapi oleh organisasi auditi
d. dan atau lainnya karena kondisi tidak sama seperti kriteria
6. Hasil audit intern berupa kesimpulan, fakta, dan rekomendasi;
(kemungkinan permasalahan baik di masa lalu maupun masa depan)
dengan mempertimbangkan dampak (finansial, reputasi, keamanan,
7. Tanggapan dari pejabat auditi yang bertanggung jawab;
dan lain-lain) dan keterjadian
8. Pernyataan
Temuanadanya
yangketerbatasan dalam
dilaporkan juga pengawasan
dapat serta
memasukkan pihak-pihak
saran, yang
penjelasan
e.
menerima
olehlaporan; serta
auditi, dan informasi yang mendukung jika tidak dikecualikan di
tempat lain.
9. Pelaporan informasi rahasia apabila ada.
Meskipun format dan muatan laporan pengawasan dapat bervariasi menurut organisasi atau
jenis pengawasan, laporan memuat setidaknya tujuan, ruang lingkup penugasan, simpulan,
saran, dan rencana tindak lanjutnya.
138
151
E. Penyusunan Konsep
Laporan Hasil Pengawasan
Adapun telah dijelaskan pada Petunjuk Pelaksanaan PIBR bahwa kesimpulan penilaian tingkat
kematangan manajemen risiko akan menentukan jenis pelaksanaan pengawasan yang akan
dilakukan, yaitu:
Pelaksanaan fasilitasi dilakukan jika level maturitas manajemen risiko initial/risk naive
1. (1), repeatable/risk aware (2) dan risk defined (3). Atau, jika pada prosedur
rekonfirmasi menghasilkan level maturitas manajemen risiko rendah (level 1 dan 2).
Atas unit kerja yang telah dilakukan fasilitasi, pelaksanaan audit konvensional kecuali
untuk risk defined. Fasilitasi tetap bisa dilaksanakan pada pada auditable unit dengan
level maturitas manajemen risiko risk managed dan risk optimized, secara terpisah.
Untuk fasilitasi pada level maturitas risiko risk defined,
Adapun pengkomunikasian atas pelaksanaan fasilitasi pada auditable unit dengan
level maturitas manajemen risiko risk defined, risk managed dan risk optimized
tersebut akan dituangkan dalam pedoman tersendiri.
152
139
Gambar 2 Tahapan Pelaksanaan PIBR
Program Kerja
Pengawasan Tahunan
Rekonfirmasi Maturitas MR
Auditable Unit
1. 2. 3. Perencanaan
Maturitas MR Rendah Maturitas MR Sedang Maturitas MR Tinggi
Pengawasan
(Level 1 dan 2) (Level 3) (Level 4 dan 5)
Individu
Audit Konvensional
Audit Konvensional Audit Konvensional (sesuai Kebutuhan)
Assurance
Assurance
Assurance atas
atas
atas Assurance atas
Efektivitas
Efektivitas Pengendalian
Pengendalian
Efektivitas Pengendalian Efektivitas Pengendalian
Assurance atas
Efektivitas MR Keseluruhan
Merujuk pada tahapan pelaksanaan di atas, maka pelaporan atas pelaksanaan bisa
dikategorikan menjadi empat jenis, antara lain:
• Laporan Fasilitasi;
• Laporan Pengawasan Lanjutan atas auditable unit dengan maturitas manajemen
risiko rendah;
• Laporan Pengawasan Lanjutan atas auditable unit dengan maturitas manajemen
risiko sedang;
• Laporan Pengawasan Lanjutan atas auditable unit dengan maturitas manajemen
risiko tinggi.
153
140
Laporan Pelaporan pelaksanaan fasilitasi manajemen risiko oleh auditor dapat
1 Fasilitasi mengacu pada Standar Audit Intern Pemerintah Indonesia, dan
Peraturan Kepala BPKP Nomor 24 Tahun 2013 tentang Pedoman
Pelaksanaan Control Self Assessment untuk Penilaian Risiko. Tujuan
utama pelaporan fasilitasi adalah untuk merumuskan dan memberikan
informasi mengenai tujuan, risiko dan pengendalian yang sudah ada.
Laporan umumnya disiapkan selama pelaksanaan fasilitasi oleh notulis.
Kesepakatan kelompok terkait tujuan, risiko, rencana tindak, dan lain-lain
dicatat dan disampaikan kepada pimpinan organisasi. Laporan juga
dapat berisi mengenai voting yang diberikan oleh peserta selama
pelaksanaan fasilitasi. Laporan fasilitasi disampaikan dengan segera
setelah fasilitasi kepada pimpinan unit organisasi, sehingga dapat segera
ditindaklanjuti.
a. Isi Laporan
Laporan hasil penilaian risiko sekurang-kurangnya harus berisi
sebagai berikut:
1) Dasar Hukum
Cantumkan dasar hukum berupa peraturan
perundang-undangan yang memberikan kewenangan
APIP untuk melaksanakan tugas fasilitasi.
2) Dasar Penugasan;
Bab ini berisi mengenai dasar pelaksanaan (Surat Tugas,
Kerangka Acuan Kerja, dan seterusnya).
3) Tujuan Kegiatan;
Menjelaskan tujuan kegiatan fasilitasi penilaian risiko di K/L.
4) Ruang lingkup;
Menjelaskan mengenai ruang lingkup kegiatan yang
dibahas dalam fasilitasi.
5) Peserta;
Menjelaskan peserta yang mengikuti kegiatan fasilitasi
meliputi jumlah, latar belakang peserta, dan sebagainya.
6) Metode;
Menjelaskan metode fasilitasi yang digunakan, misalnya dengan
FGD, wawancara, pengisian kuesioner, reviu dokumen, dan
sebagainya. Selain itu, dijelaskan juga mengenai prosedur
pelaksanaan fasilitasi yang telah dilaksanakan dimulai tahap
perencanaan hingga tahap pelaksanaan
7) Hasil Kegiatan;
Menjelaskan hasil kegiatan fasilitasi meliputi daftar risiko
yang telah diidentifikasi, peta risiko, prioritas risiko yang
akan ditangani, dan sebagainya.
154
141
8) Simpulan;
kesimpulan atas pelaksanaan fasilitasi.
10) Lampiran;
b. Format Laporan
Format laporan fasilitasi dapat disesuaikan dengan praktik
yang berlaku di K/L, tetapi untuk keseragaman dapat mengacu
pada lampiran nomor 3 Huruf D. Adapun lampiran laporan
fasilitasi, terkait erat dengan lampiran pada Petunjuk
Pelaksanaan Fasilitasi MR. Lampiran ini bersifat opsional,
khususnya pada auditable unit yang telah memiliki pedoman
pelaksanaan MR.
Untuk audit konvensional bisa langsung merujuk pada SAIPI serta pedoman lain yang
berlaku pada masing-masing instansi. Sedangkan, untuk pengkomunikasian
assurance atas efektivitas pengendalian, perlu disampaikan simpulan atas
risiko-risiko yang telah diidentifikasi, dievaluasi, dan dikelola; tingkat pengendalian
untuk mengurangi risiko sampai pada tingkat yang diterima; dan tindakan yang telah
diambil untuk memperbaiki kegagalan atau kelemahan yang signifikan.
a) Ringkasan Eksekutif
Ringkasan Eksekutif meliputi:
155
142
4) Simpulan pengawasan;
a) Hasil pengawasan konvensional, diisi simpulan fakta pengawasan yang
biasanya menyangkut ketidakefisienan; ketidakefektifan;
pemborosan/ketidakhematan; pengeluaran yang tidak sepatutnya atau
pendapatan/penerimaan yang tidak sebenarnya; ketidaktaatan
terhadap peraturan perundang-undangan.
b) Efektivitas pengendalian, diisi simpulan bahwa secara umum risiko pada
auditable unit telah/sebagian/belum dikelola pada tingkat yang dapat
diterima, dengan mempertimbangkan:
(1) kecukupan rancangan pengendalian dalam mitigasi risiko;
(2) implementasi atas rancangan pengendalian;
c) Hal-hal lain yang perlu diperhatikan
d) Capaian kinerja dan potensi pencapaian kinerja sampai dengan akhir
periode
b) Uraian Hasil pengawasan akan menjelaskan data umum penugasan dan isu-isu
utama dan tambahan terkait risiko, yaitu sebagai berikut:
1) Data Umum, yang berisikan:
a) Dasar Penugasan
b) Tujuan pengawasan
c) Ruang Lingkup dan Periode pengawasan
d) Batasan Tanggung Jawab
e) Metodologi Pengawasan
156
143
Laporan Setelah pembahasan hasil pengawasan, Auditor Intern
4 Pengawasan menyusun konsep laporan hasil pengawasan. Pokok
Lanjutan atas masalah yang harus disajikan dalam laporan hasil audit,
auditable unit yaitu hasil evaluasi pengendalian risiko yang telah
dengan maturitas dilakukan, apakah sudah sampai pada level yang dapat
manajemen risiko
diterima atau belum dapat diterima.
tinggi
Laporan yang dihasilkan oleh audit intern berbasis
risiko pada dasarnya tidak berbeda dari pengawasan
lainnya, walaupun formatnya mungkin sedikit berbeda.
Format dan isi laporan pengawasan tidak ditentukan
oleh standar, oleh karena itu format dan isi laporan
bisa berbeda-beda antar- pengawasan Intern. Format
laporan yang biasa digunakan dalam pelaporan
pengawasan intern berbasis risiko adalah sebagai
berikut:
a) Ringkasan Eksekutif
Ringkasan Eksekutif meliputi:
157
144
Penarikan simpulan sebagaimana pada poin 4) berpedoman pada
Syaratnya: Syaratnya:
Kecukupan Rancangan Pengendalian Syaratnya: Seluruh risiko yang terpilih belum
Sebagian risiko yang terpilih belum
untuk mengurangi risiko sampai level Seluruh risiko yang terpilih sudah memiliki pengendalian/mitigasi yang
memiliki pengendalian/mitigasi yang memiliki pengendalian/mitigasi yang
yang dapat diterima efektif menurunkan risiko sampai level
efektif menurunkan risiko sampai level efektif menurunkan risiko sampai level
yang dapat diterima yang dapat diterima yang dapat diterima
Syaratnya:
Syaratnya: Syaratnya:
Tujuan/Kinerja interim sampai dengan
Tujuan/Kinerja interim sampai Tujuan/Kinerja interim sampai
KetercapaianTujuan field work tidak tercapai
dengan fieldwork telah tercapai dengan
field work telah/hampir tercapai,
158
145
(1) Judul Isu
(2) hasil observasi selama proses pengawasan;
(3) konsekuensi/dampak yang akan ditimbulkan apabila risiko tersebut terjadi;
(4) opsi atau saran untuk mengurangi risiko sampai pada tingkat yang dapat
diterima;
(5) tindakan yang perlu diambil berdasarkan saran yang ada, dengan
menetapkan siapa yang bertanggungjawab dan kapan harus dilaksanakan.
b) Isu-isu Tambahan
Isu tambahan timbul dari risiko melekat yang dalam batas risiko yang
telah ditetapkan (oleh pimpinan instansi) dan oleh karena itu tidak
mempengaruhi pencapaian tujuan utama. Tindakan atas isu-isu ini akan
meningkatkan pengendalian dan efisiensi. Sama dengan bagian isu-isu
utama, bagian isu-isu tambahan ini memerinci semua isu yang ditemukan
dalam audit. Pada setiap isu yang dilaporkan diuraikan observasi,
konsekuensi, dan tindakan yang biasanya disajikan dalam bentuk tabel.
159
146
(format Laporan Hasil Monitoring Tindak Lanjut ada pada Lampiran nomor 3 Huruf F)
Ohio Internal Auditor (OIA) mengidentifikasi kesimpulan dengan klasifikasi sebagai berikut:
Kesimpulan Keterangan
Kontrol memadai proses dirancang dengan tepat dan / atau beroperasi secara
efektif untuk mengelola risiko. Masalah terkait kontrol mungkin
(well-controlled) ada tetapi kecil.
Kontrol memadai dengan proses memiliki kelemahan desain atau operasi tetapi tidak
perbaikan mengganggu pencapaian atau tujuan kontrol secara
signifikan.
(well-controlled with
improvement needed)
Butuh perbaikan Kelemahan yang ada dapat menghambat pencapaian satu
atau lebih tujuan pengendalian tetapi tidak mencegah proses
(improvement needed) mencapai tujuan keseluruhannya dan dampaknya tidak
tersebar luas.
Dibutuhkan perbaikan besar kelemahan yang ada dapat berpotensi menghambat
pencapaian tujuan secara keseluruhan. Dampak kelemahan
(major improvement pada manajemen risiko tersebar luas karena jumlah atau sifat
needed) kelemahan.
Selain itu, terkait prioritas pelaporannya, OIA menggunakan klasifikasi sebagai berikut:
Rating Keterangan Level pelaporan
Rendah Hasil observasi mengungkap permasalahan atas Manajemen dan audit
(Low) lembaga yang ditinjau. Hal tersebut juga komite negara bagian tidak
merupakan peluang perbaikan proses perlu dilaporkan
Sedang Hasil observasi mengungkap masalah yang Manajemen dan audit
(Moderate) memiliki dampak moderat secara kelembagaan komite negara bagian
namun tidak untuk secara keseluruhan.
Pengendalian tambahan mungkin ada tetapi tidak
beroperasi seperti yang dirancang. Membutuhkan
perhatian agen jangka pendek
Tinggi Hasil observasi memiliki dampak luas (secara Manajemen dan audit
(High) kelembagaan) dan kemungkinan atau dampak komite negara bagian
material yang ada membutuhkan perhatian dan
perbaikan segera dari lembaga
160
147
2. Worcestershire County Council (Inggris)
Kesimpulan Keterangan
Keyakinan penuh Keyakinan penuh jika sistem dari pengendalian internal telah
seluruhnya sesuai dengan tujuan organisasi dan telah diterapkan
(Full assurance) secara konsisten.
Keyakinan signifikan Keyakinan signifikan jika desain pengendalian internal secara umum
memadai untuk mencapai tujuan organisasi. Namun, masih terdapat
(Significant assurance) kelemahan dalam desain dan penerapan yang inkonsisten yang
mengancam pencapaian tujuan.
Keyakinan terbatas Keyakinan terbatas jika kelemahan dalam desain pengendalian dan
penerapan yang inkonsisten yang mengancam pencapaian tujuan
(Limited assurance) organisasi pada sebagian area yang direviu.
Tanpa Keyakinan T
Tidak ada keyakinan yang bisa diberikan jika pengendalian internal
pada desain atau operasi organisasi tidak bisa mengatasi kelemahan
(No assurance) pada seluruh area yang direviu.
Selain itu, terkait prioritas pelaporannya, Worcester City Council menggunakan klasifikasi
sebagai berikut:
161
148
F.
bahwa setiap Kementerian/Lembaga
Reviu Konsep
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Kementerian/Lembaga perlu dilaporkan
Laporan Hasil Pengawasan
strategi yang terdiri dari strategi jangka
pendek dan jangka panjang, termasuk
Menentukan tanggung jawab untuk penyiapan, reviu, dan pengetikan konsep laporan.
c. Dalam menyiapkan konsep laporan harus dipertimbangkan pengalaman dari anggota
tim pengawasan yang ditugaskan dan pemahamannya terhadap penugasan yang
bersangkutan. Untuk mendapatkan konsep awal yang bermutu, khususnya untuk
bagian laporan atau pengungkapan yang kompleks, maka lebih efisien jika konsep
awal tersebut disiapkan oleh personel yang lebih berpengalaman (misalnya
pengawas). Penanggung jawab dan pengawas mengomunikasikan secara jelas
ekspektasinya kepada personel yang menyiapkan konsep laporan. Walaupun tim
pengawasan yang mengetik konsep laporan, sebaiknya dipertimbangkan pula untuk
mendapatkan bantuan auditi dalam penyiapan bagian-bagian tertentu dari konsep
laporan.
162
149
Menentukan batas waktu dan sumber daya yang dibutuhkan. Jadwal mengenai
d. proses penyiapan dan reviu konsep laporan harus disiapkan. Jadwal tersebut
tidak hanya mencantumkan kapan batas akhir penyerahan laporan, tetapi juga
harus mencantumkan tahap-tahap kemajuan dari proses penyiapan dan reviu
konsep laporan. Personel auditi dan auditor yang diperlukan dalam proses
penyiapan dan reviu laporan harus pula dijadwalkan, dengan memerhatikan
tahap-tahap kemajuan proses dan batas akhir penyerahan laporan.
163
150
Penyusunan laporan dan pengoreksian revisi yang efisien
Laporan hendaknya disusun di tempat yang dekat dengan data yang diperlukan. Agar
modifikasi dapat dicerminkan secara lebih efisien ke dalam konsep awal laporan, perlu
dipertimbangkan hal-hal berikut ini::
hal yang sama tidak perlu direviu sekaligus oleh penanggung jawab dan
a. pengawas. Namun demikian, paling tidak penanggung jawab harus membaca
laporan pengawasan serta mendiskusikannya dengan tim pengawasan untuk
mengetahui apakah seluruh standar telah dipenuhi.
164
151
d. Reviu Ketua Tim dan tanggung jawab untuk mengendalikan laporan
165
152
G.
bahwa setiap Kementerian/Lembaga
Penandatanganan
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Laporan Hasil Pengawasan
Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka
pendek dan jangka panjang, termasuk
Laporan pengawasan harus ditandatangani/diterbitkan oleh Inspektur atau Pejabat
Organisasi yang berwenang. Jika pejabat organisasi yang menandatangani laporan
audit bukanlah penanggung jawab penugasan pengawasan yang bersangkutan karena
hal-hal yang berkaitan dengan perizinan, maka personel yang menandatangani laporan
menjadi bertanggungjawab sepenuhnya atas penugasan pengawasan tersebut. Oleh
karena itu, ia harus melakukan prosedur-prosedur yang dianggapnya harus dilakukan
(misalnya: mereviu laporan tersebut, mendiskusikan masalah-masalah yang signifikan
dengan penanggung jawab, dan mereviu kertas kerja) agar memiliki dasar yang kuat
untuk menandatangani laporan.
Berdasarkan hukum, peraturan atau ketentuan profesional yang mengatur profesi
auditor intern, laporan harus ditandatangani oleh seseorang yang memenuhi kualifikasi
dan memiliki izin untuk menandatangani laporan. Lebih lanjut, peraturan yang berlaku
saat ini mengharuskan orang yang menandatangani laporan harus diidentifikasikan
dengan jelas, sehingga orang yang menandatangani laporan memiliki tanggung jawab
pribadi atas penugasan pengawasan yang bersangkutan meskipun ia bukanlah
penanggungjawab dalam penugasan pengawasan tersebut. Jika seseorang yang bukan
penanggung jawab dalam penugasan pengawasan harus menandatangani laporan
karena hal-hal yang telah diuraikan sebelumnya, maka langkah-langkah berikut ini harus
dilakukan:
1. Orang yang menandatangani laporan (atau orang lain yang ditunjuk untuk
mewakili dirinya – lihat butir ketiga di bawah ini) harus mereviu: (a) laporan
auditor dan laporan yang terkait, dan (b) kertas kerja yang terkait apabila
dianggap perlu. Tujuan dari reviu ini adalah untuk mengevaluasi apakah
laporan auditor telah memenuhi segala ketentuan mengenai pelaporan.
166
153
H. Pendistribusian
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Laporan Hasil Pengawasan
Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka
167
154
1. Siapa yang Membutuhkan Laporan Hasil Pengawasan
b) Manajemen Tingkat Menengah (Risk Taking Unit) – Pimpinan Unit eselon III/IV;
168
155
I. Tindak Lanjut
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Laporan Hasil Pengawasan
Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka
Tindak lanjut hasil pengawasan merupakan bentuk monitoring yang melekat pada
tiap organisasi. Auditor diharuskan memantau dan mendorong tindak lanjut atas
simpulan, fakta, dan rekomendasi pengawasan berdasarkan SAIPI. Lebih lanjut
dijelaskan bahwa auditor harus mendokumentasikan fakta untuk keperluan
pemantauan tindak lanjut dan memutakhirkan fakta sesuai dengan informasi tentang
tindak lanjut yang telah dilaksanakan auditi. Pemantauan dan penilaian tindak lanjut
bertujuan untuk memastikan bahwa tindakan yang tepat telah dilaksanakan oleh
auditi sesuai dengan rekomendasi yang diberikan. Manfaat pengawasan intern tidak
hanya terletak pada banyaknya fakta yang dilaporkan, namun juga terletak pada
efektivitas tindak lanjut rekomendasi tersebut. Rekomendasi yang tidak ditindaklanjuti
dapat merupakan indikasi lemahnya pengendalian auditi dalam mengelola sumber
daya yang diserahkan kepadanya.
Apabila auditi telah menindaklanjuti rekomendasi dengan cara yang berlainan dengan
rekomendasi yang diberikan, auditor harus menilai efektivitas penyelesaian tindak
lanjut tersebut. Auditor tidak harus memaksakan rekomendasinya ditindaklanjuti,
namun harus dapat menerima langkah lain yang ternyata lebih efektif. Pada saat
pelaksanaan kegiatan pengawasan intern, auditor harus memeriksa tindak lanjut atas
rekomendasi pengawasan intern sebelumnya. Apabila terdapat rekomendasi yang
belum ditindaklanjuti, auditor harus memperoleh penjelasan yang cukup penyebab
rekomendasi belum dilaksanakan, dan selanjutnya auditor wajib mempertimbangkan
kejadian tersebut dalam program kerja penugasan yang akan disusun. Demikian pula
terhadap tindak lanjut yang sudah dilaksanakan, harus pula menjadi perhatian dalam
penyusunan program kerja penugasan.
Selain itu, dalam Standar Internasional Praktik Profesional Audit Intern 2017, paragraf
2500:A1 – Pemantauan Perkembangan, disebutkan bahwa Kepala audit intern harus
menetapkan proses tindak lanjut untuk memantau dan memastikan bahwa
manajemen senior telah melaksanakan tindakan perbaikan secara efektif, atau
menerima risiko untuk tidak melaksanakan tindakan perbaikan.
Jika dalam laporannya auditor menyimpulkan kondisi yang tidak dapat diterima
(unacceptable) atau isu (issues), yaitu yang mempunyai kode warna merah dan
kuning, maka auditor intern diwajibkan melakukan monitoring tindak lanjut. Monitoring
ini ditujukan terhadap pelaksanaan tindakan yang diambil oleh manajemen sebagai
tindak lanjut laporan pengawasan yang telah diterbitkan. Pada saat penerbitan
laporan, auditor dan manajemen telah menyepakati bahwa manajemen akan
mengambil tindakan sebagaimana yang disarankan oleh auditor. Dengan demikian,
tujuan monitoring ini adalah untuk memastikan bahwa manajemen atau pejabat yang
bertanggung jawab telah melaksanakan tindak lanjut sebagaimana yang disarankan
oleh auditor dan pada waktu yang disepakati.
169
156
Agar mencapai tujuan yang telah ditetapkan, maka pelaksanaan tindak lanjut
harus memerhatikan hal-hal berikut ini:
170
157
Jika manajemen menyelenggarakan pertemuan teratur, auditor intern dapat
mendorong mereka untuk mengagendakan kemajuan tindak lanjut ini. Dengan
cara ini diharapkan mereka akan selalu diingatkan untuk melaksanakan tindak
lanjut sampai semua isu telah menjadi “hijau”.
Setelah melaksanakan monitoring tindak lanjut, auditor intern menerbitkan
laporan tindak lanjut. Laporan ini biasanya berbentuk surat yang menunjukkan
tindakan-tindakan yang telah diambil manajemen atas isu-isu yang disampaikan
auditor intern dalam laporan pengawasan, serta pemutakhiran simpulan.
Laporan tersebut juga dilampiri dengan ringkasan tindakan yang telah diambil
oleh manajemen.
1. Pendahuluan
Bagian ini mengindikasikan tindak lanjut yang ke berapa, yang dilaporkan sejak
penerbitan laporan. Selain itu, auditor akan mengungkapkan tindakan-tindakan
yang telah diambil oleh manajemen sejak penerbitan laporan.
Simpulan
2. Bagian ini memuat simpulan auditor dengan membandingkan antara
simpulan yang diberikan pada laporan final dengan simpulan setelah
pengawasan tindak lanjut. Simpulan diberikan dalam bentuk tabel. Setelah
simpulan dalam bentuk tabel, auditor membuat simpulan secara
keseluruhan atas tindakan yang telah diambil. Jika belum semua isu
menunjukkan hijau, maka auditor akan menjelaskan jadwal pengawasan
tindak lanjut berikutnya.
(format Laporan Hasil Monitoring Tindak Lanjut ada pada Lampiran nomor 3
Huruf G)
171
158
J. Pendokumentasian
memiliki tujuan yang ingin dicapai, untuk
mencapai tujuan tersebut perlu disusun
Tahap Pengkomunikasan
Kementerian/Lembaga perlu dilaporkan
strategi yang terdiri dari strategi jangka
Hasil Pengawasan
Pendokumentasian pelaksanaan tahapan pelaporan hasil pengawasan intern
berbasis risiko tidak bisa lepas dari Petunjuk Pelaksanaan PIBR. Adapun
dokumentasi pada tahap pengkomunikasian terdiri dari:
172
159
LAMPIRAN
PETUNJUK TAHAPAN FASILITASI
MANAJEMEN RISIKO
173
-154-
Tahun Identifikasi merupakan tahun pada saat risiko bersangkutan pertama kali teridentifikasi
Kategori Risiko, terdiri dari 2 digit angka sebagai
berikut:
01 Risiko keuangan negara dan kekayaan Negara
02 Risiko kebijakan
03 Risiko reputasi
04 Risiko fraud
05 Risiko legal/hokum
06 Risiko kepatuhan
07 Risiko gangguan terhadap pelayanan
08 Risiko kinerja
09 Risiko proses bisnis
10 Risiko keselamatan kerja
174
161
-155-
Nama Instansi :
Tahun Penilaian :
Periode yang :
dinilai :
Urusan Pemerintahan
Sumber Data : Renstra Instansi (K/L)
Unit Kerja Koordinator :
Dst
Menteri/Kepala
........................
175
162
-156-
2.
Tujuan Strategis
3.
4.
1.
2
Sasaran Strategis 3
4
Informasi Lain -
...........................
176
163
-157-
Informasi Lain -
...........................
177
164
-158-
Keterangan:
Kolom a diisi dengan nomor urut
Kolom b diisi dengan sumber data
Kolom c diisi dengan uraian kelemahan
Kolom d diisi dengan klasifikasi sub unsur SPIP terkait
178
165
-159-
Sasaran 2: Dst
Dst
Sasaran 3: Dst
Dst
Kota XYZ, Desember 2019 Menteri A
...........................
Keterangan:
Kolom a diisi dengan nomor urut Kolom i diisi dengan kode risiko khususnya kategori risiko
Kolom b diisi dengan sasaran strategis sebagaimana tercantum dalam Renstra Kolom j diisi dengan kode risiko khususnya unit kerja yang menilai risiko
Kolom c diisi dengan indikator kinerja sasaran strategis Kolom k diisi dengan kode risiko khususnya nomor urut pada risk register unit kerja
Kolom d diisi dengan kegiatan yang dilaksanakan untuk mencapai indikator kinerja sasaran bersangkutan
strategis Kolom l diisi dengan kode risiko gabungan
Kolom e diisi dengan uraian peristiwa yang merupakan risiko Kolom m diisi dengan pemilik risiko
Kolom f diisi dengan sumber risiko (internal/eksternal) Kolom n diisi dengan uraian dampak/potensi kerugian apabila risiko terjadi
Kolom g diisi dengan kode risiko khususnya tingkat risiko Kolom o diisi dengan kategori dampak
Kolom h diisi dengan kode risiko, khususnya tahun identifikasi, merupakan tahun pada saat risiko Kolom p diisi dengan pihak/unit yang menderita/terkena dampak jika risiko benar-benar terjadi
bersangkutan pertama kali teridentifikasi
179
166
-160-
167
180
Tujuan: Memastikan bahwa seluruh risiko strategis unit kerja terutama risiko yang signifikan telah teridentifikasi
Contoh Formulir Kertas Kerja Identifikasi Risiko Strategis Unit Kerja
Nama Unit Kerja : Deputi/Direktur
Tahun Penilaian : 2019
Periode yang dinilai : Periode Renstra (Misal 2019-2023)
Urusan Pemerintahan: Urusan
Konteks Risiko Dampak
Kode Risiko
No Tingka Tahun Katego No. Urut Pemilik Pihak yang
Sasaran Strategis Indikator Kegiatan Uraian Peristiwa Risiko Sumber Unit Kerja Kode Uraian Kategori Dampak
Kinerja t Identif ri pada Risk Risiko Terkena
yang Risiko
Risiko i kasi Risiko Register
Menilai Gabungan
a b c d e f g h i j k l m n 0 p
A. Sasaran Strategis 1:
Sasaran 1: RSU 19 08 02 01 RSU19.08.0 Kedeputian/ Instansi dan
2 D Masyarakat
.01 irektorat
RSU 19 08 02 02 RSU19.08.0 Kedeputian/ Instansi dan
2 D
RSU 19 08 02 03 RSU19.08.0 Kedeputian/ Instansi dan
2 D Masyarakat
.03 irektorat
Sasaran 2: Dst
Dst
Sasaran 3: Dst
Dst
Kota XYZ, Desember 2019 Deputi/Direktur A
...........................
Keterangan
Kolom a diisi dengan nomor urut Kolom i diisi dengan kode risiko khususnya kategori risiko
Kolom b diisi dengan sasaran strategis sebagai mana tercantum dalam Renstra Kolom j diisi dengan kode risiko khususnya unit kerja yang menilai risiko
Kolom c diisi dengan indikator kinerja sasaran strategis Kolom k diisi dengan kode risiko khususnya nomor urut pada risk register unit kerja bersangkutan
Kolom d diisi dengan kegiatan yang dilaksanakan untuk mencapai indikator kinerja sasaran strategis Kolom l diisi dengan kode risiko gabungan
Kolom e diisi dengan uraian peristiwa yang merupakan risiko Kolom m diisi dengan pemilik risiko
Kolom f diisi dengan sumber risiko (internal/eksternal) Kolom n diisi dengan uraian dampak/potensi kerugian apabila risiko terjadi
Kolom g diisi dengan kode risiko khususnya tingkat risiko Kolom o diisi dengan kategori dampak
Kolom h diisi dengan kode risiko, khususnya tahun identifikasi, merupakan tahun pada saat risiko bersangkutan Kolom p diisi dengan pihak/unit yang menderita/terkena dampak jika risiko benar-benar terjadi
pertama kali teridentifikasi
-161-
Sasaran 2: Dst
Dst
Sasaran 3: Dst
Dst
Kota XYZ, Desember 2019 Deputi/Direktur A
...........................
Keterangan:
Kolom a diisi dengan nomor urut Kolom i diisi dengan kode risiko khususnya kategori risiko
Kolom b diisi dengan sasaran program/kegiatan sebagai mana tercantum dalam Renja/Perkin Kolom j diisi dengan kode risiko khususnya unit kerja yang menilai risiko
Kolom c diisi dengan indikator kinerja sasaran strategis Kolom k diisi dengan kode risiko khususnya nomor urut pada risk register unit kerja bersangkutan
Kolom d diisi dengan kegiatan yang dilaksanakan untuk mencapai indikator kinerja sasaran strategis Kolom l diisi dengan kode risiko gabungan
Kolom e diisi dengan uraian peristiwa yang merupakan risiko Kolom m diisi dengan pemilik risiko
Kolom f diisi dengan sumber risiko (internal/eksternal) Kolom g diisi dengan kode risiko khususnya tingkat risiko Kolom n diisi dengan uraian dampak/potensi kerugian apabila risiko terjadi
Kolom h diisi dengan kode risiko, khususnya tahun identifikasi, merupakan tahun pada saat risiko bersangkutan Kolom o diisi dengan kategori dampak
pertama kali teridentifikasi Kolom p diisi dengan pihak/unit yang menderita/terkena dampak jika risiko benar-benar terjadi
181
168
-162-
Kriteria Kemungkinan
Level Kemungkinan Persentase kemungkinan Jumlah frekuensi kemungkinan
terjadinya dalam 1 periode terjadinya
dalam 1 periode
Hampir tidak terjadi (1) x ≤ 5% sangat jarang: < 2 kali dalam 1 tahun
Jarang terjadi (2) 5% < x ≤ 10% Jarang: 2 kali s.d. 5 kali dalam 1 tahun
Kadang terjadi (3) 10% < x ≤ 20% cukup sering: 6 s.d. 9 kali dalam 1 tahun
Sering terjadi (4) 20% < x ≤ 50% Sering: 10 kali s.d. 12 kali dalam 1 tahun
Hampir pasti terjadi (5) x > 50% sangat sering: > 12 kali dalam 1 tahun
182
169
-163-
Level Dampak
NO Area Dampak Level Unit Kerja
Tidak Signifikan (1) Minor (2) Moderat (3) Signifikan (4) Sangat Signifikan (5)
1 Kepala K/L/Pemda
- - - Rp 100 juta ≤ x ≤ Rp 1 M x ≥ Rp 1M
Es.I
- - - Rp 10 juta ≤ x < Rp 100 x ≥ Rp 100 juta
Fraud juta
Beban Es.II
Keuangan - - - Rp 1 juta ≤ x < Rp 10 juta x ≥ Rp 10 juta
Negara
Es.III
- - - x < Rp 1 juta x ≥ Rp 1 juta
Kepala K/L/Pemda,
Non Fraud (Anggaran) Es.I, Es.II, Es.III ≤0,001% >0,001% - 0,01 >0,01% - 0,1% >0,1% - 1% > 1%
2 Kepala K/L/Pemda dan Jumlah keluhan Jumlah keluhan Pemberitaan negatif di Pemberitaan negatif di Pemberitaan negatif di media
Es.I stakeholder stakeholder (lisan/tertulis) media sosial yang sesuai media massa lokal massa nasional dan
Jumlah (lisan/tertulis) ≤ 10 > 10 fakta internasional
Keluhan/Pemberitaan
Jumlah keluhan Jumlah keluhan Pemberitaan negatif di Pemberitaan negatif di Pemberitaan negatif di media
negatif
Es.II dan Es.III stakeholder stakeholder (lisan/tertulis) media sosial yang sesuai media massa lokal massa nasional dan
(lisan/tertulis) ≤ 3 3 s.d 5 fakta internasional
Kepala K/L/Pemda dan Tingkat kepuasan Tingkat kepuasan Tingkat kepuasan Tingkat kepuasan Tingkat kepuasan pengguna
Es.I pengguna layanan (hasil pengguna layanan (hasil pengguna layanan pengguna layanan (hasil layanan (hasil survei) ≤ 3,5
survei) sebesar 4,5 < x ≤ survei) sebesar 4,25 < x ≤ (hasil survei) sebesar 4 survei) sebesar 3,5 < x ≤ 4 (skala 5)
5 (skala 5) 4,5 (skala 5) < x ≤ 4,25 (skala 5) (skala 5)
Tingkat Kepuasan
Penurunan Tingkat kepuasan Tingkat kepuasan Tingkat kepuasan Tingkat kepuasan Tingkat kepuasan pengguna
Reputasi pengguna layanan (hasil pengguna layanan (hasil pengguna layanan pengguna layanan (hasil layanan (hasil survei) ≤ 3,5
Es.II dan Es.III survei) sebesar 4,5 < x ≤ survei) sebesar 4,25 < x ≤ (hasil survei) sebesar 4 survei) sebesar 3,5 < x ≤ 4 (skala 5)
5 (skala 5) 4,5 (skala 5) < x ≤ 4,25 (skala 5) (skala 5)
Kepala K/L/Pemda dan Tingkat kepercayaan Tingkat kepercayaan Tingkat kepercayaan Tingkat kepercayaan Tingkat kepercayaan
Es.I stakeholder (hasil survei) stakeholder (hasil survei) stakeholder (hasil stakeholder (hasil survei) stakeholder (hasil survei) ≤ 3,5
sebesar 4,5 < x ≤ 5 sebesar 4,25 < x ≤ 4,5 survei) sebesar 4 < x ≤ sebesar 3,5 < x ≤ 4 (skala (skala 5)
(skala 5) (skala 5) 4,25 (skala 5) 5)
Tingkat Kepercayaan
Tingkat kepercayaan Tingkat kepercayaan Tingkat kepercayaan Tingkat kepercayaan Tingkat kepercayaan
stakeholder (hasil survei) stakeholder (hasil survei) stakeholder (hasil stakeholder (hasil survei) stakeholder (hasil survei) ≤ 3,5
Es.II dan Es.III sebesar 4,5 < x ≤ 5 sebesar 4,25 < x ≤ 4,5 survei) sebesar 4 < x ≤ sebesar 3,5 < x ≤ 4 (skala (skala 5)
(skala 5) (skala 5) 4,25 (skala 5) 5)
183
170
-164-
Level Dampak
NO Area Dampak Level Unit Kerja
Tidak Signifikan (1) Minor (2) Moderat (3) Signifikan (4) Sangat Signifikan (5)
184
171
3 Sanksi pidana, perdata, dan/ atau Kepala K/L/Pemda Administratif: tergugat *Pidana: 4 < x ≤ 5 th *Pidana > 5 th
administratif adalah Pimpinan Eselon I, *Perdata: 75M < x ≤ 100M *Perdata > 100 M
II, atau pejabat yang setara *Administratif: tergugat
_ _ adalah Kepala K/L/Pemda
4 Kecelakaan Kerja Kepala K/L/Pemda, Es.I, Ancaman psikis Cedra fisik dan mental ringan Cedara fisik dan mental Cedera fisik dan mental Kematian
5 Gangguan Terhadap Waktu Pelayanan Kepala K/L/Pemda x < 25% dari jam 25% x < 50% dari jam 50% x < 75% dari jam 75% x < 90% dari jam x ≥ 90% dari jam operasional
operasional layanan harian operasional layanan harian operasional layanan harian operasional layanan harian layanan harian
Es.I x < 15% dari jam 15% x < 40% dari jam 40% x < 65% dari jam 65% x < 80% dari jam x ≥ 80% dari jam operasional
operasional layanan harian operasional layanan harian operasional layanan harian operasional layanan harian layanan harian
Es.II x < 10% dari jam 10% x < 25% dari jam 25% x < 50% dari jam 50% x < 65% dari jam x ≥ 65% dari jam operasional
operasional layanan harian operasional layanan harian operasional layanan harian operasional layanan harian layanan harian
Es.III x < 5% dari jam operasional 5% x < 15% dari jam 15% x < 35% dari jam 35% x < 50% dari jam x ≥ 50% dari jam operasional
layanan harian operasional layanan harian operasional layanan harian operasional layanan harian layanan harian
6 Gangguan Terhadap Waktu Pelaksanaan Kepala K/L/Pemda, Es.I, 0.5 hari kerja/hari 1 hari kerja/hari penugasan 2 hari kerja/hari penugasan
Tugas dan Fungsi Es.II, Es.III _ _ penugasan
7 Penurunan Kinerja Unit Kerja
x ≥ 95% 90% ≤ x < 95% 80% ≤ x < 90% 75% ≤ x < 80% x < 75%
-165-
Responden 1 Responden 2 Responden 3 Responden 4 Responden 5 Responden 6 Responden 7 Responden 8 Responden 9 Responden 10 Responden 11 Responden 12 Responden 13 Responden 14 Responden 15 Jumlah Rata-rata Skala Risiko
Uraian Peristiwa berdasarkan
Risiko Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk Kemungk heat map
Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan Dampak inan
172
185
-166-
Hampir
5 pasti 9 15 18 23 25
terjadi
Tingkat Kemungkinan (Likelihood )
4
Sering
terjadi 6 12 16 19 24
3
Kadang
terjadi 4 10 14 17 22
2
Jarang
terjadi 2 7 11 13 21
Hampir
1 tidak 1 3 5 8 20
terjadi
Tingkat Risiko
Warna Nilai Risiko Tingkat Risiko
Keterangan:
1. Skor 1 hingga 25 dalam box heat map dapat disesuaikan dengan selera
pimpinan tertinggi instansi
2. Kisaran tingkat risiko dalam kategori tinggi, agak tinggi, sedang, agak rendah,
dan rendah dapat disesuaikan dengan selera pimpinan tertinggi instansi
186
173
-167-
187
174
1 dan dampak = 5, maka nilai risikonya = 20
-169-
Jawab
a b c d e f g h
I Risiko Strategis Instansi
1 RSI19.08.01.
01
Keterangan
Kolom a diisi dengan nomor urut
Kolom b diisi dengan risiko prioritas, yakni nama risiko yang telah teridentifikasi dan diurutkan
berdasarkan urutan RSI, RSU, ROU, dan tingkat/nilai risiko tertinggi yang ingin dikendalikan
Kolom c diisi dengan kode risiko
Kolom d diisi dengan uraian existing control yang sudah ada/ terpasang.
Kolom e diisi dengan “cukup”, “berlebihan”, atau “kurang”, sesuai dengan hasil penilaian/
evaluasi. Existing control dikatakan cukup jika (1) sudah mampu menurunkan risiko sampai
level yang dapat diterima, dengan cara yang paling efisien, (3) existing control masih kurang, jika
belum mampu menurunkan risiko sampai level yang dapat diterima, (4) existing control
berlebihan, jika tidak sebanding antara biaya pengendalian dengan manfaatnya.
Kolom f diisi dengan celah existing control yang ada dalam hal kolom e, hasil analisis kenapa
existing control “kurang” atau “berlebihan”. Jika kurang, kurangnya di mana, dan jika
berlebihan, kelebihannya di mana
Kolom g diisi dengan mitigasi tambahan yang masih dibutuhkan.
Kolom h diisi dengan pihak/unit penanggung jawab untuk menyelenggarakan mitigasi
tambahan.
188
175
-170-
Keterangan:
Butir (a) Diisi nama unit kerja
Butir (b) Diisi tahun berjalan
Butir (c) Diisi periode tahun yang dinilai sesuai periode renstra/renja
Kolom 1 Diisi nomor urut
Kolom 2 Diisi kode risiko sesuai yang ditetapkan pada lampiran nomor 1 huruf A
Kolom 3 Diisi uraian peristiwa risiko
Kolom 4 Diisi Kategori Penyebab Risiko (Money, Machine, Material, Method, Man) 5M
Kolom 5 Diisi alasan terjadinya risiko
Kolom 6 Diisi alasan terjadinya penyebab (why 1) pada kolom 5
Kolom 7 Diisi alasan terjadinya penyebab (why 2) pada kolom 6
Kolom 8 Diisi alasan terjadinya penyebab (why 3) pada kolom 7
Kolom 9 Diisi alasan terjadinya penyebab (why 4) pada kolom 8
Kolom 10Diisi alasan terjadinya penyebab (why 5) pada kolom 9. Ini merupakan akar penyebab
yang menimbulkan risiko terjadi. Jika masih terdapat alasan terjadinya akar penyebab
(kolom 10) maka sisipkan kolom why 6 dan seterusnya sampai menemukan akar
penyebab final. Namun jika akar penyebab sudah ditemukan sebelum why 5, maka
tidak perlu menguraikan sampai dengan why 5
Kolom 11Diisi Control /mitigasi risiko tambahan/pengurangan yang ingin dirancang untuk
menghindari terjadinya akar penyebab (kolom 10
189
176
-171-
177
190
P. Daftar Mitigasi Risiko
Tujuan: Memastikan bahwa mitigasi atas setiap risiko merupakan langkah yang dapat diterapkan secara nyata,
setelah mempertimbangkan jumlah kejadian risiko tahun sebelumnya, akar penyebab risiko, target respon/mitigasi
risiko, penanggung jawab pelaksana mitigasi dan nilai risiko residual harapan.
Keterangan:
Butir (a) : Diisi nama instansi/unit kerja
Butir (b) : Diisi tahun berjalan/periode renstra
Kolom 1 : Diisi nomor urut risiko yang diurutkan berdasarkan urutan RSI, RSU, ROU, dan tingkat/nilai risiko tertinggi yang ingin dikendalikan
Kolom 2 : Diisi nama risiko yang telah teridentifikasi dan diurutkan berdasarkan urutan RSI, RSU, ROU, dan tingkat/nilai risiko tertinggi yang ingin dikendalikan
Kolom 3 : Diisi kode risiko sebagaimana diatur dalam Lampiran nomor 1 huruf A
Kolom 4 : Diisi angka yang merupakan jumlah keterjadian risiko pada tahun sebelumnya
Kolom 5 : Diisi uraian penyebab terjadinya risiko yang diperoleh dari hasil analisis RCA (Root Cause Analysis ). Uraian penyebab bisa lebih dari satu
Kolom 6 : Diisi kelompok penyebab (5M) yang terdiri dari Man, Money, Method, Material, dan Machine
Kolom 7 : Diisi target mitigasi yang terdiri dari mengurangi kemungkinan risiko dan/atau mengurangi dampak risiko untuk setiap uraian penyebab
Kolom 8 : Diisi mitigasi risiko yang diperoleh dari hasil analisa (Root Cause Analysis ). Mitigasi risiko bisa lebih dari satu (tergantung jumlah penyebab)
Kolom 9 : Diisi indikator terlaksananya mitigasi misalnya dalam bentuk dokumen, aplikasi, dsb
Kolom 10 : Diisi jumlah indikator mitigasi (misalnya 7 dokumen/aplikasi) dalam satu tahun
Kolom 11 : Diisi Penanggung Jawab Pelaksana Mitigasi yang merupakan pejabat struktural atau fungsional yang ditunjuk
Kolom 12 : Diisi angka dalam skala likert 1-5 yang menunjukkan tingkat kemungkinan keterjadian risiko apabila rencana mitigasi risiko telah dilaksanakan, dengan catatan
target mitigasi risiko pada kolom 7 adalah mengurangi kemungkinan risiko
Kolom 13 : Diisi angka dalam skala likert 1-5 yang menunjukkan tingkat potensi dampak apabila rencana mitigasi risiko telah dilaksanakan, dengan catatan target mitigasi
risiko pada kolom 7 adalah mengurangi dampak risiko
Kolom 14 : Diisi angka yang merupakan perpotongan (koordinat) antara kemungkinan dan dampak pada matriks analisis risiko sesuai heat map . Contoh: Jika kemungkinan
= 1 dan dampak = 5, maka nilai risikonya = 20
-172-
CONTOH
PENGKOMUNIKASIAN CONTROL/MITIGASI TAMBAHAN YANG DIBANGUN
Dst -
Keterangan
Kolom a diisi dengan nomor urut
Kolom b diisi dengan Control /Mitigasi Tambahan
Kolom c diisi dengan Media/Bentuk Sarana Pengkomunikasian
Kolom d diisi dengan Penyedia Informasi
Kolom e diisi dengan penerima informasi
Kolom f diisi dengan Rencana Waktu Pelaksanaan
Kolom g diisi dengan Realisasi Waktu Pelaksanaan
Kolom h diisi dengan Keterangan tambahan
191
178
-173-
179
192
Tujuan: memantau dan membandingkan antara rencana dengan capaian/realisasi pelaksanaan mitigasi atas risiko
(terutama risiko prioritas) secara triwulanan, dan mengidentifikasi kendala/penyebab atas tidak terealisasinya
mitigasi tersebut.
CONTOH DAFTAR PEMANTAUAN MITIGASI RISIKO
Nama Instansi/Unit Kerja : .......... (a)
Tahun/periode : .......... (b)
Keterangan:
Butir (a) : Diisi nama instansi/unit kerja
Butir (b) : Diisi tahun berjalan/periode renstra
Kolom 1 : Diisi nomor urut risiko
Kolom 2 : Diisi uraian peristiwa risiko
Kolom 3 : Diisi kode risiko sebagaimana ditetapkan pada Lampiran nomor 1 huruf A
Kolom 4 : Diisi mitigasi risiko yang dilaksanakan
Kolom 5 : Diisi uraian indikator terlaksananya mitigasi
Kolom 6 : Diisi jumlah indikator mitigasi
Kolom 7,9,11,13 : Diisi rencana mitigasi risiko yang akan dilaksanakan mulai dari Triwulan I sampai dengan Triwulan IV dengan mengisi
jumlah dokumen yang menjadi target setiap triwulan. Jumlah dokumen tersebut merupakan rincian jumlah rencana
mitigasi risiko sebagaimana kolom 5
Kolom 8,10,12,14 : Diisi realisasi mitigasi risiko yang telah dilaksanakan mulai dari Triwulan I sampai dengan Triwulan IV dengan mengisi
jumlah dokumen realisasi mitigasi risiko setiap triwulan
Kolom 15 : Diisi alasan kenapa rencana mitigasi risiko belum/tidak terealisasi pada triwulan yang ditargetkan/direncanakan
-174-
1 2 3 4 5 6 7 8 9
Keterangan:
Butir (a) : Diisi nama instansi/unit kerja
Butir (b) : Diisi tahun berjalan/periode renstra
Kolom 1 : Diisi nomor urut risiko
Kolom 2 : Diisi uraian peristiwa risiko
Kolom 3 : Diisi kode risiko sebagaimana ditetapkan pada Lampiran nomor 1 huruf A
Kolom 4 s.d. 7 : Diisi jumlah risiko yang telah terjadi di Triwulan I sampai dengan IV
Kolom 8 : Diisi hasil penjumlahan dari kolom 3 sampai dengan 6
Kolom 9 : Diisi akar penyebab risiko terjadi setelah melalui analisis RCA (Root Cause Analysis )
193
180
LAMPIRAN
TAHAPAN PELAKSANAAN PIBR
194
-175-
Skor
No. Uraian Penjelasan Kriteria Skoring
(0-2)
1 Tujuan organisasi 1. Lakukan pengujian apakah • Skor 0 jika tujuan organisasi
terdokumentasi tujuan organisasi telah belum ditetapkan oleh
dan dipahami ditetapkan oleh pimpinan, pimpinan
dengan baik dikomunikasikan kepada • Skor 1 jika tujuan organisasi
seluruh pegawai dan telah ditetapkan oleh pimpinan,
terdokumentasi, misalnya namun belum konsisten dengan
berupa dokumen rencana sasaran dan target turunannya
strategis. • Skor 2 jika tujuan organisasi
2. Lakukan pengujian juga telah ditetapkan oleh pimpinan,
apakah sasaran dan target dikomunikasikan,
turunannya konsisten terdokumentasi, dan telah
dengan tujuan organisasi konsisten dengan sasaran dan
secara keseluruhan. target turunannya
2 Pimpinan unit 1. Lakukan wawancara kepada • Skor 0 jika pimpinan belum
organisasi telah pimpinan/manajemen memahami risiko organisasi
memahami risiko untuk menguji pemahaman dan tanggungjawabnya atas
dan tanggung mereka terhadap risiko. risiko tersebut
jawab atas risiko 2. Lakukan wawancara kepada • Skor 1 jika pimpinan telah
tersebut pimpinan/manajemen memahami risiko organisasi
untuk menguji bagaimana namun belum memahami
mereka menyikapi risiko bagaimana menyikapi risiko
tersebut. tersebut
• Skor 2 jika pimpinan paham
dengan risiko organisasi dan
memahami bagaimana
menyikapi risiko tersebut
3 Sistem skoring Pastikan telah ditetapkan • Skor 0 jika sistem skoring
untuk penilaian sistem skoring dalam penilaian untuk penilaian risiko belum
risiko telah risiko secara kuantitatif ditetapkan
ditetapkan (termasuk dalam penentuan • Skor 1 jika sistem skoring
kriteria tingkat untuk penilaian risiko telah
frekuensi/probabilitas dan
ditetapkan namun belum
kriteria dampak) serta
kuantitatif
menggunakan heatmap dalam
penilaian risiko • Skor 2 jika sistem skoring
untuk penilaian risiko telah
ditetapkan dan sudah
kuantitatif
4 Risk appetite telah Lakukan pengujian apakah • Skor 0 jika Risk appetite belum
ditetapkan dengan pimpinan/manajemen telah ditetapkan dengan sistem
sistem skoring menetapkan risk appetite skoring
dengan sistem skoring • Skor 1 jika Risk apetite telah
ditetapkan dengan sistem
skoring, namun masih terdapat
kelemahan
195
182
180
-176-
Skor
No. Uraian Penjelasan Kriteria Skoring
(0-2)
• Skor 2 jika Risk appetite telah
ditetapkan dengan sistem
skoring dan penetapannya
sudah tepat
5 Risiko telah dibagi Lakukan pengujian terhadap • Skor 0 jika seluruh risiko belum
tanggung register risiko apakah seluruh dialokasikan/dibagi tanggung
jawabnya dan risiko telah dialokasikan/dibagi jawabnya kepada
didokumentasikan tanggung jawabnya kepada pejabat/pegawai yang
dalam risk register pejabat/pegawai yang ditunjuk/relevan
ditunjuk/relevan • Skor 1 jika baru sebagian risiko
yang telah dialokasikan/dibagi
tanggung jawabnya kepada
pejabat/pegawai yang
ditunjuk/relevan
• Skor 2 jika seluruh risiko telah
dialokasikan/dibagi tanggung
jawabnya kepada
pejabat/pegawai yang
ditunjuk/relevan
6 Proses identifikasi 1. Pastikan telah ditetapkan • Skor 0 jika kebijakan proses
risiko telah proses identifikasi risiko identifikasi risiko belum
ditetapkan dan yang cukup untuk ditetapkan
dipatuhi mendeteksi seluruh risiko • Skor 1 jika kebijakan proses
2. Pastikan bahwa proses identifikasi risiko telah
identifikasi risiko tersebut ditetapkan namun belum
dilaksanakan dilaksanakan sesuai ketentuan
• Skor 2 jika kebijakan proses
identifikasi risiko telah
ditetapkan dan telah
dilaksanakan sesuai ketentuan
7 Seluruh risiko Pastikan seluruh risiko telah • Skor 0 jika seluruh risiko belum
telah dinilai dinilai dengan sistem skoring dinilai dengan sistem skoring
dengan sistem yang telah ditetapkan secara yang telah ditetapkan secara
skoring yang telah kuantitatif kuantitatif
ditetapkan • Skor 1 jika baru sebagian risiko
yang telah dinilai dengan sistem
skoring yang telah ditetapkan
secara kuantitatif
• Skor 2 jika seluruh risiko telah
dinilai dengan sistem skoring
yang telah ditetapkan secara
kuantitatif
8 Respon atas risiko Lakukan pengujian dalam • Skor 0 jika respon atas risiko
telah ditetapkan register risiko apakah respon belum ditetapkan
dan atas • Skor 1 jika respon atas risiko
diimplementasikan risiko/pengendalian/mitigasi telah ditetapkan namun belum
risiko yang tepat telah diimplementasikan
ditetapkan pada seluruh risiko • Skor 2 jika respon atas risiko
serta diimplementasikan telah ditetapkan dan telah
diimplementasikan
9 Pimpinan unit Lakukan wawancara terhadap • Skor 0 jika pimpinan belum
organisasi telah pimpinan/manajemen menetapkan mekanisme
menetapkan model bagaimana jika mitigasi pemantauan atas proses,
pemantauan atas risiko/pengendalian yang ada respon an action plan risiko;
proses, respon dan gagal (tidak sesuai harapan • Skor 1 jika pimpinan
196
183
-177-
Skor
No. Uraian Penjelasan Kriteria Skoring
(0-2)
action plan risiko. untuk mengurangi nilai risiko) menetapkan mekanisme
pemantauan atas sebagian
proses, respon dan action plan
risiko
• Skor 2 jika pimpinan telah
menetapkan mekanisme
pemantauan atas proses,
respon an action plan risiko.
10 Risk register di- Lakukan pengujian apakah • Skor 0 jika register risiko baru
update secara register risiko selalu dimutakhirkan setelah 2 tahun
periodik (minimal dimutakhirkan secara periodik atau lebih
sekali setahun) (minimal sekali setahun) • Skor 1 jika register risiko selalu
melalui proses reviu yang dimutakhirkan secara periodik
memadai (minimal sekali setahun)
namun belum melalui proses
reviu yang memadai
• Skor 2 jika register risiko selalu
dimutakhirkan secara periodik
(minimal sekali setahun) dan
telah melalui proses reviu yang
memadai
11 Terdapat Lakukan pengujian terhadap • Skor 0 jika pimpinan/
pelaporan kepada risiko yang bernilai di atas risk manajemen belum
pimpinan puncak appetite apakah menginformasikan risiko di atas
bila terdapat risiko pimpinan/manajemen telah risk appetite kepada pihak-
yang belum menginformasikannya kepada pihak yang berkepentingan
ditekan pada pihak-pihak yang • Skor 1 jika pimpinan/
tingkat yang dapat berkepentingan. manajemen telah
diterima menginformasikan risiko di atas
risk appetite kepada sebagian
pihak-pihak yang
berkepentingan
• Skor 2 jika pimpinan/
manajemen telah
menginformasikan risiko yang
bernilai di atas risk appetite
kepada pihak-pihak yang
berkepentingan, termasuk
kepada pimpinan tertinggi
12 Kegiatan yang Lakukan pengujian terhadap • Skor 0 jika belum terdapat
bersifat program usulan semua kegiatan baru analisis risiko yang mengancam
selalu dinilai yang signifikan apakah tujuan organisasi pada usulan
risikonya terdapat analisis risiko yang semua kegiatan/program baru
mengancam tujuan organisasi. yang signifikan.
• Skor 1 jika telah terdapat
analisis risiko yang mengancam
tujuan organisasi pada
sebagian usulan
kegiatan/program baru yang
signifikan
• Skor 2 jika terdapat analisis
risiko yang mengancam tujuan
organisasi pada usulan semua
kegiatan/program baru yang
signifikan.
13 Uraian tanggung Lakukan pengujian terhadap • Skor 0 jika tidak terdapat
197
184
-178-
Skor
No. Uraian Penjelasan Kriteria Skoring
(0-2)
jawab menetapkan uraian jabatan/job description identifikasi/analisis risiko pada
risiko, menilai apakah terdapat uraian tugas seluruh uraian jabatan/job
risiko dan mengenai identifikasi/analisis description
mengelolanya, risiko. • Skor 1 jika terdapat
termasuk dalam identifikasi/analisis risiko pada
uraian tugas dan sebagian uraian jabatan/job
tanggung jawab description
pegawai. • Skor 2 jika terdapat
identifikasi/analisis risiko pada
seluruh uraian jabatan/job
description
14 Pimpinan Lakukan pengujian terhadap • Skor 0 jika
memberikan seluruh risiko strategis/utama, pengendalian/mitigasi atas
jaminan efektivitas apakah pengendalian/mitigasi risiko strategis/utama beserta
pengelolaan risiko risikonya beserta pemantauannya belum
pemantauannya telah dilaksanakan.
dilaksanakan. • Skor 1 jika
pengendalian/mitigasi atas
risiko strategis/utama telah
dilaksanakan namun belum
dilakukan pemantauannya.
• Skor 2 jika
pengendalian/mitigasi atas
risiko strategis/utama beserta
pemantauannya telah
dilaksanakan.
15 Pimpinan dinilai Lakukan pengujian terhadap • Skor 0 jika penerapan
kinerjanya dalam bukti bahwa manajemen risiko manajemen risiko belum
mengelola risiko dijadikan dasar penilaian dijadikan sebagai dasar
kinerja pimpinan/manajemen penilaian kinerja
pimpinan/manajemen.
• Skor 1 jika penerapan
manajemen risiko telah
dijadikan dasar penilaian
kinerja sebagian
pimpinan/manajemen
• Skor 2 jika penerapan
manajemen risiko telah
dijadikan sebagai dasar
penilaian kinerja seluruh
pimpinan/manajemen.
Jumlah
Keterangan: Tim audit harus memiliki bukti pendukung yang cukup untuk
menyimpulkan masing-masing pernyataan.
198
185
-179-
Waktu yang
Dilaksanakan oleh Nomor Catat
No. Uraian Diperlukan
KKA an
Rencana Realisasi Rencana Realisasi
A. Tujuan Fasilitasi
Untuk membantu
manajemen dalam
membangun atau
meningkatkan proses
manajemen risiko
B. Langkah-Langkah Kerja
1. Identifikasi terhadap: Tim 1
a. Kenapa fasilitasi perlu
dilakukan?
b. Apa materi fasilitasi yang
akan diberikan?
c. Kepada siapa fasilitasi
dilakukan?
d. Siapa yang akan
melaksanakan fasilitasi?
e. Kapan fasilitasi
dilakukan?
f. Bagaimana fasilitasi
dilaksanakan?
2. Pembicaraan pendahuluan Tim 0,5
dengan pimpinan auditable
unit untuk
mengkomunikasikan:
a. Tujuan penugasan
(fasilitasi)
b. Rencana workshop/FGD
yang melibatkan pejabat
dan pegawai
3. Penjelasan awal mengenai Tim 0,5
tujuan workshop yang
hendak dicapai dan konsep
risiko dikaitkan dengan
pencapaian tujuan.
4. Penjelasan dan praktik Tim 7
manajemen risiko dengan
tahap:
a. Penetapan Konteks
b. Identifikasi Risiko
c. Analisis Risiko
d. Respon Risiko
e. Informasi/Komunikasi
f. Catatan Keterjadian
Risiko
g. Pemantauan
5. Penyusunan laporan hasil Tim 1
fasilitasi
Jumlah HP 10
199
186
-180-
(.................................) (.....................................)
NIP NIP ................................
..............................
Disetujui
Pengendali Mutu
(....................................)
NIP................................
200
187
-181-
Waktu yang
Dilaksanakan oleh Nomor
No. Uraian Diperlukan Catatan
KKA
Rencana Realisasi Rencana Realisasi
A. Tujuan Audit (Pengelolaan Risiko):
Untuk menilai apakah proses
identifikasi, analisis, dan evaluasi
risiko secara keseluruhan telah
memadai
Langkah Kerja:
1. Pengujian terkait penetapan Tim 0,5
konteks
2. Pengujian terkait identifikasi risiko Tim 0,5
3. Pengujian terkait analisis risiko Tim 0,5
4. Pengujian terkait evaluasi risiko Tim 0,5
5. Simpulan atas Pengujian Tim 0,5
Pengelolaan Risiko
B. Tujuan Audit (Rancangan
Pengendalian):
Untuk menilai kecukupan
rancangan pengendalian atas risiko-
risiko kunci telah efektif
menurunkan risiko sampai tingkat
yang dapat diterima dalam rangka
tercapainya tujuan.
Langkah Kerja:
1. Penetapan risiko yang dikendalikan Tim 0,5
2. Reviu atribut pengendalian Tim 2
3. Root Cause Analysys (RCA) Tim 2
4. Temuan Detail Rancangan Tim 0,5
Pengendalian (Simpulan)
C. Tujuan Audit (Implementasi
Pengendalian):
Untuk menilai apakah kegiatan
pengendalian telah
diimplementasikan secara efektif
dan efisien sesuai dengan
rancangan pengendalian yang telah
ditetapkan
Langkah Kerja:
1. Melakukan wawancara Tim 1
2. Melakukan observasi Tim 1
3. Melakukan Reperformance Tim 1
4. Simpulan Implementasi Tim 0,5
Pengendalian
D. Tujuan Audit (Pemantauan
Pengendalian):
Untuk menilai apakah kegiatan
pengendalian telah dimonitor secara
periodik oleh manajemen dalam
rangka menjamin bahwa proses
monitoring dilakukan secara
berkesinambungan dan berjalan
secara efektif.
1. Pengujian terkait Pemantauan Tim 0,5 188
-182-
Risiko
2. Pengujian terkait Komunikasi dan Tim 0,5
Konsultasi
E. Tujuan Audit (Pencapaian Tujuan
Interim):
Untuk menilai pencapaian tujuan
interim auditable unit sampai
dengan saat fieldwork, termasuk
proyeksi pencapaian tujuan sampai
dengan akhir periode.
Langkah Kerja:
1. Penilaian Capaian Tujuan/Kinerja Tim 0,5
Jumlah HP 13
(.................................... (....................................
.) .)
NIP NIP
................................ ................................
Disetujui
Pengendali Mutu
(...................................
.)
NIP...............................
.
202
189
-183-
Keterangan:
(1) Diisi nomor urut Risiko Inherent/Residual.
(2) Diisi pernyataan risiko yang merupakan risiko inherent (melekat)/residual (risiko yang tersisa
setelah manajemen mengambil tindakan untuk mengurangi dampak (impact) dan
kemungkinan/probabilitas (likelihood) dari suatu peristiwa buruk (adverse events), termasuk
aktivitas pengendalian dalam menanggapi risiko)
(3) Diisi nilai frekuensi atas kemungkinan kejadian risiko.
(4) Diisi nilai atas akibat terjadinya risiko, berupa dampak langsung dan signifikan serta paling
relevan dengan sasaran yang akan dicapai.
(5) Diisi hasil ukuran tingkatan risiko yang merupakan kombinasi probabilitas pada kolom 3
dengan dampak pada kolom 4.
(6) Diisi penyebab/akar masalah dari timbulnya risiko.
(7) Diisi tindakan/kegiatan yang diperlukan untuk mengatasi risiko. Pengendalian ini dikaitkan
dengan penyebab risiko (Existing Control yang masih dijalankan dan Kegiatan Mitigasi Risiko)
203
190
-184-
b. Penyebab
Uraikan/identifikasi penyebab timbulnya risiko. Dapat diisi lebih dari
satu penyebab. Cari penyebab langsung & utama atau akar masalah
dari kemungkinan kejadian/risiko. Penyebab ini akan menjadi acuan
rencana penanganan risiko. Dapat diambil dari Lampiran nomor 2
Huruf D.
c. Mitigasi Risiko
Uraikan/identifikasi tindakan/kegiatan yang diperlukan untuk
mengatasi risiko. Pengendalian ini dikaitkan dengan penyebab risiko.
Dapat diambil dari Lampiran nomor 2 Huruf D.
Keterangan:
Mitigasi risiko dapat diisi lebih dari satu.
204
191
-185-
d. Atribut Pengendalian
No. Bentuk Atribut Kecukupan Kelemahan yang ditemui
Mitigasi (optional)
Risiko
(1) (2) (3) (4)
1. ........................... ..................... .........................
............ ....
diisi jika diperlukan
diisi bentuk Cukup/sedan
nyata g/
pengendalian
kurang
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
keterangan:
Tingkat mitigasi pada kolom (3) merupakan:
1. kurang apabila pengendalian yang dirancang masih dibutuhkan
pengendalian lainnya atau tidak secara langsung memitigasi
risiko;
2. sedang apabila pengendalian yang dirancang belum sepenuhnya
mampu memitigasi risiko yang ada atau pengendalian yang ada
mampu memitigasi risiko namun pengendaliannya berlebihan
(terlalu banyak);
3. cukup apabila pengendalian yang dirancang telah memadai dalam
memitigasi risiko yang ada (cukup dengan kata lain tidak kurang
dan tidak berlebihan);
2. Risiko ..........................
3. Risiko ..........................
dst. .................................
205
192
-186-
Keterangan:
(1) : diisi nomor urut
(2) : diisi deskripsi risiko sesuai kolom 2 pada lampiran nomor 2 Huruf D
(3) : diisi alasan mengapa risiko sebagaimana kolom 2 bisa terjadi
(4) : diisi alasan mengapa penyebab sebagaimana kolom 3 bisa terjadi
(5) : diisi alasan mengapa penyebab sebagaimana kolom 4 bisa terjadi
(6) : diisi alasan mengapa penyebab sebagaimana kolom 5 bisa terjadi
(7) : diisi alasan mengapa penyebab sebagaimana kolom 6 bisa terjadi
(8) : diisi akar penyebab yang diambil dari penyebab terakhir dari kolom 3
sampai dengan kolom 7
(9) : diisi rancangan pengendalian yang dapat mencegah terjadinya akar
penyebab sebagaimana kolom 8
206
193
-187-
Level Risiko :
Deskripsi Temuan:
Uraikan daftar kelemahan atas atribut pengendalian sebagaimana lampiran nomor 2 huruf
E butir d dan uraikan hasil identifikasi penyebab oleh manajemen yang bukan merupakan
akar penyebab sebagaimana lampiran nomor 2 Huruf F
Akar Penyebab:
Identifikasi apa yang menjadi akar permasalahan/temuan (dapat diambil dari lampiran
nomor 2 huruf F
Risiko:
Rekomendasi:
Tanggapan Manajemen:
207
194
-188-
dan seterusnya....
208
195
-189-
Simpulan:
I. Kertas Kerja Hasil Observasi
Instansi/Unit : ............................ No. KKA : ............................
Pemeriksa
Nama Entitas : ............................
Ref. Program : ............................
Auditan Audit No.
Nama Satker : ............................
Disusun : ............................
Auditan oleh
Tahun/Masa : ............................
Tgl & Paraf : ............................
Audit Penyusun
Program : ............................
Direviu oleh : ............................
Kegiatan : ............................
Tgl & Paraf : ............................
Pereviu
Kertas Kerja Audit
Hasil Observasi/Inspeksi atas Implementasi Pengendalian
209
196
-190-
password, adanya
otorisasi input data,
adanya pengecekan
kelengkapan data,
adanya pengecekan
akurasi data, dll
Simpulan:
................................................................................................................................
.....
210
197
-191-
Obyek/Atribut Temuan
No Mitigasi
Pengendalian yang
Risiko Uraian Penyebab Dampak
Diuji
1 2 3 4 5 6
Keterangan:
(1) : diisi nomor urut
(2) : diisi nama pengendalian (mitigasi risiko)
(3) : diisi Obyek/Atribut Pengendalian yang Diuji
(4) : diisi uraian mengenai kelemahan atas pelaksanaan pengendalian
sebagaimana kolom 3
(5) : diisi penyebab/alasan kenapa temuan dapat terjadi
(6) : diisi risiko atas pengendalian utama sebagaimana kolom 2 pada
lampiran nomor 2 huruf D
211
198
-192-
Oleh Temuan
No Pengendalian Telah Caranya orang
Utama dijalankan tepat yang Uraian Penyebab Dampak
tepat
1 2 3 4 5 6 7 8
Nilai Risiko inilah yang selanjutnya digunakan untuk mengupdate register risiko
manajemen
Keterangan:
(1) : diisi nomor urut
(2) : diisi nama pengendalian utama
(3) : diisi hasil penilaian apakah pengendalian telah dilaksanakan
(4) : diisi hasil penilaian apakah cara pelaksanaan pengendalian telah tepat
(5) :diisi hasil penilaian apakah pengendalian telah dilaksanakan oleh
orang/pegawai/pejabat yang tepat
(6) : diisi deskripsi temuan
(7) : diisi penyebab temuan -186-
(8) : diisi dampak temuan terhadap tujuan kegiatan
Rencana Tindak yang disetujui
212
199
-193-
2 Dalam menetapkan
konteks, apakah unit kerja
mempertimbangkan baik
tantangan dan/atau
peluang?
213
200
-194-
pengelolaan risiko?
4 Apakah instansi
menentukan dan
mendokumentasikan risk
appetite dan risk
tolerance-nya terhadap
berbagai kondisi?
6 Apakah instansi
menentukan kriteria risiko
yang tepat yang selaras
(align) dengan
sasaran-sasarannya?
7 Apakah sasaran-sasaran
proyek/program individual
telah dipertimbangkan
sebagai bagian dari
konteks manajemen risiko?
214
201
-195-
sektor)?
Keterangan:
(1) ......
(2) ......
215
202
-196-
7 Apakah risiko
teridentifikasi dicatat
216
203
-197-
11 Ketika dilakukan
identifikasi risiko, apakah
unit kerja telah
mempertimbangkan
temuan-temuan dari hasil
audit, asesmen dan
evaluasi sebelumnya?
sebelumnya?
217
204
-198-
16 Adakah suatu
proses/sistem
notifikasi/komunikasi atas
risiko lintas sektoral
kepada stakeholder antar
Unit kerja?
Keterangan:
(1) ......
(2) ......
218
205
-199-
5 Apakah
pengendalian-pengendalian
dalam rangka pengelolaan
risiko secara rutin
dipantau?
219
206
-200-
Keterangan:
(3) ......
(4) ......
220
207
-201-
221
208
-202-
diperlukan perubahan
prioritas risiko yang
ditangani?
7 Apakah risiko-risiko
dievaluasi dengan
pertimbangan sebagai
bagian dari strategi dan
perencanaan operasional
instansi/unit kerja?
222
209
-203-
223
210
-204-
perubahan lingkungan
internal
dan/atau eksternal
instansi?
memfasilitasi pemantauan
risiko?
5 Apakah risiko-risiko
prioritas, existing control,
dan mitigasi tambahan
terkait telah direviu secara
rutin?
8 Apakah APIP
melaksanakan reviu secara
rutin atas proses-proses
manajemen risiko?
224
211
-205-
9 Apakah terdapat
proses-proses yang
digunakan untuk
meyakinkan jalannya
pemantauan dan pelaporan
risiko lintas unit kerja
(lintas sektor)?
10 Apakah terdapat
proses-proses yang
digunakan untuk
meyakinkan jalannya
pemantauan dan
pelaporan risiko tingkat
strategis instansi?
Keterangan:
(1) ......
(2) ......
225
212
-206-
2 Apakah kerangka
manajemen risiko
mendorong perbaikan
berkelanjutan melalui
pembelajaran dan inovasi?
3 Dalam kerangka
manajemen risiko, adakah
suatu proses untuk
menjamin
teridentifikasinya semua
stakeholder terkait?
5 Apakah terdapat
konsultasi atas
stakeholders kunci
sepanjang pelaksanaan
siklus manajemen risiko?
6 Apakah pandangan
stakeholder terkait atas
risiko menjadi
pertimbangan dalam
pelaksanaan manajemen
risiko?
226
213
-207-
227
214
-208-
Keterangan:
(1) ......
(2) ......
228
215
-209-
Tujuan: Menilai pencapaian tujuan interim auditable unit sampai dengan saat field work.
Simpulan atas ketercapaian tujuan/kinerja
No. Uraian Penjelasan
Keterangan:
1. Target kinerja/tujuan sampai dengan fieldwork (atau periode terdekat),
maksudnya adalah tujuan interim sampai saat tim pengawasan ke lapangan.
Misalnya, tim melaksanakan penugasan mulai tanggal 30 April 2019, jika
monitoring kinerja dilakukan bulanan, maka data kinerja yang dipakai adalah
bulan April, namun jika monitoring kinerja dilakukan triwulanan, maka
periode terdekat adalah triwulan I, yaitu kinerja sampai dengan 31 Maret
2019;
2. Jika data kinerja sudah tersedia secara real time, maka gunakan data terakhir
yang dapat diperoleh;
3. Data target sampai dengan field work (atau periode terdekat), diperoleh dari
data target kinerja yang disusun manajemen, contohnya adalah data
disbursement plan.
229
216
-210-
Tujuan: Menilai pencapaian tujuan interim auditable unit sampai dengan saat field
work, termasuk proyeksi pencapaian tujuan sampai dengan akhir periode.
Simpulan umum pengawasan intern berbasis risiko
230
217
LAMPIRAN
TAHAPAN PENGKOMUNIKASIAN
PENGAWASAN INTERN
218
231
Lampiran Petunjuk Pelaksanaan
Nomor 3
Tujuan: Menilai pencapaian tujuan interim auditable unit sampai dengan saat field work.
Simpulan atas ketercapaian tujuan/kinerja
% Simpulan
Capaian Target Capaian Capaian
Sasaran Indikator Kinerja/Tujuan Kinerja/Tujuan Kinerja Tujuan/Kinerja
No.
Strategis Kinerja/Tujuan Sampai dengan sampai dengan sampai sampai dengan
fieldwork fieldwork dengan fieldwork
fieldwork
1.
2.
3.
Tanda Tangan Tim Pengawas Tanda tangan pemilik risiko
ABC XYZ
NIP. XXXXXXXX XXXXXX X XXX NIP. XXXXXXXX XXXXXX X
XXX
219
232
B. Formulir Pengujian Kesesuaian Implementasi Pengendalian dengan
Rancangan
Nama Auditable Unit : (diisi dengan auditable unit baik berupa unit
maupun program/kegiatan)
Didiskusikan dengan :
Tanggal Diskusi :
Dilakukan
Oleh Temuan
No Pengendalian Telah Caranya orang
Utama dijalankan tepat yang Uraian Penyebab Dampak
tepat
1 2 3 4 5 6 7 8
Nilai Risiko inilah yang selanjutnya digunakan untuk mengupdate register risiko
manajemen
Keterangan:
(1) : diisi nomor urut
(2) : diisi nama pengendalian utama
(3) : diisi hasil penilaian apakah pengendalian telah dilaksanakan
(4) : diisi hasil penilaian apakah cara pelaksanaan pengendalian telah tepat
(5) :diisi hasil penilaian apakah pengendalian telah dilaksanakan oleh orang/pegawai/pejabat
yang tepat
(6) : diisi deskripsi temuan
(7) : diisi penyebab temuan
(8) : diisi dampak temuan terhadap tujuan kegiatan
ABC XYZ
NIP. XXXXXXXX XXXXXX X XXX NIP. XXXXXXXX XXXXXX X XXX
220
233
C. Formulir Simpulan Umum Pengawasan Intern Berbasis Risiko
Nama Auditable Unit : (diisi dengan auditable unit baik berupa unit
maupun program/kegiatan)
Didiskusikan dengan :
Tanggal Diskusi Dilakukan :
(Tujuan: Menilai pencapaian tujuan interim auditable unit sampai dengan saat field
work, termasuk proyeksi pencapaian tujuan sampai dengan akhir periode)
ABC XYZ
NIP. XXXXXXXX XXXXXX X NIP. XXXXXXXX XXXXXX X
XXX XXX
221
234
221
Simpulan proyeksi pencapaian tujuan/kinerja sampai dengan akhir periode,
disajikan sebagai berikut:
1. Jika kinerja/tujuan sampai dengan field work tidak tercapai (berdasarkan
simpulan pengujian atas ketercapaian tujuan – simpulan 1) dan secara umum
pengelolaan risiko organisasi belum efektif (berdasarkan assurance atas
efektivitas MR secara keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian
kinerja sampai dengan akhir periode berpotensi untuk gagal/tidak tercapai.
2. Jika kinerja/tujuan sampai dengan field work sudah tercapai (berdasarkan
simpulan pengujian atas ketercapaian tujuan – simpulan 1) namun secara umum
pengelolaan risiko organisasi belum efektif (berdasarkan assurance atas
efektivitas MR secara keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian
kinerja sampai dengan akhir periode berpotensi untuk terhambat.
3. Jika kinerja/tujuan sampai dengan field work sudah tercapai (berdasarkan
simpulan pengujian atas ketercapaian tujuan – simpulan 1) dan secara umum
pengelolaan risiko organisasi sudah efektif (berdasarkan assurance atas
efektivitas MR secara keseluruhan – simpulan 2,3,4, dan 5), maka pencapaian
kinerja sampai dengan akhir periode berpotensi untuk tercapai.
222
235
D. Formulir Template/Format Laporan Hasil Fasilitasi
INSTANSI APIP
KOP SURAT
Jalan ......... Nomor XX Kota......,1XXXX
INSTANSI
APIP Telepon 0XX-8XXXXXX (hunting), Faksimile 0XX-8XXXX
Email: apip@inst.go.id Situs:www.inspxyz.go.id
223
236
223
3. Peserta dan Metode Fasilitasi
Metode fasilitasi dapat dilaksanakan dengan metode workshop, survey dan
analisis manajemen.
Peserta yang mengikuti kegiatan fasilitasi meliputi …. (jumlah, latar belakang
peserta, dan sebagainya)
4. Kondisi sebelum fasilitasi.
(Bagian ini menguraikan kenapa instansi/unit kerja pada prosedur
rekonfirmasi menghasilkan level maturitas manajemen risiko rendah (level 1
dan 2) sebagai dasar dilaksanakannya fasilitasi untuk auditable unit dengan
maturitas manajemen rendah)
5. Proses Fasilitasi
a. Waktu, tempat, pelaksana kegiatan
(Diisikan periode fasilitasi, tempat penyelenggaraan fasilitasi dan diisikan
instansi/unit kerja yang melaksanakan kegiatan fasilitasi.)
b. Tahapan
(Bagian ini menguraikan tahapan fasilitasi. Dengan ringkasan masalah
sesuai Lampiran 1.)
6. Hasil fasilitasi
(Bagian ini menguraikan output fasilitasi yang idealnya berupa risk register
yang dihasilkan dari tahapan fasilitasi)
7. Hambatan pelaksanaan fasilitasi
(Bagian ini menceritakan hambatan yang dialami tim fasilitator selama
melaksanakan kegiatan fasilitasi)
8. Saran dan Rencana selanjutnya
(Bagian ini bercerita mengenai saran dari tim fasilitator kepada Unit
Kerja/Instansi dan menguraikan mengenai rencana selanjutnya tim fasilitator.
Adapun rencana selanjutnya dari manajemen atas saran tim fasilitator sesuai
tertuang dalam lampiran 2.)
Inspektur
…………………..
NIP. ……………………..
224
237
Lampiran 1 (jika dibutuhkan)
1. Ringkasan permasalahan dari 20 Lampiran tahapan fasilitasi (Diambil dari
lampiran Petunjuk Pelaksanaan Fasilitasi MR). Contoh:
Uraian
Formulir Tujuan Formulir
Permasalahan
1 2 3
1 Daftar kode risiko ditetapkan untuk memudahkan manajemen dalam 1. Belum
mengidentifikasi dan melacak risiko dalam risk register berdasarkan dibuat kode
lingkup risiko, tahun identifikasi, kategori risiko, unit kerja yang risiko
menilai, dan nomor urut di risk register 2. ........
10 Memastikan bahwa level dampak dalam skala likert, area dampak, dan
definisi area dampak pada tiap level dampak dan level unit kerja telah
ditetapkan secara kuantitaif
225
238
Uraian
Formulir Tujuan Formulir
Permasalahan
1 2 3
seluruh responden tersebut.
ABC XYZ
NIP. XXXXXXXX XXXXXX X XXX NIP. XXXXXXXX XXXXXX X
XXX
226
239
2. Rencana tindak lanjut auditi (atas 20 lampiran dan saran fasilitator). Contoh:
1 2 3 4
1 Belum dibuat Akan dibuatkan kodefikasi 1. Diskusi internal
kode risiko yang ditetapkan dengan 2. Pembuatan draft Keputusan
Keputusan Kepala K/L/D K/L/D
3. Penetapan Keputusan
Kepala K/L/D
2
ABC XYZ
NIP. XXXXXXXX XXXXXX X NIP. XXXXXXXX XXXXXX X
XXX XXX
227
240
E. Formulir Template/Format Laporan Hasil Pengawasan Lanjutan atas
Auditable Unit dengan Maturitas Manajemen Risiko Sedang
BAB I
RINGKASAN EKSEKUTIF
A. Pendahuluan
D. Simpulan Pengawasan
1. Hasil Audit Konvensional
(diisi dengan simpulan fakta pengawasan yang biasanya menyangkut
ketercapaian tujuan/kinerja, termasuk ketidakefisienan; ketidakefektifan;
pemborosan/ketidakhematan; pengeluaran yang tidak sepatutnya atau
pendapatan/ penerimaan yang tidak sebenarnya; Ketidaktaatan terhadap
peraturan perundang-undangan).
2. Efektifitas Pengendalian
Dari hasil pengawasan lanjutan, dapat kami simpulkan bahwa secara umum
risiko pada Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah
telah/sebagian/belum dikelola sampai pada tingkat yang dapat diterima
atau termasuk dalam tingkatan Dapat Diterima (Hijau)/ Mendapat
Perhatian (Kuning)/Tidak Dapat Diterima (Merah) dengan penjelasan
sebagai berikut:
228
241
a. Kecukupan rancangan pengendalian dalam mitigasi risiko termasuk dalam
tingkatan Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak
Dapat Diterima (Merah). Pengendalian telah/belum sepenuhnya/belum
mengurangi risiko sampai tingkat yang diterima
Atas hasil pengawasan intern, kami sarankan kepada Pimpinan Satuan Kerja
XYZ Kementerian/Lembaga/Pemerintah Daerah ABC agar:
1. Rekomendasi atas hasil audit konvensional
a.
b.
c.dst
2. Rekomendasi atas Efektifitas Pengendalian
a. Kecukupan rancangan pengendalian
1)
2)
3) dst
b. Efektifitas implementasi rancangan pengendalian
1)
2)
3) dst
3. Rekomendasi Hal-hal Lain yang Perlu Diperhatikan
(diisi dengan jadwal tindak lanjut atas penangan risiko dan pemantauannya)
229
242
BAB II
URAIAN HASIL PENGAWASAN
A. Data Umum
1. Dasar Penugasan
a) Peraturan Pemerintah Nomor 60 Tahun 208 tentang Sistem Pengendalian Intern
Pemerintah
b) Keputusan Presiden Nomor…tentang…Kementerian/Lembaga/Pemerintah Daerah
ABC
c) Keputusan Menteri Nomor …. tentang Program Kerja Pengawasan Tahunan
d) Keputusan Menteri Nomor …. tentang Piagam Audit
e) Surat Tugas Inspektur Jenderal Kementerian/Lembaga/Pemerintah Daerah ABC
Nomor...
(diisi dengan dasar penugasan pengawasan, antara lain Surat Tugas)
(diisi dengan tujuan pengawasan intern yaitu memberikan opini/pendapat antara lain
: ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan risiko;
kecukupan pengendalian dalam mitigasi risiko; tindakan pengendalian tambahan yang
diperlukan; efisiensi dan efektivitas pelaksanaan program/kegiatan)
(iisi dengan ruang lingkup/cakupan pengawasan intern atas kegiatan yang menjadi
obyek pengawasan dan periode kegiatan yang dilakukan pengawasan).
Tanggung jawab kami terbatas pada simpulan dan rekomendasi yang kami berikan,
sedangkan kebenaran data menjadi tanggungjawab pihak Manajemen Satuan Kerja
XYZ Kementerian/Lembaga/Pemerintah Daerah ABC.
5. Metodologi Pengawasan
230
243
2. Efektifitas Pengendalian
a) Kecukupan rancangan pengendalian
Atribut pengendalian pada rancangan pengendalian yang ditetapkan
manajemen dalam kerangka kerja manajemen risiko telah cukup/kurang
untuk menurunkan risiko sampai level yang dapat diterima. Adapun
masih terdapat risiko-risiko yang masih perlu mendapat perhatian, antara
lain sebagai berikut:
Level Risiko :
Deskripsi Temuan:
Akar Penyebab:
Risiko:
Rekomendasi:
Tanggapan Manajemen:
231
244
b) Efektifitas implementasi rancangan pengendalian
Dari …. risiko yang dilakukan pengujian, (tidak) terdapat risiko yang
memerlukan tindakan sesegera mungkin untuk memperbaiki kegagalan
signifikan. Adapun kelemahan-kelemahan atas implementasi atas
rancangan pengendalian, antara lain:
Oleh Temuan
No Pengendalian Telah Caranya orang
Utama dijalankan tepat yang Uraian Penyebab Dampak
tepat
1 2 3 4 5 6 7 8
232
245
Uraian lebih lanjut atas risiko yang belum dilakukan pengendalian/mitigasi
secara efektif sampai dengan tingkat yang dapat diterima dapat dilihat pada
isu-isu utama.
233
246
5. Simpulan Umum Pengawasan Intern
…
Sasaran yang berpotensi terhambat yaitu:
…
….
Sasaran yang berpotensi tidak tercapai yaitu:
….
…..
C. Lampiran :
1. Rencana Tindak Lanjut atas Hasil Pengawasan
2. …….
234
247
F. Formulir Template/Format Laporan Hasil Pengawasan Lanjutan atas
auditable unit dengan maturitas manajemen risiko tinggi
BAB I
RINGKASAN EKSEKUTIF
A. Pendahuluan
235
248
b. Kecukupan pengendalian dalam mitigasi risiko termasuk dalam tingkatan
Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak Dapat
Diterima (Merah). Pengendalian telah/belum sepenuhnya/belum
mengurangi risiko sampai tingkat yang diterima
c. Tindakan pengendalian tambahan yang diperlukan termasuk dalam
tingkatan Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak
Dapat Diterima (Merah). Tindakan telah/belum sepenuhnya/belum
diambil sesegera mungkin untuk memperbaiki kegagalan Signifikan.
d. Pemantauan atas efektifitas pengendalian atas risiko termasuk dalam
tingkatan Dapat Diterima (Hijau)/ Mendapat Perhatian (Kuning)/Tidak
Dapat Diterima (Merah).Tingkat Pemantauan saat ini telah/belum
sepenuhnya/belum memadai.
(diisi dengan simpulan tentang risiko dan penanganannya, serta
pemantauannya sesuai Panduan Penentuan Simpulan Pengawasan Intern)
236
249
a. Risiko dengan tingkatan Tidak Dapat Diterima (Merah)
1) Risiko…., belum dikelola secara efektif sehingga berpotensi
menghambat pencapaian sasaran…
2) Risiko…., belum dikelola secara efektif sehingga berpotensi
menghambat pencapaian sasaran…
3) dst
b. Risiko dengan tingkatan Mendapat Perhatian (Kuning)
1) Risiko…., belum dikelola secara efektif sehingga berpotensi
menghambat pencapaian sasaran…
2) Risiko…., belum dikelola secara efektif sehingga berpotensi
menghambat pencapaian sasaran…
3) Dst
Atas hasil pengawasan, kami sarankan kepada Pimpinan Satuan Kerja XYZ
Kementerian/Lembaga/Pemerintah Daerah ABC agar:
1. Ketepatan/kecukupan identifikasi, evaluasi dan pengelolaan/penanganan
risiko
a.
b.
c.dst
2. Kecukupan pengendalian dalam mitigasi risiko
a.
b.
c.dst
3. Tindakan pengendalian tambahan yang diperlukan
a.
b.
c.dst
4. Pemantauan atas efektifitas pengendalian atas risiko
a.
b.
c.dst
250
237
237
5. Ketercapaian kinerja/tujuan auditable unit
a.
b.
c.dst
6. Isu Utama dan Isu Tambahan
a.
b.
c.dst
Kami telah melakukan pembahasan hasil pengawasan dengan pihak
manajemen Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah ABC.
Pihak manajemen telah menyepakati hasil pengawasan intrn beserta
rekomendasi yang kami berikan, serta telah merancang Rencana Tindak Lanjut
yang akan dilaksanakan paling akhir … bulan setelah laporan hasil pengawasan
diterima.
(diisi dengan jadwal tindak lanjut atas penangan risiko dan pemantauannya)
238
251
BAB II
URAIAN HASIL PENGAWASAN
A. Data Umum
1. Dasar Penugasan
a) Peraturan Pemerintah Nomor 60 Tahun 208 tentang Sistem Pengendalian
Intern Pemerintah
b) Keputusan Presiden Nomor…tentang…Kementerian/Lembaga/Pemerintah
Daerah ABC
c) Keputusan Menteri Nomor …. tentang Program Kerja Pengawasan
Tahunan
d) Keputusan Menteri Nomor …. tentang Piagam Audit
e) Surat Tugas Inspektur Jenderal Kementerian/Lembaga/Pemerintah
Daerah ABC Nomor...
(diisi dengan dasar penugasan pengawasan intern, antara lain Surat Tugas)
2. Tujuan Pengawaan
Tanggung jawab kami terbatas pada simpulan dan rekomendasi yang kami
berikan, sedangkan kebenaran data menjadi tanggungjawab pihak
Manajemen Satuan Kerja XYZ Kementerian/Lembaga/Pemerintah Daerah
ABC.
(disi dengan tanggung jawab auditi dan Tim pengawasan)
239
252
5. Metodologi Pengawasan Intern
240
253
Parameter penerapan manajemen yang belum memadai yaitu:
a)
b)
d) dst
Kami sarankan kepada Pimpinan Satuan Kerja xxx
Kementerian/Lembaga/Pemerintah Daerah xxx agar:
a)
b)
d) dst
b) Kecukupan Pengendalian Dalam Mitigasi Risiko
Kecukupan pengendalian dalam mitigasi risiko telah mencapai Tingkatan
Dapat Diterima (Hijau)
Dari…..risiko yang dilakukan pengujian, seluruhnya telah dilakukan
pengendalian/mitigasi secara efektif sampai dengan tingkat yang dapat
diterima.
241
254
Dari….risiko yang dilakukan pengujian, terdapat ..risiko yang
memerlukan tindakan sesegera mungkin untuk memperbaiki kegagalan
signifikan, namun tindakan tersebut belum dilakukan.
242
255
2. Pengelolaan Risiko dan Dampaknya terhadap Pencapaian Sasaran
…..
3. Isu Utama
243
256
a. Rancangan mitigasi/pengendalian kurang sesuai, yaitu…(misal
tidak terdapat rancangan pengendalian yang relevan dengan
penyebab risiko)
b. Implementasi pengendalian tidak optimal dilakukan, yaitu…(misal
tidak sesuai jadwal, kurang dilakukan)
2) Risiko….
Risiko… merupakan risiko yang melekat pada proses bisnis
kegiatan….yang telah diidentifikasi oleh manajemen jika tidak dikelola
dengan memadai dapat menghambat pencapaian sasaran……..
Penyebab Risiko…. yang telah diidentifikasi oleh manajemen adalah…..
Manajemen telah menetapkan tingkat Risiko….termasuk sebagai risiko
dengan kategori …. dengan skor inherent risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
Atas Risiko….manajemen telah merancang mitigasi/pengendalian
risiko berupa……dan….. dengan jadwal pelaksanaan masing masing
adalah ….dan….
Dengan dirancang dan dilaksanakannya mitigasi/pengendalian
tersebut, manajemen menetapkan tingkat Risiko….termasuk sebagai
risiko dengan kategori …. dengan skor residual risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
244
257
b. Risiko dengan tingkatan Mendapat Perhatian (Kuning)
1) Risiko….
Risiko… merupakan risiko yang melekat pada proses bisnis
kegiatan….yang telah diidentifikasi oleh manajemen jika tidak dikelola
dengan memadai dapat menghambat pencapaian sasaran……..
Penyebab Risiko…. yang telah diidentifikasi oleh manajemen adalah…..
Manajemen telah menetapkan tingkat Risiko….termasuk sebagai risiko
dengan kategori …. dengan skor inherent risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
Atas Risiko….manajemen telah merancang mitigasi/pengendalian
risiko berupa……dan….. dengan jadwal pelaksanaan masing masing
adalah ….dan….
Dengan dirancang dan dilaksanakannya mitigasi/pengendalian
tersebut, manajemen menetapkan tingkat Risiko….termasuk sebagai
risiko dengan kategori …. dengan skor residual risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
2) Risiko….
Risiko… merupakan risiko yang melekat pada proses bisnis
kegiatan….yang telah diidentifikasi oleh manajemen jika tidak dikelola
dengan memadai dapat menghambat pencapaian sasaran……..
Penyebab Risiko…. yang telah diidentifikasi oleh manajemen adalah…..
Manajemen telah menetapkan tingkat Risiko….termasuk sebagai risiko
dengan kategori …. dengan skor inherent risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
Atas Risiko….manajemen telah merancang mitigasi/pengendalian
risiko berupa……dan….. dengan jadwal pelaksanaan masing masing
adalah ….dan….
Dengan dirancang dan dilaksanakannya mitigasi/pengendalian
tersebut, manajemen menetapkan tingkat Risiko….termasuk sebagai
245
258
risiko dengan kategori …. dengan skor residual risk sebesar …yang
diperoleh dari perkalian skor likelyhood sebesar…dan impact sebesar….
b)Risiko….
Risiko…terkait dengan sasaran strategis….
Hasil pengujian menunjukkan bahwa atas risiko tersebut telah dikelola
sampai dengan batas yang diterima, namun demikian tindakan tambahan
dapat dipertimbangkan untuk meningkatkan efisiensi dan pengendalian
yaitu…
246
259
Kami sarankan kepada Pimpinan Satuan Kerja XYZ
Kementerian/Lembaga/Pemerintah Daerah ABC agar:
1)
2)
3) dst
(Isu tambahan timbul dari risiko melekat yang dalam batas risiko yang telah
ditetapkan (oleh pimpinan instansi) dan oleh karena itu tidak mempengaruhi
pencapaian tujuan utama.Tindakan atas isu tambahan akan meningkatkan
pengendalian dan efisiensi
C. Lampiran :
1. Rencana Tindak Lanjut atas Hasil Pengawasan
2. …….
247
260
G. Formulir Template/Format Laporan Hasil Monitoring Tindak Lanjut
INSTANSI APIP
KOP SURAT
INSTANSI
Jalan ......... Nomor XX Kota......,1XXXX
APIP Telepon 0XX-8XXXXXX (hunting), Faksimile 0XX-8XXXX
Email: apip@inst.go.id Situs:www.inspxyz.go.id
Nomor : .................. ........... 20XX
Lampiran : ....... berkas
Hal : Hasil Pemantauan Tindak Lanjut atas
Hasil Pengawasan pada Unit Kerja XYZ
248
261
2. Simpulan
Hasil pemantauan tindak lanjut sebagai berikut:
a. Dari 6 (enam) rekomendasi hasil pengawasan, seluruhnya telah
ditindaklanjuti dengan tindakan manajemen, dan seluruh tindak
lanjut telah sesuai dengan rekomendasi,
b. Dari 3 (tiga) risiko dengan status kuning, seluruhnya telah berubah
menjadi satus hijau atau seluruhnya telah dikelola sampai dengan
tingkat yang dapat diterima.
Rincian tindak lanjut atas hasil pengawasan terlampir.
249
262
-243-
Lampiran
TINDAK LANJUT ATAS HASIL PENGAWASAN
No Pernyataan Risiko Status Risiko Rekomendasi Tindak Lanjut Kesesuaian Tindak Status Risikko
yang Belum Dikelola (Kuning/Merah) Hasil Audit yang Lanjut dengan Setelah Tindak Lanjut
sampai dengan Tingkat Menurut Hasil Dilakukan Rekomendasi (Hijau/Kuning/Merah)
Dapat Diterima Audit (Ya/Tidak)
1 2 3 4 5 6 7
263
250
BAB V
Penutup
251