Audit dengan pendekatan control based audit dilakukan dengan asumsi bahwa manajemen harus
menciptakan suatu pengendalian agar organisasi diyakini akan dapat mencapai tujuan. Proses audit
lebih difokuskan apakah pengendalian telah cukup dan apakah pengendalian telah dijalankan sesuai
rencana. Proses audit dilakukan untuk memastikan dan mengevaluasi bahwa segala sesuatunya
beroperasi sesuai dengan serangkaian kriteria yang ditentukan. Kriteria pengendalian digunakan untuk
melihat ke masa lalu untuk mengevaluasi apa yang telah terjadi sebelumnya.
Oleh karena itu, temuannya cenderung berupa penemuan dan pengungkapan atas pelanggaran
terhadap pengendalian (prosedur).
iIustrasi:
Tim Audit APIP melakukan audit PBJ terhadap suatu satker yang mempunyai 100 kegiatan di tahun
2018. Tujuan audit adalah audit kinerja, yaitu menilai efektifitas, efisiensi dan keekonomisan. Misal
auditor akan mengambil 3 sampel, yaitu Pengadaan ATK, Pengadaan Komputer dan pengadaan Genset.
Auditor melakukan pengujian atas pengendalian proses PBJ dan menemukan fakta-fakta sebagai
berikut:
Sampel 1. Pengadaan ATK volume yang diterima tidak sesuai dengan volume kontrak (kurang
volume)
Sampel 2. Pengadaan komputer spesifikasi yang ditetapkan tidak memenuhi requirement minimal shg
tidak dapat digunakan sesuai tujuan.
Sampel 3. Pengadaan genset terdapat markup harga akibat proses pbj yang tidak sesuai perpres,
antara lain penyusunan HPS yang tidak melakukan survey pasar dan hanya menggunakan standar harga
kepala daerah.
Temuan yang disusun: COMPLIANCE
Temuan 1. Kondisi: Terdapat kekurangan volume atas pengadaan ATK ....
Kriteria: Pasal ... kontrak, pasal 21 UU no 1/2004 dsb
Sebab: kelalaian PPK...
Akibat: Kerugian negara ....
Temuan 2. Kondisi: Terdapat Penyusunan spesifikasi Komputer yang tidak sesuai ....
Kriteria: Perlem LKPP no .....
Sebab: kelalaian PPK...
Akibat: Tidak efektif ....
Temuan 3. Kondisi: Terdapat penyusunan HPS yang tidak sesuai ....
Kriteria: Perlem LKPP no .....
Sebab: kelalaian PPK yg hanya nanya 1 calon penyedia … penyedia ...
Akibat: markup senilai ....
Simpulan: Temuan Control based bersifat parsial. Temuan atas 3 kondisi tersebut terpisah pisah, tidak
bisa digeneralisir untuk semuanya. Semua unsur temuan harus berupa FAKTA, bukan POTENSI. (misal
bendungan retak, bila diangkat temuan belum bisa karena belum ada akibat. Oleh karena itu masuk hal-
hal yang perlu diperhatikan...)
Bila rekomendasi telah dijalankan, tahun mendatang tidak ada jaminan yang kuat kondisi yang sama
tdk terjadi pada pengadaan lainnya.? Terjadi tapi dipakt yang berbeda
RISK BASED
Audit dengan pendekatan RISK based audit dilakukan dengan asumsi bahwa manajemen harus
melakukan proses manajemen risiko atas ketidakpastian dimasa mendatang terhadap kemungkinan
terjadinya event yang dapat menyebabkn tujuan tidak tercapai. Proses audit lebih dititikberatkan
kepada aktivitas untuk menilai apakah risiko telah dikelola sampai dengan level yang dapat diterima.
Yang menjadi pertanyaan mungkin adalah bgm bila ternyata kematangan manajemen risiko auditee
ternyata masih naive atau aware sehingga RISK REGISTER belum ada.
Pendekatan kita yang lama adalah tidak bisa melakukan kegiatan assurance sehingga berubah menjadi
kegiatan mirip consulting dan bila tetap audit maka menggunakan pendekatan lain (konvensional). Nah
pendekatan yang baru sesuai Standar Audit Internal Pemerintah, harus sudah menggunakan Risk based.
Oleh karena itu, auditor bisa melakukan consulting dalam arti membantu manajemen menyusun Risk
Register (mamfasilitasi .. FGD, Kuesioner, Work Shop). Dan intinya, Risk Register tersebut harus
dikomunikasikan dan ditegaskan bahwa itu adalah tanggung jawab manajemen, bukan auditor.
Tahap 1. Perencanaan 2. Pelaksanaan 3. Komunikasi/pelaporan
Tahap perencanaan audit: (7 paha risiko kunci (bagi) eva (untuk) Uji Program SDM)
(1) 7 : TUJUAN AUDIT misal audit kinerja maka tujuannya adalah 3 E
(2) Paha: Pahami Audite Apa tujuan, sasaran dan bagaimana manajemen mencapai tujuan dan
sasaran
(3) Risiko: Identifikasi Risiko ... misal
Tujuan Risiko
Efisien Volume yang dibayar
melebihi volume yg diterima
Efektif 1. Spesifikasi dlm kontrak
tidak sesuai requirement
minimum
2. Spek yg diterima tdk
sesuai kontrak
3. Jumlah yg diadakan
kurang
4. Terlambat diterima
5. Salah lokasi
(7) Program : Buat PKA rencana pengujian dibuat PKA (INI YG AKAN DI LAKUKAN PENGUJIAN di
TAHAP PELAKSANAAN)... dikumpulkan fakta dan dianalisis
(8) SDM : Alokasi SDM dan Waktu dlm PKA no 7
SINGKAT CERITA
Hasil audit tahap pelaksanaan sbb
TEMUAN...
Meski fakta hanya dari 3 sampel tersebut, simpulan dapat diagregasi ke populasi
Risiko\ Sampel Pengadaan ATK Pengadaan Pengadaan Rata-Rata
Komputer Genset
Volume yang X V X 66,6% Prob
dibayar melebihi Rugi 30% Rugi 0% Rugi 15% 15% Dampak
volume yg
diterima
Spesifikasi tidak X V X 66,6% Prob
sesuai Efektif Efektif Tidak efektif ... Dampak
requirement thdp TUJUAN
minimum
Markup harga X X X 99% Prob
kontrak - markup 20% - markup 10% - markup 30% 20% Dampak
TEMUAN:
1. Belum ada pengendalian untuk penerimaan volume pekerjaan yg efektif. Risiko Volume
yang dibayar melebihi volume yg diterima 66,66% terjadi atas 100 kegiatan pengadaan di
unit kerja, POTENSI dampak kerugian karena kelebihan bayar 15% dari nilai kontrak (misal
anggaran Rp 1 Triliun POTENSI KERUGIAN 15% x 1 triliun)
2. Standar Operating Prosedur penetapan spesifikasi tidak dijalankan secara efektif. Risiko
Spesifikasi tidak sesuai requirement minimum 66,66% terjadi atas 100 kegiatan...
mengakibatkan capaian kinerja ... 80%
3. Standar Operating Prosedur penetapan HPS tidak dijalankan secara efektif. Markup harga
kontrak hampir terjadi untuk 100 kegiatan, potensi kerugian 20% dari nilai kontrak