CONTROL BASED (lama)

Audit dengan pendekatan control based  audit dilakukan dengan asumsi bahwa manajemen harus
menciptakan suatu pengendalian agar organisasi diyakini akan dapat mencapai tujuan. Proses audit
lebih difokuskan apakah pengendalian telah cukup dan apakah pengendalian telah dijalankan sesuai
rencana. Proses audit dilakukan untuk memastikan dan mengevaluasi bahwa segala sesuatunya
beroperasi sesuai dengan serangkaian kriteria yang ditentukan. Kriteria pengendalian digunakan untuk
melihat ke masa lalu untuk mengevaluasi apa yang telah terjadi sebelumnya.
Oleh karena itu, temuannya cenderung berupa penemuan dan pengungkapan atas pelanggaran
terhadap pengendalian (prosedur).
iIustrasi:
Tim Audit APIP melakukan audit PBJ terhadap suatu satker yang mempunyai 100 kegiatan di tahun
2018. Tujuan audit adalah audit kinerja, yaitu menilai efektifitas, efisiensi dan keekonomisan. Misal
auditor akan mengambil 3 sampel, yaitu Pengadaan ATK, Pengadaan Komputer dan pengadaan Genset.
Auditor melakukan pengujian atas pengendalian proses PBJ dan menemukan fakta-fakta sebagai
berikut:
Sampel 1. Pengadaan ATK  volume yang diterima tidak sesuai dengan volume kontrak (kurang
volume)
Sampel 2. Pengadaan komputer spesifikasi yang ditetapkan tidak memenuhi requirement minimal shg
tidak dapat digunakan sesuai tujuan.
Sampel 3. Pengadaan genset  terdapat markup harga akibat proses pbj yang tidak sesuai perpres,
antara lain penyusunan HPS yang tidak melakukan survey pasar dan hanya menggunakan standar harga
kepala daerah.
Temuan yang disusun: COMPLIANCE
Temuan 1. Kondisi: Terdapat kekurangan volume atas pengadaan ATK ....
Kriteria: Pasal ... kontrak, pasal 21 UU no 1/2004 dsb
Sebab: kelalaian PPK...
Akibat: Kerugian negara ....
Temuan 2. Kondisi: Terdapat Penyusunan spesifikasi Komputer yang tidak sesuai ....
Kriteria: Perlem LKPP no .....
Sebab: kelalaian PPK...
Akibat: Tidak efektif ....
Temuan 3. Kondisi: Terdapat penyusunan HPS yang tidak sesuai ....
Kriteria: Perlem LKPP no .....
Sebab: kelalaian PPK yg hanya nanya 1 calon penyedia … penyedia ...
Akibat: markup senilai ....

Simpulan: Temuan Control based bersifat parsial. Temuan atas 3 kondisi tersebut terpisah pisah, tidak
bisa digeneralisir untuk semuanya. Semua unsur temuan harus berupa FAKTA, bukan POTENSI. (misal
bendungan retak, bila diangkat temuan belum bisa karena belum ada akibat. Oleh karena itu masuk hal-
hal yang perlu diperhatikan...)
Bila rekomendasi telah dijalankan, tahun mendatang tidak ada jaminan yang kuat kondisi yang sama
tdk terjadi pada pengadaan lainnya.? Terjadi tapi dipakt yang berbeda
RISK BASED
Audit dengan pendekatan RISK based  audit dilakukan dengan asumsi bahwa manajemen harus
melakukan proses manajemen risiko atas ketidakpastian dimasa mendatang terhadap kemungkinan
terjadinya event yang dapat menyebabkn tujuan tidak tercapai. Proses audit lebih dititikberatkan
kepada aktivitas untuk menilai apakah risiko telah dikelola sampai dengan level yang dapat diterima.
Yang menjadi pertanyaan mungkin adalah bgm bila ternyata kematangan manajemen risiko auditee
ternyata masih naive atau aware sehingga RISK REGISTER belum ada.
Pendekatan kita yang lama adalah tidak bisa melakukan kegiatan assurance sehingga berubah menjadi
kegiatan mirip consulting dan bila tetap audit maka menggunakan pendekatan lain (konvensional). Nah
pendekatan yang baru sesuai Standar Audit Internal Pemerintah, harus sudah menggunakan Risk based.
Oleh karena itu, auditor bisa melakukan consulting dalam arti membantu manajemen menyusun Risk
Register (mamfasilitasi .. FGD, Kuesioner, Work Shop). Dan intinya, Risk Register tersebut harus
dikomunikasikan dan ditegaskan bahwa itu adalah tanggung jawab manajemen, bukan auditor.
Tahap 1. Perencanaan 2. Pelaksanaan 3. Komunikasi/pelaporan
Tahap perencanaan audit: (7 paha risiko kunci (bagi) eva (untuk) Uji Program SDM)
(1) 7 : TUJUAN AUDIT  misal audit kinerja maka tujuannya adalah 3 E
(2) Paha: Pahami Audite  Apa tujuan, sasaran dan bagaimana manajemen mencapai tujuan dan
sasaran
(3) Risiko: Identifikasi Risiko ... misal
Tujuan Risiko
Efisien Volume yang dibayar
melebihi volume yg diterima
Efektif 1. Spesifikasi dlm kontrak
tidak sesuai requirement
minimum
2. Spek yg diterima tdk
sesuai kontrak
3. Jumlah yg diadakan
kurang
4. Terlambat diterima
5. Salah lokasi

Ekonomis Markup harga kontrak (Harga

Satuan)

(4) Kunci: Identifikasi Pengendalian Kunci ... misal

Tujuan Risiko Pengendalian kunci
Efisien Volume yang dibayar PPK membuat BAST
melebihi volume yg diterima
Efektif Spesifikasi tidak sesuai  PPK yang ditunjuk harus
requirement minimum paham substansi (Bila tidak
harus dibantu oleh Tim
Ahli/Tim teknis
 Spesifikasi dikomunikasikan
dan disetujui oleh user
  Spesifikasi direviu oleh Tim
Ahli independen dan
kompeten
 Persetujuan Spek oleh
pejabat berwenang
Ekonomis Markup harga kontrak  PPK yang ditunjuk harus
paham substansi (Bila tidak
harus dibantu oleh Tim
Ahli/Tim teknis
 Harga satuan HPS disusun
sesuai hasil survey pasar
(dilengkapi bukti)
 HPS direviu oleh Tim Ahli
independen dan kompeten
 Persetujuan HPS oleh
pejabat berwenang

(5) Eva: Evaluasi Design Pengendalian  Kuat atau lemah

Kriteria Kuat  Ada SOP dlm kebijakan tertulis, secara logika mampu mencegah/memitigasi
risiko.
Kriteria Lemah  baru kenginan belum ada niyat serius (tdk ada SOP, tidak ada timnya/PIC dsb),
secara logika tidak mampu mencegah/memitigasi risiko. (misal: risiko motor
hilang dg pengendalian dikunci... maling bisa pakai kunci T...ilang)
Hasil evaluasi atas temuan:
a. Volume yang dibayar melebihi volume yg diterima: LEMAH
Apakah dengan BAST bisa mencegah?... tentu tidak. BAST bisa dibuat tanpa melihat fisik.
SOP tata cara dsb tidak ada
b. Spesifikasi tidak sesuai requirement minimum : KUAT
Secara logis langkah pengendalian dapat meminimalisasi risiko tsb. Yang berikutnya sudah
dibuktikan niyat bukan ingin, terlihat dengan adanya SK tim ahli tersebut, tupoksi, tata kerja
dsb.
c. Markup harga kontrak: KUAT
Secara logis langkah pengendalian dapat meminimalisasi risiko tsb. Yang berikutnya sudah
dibuktikan niyat bukan ingin, terlihat dengan adanya SK tim ahli tersebut, tupoksi, tata kerja
dsb.

(6) UJI : merancang rencana Pengujian

Design pengendalian Lemah  Tidak usah diuji pengendaliannya tapi langsung kepada
Risikonya. Apakah terjadi atau tidak dan dampaknya
Design pengendalian KUAT  Susun rencana untuk uji implementasi pengendalian, apakah
benar-benar dilaksanakan atau tidak, uji juga risikonya.
Bgm contoh caranya atas risiko di atas?
a. Volume yang dibayar melebihi volume yg diterima: LEMAH (krn lemah  Risiko &
dampak)
- Lakukan cek fisik/Konfirmasi volume pekerjaan (uji Risiko)
 b. Spesifikasi tidak sesuai requirement minimum : KUAT (kuat  implempentasi, risiko,
dampak)
- Lakukan wawancara dengan PPK, tim Ahli dan user (uji implementasi)
- Cek apakah ada tanda-tanda (jejak audit) bahwa tim ahli telah bekerja sesuai SOP serta
pejabat yang menyetujuinya.
- Lakukan cek fisik/Konfirmasi volume pekerjaan (uji Risiko)
c. Markup : KUAT
- Lakukan wawancara dengan PPK, tim Ahli dan user
- Cek apakah ada tanda-tanda (jejak audit) bahwa tim ahli telah bekerja sesuai SOP serta
pejabat yang menyetujuinya.
- Lakukan perbandingan harga kontrak VS harga pasar

Bgm rencana ujinya? .. misal sampel sama dg control base di atas

(DITAHAP PELAKSANAAN)
Risiko\ Sampel Pengadaan ATK Pengadaan Pengadaan Genset
Komputer
1. Volume yang Cek fisik/Konfirmasi Cek fisik/Konfirmasi Cek fisik/Konfirmasi
dibayar melebihi (kuning uji risiko)
volume yg diterima
(desain lemah)
2. Spesifikasi tidak - wawancara ... - wawancara ... - wawancara ...
sesuai requirement - Cek jejak (uji - Cek jejak - Cek jejak
minimum (desain implementasi) - cek fisik/Konfirmasi - cek fisik/Konfirmasi
kuat) - cek fisik/Konfirmasi
(uji risiko)
3. Markup harga - wawancara ... - wawancara ... - wawancara ...
kontrak - Cek jejak - Cek jejak - Cek jejak
- Harga VS Pasar - Harga VS Pasar - Harga VS Pasar

(7) Program : Buat PKA  rencana pengujian dibuat PKA (INI YG AKAN DI LAKUKAN PENGUJIAN di
TAHAP PELAKSANAAN)... dikumpulkan fakta dan dianalisis
(8) SDM : Alokasi SDM dan Waktu dlm PKA no 7

SINGKAT CERITA
Hasil audit tahap pelaksanaan sbb

Risiko\ Sampel Pengadaan ATK Pengadaan Pengadaan Genset

Komputer
Volume yang Vol Fisik < Vol Kontrak Vol Fisik = Vol Kontrak Vol Fisik < Vol Kontrak
dibayar melebihi Rugi 30% harga kontrak Rugi 0% harga kontrak Rugi 15% harga kontrak
volume yg diterima (kontrak volume 100,
cek fisik volume 70)
Spesifikasi tidak - SOP tidak - SOP dilaksanakan - SOP tidak
sesuai requirement dilaksanakan - dpt dimanfaatkan dilaksanakan
minimum - dpt dimanfaatkan - tidak dimanfaatkan
 Markup harga - SOP tidak - SOP tidak - SOP tidak
kontrak dilaksanakan dilaksanakan dilaksanakan
- markup 20% - markup 10% - markup 30%

TEMUAN...
Meski fakta hanya dari 3 sampel tersebut, simpulan dapat diagregasi ke populasi
Risiko\ Sampel Pengadaan ATK Pengadaan Pengadaan Rata-Rata
Komputer Genset
Volume yang X V X 66,6% Prob
dibayar melebihi Rugi 30% Rugi 0% Rugi 15% 15% Dampak
volume yg
diterima
Spesifikasi tidak X V X 66,6% Prob
sesuai Efektif Efektif Tidak efektif ... Dampak
requirement thdp TUJUAN
minimum
Markup harga X X X 99% Prob
kontrak - markup 20% - markup 10% - markup 30% 20% Dampak

TEMUAN:
1. Belum ada pengendalian untuk penerimaan volume pekerjaan yg efektif. Risiko Volume
yang dibayar melebihi volume yg diterima 66,66% terjadi atas 100 kegiatan pengadaan di
unit kerja, POTENSI dampak kerugian karena kelebihan bayar 15% dari nilai kontrak (misal
anggaran Rp 1 Triliun  POTENSI KERUGIAN 15% x 1 triliun)
2. Standar Operating Prosedur penetapan spesifikasi tidak dijalankan secara efektif. Risiko
Spesifikasi tidak sesuai requirement minimum 66,66% terjadi atas 100 kegiatan...
mengakibatkan capaian kinerja ... 80%
3. Standar Operating Prosedur penetapan HPS tidak dijalankan secara efektif. Markup harga
kontrak hampir terjadi untuk 100 kegiatan, potensi kerugian 20% dari nilai kontrak