Mustofa Kamal

2020
1
 Salam Perkenalan
Nama : Mustofa Kamal, SE, MSAK, CFrA, CCMs
NIP : 19720601 199303 1001
Profesi atau Jabatan:
 Widyaiswara Ahli Madya BPKP
 Trainer Pengadaan, audit & manajemen risiko
 Peneliti dan Penulis dengan 38 karya tulis
 Core Founder “Emkacademy” dengan bisnis utama research, learning &
consulting bidang pengadaan & audit

Prestasi Yang Diraih:

: kamalopek.bpkp@gmail.com , emkapekacademy@gmail.com  Finalis 20 Award narasumber pengadaan nasional tahun 2020
 3 kali juara karya tulis tingkat nasional tahun 2018, 2019, 2020 di ajang yang berbeda:
: https://sites.google.com/view/emkacademy
https://djuanda.academia.edu/mustofakamal Prestasi Judul Paper Penyelenggara
Keterangan
publikasi
1. Juara 1 Lomba Karya Tulis Peran Aparat Pengawasan BPKP Tidak ada ikatan
Ilmiah 2020 di Ulang Tahun Intern Pemerintah (APIP) 12 Juni 2020 hak publikasi
Sertifikasi : Badan Pengawasan dalam Manajemen Risiko Fraud Jakarta dengan panitia
1. Certified goverment internal auditor trainer dari BPKP Keuangan dan Pembangunan Pengadaan era 4.0
(BPKP) ke-37, 2020
2. Certified government internal control system trainer dari BPKP
2. Juara 2 Call For Paper di The Government’s Internal Association of Certified Fraud Asia Pacific Fraud
3. Certified PNPM Mandiri Pedesaan Trainer dari Kemendagri-BPKP National Call for Paper Audit Planning Strategy In Examiner (ACFE) Indonesia Journal Volume 5,
Seminar ACFE Indonesia Preventing Corruption In The Chapter Nomor 1 (January-
4. Certified Procurement trainer dari LKPP Chapter , 2019 9 Juli 2019
Procurement Sector In The June) 2020
5. Certified Fraud Auditor (CFrA) dari BNSP Discovery Kuta Hotel,
Era Of Disruption (Mustofa
Denpasar, Bali
Kamal dan Nasarudin)
6. Certified Contract Management Specialist (CCMS) dari BNSP 3. Juara 1 Lomba Penulisan Peta Risiko Fraud PBJP: studi Ikatan Ahli Pengadaan Indonesia Jurnal
7. Certified civil servant candidates trainer dari LAN RI Pengadaan di Temu Nasional kasus prospektif dan (IAPI), & Lembaga Pengembangan Transformasi
Profesional Pengadaan dan retrospektif kebijakan Nasional (LPKN) Administrasi
Lomba Penulisan Pengadaan 30 Agustus 2018 Volume 09, Nomor
2018 Sunlike Hotel Jakarta 02 Tahun 2019

2
APIP sahabat Auditi,
Trusted Advisor

3
Agenda:
Maturitas SPIP

Kapabilitas APIP

Strategi Peningkatan Maturitas SPIP dan

Kapabilitas APIP
 Maturitas
SISTEM PENGENDALIAN INTERN PEMERINTAH
 Siklus
Penyelenggaraan
SPIP
 TAHAPAN PENYUSUNAN RTP

Persiapan Pelaksanaan Pelaporan

Survei Penjelasan konsep

Pendahuluan penyusunan RTP

Menyusun Penyusunan Profil

Finalisasi RTP
Program Kerja Risiko

Pembahasan Penyusunan RTP

Program Kerja

Hasil yang diharapkan: Dokumen RTP

 TAHAP PENYUSUNAN PROFIL RISIKO
Merumuskan
Mengidentifikasi Lingkungan Menilai risiko yang
tujuan dan sasaran Pengendalian yang dihadapi
diharapkan

Persiapan Persiapan
Persiapan

Identifikasi tujuan/
Asesmen awal
sasaran
Pemilihan tujuan
Validasi hasil Asesmen terhadap yang relevan
identifikasi lingkungan
tujuan/sasaran pengendalian

Konfirmasi tujuan/ Merumuskan Rencana Penilaian Risiko

Penguatan Lingkungan
sasaran Pengendalian
 Penyusunan RTP Yg ideal VS Yg
ada

Mengenali Mengevaluasi Membahas

pengendalian yang Pengendalian yang Celah/gap
ada/ terpasang ada/ terpasang Pengendalian

Infrastruktur
Pengendalian yeng Membahas Infokom RTP
dibutuhkan
Common sense ‘evaluasi pengendalian’

(Pengendalian yang ideal - pengendalian yg ada) ≥ 1

Berarti; Butuh tambahan pengendalian

(Pengendalian yang ideal - pengendalian yg ada) < 1

• Jika 0, maka berarti memadai
• Jika minus, maka berarti butuh revisi pengendalian; bisa
dikurangi & atau modifikasi
 • Ada praktik • Ada praktik • Ada praktik • Menerapkan
Pengendalian Pengendalian Pengendalian PI yang
• Ada
Intern Intern Intern yang terintegrasi
kebijakan & • Tidak • Terdokument efektif dan
prosedur •
terdokumenta asi dg baik Evaluasi berkelanjutan
Pengendalian • •
si dengan Evaluasi atas formal, Pemantauan
Belum • Masih ad hoc
baik PI telah berkala dan otomatis
Memiliki dan tidak • Pelaksanaan dilakukan terdokumenta menggunakan
Kebijakan terorganisasi
tergantung walaupun si aplikasi
dan Prosedur • Tanpa
individu blm komputer
komunikasi • Efektivitas terdokumenta
LEVEL 0 dan LEVEL 4
LEVEL 1 belum
LEVEL 2 siLEVEL
dg baik3 LEVEL 5
Belum pemantauan Terkelola &
Rintisan dievaluasi
Berkembang Terdefinisi Optimum
Ada Terukur

Penyusunan Pengkomunikasia Implementasi

Evaluasi formal, Pemantauan dan
Kebijakan dan n Kebijakan dan Kebijakan dan
berkala, dan Pengembangan
Prosedur Prosedur Prosedur &
terdokumentasi berkelanjutan
dokumentasi 11
 Contoh:
Dinas ABC telah memiliki Pedoman
Penilaian Risiko. Pada saat dilakukan
penilaian maturitas SPIP, Dinas ABC
telah memiliki Daftar Risiko. Tim
juga menjumpai dokumen tentang
proses sosialisasi Penilaian Risiko di
lingkungan Dinas ABC. Belum
dijumpai adanya dokumen yang
mendukung adanya evaluasi
terhadap proses penyusunan daftar
risiko

Pertanyaannya :
Apa Sub Unsur ?
Tingkat Maturitas ?
 Posisi contoh

• Ada praktik • Ada praktik • Ada praktik • Menerapkan

Pengendalian Pengendalian Pengendalian PI yang
• Ada
Intern Intern Intern yang terintegrasi
kebijakan & • Tidak • Terdokument efektif dan
prosedur •
terdokumenta asi dg baik Evaluasi berkelanjutan
Pengendalian • •
si dengan Evaluasi atas formal, Pemantauan
Belum • Masih ad hoc
baik PI telah berkala dan otomatis
Memiliki dan tidak • Pelaksanaan dilakukan terdokumenta menggunakan
Kebijakan terorganisasi
tergantung walaupun si aplikasi
dan Prosedur • Tanpa
individu blm komputer
komunikasi • Efektivitas terdokumenta
LEVEL 0 dan LEVEL 4
LEVEL 1 belum
LEVEL 2 siLEVEL
dg baik3 LEVEL 5
Belum pemantauan Terkelola &
Rintisan dievaluasi
Berkembang Terdefinisi Optimum
Ada Terukur

Penyusunan Pengkomunikasia Implementasi

Evaluasi formal, Pemantauan dan
Kebijakan dan n Kebijakan dan Kebijakan dan
berkala, dan Pengembangan
Prosedur Prosedur Prosedur &
terdokumentasi berkelanjutan
dokumentasi

13
KAPABILITAS APIP
 PENINGKATA
KAPABILITAS ELEMEN N
APIP KAPABILITAS
Peran &
APIP
Layanan

Pengelolaan
Kemampuan untuk SDM
melaksanakan tugas-tugas
Praktik Upaya memperkuat,
pengawasan yang terdiri
Profesional meningkatkan ,
dari tiga unsur yang saling
Akuntabilitas &
mengembangkan
terkait yaitu kapasitas,
Manajemen kelembagaan, tata
kewenangan, dan
Kinerja laksana/ proses bisnis/
kompetensi SDM APIP agar
Budaya & manajemen dan SDM APIP
dapat mewujudkan peran Hubungan
APIP yang Efektif Organisasi
Struktur Tata
Kelola
 TINGKAT
KAPABILITAS
API P
 Praktik
Pimpinan APIP
Profesional
aktif di organisasi Hubungan Independensi,
APIP diakui berkelanjutan; Laporan
LEVEL 1 profesi;
efektivitas APIP berjalan efektif kemampuan, dan
sebagai Agen
Optimizing dan terus menerus kewenangan
Perubahan APIP memiliki kepada publik
Proyeksi Tenaga/ penuh APIP
Perencanaan
Tim Kerja
Strategis
APIP kontribusi Pimpinan APIP Pengawasan
pengemb manjm; mampu inndependen thd
Strategi Audit Penggabungan
Jaminan kegiatan APIP;
LEVEL 4 APIP mendukug
memanfaatkan ukuran kinerja memberikan saran
menyeluruh atas dan Laporan pimpinan
Managed Manajemen kualitatif dan
TKMRPI OP; mempengaruhi APIP kpd
Risiko organisasi kauntitatif
Perencanaan manajemen Pimpinan tertinggi
tegana/ Tim Kerja organisasi
Koordinasi dg
Membangun tim Informasi Kinerja; Pengawasan
Layanan Kualitas Kerangka pihak lain yg
& kompetensi; memberi saran; manajemen thd
Konsultasi ; Kerja Manajemen;
LEVEL 3 Pegawai Informasi Biaya; kegiatan APIP;
Integrated berkualifikasi Komponen
Audit kinerja/ Perencanaan Audit
prof; Pelaporan Mekanisme
Program Evaluasi Berbasis Risiko manajemen tim
Koordinasi Tim Manajemen APIP pendanaan
yang integral
Kerangka Kerja Akses penuh thd
Pengembangan Anggaran
Prakt. Prof. & informasi
profesi individu; Operasional
proses; organisasi, aset
LEVEL 2 Perencanaan
kegiatan APIP; Pengelolaan
Audit ketaatan organisasi APIP dan SDM;
Infrastructure Identifikasi &
Pengawasan berd Hubungan
Rekrutmen SDM Perencanaan
Prioritas pelaporan telah
yg Kompeten kegiatan APIP
manajemen terbangun

LEVEL 1 Ad hoc dan tidak terstruktur, tidak memiliki area proses kunci yang spesifik
Initial

Akuntabilitas Budaya dan

Peran dan Pengelolaan Praktik Struktur Tata
& Man Hub
Layanan SDM Profesional Kelola
Kinerja Organisasi
PROSES PENINGKATAN KAPABILITAS

BPKP
PEMBANGUNAN
KPA SESUAI AOI
CONTOH ASSESSMENT
 KONDISI KAPABILITAS APIP LEVEL 3 (PER TRW II JUNI 2017)
Level 3

Peran & Layanan 30 Peran & Layanan

Pengelolaan SDM 23

Praktik Profesional 7 30
Struktur Tata Kelola Pengelolaan SDM
Akuntabilitas &
Manajemen Kinerja 26
Budaya & 24 23

Hubungan 48
Organisasi 7

Struktur Tata
Kelola 24
48
26

Budaya & Hubungan Organisasi Praktik Profesional

Akuntabilitas & Manajemen Kinerja

Populasi Inspektorat KLP : 628 Unit

 Contoh:
Setiap tahun, Inspektorat Kabupaten ABC
menyusun rencana kerja pengawasan
tahunan. Dalam menyusun perencanaan
tersebut, Inspektorat ABC mengembangkan
strategi pengawasan mencakup area yang
dianggap manajemen memiliki risiko tinggi
berdasarkan hasil manajemen risiko organisasi
keseluruhan

Pertanyaannya :
Elemen apa ?
Tingkat kapabiliitas ?
 ntoh
is i co
Pos

TINGKAT
KAPABILITAS
API P
STRATEGI PENINGKATAN
MATURITAS SPIP &
KAPABILITAS APIP
 KAPABILITAS APIP DAN SPIP

Lingkungan
Lingkungan Informasi
Informasi &
&
Penilaian Risiko Kegiatan Pengendalian Pemantauan
Pengendalian
Pengendalian Komunikasi
Komunikasi

Penegakan Pemantauan
Identifikasi Risiko Reviu kinerja Informasi
Integritas dan Etika berkelanjutan

Komitmen thd Pembinaan SDM Komunikasi Efektif Evaluasi terpisah

Analisis Risiko
Kompetensi

Kepemimpinan yg Pengendalian
kondusif Sistem Informasi

Struktur organisasi Pengendalian fisik

sesuai kebutuhan aset

Delegasi wewenang Penetapan & riviu

& tanggung jwb indikator

Kebijakan Pemisahan fungsi

pembnaan SDM
Kapabilitas Peran APIP yang Otorisasi
efektif
APIP Hubungan kerja yg
baik Pencatatan

Pembatasan akses

Akuntabilitas

Dokumentasi SPI
 Praktik
Pimpinan APIP
Profesional
APIP diakui aktif di organisasi Hubungan Independensi,
berkelanjutan;
berkelanjutan; Laporan
LEVEL 1 sebagai Agen profesi;
efektivitas APIP berjalan efektif kemampuan, dan
Optimizing Perubahan dan terus menerus kewenangan
APIP memiliki kepada publik
Proyeksi Tenaga/ penuh APIP
Perencanaan
Tim Kerja
Strategis
APIP kontribusi Pimpinan APIP Pengawasan
pengemb manjm; mampu inndependen thd
Strategi Audit Penggabungan
Jaminan kegiatan APIP;
LEVEL 4 APIP mendukug
memanfaatkan
memanfaatkan ukuran kinerja memberikan saran
menyeluruh atas dan Laporan pimpinan
Managed Manajemen
Manajemen kualitatif dan
TKMRPI OP; mempengaruhi APIP kpd
Risiko
Risiko organisasi
organisasi kauntitatif
Perencanaan manajemen Pimpinan tertinggi
tegana/ Tim Kerja organisasi
Koordinasi dg
Membangun tim Informasi Kinerja; Pengawasan
Layanan Kualitas
Kualitas Kerangka
Kerangka pihak lain yg
& kompetensi; memberi saran; manajemen thd
Konsultasi ; Kerja
Kerja Manajemen;
Manajemen;
LEVEL 3 Pegawai Informasi Biaya; kegiatan APIP;
Integrated berkualifikasi Komponen
Audit kinerja/ Perencanaan
Perencanaan Audit
Audit
prof; Pelaporan Mekanisme
Program Evaluasi Berbasis
Berbasis Risiko
Risiko manajemen tim
Koordinasi Tim Manajemen APIP pendanaan
yang integral
Kerangka Kerja Akses penuh thd
Pengembangan Anggaran
Prakt. Prof. & informasi
profesi individu; Operasional
proses; organisasi, aset
LEVEL 2 Perencanaan
kegiatan APIP; Pengelolaan
Audit ketaatan organisasi APIP dan SDM;
Infrastructure Identifikasi &
Pengawasan berd Hubungan
Rekrutmen SDM Perencanaan
Prioritas pelaporan telah
yg Kompeten kegiatan APIP
manajemen terbangun
HUBUNGAN PENERAPAN
LEVEL 1 SPIP & MANAJEMEN
Ad hoc dan tidak terstruktur, tidak memiliki area proses kunci yang spesifik
Initial RISIKO DENGAN
KAPABILITAS APIP
Akuntabilitas Budaya dan
Peran dan Pengelolaan Praktik Struktur Tata
& Man Hub
Layanan SDM Profesional Kelola
Kinerja Organisasi
PERAN APIP (PP 60/2008 PSL 11)
1. memberikan keyakinan yang memadai atas ketaatan, kehematan, efisiensi, dan
efektivitas pencapaian tujuan penyelenggaraan tugas dan fungsi Instansi
Pemerintah (audit kinerja);
2. memberikan peringatan dini dan meningkatkan efektivitas manajemen risiko
dalam penyelenggaraan tugas dan fungsi Instansi Pemerintah (asistensi dan audit
berbasis risiko); dan
3. memberikan masukan yang dapat memelihara dan meningkatkan kualitas tata
kelola penyelenggaraan tugas dan fungsi Instansi Pemerintah (consulting
activities).  
KAPABILITAS APIP PADA SPIP

Lingkungan Informasi &

Penilaian
Penilaian Risiko
Risiko Kegiatan
Kegiatan Pengendalian
Pengendalian Pemantauan
Pemantauan
Pengendalian
Pengendalian Komunikasi
Komunikasi

Penegakan Pemantauan
Identifikasi Risiko Reviu kinerja Informasi
Integritas dan Etika berkelanjutan

Komitmen thd Pembinaan SDM Komunikasi Efektif Evaluasi terpisah

Analisis Risiko
Kompetensi

Kepemimpinan yg Pengendalian
kondusif Sistem Informasi

Struktur organisasi Pengendalian fisik

sesuai kebutuhan aset

Delegasi wewenang Penetapan & riviu

& tanggung jwb indikator

Kebijakan Pemisahan fungsi

pembnaan SDM

Peran APIP yang

efektif Otorisasi

Hubungan kerja yg
baik Pencatatan

Pembatasan akses

Akuntabilitas

Dokumentasi SPI
 PENILAIAN RISIKO

Karakteristik Level 3

Organisasi/ unit-organisasi/unit
Area Perubahan Karakteristik Level 2
kerja telah memiliki daftar
Kebijakan/pedoman penilaian
risiko atas kegiatan utama yang
Identifikasi risiko (identifikasi risiko) telah
ditetapkan secara formal oleh
Risiko dikomunikasikan kepada
pimpinan organisasi/ unit-
pegawai yang berkepentingan di
organisasi.
organisasi/unit organisasi/unit
kerja. Karakteristik Level 3

Karakteristik Level 2 Organisasi/unit organisasi/unit

Area Perubahan
kerja telah memiliki rencana
Pedoman penilaian risiko (analisis
tindak pengendalian/rencana
risiko) telah dikomunikasikan
penanganan risiko atas kegiatan
Analisis Risiko kepada pegawai yang
utama yang ditetapkan secara
berkepentingan di organisasi/unit
formal oleh pimpinan
organisasi /unit kerja.
organisasi/unit organisasi.
 PEMANTAUAN
Karakteristik Level 3

Setiap level pimpinan di unit

organisasi/ unit kerja telah melakukan
Karakteristik Level 2
Area Perubahan
pemantauan berkelanjutan atas
Strategi/ kebijakan / prosedur efektivitas kegiatan pengendalian pada
Pemantauan pemantauan berkelanjutan telah tingkat entitas dan tingkat kegiatan
1
Berkelanjutan dikomunikaskan kepada (seluruh kegiatan) dengan melibatkan
manajemen dan pegawai yang manajemen dan seluruh personil
berkepentingan. pelaksana kegiatan.
Karakteristik Level 3

Karakteristik Level 2
Area Perubahan Organisasi/ unit-organisasi /
Kebijakan/pedoman/ prosedur unit kerja telah melakukan
untuk melakukan evaluasi evaluasi pengendalian intern
2
Evaluasi pengendalian intern secara terpisah secara terpisah dengan
Terpisah telah dikomunikaskan kepada melibatkan manajemen dan
manajemen dan pegawai yang pegawai terkait yang
berkepentingan. berkompeten.
HUBUNGAN KAPABILITAS APIP
DAN MATURITAS SPIP
Peran Layanan –
Asistensi Penilaian
Risiko
Asistensi
Penyusunan Kebijakan
Penilaian Risiko dan RTP

Skor 3 Evaluasi Skor 3 utk Unsur

Terpisah dalam Penilaian Risiko
Mat SPIP dlm Mat SPIP

Peran Layanan dan

Skor 3 Peran APIP Praktik Profesional
dlm Mat SPIP (PKPT dan Audit
berbasis risiko)
 Pengertian Beberapa Istilah

• Audit Berbasis Risiko

• Perencanaan Audit Berbasis Risiko
• Enterprise Risk Management
DEFINISI ABR
(MENURUT IIA)
Sebuah metodologi yang
menghubungkan audit internal
dengan seluruh kerangka
manajemen risiko yang
memungkinkan proses audit
internal mendapatkan
keyakinan memadai bahwa
manajemen risiko organisasi
telah dikelola dengan memadai
sehubungan dengan risiko yang
dapat diterima (risk appetite).

33
TAHAPAN ABR

• gambaran sejauh Periodic Audit • melaksanakan

mana dewan dan Planning audit berbasis
manajemen risiko individu
menentukan, • memberikan
menilai, mengelola • mengidentifikasi
dan memantau penugasan audit jaminan
risiko • menghasilkan
• indikasi keandalan annual audit
daftar Assessing
risiko Individual
risk plan Audit
maturity
Assignment

34
AUDIT STRATEGY
Strategi Audit (Naive)
- Laporkan tidak ada manajemen
risiko formal
- Laksanakan penugasan bersifat
konsultatif pembangunan MR
- Perencanaan audit dengan

R is k N a iv e
Strategi Audit (Enabled) Strategi audit (Aware):
- Perencanaan audit - Laporkan MR yang lemah
berdasar MR - Laksanakan penugasan
- Penugasan assurans atas konsultasi MR
proses dan mitigasi MR Apa tingkat Risk Aware - Perencanaan audit
- Penugasan konsultasi Risk Enabled berdasar model tradisional
kematangan - - Penugasan assurans
berdasar kebutuhan
risiko dengan pendekatan
organisasi？ pengendalian

Strategi Audit (Defined):

Strategi Audit (Managed) - Laporkan Kekurangan MR
- Perencanaan audit - Laksanakan penugasan
berdasar MR konsultatif untuk menambal
- Penugasan assurans atas kekurangan
proses dan mitigasi MR - Perencanaan audit berdasar
- Penugasan konsultasi atas risiko
untuk memperbaiki MR - Penugasan asurans atas proses
MRdan pengendalian
35
RBIA

36
Bagaimana agar bisa
menjadi
terpercaya?

37
 pasca
Peran
pra APIP diti
au Internal auditing is an independent, objective
GRC assurance and consulting activity designed to
add value and improve an organization's
operations. It helps an organization accomplish its
objectives by bringing a systematic, disciplined
approach to evaluate and improve the effectiveness
of risk management, control, and governance
PENGERTIAN processes.
INTERNAL AUDIT (The Institute of Internal Auditor’s)

38
1. Jika dalam PKPT APIP berisi rencana penugasan assurance
semua, maka apakah good PKPT tsb?

39
 140
Responden
(kamal, 2020)

Peran APIP yg paling dibutuhkan

SURVAI AUDITAN;
Peringkat harapan auditan tentang peran APIP

39 responden

Sumber: respon di google form, September 2018 40

1. …
2. Jika dalam penugasan audit; objek yang ditelaah/dikaji
mayoritas proses setelah DIPA/DPA sd selesai pekerjaan,
maka apakah sudah good ?

41
 SURVAI AUDITAN; 39
RESPONDEN
Peringkat permasalahan manajemen auditan

Sumber: respon di google form, September 2018 42

43
SALAH SATU CONTOH GAMBARAN:
PERAN APIP DLM MENINGKATKAN
OPERASI ORGANISASI if)
osit
p
uan
m
19 i (te
0 st as
di t2 re
u P audit
A

n
ka
ai
rb
audit

pe
ank
ai
rb
pe
audit
rja n
ka

ne
ai

i
rb

K
pe

i t
aud

2017 2018 2019 2020

44
 Contoh Risk Based Audit
Capaian Fisik Kontrak
Auditor focus pada:
Ada risiko apa di jalur utk capai tujuan?
Bagaimana kendalinya?
Pendekatannya: Contoh Control
Pengendalian Kontrak:
• Identifikasi Tujuan, Telaah level risiko Based Audit
1. Tandatangan Kontrak
• Pengendalian sesuai risiko? Auditor focus pada:
• Jika pengendalian KO, mk apa yg perlu dimodif? 2. SPMK / SP
3. Rapat Persiapan Pelaksanaan pengendalian berjalan atau
• Apakah ada konsekuensi substansi atas
pengendalian yg KO? Kontrak tidak?
di f
bs d i mo 4. Mobilisasi Pendekatan praktik auditnya:
a - ,
Ji k • Identifikasi pengendalian
5. Pelaksanaan kontrak
risiko 6. Kendali fisik & Pembayaran di klausul kontrak
7. Pemberlakuan Sanksi • Uji capaian fisik kontrak
8. Perselisihan Kontrak • Jika fisik tidak tercapai,
Jika - , bs dimodif maka apa sanksinya?
9. Pemeliharaan
Risk based audit:
1. Apa tujuannya, Ada risiko apa? Control based audit:
Bgmn level risikonya? 1. Ada pengendalian apa?
Risiko 2. Bgmn design pengendaliannya? 2. Bgmn praktik pengendaliannya?
ditoleransi 3. Bgmn praktik pengendaliannya?
45
 PKA Risk
Program Kerja Probity Audit: Based Audit
A. Evaluasi Desain Pengendalian
Perencanaan tidak sesuai kebutuhan riel karena 1. Telaah level risiko & kebutuhan
Data dukung tdk mutakhir (kode RTKebut) pengendalian yg ideal sesuai level risiko
butuh pengendalian: tsb
Level likelihood= sangat pencegahan 2. Buat matrik prosedur (yg telah ada di
tinggi deteksi peraturan/perpres) sesuai hasil langkah 1
Level impact = sangat besar &/mitigasi 3. Analisis gap pengendalian dari hasil
matrik tsb
4. Simpulkan hasil evaluasi pengendalian
Contoh
likelihood B. Uji implementasi Pengendalian PKA Control based audit
1. Rancang kuesioner/ceklist utk uji implementasi desain pengendalian
(prosedur yg telah ada/perdir/perpres. Jika risk based, maka PLUS
deteksi RTKebut
tambahan design pengendalian yg diperlukan) & terapkan
cegah 2. Lakukan analisis atas perbedaan antara desain dg implementasinya
3. Gunakan data analytics sesuai kebutuhan audit
4. Lakukan permintaan keterangan kpd pihak “yg netral, yg terkait, yg
Ri
sk kemungkinan jaringan pelaku, & pelaku”
A
pp 5. Lakukan pengujian fisik sesuai kebutuhan audit
RT

et
it e
K

6. Simpulkan hasil uji implementasi/praktik pengendalian

eb
ut

impact pd tujuan PBJ

46
Tahapan Audit Berbasis Pengendalian
PEMAHAMAN
ORGANISASI DAN
1) SISTEM
PENGENDALIAN
INTERN

Control Pengujian
2) Pengendalian
Based
Audit
3) Validasi Bukti

4)
Penyusunan Simpulan
47
PENYUSUNAN PKPT
Start
ML : Maturity Level
RM : Risk management
RR : Risk Register
Menilai ML
RM

ML T Penyusunan Scoring Auditable Menyusun

≥3 Risk Factor Risk Factor Unit PKPT

Grouping Auditable Menyusun

Filtering RR PKPT
RR Unit
PENILAIAN TINGKAT KEMATANGAN RISIKO TIAP AUDITABLE UNITMenilai ML RM

No Uraian Skor (0 - 2)
1 Tujuan organisasi terdokumentasi dan dipahami dengan baik
2 Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut
3 Proses identifikasi risiko telah ditetapkan dan dipatuhi
4 Sistem skoring untuk penilaian risiko telah ditetapkan
5 Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan
6 Respon atas risiko telah ditetapkan dan diimplementasikan
7 Risk appetite telah ditetapkan dengan sistem skoring
8 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register
Manajemen telah menetapkan model pemantauan atas proses, respon dan
9
action plan risiko.
10 Risk register diupdate secara periodik
Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum
11
ditekan pada tingkat yang dapat diterima
12 Kegiatan yang bersifat proyek/program selalu dinilai risikonya
Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya
13
termasuk dalam uraian tugas dan tanggung jawab pegawai.

14 Manajer memberikan jaminan efektifitas pengelolaan risiko

15 Setiap manager dinilai kinerjanya dalam mengelola risiko
49
Jumlah
 Daftar Risiko

Risk Naive Risk Enabled

Taksir
Risk Aware Tkt. Risk Managed
Maturitas

Risk Define

Fasilitasi Identifikasi Daftar Risiko

Diperbaiki Risiko yang Dipakai
Risiko

Audit Universe
Risiko yang Didalami
dalam Audit

Risiko & Audit

Universe Pertanggung
Rencana Audit jawaban hasil audit

Pelaksanaan Audit

Pelaporan Audit

Umpan Balik
50
 FAKTOR RISIKO – PERMENPAN
19/2009
1. Suasana yang berhubungan dengan etika dan tekanan yang dihadapi manajemen dalam
usaha mencapai tujuan organisasi.
2. Kompetensi, kecukupan dan integritas pegawai.
3. Ukuran harta dan volume transaksi.
4. Kondisi finansial dan ekonomi.
5. Kerumitan atau mudah berubahnya kegiatan.
6. Dampak dari konsumen, rekanan dan perubahan kebijakan pemerintah.
7. Tingkat penggunaan komputer untuk pengolahan informasi
8. Penyebaran operasi secara geografis
9. Kecukupan dan keefektifan pengendalian intern
10.Berbagai perubahan organisasi, operasi, teknologi atau ekonomi.
11. Pertimbangan profesi manajemen.
12.Dukungan terhadap temuan audit dan tindakan perbaikan yang dilakukan.
13.Periode dan hasil audit terdahulu.
14.Jarak auditi.
PENENTUAN SCORE
ASUMSI DIAMBIL 4 RISK FACTOR

Risk Factor Score Risk Factor Score

Dana yang dikelola Kompetensi & Integritas Pimpinan Unit

Dibawah 1 Milyar 1 Sangat Kompeten 1

1 milyar – 5milyar 2 Kompeten 2
5 milyar – 25 milyar rp 3 Sedang 3
25 milyar – 50 milyar 4 Kurang Kompeten 4
Diatas Rp 50 milyar 5 Tidak Kompeten 5
Jumlah Temuan Audit sebelumnya Kondisi Internal Control

0 sampai 1 1 Baiksekali (tidak ada cttn penting) 1

2 sampai 3 2 Baik (Kurang dari 2 cttn penting) 2

4 sampai 5 3 Sedang (3-5 catatan penting) 3

Jelek (5-7 catatan penting) 4

6 sampai 10 4
Jelek sekali (lebih dr 7 cttn penting) 5
Lebih dari 10 5

52
CONTOH HASIL SKOR RISK
FACTOR INTERNAL DANA YANG
KOMPETEN
TEMUAN
AUDIT
AUDITEE
CONTROL DIKELOLA
SI
SEBELUMN
JUMLAH
PIMPINAN
YA

Bagian A 2 2 3 2 9

Bagian B 4 5 3 3 15

Bagian C 3 3 4 4 14

Bagian D 4 2 3 2 11

Bagian E 5 5 1 2 13

62 53
RANGKING AUDIT UNIT
Rangking Audit Unit disusun berdasarkan audit unit yang mempunyai risiko paling
tinggi sampai rendah, dari contoh di atas adalah sebagai berikut :

No. UNIT SCORE

1. Bagian B 15
2. Bagian C 14
3. Bagian E 13
4. Bagian D 11
5. Bagian A 9

62
54
 TAHAPAN PENUGASAN ASSURANCE

PERENCANAAN PELAKSANAAN PELAPORAN

• Penetapan tujuan dan lingkup
penugasan
• Pemahaman auditi
• Identifikasi dan penilaian
riitsiko
• Identifikasi pengendalian
kunci
• Evaluasi pengendalian
• Penyusunan rencana pengujian
• Penyusunan program audit
• Pengujian dan pengumpulan
bukti
• Evaluasi bukti dan
pengambilan kesimpulan
• Pengembangan temuan dan
rekomendasi
55
• Penyampaian simpulan
sementara
• Penyusunan laporan
• Distributi laporan
• Monitoring tindak lanjut
 DISKUSI DAN OBSERVASI
PENGENDALIAN
mendapatkan gambaran sistem pengendalian internal organisasi dari sudut
pandang manajemen dan melihat penerapannya di lapangan
memberikan simpulan bahwa rancangan pengendalian telah memadai yaitu
mampu mengurangi risiko pada tingkat yang dapat diterima oleh organisasi
Penekanan pengujian tergantung pada tingkat maturity level risiko perusahaan
Contoh:
Tujuan tiap auditable unit Risiko Control Simpulan auditor
Perencanaan P BJ
Pemborosan uang karena Rencana pengadaan
 Jumlah pengadaan BJ Memadai
jumlah pengadaan disusun berdasarkan
sesuai kebutuhan melebihi kebutuhan daftar kebutuhan
barang yang
diusulkan oleh user
B/J terlambat diadakan Pemantauan oleh
 Ketepatan waktu Memadai
oleh rekanan dari supervisi internal
deadline kontrak secara periodik

56
 VERIFIKASI DAN PENGUJIAN
BUKTI
memberikan kesimpulan yang menyatakan pengendalian mana yang sudah
berfungsi, mana yang kemungkinan akan berfungsi di masa datang, dan mana
yang tidak berfungsi
menitikberatkan terhadap pengendalian-pengendalian yang mempunyai pengaruh
signifikan terhadap risiko melekat (inherent risk), yaitu yang memiliki “control
score” yang tinggi
tujuan pengujian lebih dirancang untuk membuktikan keberadaan dan ketepatan
operasi pengendalian, bukan untuk menemukan kesalahan
Contoh:
Risiko Control Pengujian auditor Simpulan auditor
Pemborosan uang Rencana pengadaan Telusuri daftar kebutuhan barang Memadai
karena jumlah disusun berdasarkan daftar dan konfirmasi kepada user
pengadaan melebihi kebutuhan barang yang
kebutuhan diusulkan oleh user
B/J terlambat Pemantauan oleh supervisi Cek laporan bulanan supervisi Memadai
diadakan oleh internal secara periodik internal dan konfirmasi pada
rekanan dari deadline rekanan
kontrak
57
 ENTERPRISE RISK
MANAGEMENT
RISIKO
Menteri STRATEGIS

RISIKO
ENTITAS UNIT
Dirjen 1 Dirjen 2 KERJA

Direktur Direktur Direktur RISIKO

OPERASIONA
A B C L
EINTEGRASIAN SISTEM
MANAJEMEN
STRATEGIS

MANAJEMEN RISIKO BUDAYA KERJA

MANAJEMEN
KINERJA
 KEINTEGRASIAN RISK
MANAGEMENT
STRUKTUR Man. Strategis Man. Kinerja Man. Risiko

INDIKATOR
VISI & RISIKO
KINERJA
Menteri TUJUAN
UTAMA
STRATEGIS

INDIKATOR RISIKO
SASARAN KINERJA ENTITAS UNIT
Dirjen 1 Dirjen 2 SASARAN KERJA

Direktur Direktur Direktur PROGRAM &

INDIKATOR
KINERJA
RISIKO
OPERASIONA
A B C KEGIATAN
KELUARAN L
PENGEMBANGAN TEMUAN &
REKOMENDASI
Jika ditemukan pengendalian kunci yang tidak berfungsi, maka
harus dilakukan pengujian substantif untuk membuktikan
terjadinya temuan

KRITERIA PEMBUKTIAN
RE-KO-CU
Kelemahan SPIP

SEBAB KONDISI AKIBAT

Rekomendasi 61
61
 KOMPETENSI TEKNIS DALAM PENGEMBANGAN TEMUAN:
MODEL HUBUNGAN KETAATAN DAN KINERJA (PERFORMANCE AND
COMPLIANCE CORRELATION MODEL_PCCM)

ketaatan

Taat Taat dan

3 1
tapi tidak perform perform
Performance
(kinerja):
Output + outcome

Tidak Taat dan Tidak Taat Apakah ada

4 2
tidak perform tapi perform risk tolerance?

62
 Kompetensi teknis dalam pengembangan temuan:

B, HUBUNGAN
CT/R BUKTI & CALON TEMUAN
DI TAHAPAN AUDIT
Apakah ada Bukti audit
risk tolerance? Apakah ada
risk tolerance?
(D,A,W,F)
CT/R - CT
+ D,A,W,F
- CT
+ D,A,W,F Apakah ada
- CT risk tolerance?
+ D,A,W,F
- CT Apakah ada
risk tolerance?
Dok
+ D,A,W,F
T
.

Tahapan audit 63
 KEY WORDS
1. Akurasi Potret maturitas SPIP
2. Telaah sebab level maturitas SPIP
3. Refleksi level kapabilitas APIP
4. Kembangkan kompetensi APIP
5. Strategi audit sesuai level maturitas SPIP & kompetensi APIP

64