PELAKSANAAN PENGAWASAN INDIVIDU

DIKLAT PENGAWASAN INTERN BERBASIS RISIKO

 Azhari Salam, S.E., M.P.P.
Mobile: 085343647535, email: azhari.salam@bpkp.go.id
Pendidikan : D3 Akuntansi STAN 2008, S1 Akuntansi UNS 2016, dan S2
Public Policy Australian National University 2019
Jabatan: Auditor Pelaksana, Pertama, dan Muda BPKP 2009-2020,
Kepala Sub Bagian Keuangan Perwakilan BPKP Provinsi Kalimantan
Timur 2020-sekarang
Highlight pengalaman pengawasan intern:
- Audit Grant AEDFF senilai USD 50 Juta untuk Rehabilitasi dan
Rekonstruksi Aceh-Nias
- Audit operasional berbagai program pemerintah seperti Jamkesmas,
BOS, PNPM, dll
- Assessment GCG PT Pelindo IV Makassar
- Reviu Divisi SPI (Satuan Pengawas Intern) Bank Aceh
- Verifikasi aset KKKS (Kontraktor Kerja Sama) Blok Migas Exxon,
Lhoksukon Aceh
- Verifikasi Pengalihan Aset Bisnis TNI di Papua

2
 SISTEMATIKA PEMBAHASAN

• Garis besar pelaksanaan PIBR sesuai dengan kematangan MR

• Kegiatan Fasilitasi (Consulting)
• Diskusi Tim: Studi Kasus
• Kegiatan Assurance
• Diskusi Tim: Studi Kasus
Permasalahan penilaian risiko
TAHAPAN PIBR 1

Menilai Maturitas MR

Memperoleh gambaran bagaimana pimpinan

Rencana Strategis dan manajemen menetapkan, menilai,
Pengawasan Intern mengelola, dan memantau risiko. Hal ini
memberikan indikasi seberapa andal register
risiko yang dibuat oleh manajemen

Register Risiko Menyusun Rencana

Manajemen Pengawasan Tahunan Prioritas
Stakeholders
Pengawasan
2

Merencanakan kegiatan assurance dan

consulting secara periodik (tahunan), Program Kerja
dengan mengidentifikasi area-area Pengawasan Tahunan
pengawasan prioritas.

3 Melaksanakan pengawasan individu

Melaksanakan berbasis risiko, sesuai tingkat
Pengawasan Individu
kematangan manajemen risiko
auditable unit masing-masing.
Laporan Hasil
Pengawasan
Sumber: RBIA, IIA
Maturitas MR Auditable Unit < 3

Rekonfirmasi
Maturitas MR
Auditable Unit

Maturitas MR Rendah (Level 1

dan 2)

Fasilitasi Penerapan MR
Audit konvensional
(Terpisah)

Laporan Hasil Laporan Hasil

Fasilitasi Pengawasan
Maturitas MR Auditable Unit = 3
Maturitas MR Auditable Unit > 3
Rekonfirmasi
Maturitas MR
Auditable Unit

Maturitas MR Tinggi
(Level 4 dan 5)

Fasilitasi MR Assurance atas Efektivitas

(Sesuai Kebutuhan) Pengendalian

Laporan Hasil Assurance atas Efektivitas

Fasilitasi MR Secara Keseluruhan

Audit konvensional (Sesuai

Kebutuhan)

Laporan Hasil
Pengawasan
Fasilitasi MR

Sumber: The Role of Internal Auditing in Enterprise Wide Management,COSO-2004

 Fasilitasi MR

• Auditable Unit dengan Kematangan MR Rendah

Difokuskan mendorong AU untuk mulai menerapkan MR, termasuk di
dalamnya fasilitasi penilaian risiko
• Auditable Unit dengan Kematangan MR Sedang
Difokuskan agar MR terintegrasi dalam proses bisnis, karakteristik MR
Level 3 al: telah memiliki kebijakan MR dan dikomunikasikan, telah
menetapkan kebijakan terkait selera risiko
• Auditable Unit dengan Kematangan MR Tinggi
Disesuaikan dengan kebutuhan, jika ada perubahan lingkungan yang
signifikan, contoh: cyber security, black out
 KIRI: Kegiatan yang harus dilakukan oleh Auditor Intern
a. memastikan/meyakinkan atas proses pengelolaan risiko;
Yang Perlu Diperhatikan: b. meyakinkan bahwa risiko telah dievaluasi secara benar;
Peran Audit Internal c. melakukan evaluasi proses manajemen risiko;
d. melakukan evaluasi laporan risiko utama; dan
e. melakukan reviu pengelolaan risiko utama.
TENGAH: Kegiatan yang boleh dilakukan oleh Auditor Intern
dengan pertimbangan yang memadai
f. memfasilitasi identifikasi dan evaluasi risiko;
g. membantu manajemen dalam melakukan respon risiko;
h. mengkoordinasikan aktivitas ERM;
i. mengonsolidasi laporan risiko;
j. memelihara dan membangun kerangka ERM;
k. meneladani/memperjuangkan pembentukan ERM; serta
l. membangun strategi pengelolaan risiko untuk disetujui
oleh manajemen di level atas.
KANAN: Kegiatan yang dilarang dilakukan oleh Auditor Intern:
m. menentukan risk appetite;
n. memerankan dalam penerapan proses manajemen risiko;
o. jaminan manajemen atas risiko (management assurance
on risk);
p. pengambilan keputusan terhadap respon risiko;
q. mengimplementasikan respon risiko yang dimiliki
manajemen;
r. bertanggungjawab atas pengelolaan risiko

Sumber: The Role of Internal Auditing in Enterprise Wide Management,COSO-2004

Fasilitasi Penerapan MR

CSA (Control Self-Assessment)

• Proses untuk menguji dan menilai efektivitas pengendalian intern
secara mandiri oleh manajemen/pegawai yang bertujuan untuk
memberi keyakinan yang memadai bahwa tujuan organisasi akan
tercapai. Pendekatan CSA yang dianjurkan berupa workshop yang
difasilitasi seorang fasilitator (internal audit).

Fasilitator / coaching clinic

• Berperan untuk membantu dan mengarahkan kelompok diskusi
untuk mencapai suatu konsensus serta mampu mendorong
kelompok bekerja dengan efektif dan efisien.
• Personil yang memiliki kualifikasi/kompetensi sebagai fasilitator
 Risiko Strategis Pemda Risiko Strategis OPD Risiko Operasional OPD

Form 2a Form 2a Form 2a

Form 1a Form 1b
Penetapan Konteks Penetapan Konteks Penetapan Konteks
Survey CEE
CEE Dokumen
Form 3a Form 3a Form 3a
FGD Penilaian Identifikasi Risiko Identifikasi Risiko Identifikasi Risiko
terhadap Dampak dan Strategis Pemda Strategis OPD Operasional OPD
Form 1c
Simpulan CEE Kemungkinan Masing-
masing Risiko Form 4 Form 4 Form 4
Analisis Risiko Analisis Risiko Analisis Risiko

Form 5 Form 5 Form 5

Form 6 Matriks Risiko Risiko Prioritas Risiko Prioritas Risiko Prioritas
RTP CEE
Form 7 Form 7 Form 7
RTP atas Risiko RTP atas Risiko RTP atas Risiko

Form 8 Form 8 Form 8

Infokom Infokom Infokom
KERTAS KERJA PENGELOLAAN
Form 9 Form 9 Form 9
RISIKO DI LINGKUNGAN PEMERINTAH Rencana dan Realisasi Rencana dan Realisasi Rencana dan Realisasi
DAERAH Kegiatan Pemantauan Kegiatan Pemantauan Kegiatan Pemantauan

PERDEP PPKD No 4 Tahun 2019 Form 10 Form 10 Form 10

Risk Event dan Risk Event dan Risk Event dan
Pelaksanaan RTP Pelaksanaan RTP Pelaksanaan RTP
 ASSURANCE
Risk Naïve Risk Aware Risk Defined Risk Managed Risk Enabled
No. Uraian
Level 1 Level 2 Level 3 Level 4 Level 5
1. Karakteristik Belum mengembangkan Penerapan Kebijakan dan strategi Pendekatan MR secara MR dan PI telah
Utama pendekatan formal manajemen MR sudah dibangun dan menyeluruh telah terintegrasi
dalam penerapan risiko masih silo dikomunikasikan, selera dikembangkan dan sepenuhnya dalam
manajemen risiko (terpisah-pisah) risiko juga telah dikomunikasikan proses bisnis
ditetapkan
2. Pendekatan Mendorong penerapan Mendorong Fasilitasi untuk Assurance atas proses Assurance atas
Pengawasan Manajemen Risiko penerapan internalisasi manajemen Manajemen Risiko proses manajemen
Intern Manajemen risiko Risiko
Risiko
terintegrasi
a Jenis Assurance Control Based Audit CBA dan PBA CBA, PBA, dan audit CBA, PBA, (sesuai CBA, PBA, (sesuai
(CBA) dan Proccess atas efektivitas kebutuhan) dan kebutuhan) dan
Based Audit (PBA) pengendalian Audit atas efektivitas Audit atas
MR efektivitas MR

b Jenis Consulting Fasilitasi Penerapan MR Fasilitasi Fasilitasi dalam rangka Fasilitasi dilakukan Fasilitasi dilakukan
Penerapan MR internalisasi manajemen sesuai kebutuhan sesuai kebutuhan
risiko dalam proses
bisnis
Perkembangan Pendekatan Audit
No. Aspek Control-based Process-based Risk-based Risk management-based

1 Sasaran Kepatuhan pada Efektivitas dan efisiensi Efektivitas pengendalian Efektivitas kegiatan manajemen
peraturan/ pedoman dari proses operasi kunci dan prosedur untuk risiko untuk mencapai tujuan
/standar memitigasi risiko kunci organisasi/ menangani risiko
2 Fokus Penyimpangan dan Kesenjangan antara proses Efektivitas pengendalian Kesenjangan antara efektivitas MR
identifikasi kesalahan saat ini dengan best dan prosedur yang belum saat ini dengan yang diharapkan
practice sesuai untuk menangani
risiko kunci
3 Pendekatan Audit kepatuhan Membandingkan operasi/ Mengidentifikasi risiko Memahami tujuan, risiko terkait,
proses berjalan dengan bisnis kunci dan tingkat toleransi identifikasi kinerja
best practice (audit kinerja) mengevaluasi dan ukuran risiko, serta menilai
pengendaliannya efektivitas MR

4 Pengujian Uji substantif dan Konsultasi untuk evaluasi Kombinasi uji substantif Kombinasi uji substantif dan
kepatuhan secara statistik gap dan uji kepatuhan dan ketaatan yang fokus ketaatan yang fokus pada risiko
pada risiko kunci kunci dan risiko terkait
5 Rekomendasi Terkait dengan Terkait gap tujuan operasi Terkait eksepsi/ kesalahan Terkait gap efektivitas untuk
penyimpangan tertentu pada risiko kunci menangani risiko dan tujuan
organisasi

31
Assurance untuk MR Level 3

Merupakan perpaduan antara audit konvensional (assurance alternatif) dengan

assurance atas efektivitas pengendalian. Contoh: Audit Kinerja yang merupakan audit
konvensional dalam menilai capaian tujuan atas aspek 3E, sekarang ditambahkan
langkah kerja untuk menilai efektivitas pengendalian. Manfaat yang akan diperoleh
sebanding dengan tambahan sumber daya yang di alokasikan, utamanya untuk
mendorong peningkatan kualitas implementasi manajemen risiko, memastikan
pencapaian tujuan organisasi serta meningkatkan efektivitas pengawasan intern.
 CASE STUDY: INTEGRASI AUDIT KINERJA DAN ASSURANCE ATAS EFEKTIVITAS PENGENDALIAN

Audit Kinerja Menilai 3E Kinerja (3E) Tercapai/

Tidak Tercapai

Uji Desain Risiko Kunci Identifikasi Risiko

Pengendalian atas Penghambat Kinerja Kunci Tidak
Risiko Kunci Tercapainya Kinerja
Pengujian apakah desain
pengendalian mampu
menekan risiko kunci Panduan Simpulan Pengawasan Intern:
yang menghambat
kinerja sampai level yang 1. Jika kinerja tidak tercapai (berdasarkan hasil audit kinerja) dan desain serta
dapat diterima?
implementasi pengendalian atas risiko utama yang menghambat kinerja
Implementasi belum efektif (berdasarkan assurance atas efektivitas pengendalian), maka
Pengendalian Risiko
pencapaian kinerja sampai dengan akhir periode, berpotensi untuk gagal/tidak
Kunci
tercapai.
Pengujian apakah
implementasi pengendalian 2. Jika kinerja tercapai (berdasarkan hasil audit kinerja), namun desain serta
telah sesuai dengan desain implementasi pengendalian atas risiko utama yang menghambat kinerja belum
yang ditetapkan? efektif (berdasarkan assurance atas efektivitas pengendalian), maka
pencapaian kinerja sampai dengan akhir periode, berpotensi untuk terhambat.
ILUSTRASI PERPADUAN AUDIT KINERJA DAN
PIBR

PENANGANAN
KEGIATAN TUJUAN RISIKO
RISIKO

MR-1

R-1

T-1 MR-2 DESAIN

PENGENDALIAN SUDAH
A MEMADAI
R-2 MR-3

T-2 R-3 MR-4

ILUSTRASI PERPADUAN AUDIT KINERJA DAN
PIBR

PENANGANAN DESAIN PENGENDALIAN

KEGIATAN TUJUAN RISIKO
RISIKO KURANG MEMADAI

MR-1
R-1
T-1
A
MR-3

T-2 R-3 MR-4

ILUSTRASI PERPADUAN AUDIT KINERJA DAN
PIBR

KEGIATAN TUJUAN RISKS PENANGANAN

MR-1
R-1
T-1 MR-2
A
R-2 MR-3
DESAIN PENGENDALIAN
BERLEBIHAN
T-2 R-3 MR-4

MR-5
SIMPULAN ASSURANCE ATAS EFEKTIVITAS PENGENDALIAN

37
 PANDUAN SIMPULAN ASSURANCE ATAS MR

Panduan Simpulan Assurance atas MR:

1. Jika kinerja/tujuan tidak tercapai (berdasarkan simpulan pengujian atas ketercapaian tujuan – simpulan
5) dan secara umum pengelolaan risiko organisasi belum efektif (berdasarkan assurance atas efektivitas
MR secara keseluruhan – simpulan 1,2,3, dan 4), maka pencapaian kinerja sampai dengan akhir periode
berpotensi untuk gagal/tidak tercapai
2. Jika kinerja/tujuan sudah tercapai (berdasarkan simpulan pengujian atas ketercapaian tujuan – simpulan
5) dan secara umum pengelolaan risiko organisasi belum efektif (berdasarkan assurance atas
efektivitas MR secara keseluruhan – simpulan 1,2,3, dan 4), maka pencapaian kinerja sampai dengan
akhir periode berpotensi untuk terhambat.
3. Jika kinerja/tujuan sudah tercapai (berdasarkan simpulan pengujian atas ketercapaian tujuan – simpulan
5) dan secara umum pengelolaan risiko organisasi sudah efektif (berdasarkan assurance atas efektivitas
MR secara keseluruhan – simpulan 1,2,3, dan 4), maka pencapaian kinerja sampai dengan akhir periode
berpotensi untuk tercapai.
THANK
YOU