Modul Ahli Audit Internal 2014 PDF

AUDIT INTERNAL PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN 2014 Audit Internal Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP dalam rangka Diklat Fungsional Auditor – Diklat Pembentukan Auditor Terampil dan Ahli Edisi Pertama : Tahun 2014 Penyusun : M. Fahrudin, S.E., M.Acc. Pereviu : Agus Tri Prasetyo, Ak., M.E. Narasumber : Wakhyudi, Ak., M.Comm. Penyunting : Kusmayawati Penata Letak Didik Hartadi, S.E. Pusdiklatwas BPKP Jl. Beringin II, Pandansari, Ciawi, Bogor 16720 Telp. (0251) 8249001 ‐ 8249003 Fax. (0251) 8248986 ‐ 8248987 Email : [email protected] Website : http://pusdiklatwas.bpkp.go.id e‐Learning : http://lms.bpkp.go.id Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari Pusat Pendidikan dan Pelatihan Pengawasan BPKP. Kata Pengantar Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu manajemen untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan (assurance activities) dan layanan konsultansi (consulting activities) sesuai standar, sehingga memberikan perbaikan efisiensi dan efektivitas atas tata kelola, manajemen risiko, dan pengendalian intern organisasi. Selain itu, Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah mengatur bahwa pelaksanaan audit intern di lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai tugas melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor. Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang transparan dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek pelaksanaan tugas umum pemerintahan dan pembangunan yang dituangkan dalam Undang‐ Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN. Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah pendidikan dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi tertentu sesuai dengan perannya sesuai dengan keputusan bersama Kepala Pusat Pembinaan Jabatan Fungsional Auditor dan Kepala Pusat Pendidikan dan Pelatihan Pengawasan Badan Pengawasan Keuangan dan Pembangunan Nomor KEP‐82/JF/1/2014 dan Nomor KEP‐ 168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional Auditor. Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan dengan sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi auditor. Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan kontribusi atas terwujudnya modul ini. Ciawi, 30 April 2014 Kepala Pusdiklat Pengawasan BPKP Nurdin, Ak., M.B.A. Audit Internal i ii 2014 |Pusdiklatwas BPKP Daftar Isi Kata Pengantar..................................................................................................................................i Daftar Isi........................................................................................................................................... iii Daftar Gambar dan Tabel................................................................................................................. v Bab I PENDAHULUAN................................................................................................................. 1 A. Latar Belakang.................................................................................................................................. 1 B. Kompetensi Dasar........................................................................................................................... 1 C. Indikator Keberhasilan................................................................................................................... 2 D. Sistematika Modul.......................................................................................................................... 2 E. Metode Pembelajaran................................................................................................................... 3 Bab II GAMBARAN UMUM.......................................................................................................... 5 A. Pengertian Internal Audit.............................................................................................................. 5 B. Perubahan Paradigma APIP.......................................................................................................... 8 C. Perkembangan Risk Based Audit................................................................................................ 9 D. Kegiatan Assurance dan Konsultansi....................................................................................... 13 E. Tahapan Penugasan Audit Internal.......................................................................................... 22 Bab III PERENCANAAN PENUGASAN ASSURANCE...................................................................... 25 A. Penetapan Tujuan dan Lingkup Penugasan........................................................................... 30 B. Pemahaman Proses Kerja Auditi............................................................................................... 32 C. Identifikasi dan Penilaian Risiko................................................................................................ 35 D. Identifikasi Pengendalian Kunci................................................................................................ 42 E. Evaluasi Pengendalian.................................................................................................................. 45 F. Penyusunan Rencana Pengujian............................................................................................... 46 G. Penyusunan Program Kerja........................................................................................................ 52 H. Pengalokasian Sumber Daya...................................................................................................... 56 Bab IV PELAKSANAAN PENUGASAN ASSURANCE....................................................................... 57 A. Pengujian Dan Pengumpulan Bukti.......................................................................................... 57 B. Evaluasi Bukti dan Pengambilan Kesimpulan........................................................................ 64 C. Pengembangan Temuan dan Rekomendasi.......................................................................... 66 Bab V PELAPORAN PENUGASAN ASSURANCE........................................................................... 73 A. Penyampaian Simpulan Sementara......................................................................................... 74 B. Penyusunan Laporan.................................................................................................................... 75 C. Monitoring Tindak Lanjut............................................................................................................ 78 Audit Internal iii Bab VI PENUGASAN KONSULTANSI............................................................................................. 81 A. Jenis Jasa Konsultansi.................................................................................................................. 81 B. Pemilihan Penugasan Konsultansi........................................................................................... 83 C. Proses Penugasan Konsultansi.................................................................................................. 84 D. Perencanaan Penugasan Konsultansi..................................................................................... 85 E. Pelaksanaan Penugasan Konsultansi...................................................................................... 87 F. Komunikasi dan Tindak Lanjut.................................................................................................. 88 G. Perubahan Jasa Konsultansi...................................................................................................... 89 H. Kapabilitas yang Diperlukan...................................................................................................... 89 Bab VII PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI.................................................. 91 A. Perkembangan Teknologi Informasi....................................................................................... 91 B. Pemanfaatan Teknologi Informasi oleh Organisasi Pemerintah.................................... 91 C. Pemanfaatan Teknologi Informasi Bagi Auditor Internal................................................. 93 Daftar Pustaka................................................................................................................................ 99 iv 2014 |Pusdiklatwas BPKP Daftar Gambar dan Tabel Gambar Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI.............................................. 13 Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran...........................................34 Gambar 3.2 Pengendalian Mitigative dan Preventive................................................................ 39 Gambar 3.3 Peta Risiko............................................................................................................... 41 Gambar 4.1 Contoh Hubungan PKA dengan KKA....................................................................... 60 Gambar 4.2 Hubungan Antara Sampling Error Dengan Jumlah Sampling.................................61 Gambar 6.1 Jenis Jasa Konsultansi............................................................................................. 81 Gambar 7.1 Sistem Akuntansi Manual dan Sistem Akuntansi Berbasis komputer....................92 Tabel Tabel 2.1 Perubahan Paradigma Auditor Internal.................................................................... 8 Tabel 2.2 Tingkatan Risk Maturity dan Langkah yang akan diambil Auditor Internal............11 Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi...............20 Tabel 3.1 Tahapan Penugasan Assurance............................................................................... 25 Tabel 3.2 Format Hasil Identifikasi Risiko............................................................................... 36 Tabel 3.3 Format Hasil Penilaian Risiko.................................................................................. 39 Tabel 3.4 Format Tahap Matriks Risiko dan Pengendalian.................................................... 53 Tabel 3.5 Format Program Kerja Audit................................................................................... 54 Tabel 4.1 Jumlah Populasi dan Sampel (Krejcie dan Morgan)............................................... 62 Tabel 4.2 Format Matriks Risiko dan Pengendalian serta Hasil Pengujian............................63 Tabel 4.3 Matriks Risiko dan Pengendalian serta judgement yang diambil...........................65 Tabel 6.1 Tahap Penugasan Konsultansi................................................................................ 84 Audit Internal v vi 2014 |Pusdiklatwas BPKP Bab I PENDAHULUAN A. LATAR BELAKANG Perkembangan jasa yang diberikan oleh aparat pengawasan internal (auditor internal) dewasa ini mengalami peningkatan yang luar biasa, untuk merefleksikan pemberdayaan kedudukan unit pengawasan internal dalam suatu organisasi. Peran sebagai watchdog yang selama ini menjadi ciri khas unit pengawasan internal telah mengalami pergeseran dan perluasan menjadi konsultan dan katalis bagi organisasi. The Institute of Internal Auditors (IIA) sebagai institusi profesi auditor internal telah menetapkan standar profesional pelaksanaan audit internal yang menyatakan, bahwa aktivitas audit internal dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Auditor internal membantu organisasi dalam mencapai tujuannya dengan menggunakan pendekatan yang sistematis dan disiplin, untuk mengevaluasi dan meningkatkan efektivitas pengelolaan risiko, pengendalian dan proses tata kelola. Modul ini disusun untuk membekali para auditor/calon auditor agar dapat melaksanakan penugasan sebagai auditor internal. Lingkup tugas sebagai auditor internal cukup luas, yang terdiri dari penugasan assurance berupa audit, evaluasi, reviu, dan pemantauan serta penugasan konsultansi berupa asistensi, bimbingan teknis, konsultan dan penugasan lain. Hal‐ hal yang perlu diketahui calon auditor mengenai kegiatan auditor internal berusaha dicakup dalam modul ini, namun para auditor/calon auditor internal harus memperkaya pengetahuannya dengan mencari sumber pengetahuan lain. B. KOMPETENSI DASAR Kompetensi dasar yang diharapkan setelah mempelajari modul Audit Internal ini adalah peserta diklat diharapkan mampu menjelaskan konsepsi pelaksanaan audit intern. Audit Internal 1 C. INDIKATOR KEBERHASILAN Setelah mengikuti proses pembelajaran ini, peserta diklat diharapkan memiliki pengetahuan mengenai: 1. prinsip‐prinsip audit kinerja, audit atas aspek keuangan tertentu, audit untuk tujuan tertentu, dan audit khusus/ investigasi/berindikasi tindak pidana korupsi; 2. prinsip‐prinsip kegiatan pengawasan lain, antara lain kegiatan sosialisasi mengenai pengawasan, pendidikan dan pelatihan pengawasan, pembimbingan dan konsultansi, pengelolaan hasil pengawasan, dan pemaparan hasil pengawasan; 3. praktik‐praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain; 4. sistem teknologi informasi dalam melaksanakan kegiatan audit intern; dan 5. metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. D. SISTEMATIKA MODUL Modul Audit Internal disajikan dengan sistematika sebagai berikut. Bab I Pendahuluan Bab ini berisi latar belakang, kompetensi dasar, indikator keberhasilan, deskripsi singkat, serta metode pembelajaran. Bab II Gambaran Umum Bab ini menjelaskan mengenai pengertian internal audit, perubahan paradigma APIP, perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan penugasan audit internal. Bab III Perencanaan Penugasan Assurance Bab ini menjelaskan mengenai penetapan tujuan dan lingkup assurance audit internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko, identifikasi 2 2014 |Pusdiklatwas BPKP pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian, penyusunan program kerja dan pengalokasian sumber daya. Bab IV Pelaksanaan Penugasan Assurance Bab ini menjelaskan mengenai pengujian dan pengumpulan bukti, evaluasi bukti dan pengambilan kesimpulan serta pengembangan temuan dan rekomendasi. Bab V Pelaporan Penugasan Assurance Bab ini menjelaskan mengenai penyampaian simpulan sementara, penyusunan laporan, dan monitoring tindak lanjut. Bab VI Penugasan Konsultansi Bab ini menjelaskan mengenai jenis, pemilihan, dan proses serta praktik penugasan konsultansi selain itu juga menjelaskan mengenai perubahan jasa konsultansi dan kapabilitas yang diperlukan. Bab VII Pengaruh Perkembangan Teknologi Informasi Bab ini menjelaskan mengenai perkembangan teknologi informasi dan pemanfaatan teknologi informasi oleh organisasi pemerintah dan bagi auditor internal. E. METODE PEMBELAJARAN Metode yang digunakan untuk mencapai tujuan pembelajaran adalah: 1. Ceramah Widyaiswara/instruktur menjelaskan mengenai Audit Internal atau bersifat deskriptif. Modul ini secara umum hanya membagi kegiatan audit internal dalam dua kelompok, yaitu assurance dan konsultansi. Rincian lebih lanjut masing‐masing jenis kegiatan assurance dan konsultansi tidak dibahas mendalam. Alasannya, uraian lebih lanjut mengenai berbagai jenis kegiatan ( misalnya audit investigasi, audit pengadaan barang dan kegiatan lain) akan di bahas di diklat substantive lebih lanjut. Audit Internal 3 2. Tanya Jawab dan diskusi Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang terkait dengan permasalahan dalam kegiatan audit internal. 3. Latihan Peserta berlatih menyelesaikan soal‐soal yang terkait dengan audit internal. ~ 4 2014 |Pusdiklatwas BPKP Bab II GAMBARAN UMUM Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai pengertian internal audit, perubahan paradigma APIP, perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan penugasan audit internal. A. PENGERTIAN INTERNAL AUDIT Internal audit di seluruh dunia melakukan kegiatan yang cukup bervariasi tergantung pada kondisi dan kebutuhan organisasi. Akibatnya muncul beberapa definisi internal audit antara lain sebagai berikut. Definisi menurut American Accounting Association (AAA) adalah: Internal audit adalah proses sistematis untuk secara objektif memperoleh dan mengevaluasi asersi mengenai tindakan dan kejadian‐kejadian ekonomis untuk meyakinkan derajat kesesuaian antara asersi ini dengan kriteria yang ditetapkan dan mengomunikasikannya ke pengguna yang berkepentingan. Definisi Internal Audit menurut Sawyer (2005: 10) adalah: Internal audit adalah sebuah penilaian yang sistematis dan objektif yang dilakukan auditor internal terhadap operasi dan kontrol yang berbeda‐beda dalam organisasi untuk menentukan apakah: (1) informasi keuangan dan operasi telah akurat dan dapat diandalkan; (2) risiko yang dihadapi organisasi telah diidentifikasi dan diminimalisasi; (3) peraturan eksternal serta kebijakan dan prosedur internal yang bisa diterima telah diikuti; (4) kriteria operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif—semua dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu anggota organisasi dalam menjalankan tanggung jawabnya secara efektif. Definisi Audit Internal (Pengawasan intern) menurut Standar Audit Aparat Pengawasan Intern Pemerintah (APIP) adalah: Pengawasan intern adalah seluruh proses kegiatan audit, reviu, pemantauan, evaluasi, dan kegiatan pengawasan lainnya berupa asistensi, sosialisasi dan konsultansi terhadap Audit Internal 5 penyelenggaraan tugas dan fungsi organisasi dalam rangka memberikan keyakinan yang memadai bahwa kegiatan telah dilaksanakan sesuai dengan tolok ukur yang telah ditetapkan secara efektif dan efisien untuk kepentingan pimpinan dalam mewujudkan kepemerintahan yang baik. Definisi internal audit menurut The Institute of Internal Auditor’s (IIA) adalah: Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Internal Audit adalah kegiatan konsultasi dan assurance independen yang dirancang untuk memberikan nilai tambah dan perbaikan operasi organisasi. Internal audit membantu organisasi untuk mencapai tujuannya melalui pendekatan yang sistematis dan disiplin dalam mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendali‐an, dan proses tata kelola. Kedua definisi pertama, yaitu definisi menurut AAA dan Sawyer, belum memasukkan peran auditor internal sebagai konsultan. Sementara dalam praktik, terjadi peningkatan signifikan peran auditor internal sebagai konsultan yang memberikan nilai tambah bagi organisasi. Maka definisi yang akan digunakan modul ini adalah dua definisi terakhir, yaitu definisi menurut Standar Audit APIP dan definisi menurut IIA. Kedua definisi ini serupa dimana membagi peran auditor internal ke dalam dua kelompok assurance dan consulting (dalam Standar Audit APIP disebut : pengawasan lainnya). Analisis lebih lanjut terhadap definisi Internal Auditing dilakukan dengan analisis masing‐masing kata kunci definisi internal audit menurut IIA sebagai berikut. Internal Audit Audit merupakan suatu proses penilaian terhadap informasi, kondisi, operasi dan/atau pengendalian, yang dilakukan secara objektif oleh pihak yang kompeten dan independen. Kata internal dapat diartikan bahwa kegiatan audit dilaksanakan sendiri oleh organisasi atau oleh pegawai organisasi tersebut. Hal ini untuk membedakan dengan audit eksternal yang dilaksanakan oleh akuntan publik atau Badan Pemeriksa Keuangan (BPK). 6 2014 |Pusdiklatwas BPKP Assurance Peran assurance dilakukan dengan memberikan penilaian/pendapat objektif terkait suatu entitas, operasi, fungsi, proses, sistem, atau subjek lainnya. Sifat dan lingkup kegiatan assurance ditentukan oleh auditor internal. Dalam Standar Audit APIP, kegiatan assurance terbagi dalam kegiatan audit, reviu, pemantauan, dan evaluasi. Konsultansi Peran sebagai konsultan muncul setelah terjadi perubahan paradigma auditor internal. Paradigma lama auditor internal sebagai watchdog, telah bertambah dengan peran sebagai konsultan dan catalist. Peran konsultan pada umumnya bersifat pemberian saran, atau layanan lain dengan sifat dan ruang lingkup berdasar kesepakatan antara auditor dengan yang disepakati dengan manajemen. Layanan konsultasi ini bertujuan untuk memberi nilai tambah dan meningkatkan tata kelola, manajemen risiko dan pengendalian organisasi. Dalam Standar Audit APIP, kegiatan konsultansi ini disebut dengan kegiatan pengawasan lainnya, yang terbagi dalam kegiatan berupa asistensi, sosialisasi dan konsultansi. Independen Independen adalah suatu kondisi dimana auditor internal terbebas dari segala kondisi yang mengancam kemampuannya dalam bertindak objektif/tidak bias. Membantu Organisasi untuk Mencapai Tujuannya dalam definisi IIA ditegaskan bahwa tujuan auditor internal adalah membantu organisasi dalam mencapai tujuannya. Hal ini dapat dilakukan melalui meningkatkan efektivitas manajemen risiko (dimana risiko yang mengganggu pencapaian tujuan organisasi merupakan fokus utama), pengendalian internal (untuk memastikan bahwa tujuan organisasi terwujud), dan proses tata kelola (organisasi tanpa tata kelola yang baik tidak akan berhasil mencapai tujuannya). Pendekatan yang Sistematis dan Disiplin Auditor internal telah memiliki standar audit dan standar perilaku yang jelas, sehingga dapat dijamin bahwa auditor internal telah bekerja dengan sistematis dan disiplin. Audit Internal 7 B. PERUBAHAN PARADIGMA APIP Peran auditor internal pada awal keberadaannya berperan utama sebagai watchdog, namun sejak tahun 1970‐an telah mengalami pergeseran menjadi konsultan. Adapun peran auditor internal sebagai katalis, baru berkembang sekitar tahun 1990‐an. Perubahan paradigma ini tidak berarti bahwa peran sebagai watchdog ditinggalkan, tetapi justru peran auditor internal meluas. Tabel berikut ini menggambarkan secara singkat perubahan paradigma auditor internal. URAIAN WATCHDOG CONSULTANT CATALYST Audit kepatuhan Proses Audit operasional Assurance (Compliance Audit) Adanya Variasi Penggunaan sumber daya Fokus (penyimpangan, kesalahan Nilai (Values) (resources) atau kecurangan dll) Impact Jangka pendek Jangka menengah Jangka panjang Tabel 2.1 Perubahan Paradigma Auditor Internal Peran watchdog meliputi aktivitas inspeksi, observasi, perhitungan, pengujian transaksi yang bertujuan untuk memastikan ketaatan terhadap ketentuan, peraturan atau kebijakan yang telah ditetapkan. Audit yang dilakukan adalah audit kepatuhan (compliance audit) dan apabila dijumpai penyimpangan dapat dilakukan koreksi atas sistem pengendalian manajemen. Peran watchdog umumnya menghasilkan rekomendasi yang mempunyai dampak jangka pendek, yaitu perbaikan atas kesalahan yang sudah terjadi. Peran auditor internal sebagai konsultan diharapkan dapat memberikan manfaat berupa nasehat (advice) dalam pengelolaan sumber daya (resources) organisasi, sehingga dapat membantu tugas para pimpinan di tingkat operasional. Audit yang dilakukan adalah audit operasional yaitu untuk meyakini apakah organisasi telah memanfaatkan sumber daya organisasi secara ekonomis, efisien, dan efektif, sehingga dapat dinilai apakah manajemen telah menjalankan aktivitas organisasi yang mengarah kepada tujuannya. Rekomendasi yang dibuat umumnya bersifat jangka menengah, yaitu memperbaiki dan meningkatkan efektifitas dan efisiensi operasi organisasi. Peran auditor internal sebagai katalis berkaitan dengan jaminan kualitas (quality assurance). Auditor diharapkan dapat membimbing manajemen dalam mengenali berbagai risiko yang mengancam pencapaian tujuan organisasi. Pemberian jasa jaminan kualitas bertujuan untuk meyakinkan bahwa aktivitas organisasi yang dijalankan, telah menghasilkan keluaran (output) 8 2014 |Pusdiklatwas BPKP yang dapat memenuhi kebutuhan penggunanya. Dalam memainkan perannya sebagai katalis, auditor internal berperan sebagai fasilitator dan agen perubahan (agent of change). Dampak dari peran ini bersifat jangka panjang karena fokus katalis adalah nilai jangka panjang (long‐term values) dari organisasi, terutama berkaitan dengan tujuan organisasi yang dapat memenuhi kepuasan pelanggan (customer satisfaction) dan masyarakat (stakeholders). C. PERKEMBANGAN RISK BASED AUDIT Mengapa Risiko menjadi pusat perhatian Auditor Internal? Definisi Risiko menurut Peraturan Pemerintah Nomor 60 Tahun 2008 adalah Kemungkinan kejadian yang mengancam pencapaian tujuan instansi pemerintah. Sementara itu, tujuan auditor internal adalah membantu organisasi untuk mencapai tujuannya, maka sudah seharusnya risiko organisasi menjadi pusat perhatian auditor internal organisasi tersebut. Pemahaman auditor terkait risiko yang dihadapi organisasi memegang peranan penting dalam perencanaan dan pelaksanaan setiap penugasan. Auditor harus memaksimalkan segala sumberdaya, waktu, tenaga dan biaya yang terbatas pada area pemeriksaan yang berisiko tinggi. Pemahaman auditor terkait risiko organisasi dapat diperoleh dari risk register (daftar risiko) yang disusun oleh manajemen. Namun, sebelum auditor memanfaatkan daftar risiko tersebut, terlebih dahulu harus menilai tingkatan risk maturity (kematangan manajemen risiko) organisasi. Manajemen Risiko Menurut Peraturan Pemerintah Nomor 60 Tahun 2008, pemimpin instansi pemerintah wajib melakukan penilaian risiko secara periodik dan komprehensif. Risiko‐risiko tersebut harus dipertimbangkan dalam setiap pengambilan keputusan. Penilaian risiko adalah kegiatan penilaian atas kemungkinan dan dampak kejadian yang dapat mengancam pencapaian tujuan Instansi Pemerintah. Langkah penilaian risiko terdiri dari: 1. Identifikasi risiko: untuk mengenali risiko‐risiko yang mengancam tujuan organisasi yang bersumber dari eksternal dan internal serta faktor lain yang dapat meningkatkan risiko. 2. Analisis risiko: untuk menentukan tingkat (scoring) probabilitas dan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan Instansi Pemerintah. Audit Internal 9 Risiko‐risiko ini merupakan tanggung jawab manajemen selaku pemilik risiko. Manajemen harus membangun pengendalian internal (internal control) untuk menjaga agar risiko‐risiko tetap berada di tingkat yang dapat ditolerir (dibawah risk appetite). Serangkaian proses sejak identifikasi, analisis, pengelolaan, dan pengendalian risiko untuk memberikan keyakinan yang memadai tentang pencapaian tujuan adalah kegiatan manajemen risiko. Risk Maturity Risk Maturity Level adalah tingkatan sejauh mana manajemen risiko telah diadopsi dan diterapkan di seluruh organisasi untuk mengidentifikasi, menganalisis, menentukan response risiko dan melaporkan peluang/ancaman yang dapat mempengaruhi pencapaian tujuan organisasi. Tingkat risk maturity berpengaruh pada rencana audit yang disusun auditor internal. Untuk mengetahui sejauh mana tingkat risk maturity suatu organisasi auditor internal dapat melakukan hal‐hal sebagai berikut. 1. Melakukan wawancara dengan jajaran pimpinan organisasi untuk mengatahui proses yang telah diterapkan untuk meningkatkan manajemen risiko. Proses yang telah dilakukan oleh manajemen dapat berupa pelatihan, workshop, membuat questionnaire tentang risiko dan wawancara dengan pemilik risiko. Hasil akhir dari proses ini adalah risk register yang komprehensif dan kesimpulan bagaimana risk manajemen tertanam dalam organisasi. 2. Mengumpulkan informasi/bukti yang mendukung simpulan diatas antara lain berupa: a. tujuan organisasi; b. kertas kerja penilaian risiko berupa scoring dampak dan probabilitas untuk menyusun peringkat risiko; c. tingkat risk appetite yang ditetapkan pimpinan operasi; d. prosedur yang digunakan manajemen untuk mengidentifikasi risiko; e. bukti bahwa manajemen mempertimbangkan risiko dalam pengambilan keputusan; f. daftar risiko organisasi yang menunjukkan hubungan antara tujuan, risiko, pemilik risiko, score dampak dan probabilitas untuk inherent risk dan residual risk. termasuk risk response dan pengendalian yang telah diterapkan serta tingkat risk appetite yang dikehendaki pimpinan organisasi; dan 10 2014 |Pusdiklatwas BPKP g. dokumen lain yang membuktikan adanya komitmen pimpinan terhadap penerapan manajemen risiko. Tingkat risk maturity auditi mempengaruhi langkah audit yang akan diambil. Dalam table berikut digambarkan tingkatan risk maturity dan langkah yang akan diambil auditor internal. Risk Maturity Karakteristik kunci Pendekatan Internal Audit Memfasilitasi organisasi membangun Organisasi belum menerapkan manajemen risiko. Risk Naive Manajemen Risiko secara formal Auditor melakukan penilaian risiko dengan keterlibatan manajemen. Memfasilitasi organisasi membangun Penerapkan Manajemen Risiko manajemen risiko. Risk Aware Organisasi secara acak (scattered silo approach) Auditor melakukan penilaian risiko dengan keterlibatan manajemen. Strategi dan kebijakan manajemen Memfasilitasi penyempurnaan manajemen risiko telah dikomunikasikan dan Risk Defined risiko. Audit memanfaatkan hasil penilaian tingkatan risiko yang dapat ditolerir risiko yang dilakukan manajemen (risk appetite) telah ditetapkan Risk manajemen telah diterapkan dan Penekanan audit pada proses manajemen Risk Managed dan telah dikomunikasikan ke seluruh risiko. Perhatian khusus diberikan untuk anggota organisasi. memverifikasi pemantauan risiko utama. Penekanan audit pada proses manajemen Organisasi telah mengintegrasikan Risk Enabled risiko. Perhatian khusus diberikan untuk manajemen risiko dan internal control memverifikasi pemantauan risiko utama. Tabel 2.2 Tingkatan risk maturity dan langkah yang akan diambil auditor internal Hasil penilaian tingkat risk maturity dapat digunakan sebagai bahan pertimbangan dalam menentukan pendekatan audit yang akan digunakan oleh auditor internal sebagai berikut. 1. Jika risk maturity organisasi berada pada level risk aware (penerapan manajemen risiko secara acak) dan risk naive (manajemen resiko belum diterapkan secara formal), maka auditor tidak dapat meyakini risk register organisasi. Dalam kondisi seperti ini, internal auditor dapat menjalankan peran konsultatifnya, yaitu bertindak sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi organisasi. Audit Internal 11 Auditor internal dimungkinkan untuk melakukan audit berbasis risiko setelah dilakukan fasilitasi penyusunan risk register organisasi. Auditor internal tidak dapat menetapkan risiko tanpa keterlibatan pihak manajemen, karena pemilik dan penanggung jawab risiko adalah manajemen. Hal ini dilakukan untuk menghindari kesalahpahaman pihak manajemen yang menganggap bahwa auditor internal yang bertanggung jawab terhadap risiko organisasi. 2. Pada kondisi risk defined (strategi dan kebijakan manajemen risiko telah ditetapkan), pekerjaan audit diawali dengan verifikasi apakah proses manajemen risiko sudah berjalan dengan efektif. Pekerjaan audit lebih detail diperlukan untuk meyakinkan bahwa semua risiko sudah diidentifikasi dan pengendalian terhadap risiko telah berjalan efektif. 3. Pada kondisi risk managed dan risk enabled, pekerjaan audit tidak lagi diarahkan untuk menemukan kesalahan penetapan risiko atau kelemahan pengendalian. Perhatian khusus diarahkan pada proses manajemen risiko dan verifikasi terhadap pemantauan manajemen atas risiko‐risiko kunci dalam organisasi. Audit Universe (Peta Objek Audit) Dari hasil penilaian risk maturity, dapat diperoleh daftar risiko (risk register) organisasi. Dalam konteks kondisi manajemen risiko yang masih naïve dan aware, daftar ini dapat diperoleh dari hasil fasilitasi penyusunan risk register. Bila manajemen risiko organisasi telah mencapai level managed dan enabled, auditor dapat menggunakan daftar risiko yang dihasilkan manajemen. Daftar risiko ini merupakan sumber penyusunan audit universe yang akan digunakan dalam proses perencanaan dan pelaksanaan audit selanjutnya. Audit Universe (peta audit) merupakan daftar semua kemungkinan audit yang dapat dilakukan dan dimanfaatkan untuk perencanaan audit jangka panjang (lebih dari satu tahun), menyusun strategi audit, dan aktivitas audit lainnya. Peta audit adalah risk register yang telah dikembangkan lebih lanjut yang memuat informasi sebagai berikut. Risiko yang telah teridentifikasi dan telah dilengkapi dengan score. Tujuan yang terancam oleh masing‐masing risiko. Pemilik Risiko (risk owner). Pengendalian yang diterapkan oleh manajemen. 12 2014 |Pusdiklatwas BPKP Simpulan hasil audit sebelumnya mengenai efektifitas pengendalian setiap risiko. Informasi mengenai audit‐audit yang telah dan akan dilakukan. Informasi lain terkait pengendalian dan risiko. Peta Audit sebaiknya disimpan dalam bentuk data base (misalnya Access), bukan spreadsheet (misalnya Excel). Keuntungan penggunaan data base adalah data yang disimpan relatif lebih terjaga keamanan, konsistensi dan integritasnya. Dalam bentuk data base, peta audit lebih mudah dalam menghasilkan laporan misalnya: Penugasan‐penugasan audit yang sedang berlangsung. Risiko‐risiko yang mengancam tujuan tertentu. Rincian risiko‐risiko yang diurutkan berdasar score‐nya. Beragam laporan lain sesuai data‐data yang disimpan dalam data base. D. KEGIATAN ASSURANCE DAN KONSULTANSI Gambaran lingkup penugasan auditor internal menurut Draft Standar Audit Intern Pemerintah Indonesia yang disusun Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI), dapat digambarkan dalam skema sebagai berikut. Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI Audit Internal 13 Peran Auditor Internal Peran audit internal menurut Standar Audit APIP dan IIA dapat dibagi dalam dua kelompok, yaitu assurance dan konsultansi. Standar audit APIP menyatakan bahwa pengawasan intern adalah seluruh proses kegiatan (assurance) audit, reviu, pemantauan, evaluasi, dan kegiatan pengawasan lainnya (konsultansi) berupa asistensi, sosialisasi dan konsultansi. Hal ini senada dengan IIA yang membagi secara tegas tugas auditor internal dengan pernyataan bahwa: “Internal auditing is an independent, objective assurance and consulting activity”. IIA dalam International Standards for the Professional Practice of Internal Auditing (IPPF‐2013) mendefinisikan kedua peran ini sebagai berikut. Assurance services : An objective examination of evidence for the purpose of providing an independent assessment on governance, risk management, and control processes for the organization. Examples may include financial, performance, compliance, system security, and due diligence engagements. Terjemahannya: Kegiatan Penjaminan adalah pemeriksaan bukti‐bukti secara objektif untuk memberikan penilaian independen tentang manajemen risiko, pengendalian, dan proses tata kelola. Contohnya dapat berupa penugasan terkait keuangan, kinerja, ketaatan, dan keamanan sistem Consulting Services : Advisory and related client service activities, the nature and scope of which are agreed with the client, are intended to add value and improve an organization’s governance, risk management, and control processes without the internal auditor assuming management responsibility. Examples include counsel, advice, facilitation, and training. Terjemahannya : Kegiatan konsultansi adalah pemberian saran terkait aktivitas organisasi. Sifat dan lingkup penugasan disepakati bersama untuk memberikan nilai tambah dan perbaikan risiko, pengendalian, dan proses tata kelola organisasi. Contohnya dapat berupa konsultansi, pemberian saran, fasilitasi dan pelatihan. Persamaan dan Perbedaan Assurance dan Konsultansi Persamaan kedua peran ini adalah bertujuan untuk meningkatkan governance, risk management, and control (GRC) organisasi. Bedanya, assurance dilakukan melalui pemeriksaan bukti‐bukti yang bertujuan menilai GRC, sedangkan konsultansi dilakukan melalui kegiatan pemberian saran perbaikan GRC. 14 2014 |Pusdiklatwas BPKP Perbedaan mendasar antara kedua peran ini adalah sebagai berikut. 1. Pihak‐pihak yang Terlibat Dalam kegiatan konsultansi, pihak yang terlibat hanya dua pihak, yaitu pihak manajemen selaku peminta/penerima saran dan auditor internal selaku pemberi saran. Dalam kegiatan assurance ada tiga pihak terlibat, yaitu manajemen selaku auditi, auditor internal selaku pelaksana kegiatan dan pihak ketiga yang memanfaatkan hasil kegiatan assurance ini. 2. Standar Pelaksanaan Standar audit APIP sementara ini belum mengatur kegiatan konsultansi, namun IIA menerbitkan standar pelaksanaan berupa IPPF‐2013. Dalam standar ini, Attribute Standard dan Performance Standard berlaku pada semua kegiatan Assurance dan Konsultansi, dengan perbedaan standard untuk masing masing peran. 3. Tujuan Kegiatan Kegiatan assurance bertujuan untuk memberikan penilaian independen dengan lingkup dan sifat kegiatan yang ditentukan oleh auditor. Sedangkan kegiatan konsultansi bertujuan untuk memberikan saran, pelatihan dan fasilitasi. Sifat dan lingkup kegiatan konsultansi ditetapkan sesuai kesepakatan antara manajemen dan auditor internal. 4. Penyampaian Hasil Kegiatan. Jenis informasi yang disampaikan untuk berbagai kegiatan assurance relative sama, sehingga format laporan dapat dikatakan tidak jauh berbeda. Keseragaman format ini mempermudah pembaca laporan untuk mencari informasi tertentu yang mereka butuhkan. Laporan kegiatan konsultansi sebaliknya, sangat berbeda tergantung jenis dan lingkup penugasan yang disepakati. Bentuk dan isi laporan konsultansi disesuaikan dengan kebutuhan, dalam bentuk yang dianggap paling efektif dan efisien dalam menyampaikan pesan. Audit Internal 15 Jenis Kegiatan Assurance Menurut Draft Standar Audit Intern Pemerintah Indonesia (AAIPI), kegiatan assurance yang dilakukan oleh APIP meliputi kegiatan berikut ini. 1. Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara independen, objektif dan profesional berdasarkan standar audit, untuk menilai kebenaran, kecermatan, kredibilitas, efektifitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah. Jenis audit yang dapat dilakukan APIP dapat terbagi dalam tiga kelompok, yaitu: a. Audit keuangan adalah audit atas laporan keuangan, yang terbagi atas: 1) Audit keuangan yang bertujuan untuk memberikan opini atas kewajaran penyajian laporan keuangan sesuai dengan prinsip akuntansi yang diterima umum. Dalam penugasan ini auditor wajib menggunakan Standar Pemeriksaan Keuangan Negara (SPKN) dan/atau Standar Profesional Akuntan Publik (SPAP). 2) Audit terhadap aspek keuangan tertentu (audit atas laporan keuangan bukan untuk memberikan opini), contohnya antara lain: a) audit atas bagian dari laporan keuangan/informasi keuangan; b) audit atas laporan pendapatan dan biaya; c) audit atas laporan penerimaan dan pengeluaran kas; d) audit atas laporan aktiva tetap, permintaan anggaran; e) audit pengelolaan keuangan dana dekonsentrasi; dan f) audit Keuangan Lainnya. b. Audit kinerja adalah audit atas pelaksanaan tugas dan fungsi instansi pemerintah yang terdiri atas audit aspek ekonomi, efisiensi, dan audit aspek efektivitas, serta ketaatan pada peraturan. Contoh Audit kinerja antara lain: 1) audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada peraturan; 2) post audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada peraturan; 16 2014 |Pusdiklatwas BPKP 3) audit kinerja atas penyusunan dan pelaksanaan anggaran; 4) audit kinerja atas penerimaan, penyaluran, dan penggunaan dana; 5) audit kinerja atas pengelolaan aset dan kewajiban; 6) audit operasional program/kegiatan; 7) audit akuntabilitas kinerja; dan 8) audit sistem informasi. c. Audit dengan tujuan tertentu adalah audit di luar audit keuangan dan audit kinerja yang bertujuan untuk memberikan simpulan atas suatu hal yang diaudit. Yang termasuk dalam kategori ini antara lain: 1) audit investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan pelakunya guna dilakukan tindakan hukum selanjutnya; 2) audit terhadap masalah yang menjadi fokus perhatian pimpinan organisasi; 3) audit ketaatan (compliance audit); 4) audit atas tindak kecurangan/fraud audit; 5) audit atas kegiatan melawan hukum/illegal act audit; 6) mengumpulkan data dan/atau informasi intelijen; 7) fraud audit/illegal act audit/audit atas tindak kecurangan/KKN/audit forensik/ audit investigatif; 8) memproses penyelesaian TP/TGR; 9) audit atas berbagai indikasi pemborosan (waste, abuse); 10) audit khusus terhadap adanya pengaduan masyarakat terkait dugaan penyimpangan dalam pengelolaan aset, pelayanan publik atau pelaksanaan pemerintahan; Audit Internal 17 11) membantu aparat penegak hukum (APH) untuk memberikan keterangan ahli/pendampingan pemberian keterangan ahli dalam peradilan kasus hasil pengawasan; 12) membantu aparat penegak hukum (APH) untuk melakukan penghitungan kerugian keuangan negara (audit PKKN); 13) audit atas pengelolaan aset; 14) audit atas kepegawaian; 15) memberikan kesaksian dalam peradilan kasus hasil pengawasan non keuangan seperti kasus perceraian, indisipliner pegawai, dan kasus perselingkuhan; 16) mengkaji sistem pengendalian manajemen objek pengawasan; 17) pengendalian intern terhadap ketaatan hukum dan peraturan atas proses tender, akuntansi, hibah, bantuan, dan kontrak; 18) audit ketaatan atas hukum dan peraturan; 19) audit penyesuaian harga; 20) audit klaim; 21) audit lingkungan; 22) audit sosial, audit atas efektifitas bantuan sosial (misalnya: bantuan langsung tunai/BLT); 23) audit khusus dalam rangka serah terima jabatan (sertijab)/alih jabatan; 24) pemeriksaan dalam rangka berakhirnya masa jabatan kepala daerah; 25) audit atas catatan‐catatan akuntansi intern (internal accounting records); 26) audit buril, seperti: melaksanakan verifikasi, serta pengujian dan penilaian dokumen; dan 27) audit yang bersifat khas lainnya. 18 2014 |Pusdiklatwas BPKP 2. Reviu adalah penelaahan ulang bukti‐bukti suatu kegiatan untuk memastikan bahwa kegiatan tersebut telah dilaksanakan sesuai dengan ketentuan, standar, rencana, atau norma yang telah ditetapkan. Contoh reviu antara lain: a. reviu atas laporan keuangan; b. reviu atas sistem pengendalian intern pemerintah (SPIP); c. reviu atas rencana kegiatan dan anggaran (RKA); d. reviu atas usulan revisi yang mengubah plafon anggaran; e. reviu atas aspek keuangan tertentu; f. reviu aspek kinerja tertentu; g. reviu periodik atas pengelolaan keuangan; h. reviu atas aspek tertentu penyelenggaraan pemerintahan dan pembangunan; dan i. reviu atas hasil kajian pengawasan tertentu. 3. Pemantauan adalah proses penilaian kemajuan suatu program/kegiatan dalam mencapai tujuan yang telah ditetapkan. Contoh pemantauan antara lain: a. pemantauan tindak lanjut hasil pemeriksaan; b. pemantauan terhadap pelaksanaan kebijakan; c. pemantauan realisasi penyerapan anggaran; d. pemantauan capaian kinerja instansi pemerintah; e. monitoring dana dekonsentrasi; dan f. pemantauan persidangan perkara pidana. 4. Evaluasi adalah rangkaian kegiatan membandingkan hasil/prestasi suatu kegiatan dengan standar, rencana, atau norma yang telah ditetapkan, dan menentukan faktor‐ faktor yang mempengaruhi keberhasilan atau kegagalan suatu kegiatan dalam mencapai tujuan. Contoh evaluasi antara lain: a. evaluasi dan penilaian atas efektivitas proses tata kelola; b. evaluasi dan penilaian atas efektivitas manajemen risiko; c. evaluasi dan penilaian atas efektivitas penerapan sistem pengendalian intern; Audit Internal 19 d. evaluasi atas efektivitas suatu program; e. evaluasi kelembagaan; f. evaluasi kebijakan; g. evaluasi strategi pelaksanaan kegiatan; h. evaluasi akuntabilitas kinerja instansi pemerintah (AKIP); dan i. evaluasi hasil pengembangan sistem informasi. Masing‐masing kegiatan assurance (audit, reviu, pemantauan dan evaluasi) memiliki derajat assurance yang berbeda sesuai sifat dan jumlah bukti yang akan diuji. Derajat assurance berbanding lurus dengan jumlah bukti yang dikumpulkan dan dievaluasi, sebagaimana tergambar dalam table berikut. Jenis Penugasan Derajat Assurance Jumlah Bukti Dikumpukan Sifat Assurance Audit Tinggi Banyak Positif Reviu Sedang Cukup Banyak Negatif Assurance Lain Bervariasi Bervariasi Negatif Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi Positive assurance (biasa disebut reasonable assurance/jaminan memadai) diberikan oleh auditor internal untuk memberikan keyakinan bahwa informasi yang diaudit telah sesuai dengan kriteria/ketentuan. Contoh: Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam bentuk: “Dari hasil audit yang telah dilakukan, disimpulkan bahwa pelaksanaan tugas dan fungsi Satker XYZ telah dilaksanakan dengan efektif dalam mencapai tujuan organisasi”. Negative assurance/jaminan terbatas yang diberikan oleh auditor ‘hanya’ memberi keyakinan bahwa tidak ditemukan adanya penyimpangan/bukti adanya penyimpangan dari kriteria yang digunakan. Contoh : Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam bentuk: “Dari hasil evaluasi yang telah dilakukan, tidak ditemukan bukti bahwa pelaksanaan tugas dan fungsi Satker XYZ dilaksanakan dengan tidak efektif”. 20 2014 |Pusdiklatwas BPKP Jenis Kegiatan Konsultansi Kegiatan konsultasi sangat bervariasi baik bentuk dan sifatnya, disesuaikan dengan kesepakatan antara auditor dan manajemen. Kegiatan ini dapat didesain sesuai kebutuhan manajemen untuk mengatasi masalah tertentu. Walaupun demikian, kegiatan ini hanya dapat dilaksanakan sepanjang tidak mengganggu independensi dan objektifitas auditor internal. Kegiatan konsultansi dapat berbentuk pemberian saran (advisory role), pelatihan (training role), dan bimbingan teknis (facilitative role). Namun, dalam praktik kegiatan konsultansi tidak dapat dipisahkan secara tegas antara advisory role, training role, dan facilitative role. Misalnya dalam kegiatan facilitative, auditor juga berperan advisory. Demikian juga dalam kegiatan training role, auditor internal juga memberika saran (advisory role) 1. Advisory Role Pada umumnya, kegiatan konsultansi bersifat memberikan saran kepada manajemen. Kegiatan dapat dilakukan dalam bentuk kajian dan penyampaian rekomendasi. Setiap organisasi tentu mengalami berbagai tantangan, untuk menghadapinya manajemen dapat meminta auditor untuk memberikan saran misalnya dalam hal‐hal berikut. a. Membangun desain pengendalian internal. b. Membangun prosedur dan kebijakan. c. Memberikan saran tentang kegiatan yang berisiko tinggi. d. Membangun manajemen risiko. 2. Training Role Auditor pada umumnya berpengalaman melaksanakan tugas assurance dan memiliki pengetahuan yang dapat dibagi dengan manajemen. Pengetahuan auditor yang dapat diberikan terkait berbagai kriteria/peraturan, manajemen risiko, pengendalian internal dan best practices. Auditor dapat membagikan/menyebarkan/mendesiminasikan pengetahuan tersebut atas permintaan manajemen melalui pelatihan, workshop, atau sosialisasi. Audit Internal 21 3. Facilitative Role Manajemen juga bisa meminta auditor internal untuk terlibat lebih jauh, misalnya sebagai fasilitator (facilitative role). Peran fasilitator ini dilaksanakan dalam bentuk pendampingan asistensi dan bimbingan teknis pendampingan. Internal auditor telah berpengalaman dalam melakukan analisis pengendalian yang diperlukan untuk menangani sebuah risiko. Internal auditor dapat membimbing manajemen untuk menemukan ‘kelemahan’ sebuah pengendalian dan membimbing manajemen membangun pengendalian untuk menutup kelemahan tersebut. Selaku fasilitator, auditor internal terlibat langsung dalam kegiatan manajemen. Yang harus diperhatikan adalah dalam melakukan asistensi, internal auditor tidak boleh bertindak sebagai pengambil keputusan yang menjadi tanggung jawab manajemen. Standar IPPF mengatur bahwa ketika membantu manajemen, auditor internal harus menghindari asumsi dari manajemen, bahwa auditor telah mengambil alih tanggung jawab manajemen selaku penanggung jawab risiko. E. TAHAPAN PENUGASAN AUDIT INTERNAL Menurut Institut of Internal Auditors ‐ Research Foundation (IIA‐RF)1, tahapan penugasan auditor internal baik penugasan assurance maupun konsultansi secara umum terbagi dalam tiga tahap utama, yaitu: perencanaan, pelaksanaan dan pelaporan. Dalam praktik tidak ada garis tegas yang membagi ketiga tahap ini. Tahap perencanaan tidak berhenti saat dimulainya tahap pelaksanaan, karena penyesuaian rencana perlu dilakukan saat ditemukan adanya penyimpangan. Penyampaian simpulan (tahap pelaporan) tidak harus setelah tahap pelaksanaan penugasan selesai, namun dapat dilakukan saat ditemukan adanya masalah yang perlu penanganan segera. Penugasan Assurance Penugasan assurance bervariasi sesuai tujuan dan lingkupnya, namun dengan tahapan penugasan relatif sama. Tahapan‐tahapan berikut pada umumnya dilakukan di setiap kegiatan assurance, dengan sedikit penyesuaian pelaksanaan. Tahapan kegiatan assurance dapat dirinci sebagai berikut. 1 Kurt F Reding et al (IIA-RF), 2009, Internal Auditing: Assurance and Consulting Services, 2nd Edition 22 2014 |Pusdiklatwas BPKP 1. Perencanaan a. Penetapan tujuan dan lingkup penugasan. b. Pemahaman auditi. c. Identifikasi dan penilaian risiko. d. Identifikasi pengendalian kunci. e. Evaluasi pengendalian. f. Penyusunan rencana pengujian. g. Penyusunan program audit. h. Pengalokasian sumber daya. 2. Pelaksanaan a. Pengujian dan pengumpulan bukti. b. Evaluasi bukti dan pengambilan kesimpulan. c. Pengembangan temuan dan rekomendasi. 3. Pelaporan a. Penyampaian simpulan sementara. b. Penyusunan laporan. c. Distribusi laporan. d. Monitoring tindak lanjut. Penugasan Konsultansi Berbeda dengan kegiatan assurance, kegiatan konsultansi berbeda tahapannya untuk setiap kegiatan. Hal ini disebabkan lingkup, sifat dan metode kegiatan ditetapkan berdasar kesepakatan antara auditor dan manajemen. Dengan kata lain, bentuk penugasan konsultansi sangat bergantung kebutuhan manajemen. Berikut adalah tahapan kegiatan konsultansi secara umum penerapannya disesuaikan lingkup dan tujuan penugasan. Tahapan kegiatan konsultansi dapat dirinci sebagai berikut. Audit Internal 23 1. Perencanaan a. Penentuan tujuan dan lingkup. b. Permintaan persetujuan tujuan dan lingkup penugasan dari manajeman. c. Pemahaman lingkup penugasan dan proses bisnis. d. Pemahaman risiko yang terkait (jika diperlukan). e. Pemahaman pengendalian terkait (jika diperlukan). f. Evaluasi desain pengendalian. g. Penyusunan rencana penugasan. h. Pengalokasian sumber daya. 2. PELAKSANAAN a. Penugasan Advisory 1) Pengumpulan dan evaluasi bukti. 2) Penyusunan saran. b. Penugasan Training dan Fasilitative 1) Penutupan bahan fasilitasi/training. 2) Pelaksanaan fasilitasi/training. 3) Evaluasi efektifitas. 3. PELAPORAN a. Penyampaian simpulan sementara. b. Penyusunan laporan. c. Distribusi laporan. d. Monitoring tindak lanjut (jika diperlukan). 24 2014 |Pusdiklatwas BPKP Bab III PERENCANAAN PENUGASAN ASSURANCE Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai tahapan praktik perencanaan assurance audit internal yaitu: penetapan tujuan dan lingkup assurance audit internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko, identifikasi pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian, penyusunan program kerja dan pengalokasian sumber daya. Kegiatan assurance merupakan penilaian objektif yang dilakukan auditor internal atas bukti untuk memberikan pendapat independen mengenai tata kelola, manajemen risiko dan proses pengendalian. Jenis dan lingkup penugasan assurance ditentukan oleh instansi auditor internal (APIP). Telah dibahas sebelumnya bahwa kegiatan assurance dapat dilaksanakan dalam berbagai bentuk antara lain: audit keuangan, audit kinerja, audit dengan tujuan tertentu, evaluasi, reviu dan pemantauan/monitoring. Tahapan seluruh kegiatan ini dapat digambarkan sebagai berikut. Tabel 3.1 Tahapan Penugasan Assurance Audit Internal 25 Dalam praktik, beberapa penugasan assurance tidak menggunakan tahapan tersebut di atas. Hal ini disebabkan, ada beberapa penugasan yang telah diatur dengan ketentuan khusus. Misalnya penugasan‐penugasan sebagai berikut. 1. Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (AKIP) Evaluasi AKIP diatur dengan Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (Juklak Evaluasi AKIP) yang setiap tahun diterbitkan oleh Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (MenPanRB). Salah satunya adalah Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 20 Tahun 2013 tentang Perubahan Lampiran Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 25 Tahun 2012 Tentang Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah. Evaluasi AKIP adalah aktivitas analisis yang sistematis, pemberian nilai, atribut, apresiasi, dan pengenalan permasalahan, serta pemberian solusi atas masalah yang ditemukan untuk tujuan peningkatan kinerja dan akuntabilitas instansi/unit kerja pemerintah. Metodologi yang digunakan untuk melakukan evaluasi akuntabilitas kinerja instansi dengan menggunakan teknik "criteria referenced survey", dengan cara menilai secara bertahap langkah demi langkah (step by step assessment) setiap komponen dan selanjutnya menilai secara keseluruhan (overall assessment) dengan kriteria evaluasi dari masing‐masing komponen yang telah ditetapkan sebelumnya. Kriteria evaluasi kinerja instansi pemerintah ditentukan dengan berdasarkan kepada: a. kebenaran normatif sebagaimana yang ditetapkan dalam pedoman penyusunan laporan akuntabilitas kinerja instansi pemerintah; b. kebenaran normatif yang bersumber pada modul‐modul atau buku‐buku petunjuk mengenai sistem AKIP; c. kebenaran normatif yang bersumber pada best practice baik di Indonesia maupun di luar negeri; d. kebenaran normatif yang bersumber pada berbagai praktik manajemen strategis, manajemen kinerja, dan sistem akuntabilitas yang baik. 26 2014 |Pusdiklatwas BPKP Penilaian apakah suatu instansi telah memenuhi suatu kriteria, harus didasarkan pada fakta objektif dan professional judgement dari para evaluator. Teknik evaluasi pada dasarnya merupakan cara/alat/metode yang digunakan untuk pengumpulan dan analisis data. Berbagai teknik evaluasi dapat dipilih untuk digunakan dalam evaluasi ini, namun demikian pada akhirnya teknik yang digunakan harus dapat mendukung penggunaan metode evaluasi yang telah ditetapkan, sehingga mampu menjawab tujuan dilakukannya evaluasi ini. Berbagai teknik pengumpulan data antara lain: kuisioner, wawancara, observasi, studi dokumentasi atau kombinasi beberapa teknik tersebut. Sedangkan teknik analisis data antara lain: telaahan sederhana, berbagai analisis dan pengukuran, metode statistik, pembandingan, analisis logika program dan sebagainya. Ruang lingkup evaluasi AKIP meliputi kegiatan evaluasi terhadap perencanaan strategis dan perencanaan kinerja tahunan, pelaksanaan program dan kegiatan, pengukuran capaian kinerja, serta pelaporan kinerja, informasi kinerja yang dipertanggungjawabkan dalam LAKIP bukanlah satu‐satunya yang digunakan dalam menentukan nilai evaluasi, akan tetapi juga termasuk berbagai hal yang dapat dihimpun guna mengukur keberhasilan ataupun keunggulan instansi. Untuk keberhasilan pelaksanaan evaluasi, terlebih dahulu perlu didefinisikan kepentingan pihak‐pihak pengguna hasil evaluasi. Informasi yang dihasilkan dari suatu evaluasi antara lain mencakup: a. informasi untuk mengetahui tingkat kemajuan/perkembangan (progress); b. informasi untuk membantu agar kegiatan tetap dalam alurnya; dan c. informasi untuk meningkatkan efisiensi. 2. Audit Investigatif Audit Investigastif dilakukan berdasar Peraturan Menteri Pendayagunaan Aparatur Negara (Permen PAN) Nomor PER/05/M.PAN/03/2008 tentang Standar Audit Aparat Pengawasan Internal Pemerintah, juga harus berpedoman pada Peraturan Kepala BPKP Nomor PER‐1314/K/D6/2012 tentang Pedoman Penugasan Bidang Investigasi (PPBI). Audit Investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan pelakunya guna dilakukan tindakan hukum selanjutnya. Berdasarkan pengertian audit Audit Internal 27 investigatif di atas, maka dalam audit investigatif terdapat proses pengungkapan terjadi atau tidaknya suatu perbuatan dan pelakunya dengan tujuan untuk membuktikan ada atau tidaknya perbuatan melanggar hukum. Dengan demikian, terkait dengan pengelolaan keuangan negara, audit investigatif merupakan suatu upaya untuk membuktikan ada tidaknya suatu perbuatan yang melanggar hukum sehingga apabila perbuatan terbukti, maka akan dikualifikasikan apakah perbuatan tersebut termasuk kesalahan administrasi yang nantinya akan dilakukan tuntutan ganti rugi/tuntutan perbendaharaan atau terdapat indikasi tindak pidana korupsi/terdapat indikasi tindak pidana lain. Tahapanan kegiatan audit investigasi adalah sebagai berikut. a. Pra‐perencanaan Pra‐perencanaan dalam audit investigatif meliputi proses pengidentifikasian masalah dalam kegiatan yang memerlukan audit investigatif, penyusunan hipotesis awal atas masalah yang diidentifikasi, dan pengolahan hipotesis, hingga ditetapkannya simpulan berupa layak atau tidaknya dilakukan suatu audit investigatif terhadap masalah tersebut. b. Perencanaan Penyusunan rencana penugasan audit meliputi kegiatan penetapan sasaran dan ruang lingkup audit investigatif serta melakukan alokasi sumber daya dalam rangka melaksanakan penugasan tersebut. c. Pengumpulan dan Evaluasi Bukti Pelaksanaan pengumpulan dan evaluasi bukti harus difokuskan pada upaya pengujian hipotesis untuk mengungkapkan: fakta‐fakta dan proses kejadian (modus operandi), sebab dan dampak penyimpangan, serta pihak‐pihak yang diduga terlibat/bertanggung jawab atas kerugian keuangan negara/daerah. d. Pelaporan Proses dokumentasi atas hasil pelaksanaan audit investigatif merupakan tahap yang sama pentingnya dengan tahapan lain dalam audit investigatif atas suatu kasus. 28 2014 |Pusdiklatwas BPKP Biasanya bentuk dokumentasi tersebut berupa laporan tertulis. Laporan tertulis merupakan suatu bukti bahwa audit investigasi telah dilaksanakan sesuai dengan prosedur yang berlaku. Auditor harus mempertimbangkan bahwa laporan hasil audit investigasi akan dibaca oleh banyak pihak termasuk pihak‐pihak mempunyai kepentingan yang bertentangan dengan auditor. Dengan demikian, dalam menyusun laporannya auditor harus mampu bertahan dengan apa yang sudah ditulisnya. Untuk itu, ia harus dapat meyakinkan bahwa laporan telah dibuat sesuai dengan prosedur dan telah menjawab pertanyaan klasik yaitu: siapa, apa, mengapa, dimana, bilamana, dan bagaimana. 3. Reviu Laporan Keuangan Reviu atas laporan keuangan pemerintah diatur dengan Peraturan Menteri Keuangan Nomor 41/PMK.09/2010 tentang Standar Reviu atas Laporan Keuangan Kementerian Negara/Lembaga dan Peraturan Menteri Dalam Negeri Nomor 4 Tahun 2008 tentang Pedoman Pelaksanaan Reviu atas Laporan Keuangan Pemerintah Daerah. Reviu atas laporan keuangan adalah proses penelaahan atas penyelenggaraan akuntansi dan penyajian laporan keuangan kementerian/lembaga/pemerindah daerah (K/L/D) yang dilakukan oleh aparat pengawasan intern pemerintah (APIP) yang kompeten untuk memberikan keyakinan terbatas bahwa akuntansi telah diselenggarakan berdasarkan sistem akuntansi dan telah disajikan sesuai dengan standar akuntansi pemerintah. Laporan keuangan pemerintah dimaksud terdiri atas: a. laporan realisasi anggaran; b. neraca; c. laporan arus kas; dan d. catatan atas laporan keuangan. Tahapan reviu laporan keuangan adalah sebagai berikut. a. Perencanaan, kegiatan yang dilakukan dalam tahap ini berupa penentuan objek, proses dan akun yang akan direviu serta pemilihan langkah‐langkah reviu. Audit Internal 29 b. Pelaksanaan, kegiatan yang dilakukan dalam tahap ini penelaahan atas penyelenggaraan akuntansi dan laporan keuangan K/L pada unit reviu penyusunan KKR. c. Pelaporan berupa penyusunan: 1) catatan hasil reviu; 2) ikhtisar hasil reviu; dan 3) laporan hasil reviu. d. Pendampingan selama pemeriksaan BPK. Yang dapat dilakukan oleh APIP dalam tahap ini adalah: 1) menjelaskan kepada BPK mengenai hasil reviu atas laporan keuangan K/L agar dapat digunakan oleh BPK; 2) mendukung kelancaran pelaksanaan pemeriksaan BPK; 3) mengantisipasi permasalahan/kendala yang dihadapi oleh unit akuntansi pada saat pelaksanaan pemeriksaan oleh BPK; 4) membantu penyamaan persepsi unit akuntansi terhadap temuan hasil pemeriksaan BPK; 5) mendampingi unit akuntansi dalam pertemuan akhir dengan BPK untuk membahas hasil pemeriksaan; dan 6) Mendorong unit akuntansi untuk segera memperbaiki laporan keuangan berdasarkan hasil pemeriksaan BPK. A. PENETAPAN TUJUAN DAN LINGKUP PENUGASAN Langkah pertama dalam memulai suatu penugasan adalah menentukan tujuan (apa yang akan dicapai) dan lingkup penugasan (apa yang akan diuji). Pada bagian sebelumnya telah disebutkan bahwa kegiatan assurance dapat berbentuk audit, reviu, evaluasi dan pemantauan. Pembagian penugasan ini berdasarkan tujuan dan lingkup penugasan. Misalnya, jika sebuah penugasan bertujuan untuk memberikan positive assurance (keyakinan memadai) maka jenis 30 2014 |Pusdiklatwas BPKP penugasannya adalah ‘audit’. Keyakinan memadai yang diberikan membawa konsekuensi bahwa penugasan akan menggunakan sumber daya lebih terkait banyaknya jumlah bukti yang harus diuji. Audit dapat dikelompokkan lebih lanjut sesuai tujuannya, misalnya sebagai berikut. 1. Audit yang bertujuan untuk memberi opini atas laporan keuangan disebut Audit Keuangan. 2. Audit yang bertujuan untuk menilai efektifitas dan efisiensi sebuah kegiatan/program disebut Audit Kinerja. 3. Audit yang bertujuan untuk menilai ketaatan terhadap peraturan tertentu (compliance audit) disebut Audit Kinerja. 4. Audit yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan yang melawan hukum disebut Audit Investigasi (audit tujuan tertentu). Dalam hal keterbatasan sumber daya atau cukup dengan jaminan terbatas, jenis penugasan dapat disesuaikan. Penugasan dapat dilakukan dalam bentuk reviu, evaluasi atau pemantauan, yang hanya memberikan negative assurance (keyakinan terbatas). Pemberian keyakinan terbatas ini dapat dikelompokkan lagi berdasar tujuannya, misalnya sebagai berikut. 1. Penelaahan ulang bukti‐bukti suatu kegiatan yang bertujuan untuk memastikan bahwa kegiatan telah dilaksanakan sesuai dengan ketentuan disebut Reviu. 2. Kegiatan yang bertujuan untuk menilai kemajuan suatu program/kegiatan dalam mencapai tujuan yang telah ditetapkan disebut Pemantauan. 3. Rangkaian kegiatan yang bertujuan membandingkan hasil/prestasi suatu kegiatan dengan standar, rencana, atau norma disebut Evaluasi. Lingkup penugasan adalah batasan hal‐hal yang akan diuji. Batasan tersebut dapat berupa proses tertentu, tingkatan tertentu, periode waktu dan/atau wilayah tertentu. Keputusan menentukan lingkup penugasan memerlukan professional judgement dari pimpinan instansi auditor internal. Penentuan lingkup penugasan yang jelas, membantu tim audit untuk lebih fokus pada pengujian tertentu. Bagi pembaca laporan, pernyataan lingkup penugasan yang jelas dapat mempermudah untuk memahami permasalahan dan simpulan yang disampaikan dalam laporan. Audit Internal 31 Contoh kasus: Pada tahun 2014, sebuah Satuan Kerja XYZ melaksanakan pengadaan 300 set komputer dan 15.000 eksemplar buku untuk 150 sekolah yang tersebar di 15 kecamatan. Pengadaan ini menggunakan dana APBN yang bersumber dari DIPA Satker XYZ. Auditor internal ditugaskan untuk memastikan bahwa kegiatan pengadaan komputer tersebut telah sesuai peraturan yang berlaku tentang pengadaan barang/jasa instansi pemerintah. Atas penugasan tersebut auditor internal menetapkan tujuan dan lingkup sebagai berikut. Tujuan penugasan: memberi positive assurance bahwa pengadaan komputer tersebut telah sesuai ketentuan yang berlaku. Lingkup penugasan: pengadaan komputer pada satker XYZ pada tahun 2014. Nama penugasan: audit kinerja atas pengadaan komputer pada Satker XYZ tahun 2014. B. PEMAHAMAN PROSES KERJA AUDITI Dalam merencanakan penugasan, auditor internal harus memahami auditi (tujuan, proses dan area yang menjadi lingkup penugasan). Kegagalan dalam memahami auditi dapat berakibat pengujian yang tidak lengkap atau kesalahan pengalokasian sumber daya. Yang pertama harus dipahami oleh auditor internal adalah tujuan organisasi. Tujuan organisasi dapat diartikan sebagai sesuatu yang diupayakan untuk dicapai oleh organisasi. Informasi yang diuji pada umumnya terkait pernyataan (assertion) auditi sejauh mana tujuan organisasi telah tercapai dan proses yang dilakukan manajemen dalam mencapainya. Auditor internal dapat menggunakan berbagai sumber untuk memahami auditi. Salah satunya dengan memanfaatkan data yang telah tersedia, misalnya data‐data sebagai berikut. 1. Renstra 2. Kebijakan 3. Prosedur Baku 4. Uraian tugas masing‐masing pegawai yang terlibat 5. Process Map/Flow Chart keseluruhan proses 6. Dokumentasi lain misalnya laporan efektifitas internal control 32 2014 |Pusdiklatwas BPKP Atas data‐data tersebut dapat dilakukan prosedur analitis lebih lanjut dengan langkah sebagai berikut. 1. Membandingkan data tahun ini dengan data tahun sebelumnya. 2. Analisis rasio misalnya tingkat penyerapan anggaran (realisasi/anggaran). 3. Mengukur tingkat kemandirian keuangan pemerintah daerah (PAD/total pendapatan). 4. Mengukur tingkat capaian kinerja, baik kinerja keuangan maupun kinerja non keuangan. Perkembangan teknologi dalam pengelolaan keuangan pemerintah dan kegiatan lainnya dapat dimanfaatkan oleh auditor untuk mempermudah pelaksanaan tugas. Misalnya dengan memanfaatkan sistem informasi yang ada, auditor internal dapat dengan mudah memperoleh informasi sebagai berikut. 1. Jumlah atau persentase pembayaran yang dilakukan setelah tanggal jatuh tempo. 2. Pengelompokkan data berdasar jumlah pembayaran atau penerima pembayaran. 3. Pembayaran dengan jumlah yang sama terhadap rekanan yang sama. Contoh kasus: Melanjutkan kasus Satker XYZ tersebut di atas, dilakukan pemahaman tujuan dan proses pengadaan komputer. Yang pertama harus dilakukan oleh auditor adalah memahami ‘tujuan auditi’. Tujuan auditi secara umum terlukis dalam dokumen Rencana Strategis (Renstra). Dari tujuan tingkat organisasi, manajemen menjabarkan dalam tujuan kegiatan. Informasi tujuan kegiatan dapat di peroleh dari dokumen Daftar Isian Pelaksanaan Anggaran (DIPA) untuk APBN, dan Dokumen Pelaksanaan Anggaran (DPA‐SKPD). Gambar berikut adalah petikan DIPA lampiran 1.a tentang Jabaran Anggaran, terdapat informasi mengenai indikator kinerja output dan outcome tingkat program dan kegiatan. Audit Internal 33 Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran Tujuan Satker XYZ yang tertuang dalam Renstra adalah “Mewujudkan perluasan dan pemerataan kesempatan memperoleh pendidikan yang bermutu di Kota XYZ”. Tujuan tingkat organisasi ini di jabarkan lebih lanjut dalam indikator kegiatan pengadaan komputer, yaitu “Tersedianya komputer di sekolah sebagai sarana peningkatan kemampuan siswa dalam bidang teknologi informasi”. Prosedur pelaksanaan kegiatan (Standard Operating Procedure – SOP) dapat diperoleh dari Satker XYZ. Sebagai auditor internal sudah selayaknya memiliki akses untuk memperoleh dokumen tersebut. Dalam contoh kasus Pengadaan Barang dan Jasa (PBJ) ini, prosedur pengadaan sudah ditetapkan dalam Peraturan Presiden Republik Indonesia Nomor 54 Tahun 2010 dan perubahannya tentang Pengadaan Barang/Jasa Pemerintah. Dalam tahap pemahaman auditi ini, auditor internal berusaha mengumpulkan berbagai informasi terkait kegiatan yang dilakukan Satker XYZ. Misalnya: spesifikasi komputer, pengadaan tahun sebelumnya, pengadaan sejenis yang dilakukan oleh satker lain dan informasi lain yang relevan. Proses PBJ yang sudah dilaksanakan dengan metode e‐ procurement, melalui LPSE (lembaga pengadaan secara elektronik), memberi auditor internal banyak keuntungan. Auditor dapat memperoleh berbagai informasi terkait proses PBJ, misalnya: 34 2014 |Pusdiklatwas BPKP 1. harga perkiraan sendiri (HPS); 2. dokumen pengadaan (spesifikasi dan syarat‐syarat lain); 3. peserta yang mendaftar dan peserta yang melakukan penawaran; 4. tanya jawab yang terjadi dalam proses pemberian penjelasan; 5. hasil evaluasi kualifikasi, teknis, dan harga; dan 6. pemenang lelang. Pemanfaatan teknologi informasi dalam kegiatan manajemen sangat membantu auditor internal. Dalam contoh audit PBJ ini, auditor memperoleh banyak informasi penting dengan mudah. Demikian pula penggunaan sistem informasi lainnya seperti SIMDA, SAK, SIMAK BMN, dan sistem informasi lainnya dapat memberi informasi penting dengan cara mudah. C. IDENTIFIKASI DAN PENILAIAN RISIKO Dalam bagian sebelumnya telah dijelaskan konsep risk maturity. Auditor internal idealnya telah melakukan pengujian dan memiliki informasi risk maturity level setiap organisasi/satuan kerja yang menjadi lingkup pengawasannya. Informasi ini sangat bermanfaat dalam penugasan tahap ini (identifikasi dan penilaian risiko). Pada kondisi risk managed dan risk enabled, auditor internal mendapat informasi risiko yang dihadapi organisasi dari daftar risiko kunci hasil proses manajemen risiko organisasi. Pada kondisi risk defined auditor cukup dengan melakukan verifikasi apakah proses manajemen risiko sudah berjalan dengan efektif. Bila proses manajemen risiko sudah berjalan dengan baik, auditor internal dapat menggunakan daftar risiko organisasi. Namun, bila ternyata kematangan manajemen risiko organisasi masih pada tingkat risk naïve dan aware, auditor perlu menjalankan peran konsultatifnya. Dalam kondisi organisasi berada pada level risk aware dan risk naïve, maka auditor bertindak sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi organisasi. Sekali lagi, auditor harus melibatkan manajemen dalam proses identifikasi dan penilaian risiko ini. Hal ini dilakukan untuk menghindari kesalahpahaman pihak manajemen yang menganggap bahwa auditor internal yang bertanggung jawab terhadap pengelolaan (manajemen) risiko organisasi. Audit Internal 35 Identifikasi Risiko Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu risiko dapat terjadi, sebelum risiko timbul dan berdampak negatif terhadap pencapaian tujuan. Hasil identifikasi risiko adalah suatu daftar risiko‐risiko yang berpotensi mengancam pencapaian tiap tujuan organisasi. Dalam rangka menjamin perolehan identifikasi risiko yang akurat, penilaian risiko harus menggunakan metodologi yang tepat dan melibatkan para pemilik risiko yang terkait dengan kegiatan yang dinilai risikonya. Metodologi yang tepat akan mengarahkan ketepatan proses penilaian, sedang keterlibatan para pemilik risiko penting karena mereka yang mengerti kegiatan dan menjadi pihak yang terkena dampak atas kegagalan pencapaian tujuan. Identifikasi dilakukan melalui wawancara dengan para pihak yang terkait dengan kegiatan yang dinilai risikonya, evaluasi dokumen, pengamatan dan pendekatan lainnya untuk menggali risiko yang ada. Finalisasi hasil identifikasi dilakukan melalui proses rapat internal (Focus Group Discussion‐FGD) untuk mengkonfirmasi ulang risiko yang telah teridentifikasi dan untuk meminta masukan atas risiko‐risiko baru yang sebelumnya belum teridentifikasi. COSO ‐ Enterprise Risk Management (2004) menyebutkan bahwa sumber risiko dapat dikelompokkan menjadi dua faktor, yaitu faktor internal dan faktor eksternal. Yang termasuk dalam faktor eksternal antara lain perubahan ekonomi, bencana alam, peristiwa politik, perubahan sosial dan perkembangan teknologi. Sedangkan yang termasuk dalam faktor internal antara lain infrastruktur organisasi, personil, proses bisnis dan kondisi teknologi organisasi. Output identifikasi risiko adalah daftar risiko yang sekurang‐kurangnya memuat informasi tentang tujuan terkait risiko, pernyataan risiko pemilik risiko, sumber risiko dan pengendalian yang ada. Hasil identifikasi risiko dapat dituangkan dalam format berikut. Sumber Risiko Pemilik Pengendalian yang No Tujuan Pernyataan Risiko Uncotrollable Risiko Sumber Uraian Ada /Controllable (U/C) Tabel 3.2 Format Hasil Identifikasi Risiko 36 2014 |Pusdiklatwas BPKP Contoh kasus: Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil identifikasi risiko. Dalam praktik jumlah risiko dapat berjumlah cukup banyak, dalam contoh ini hanya ditampilkan beberapa risiko. Hasil identifikasi risiko adalah sebagai berikut. PERNYATAAN PEMILIK SUMBER RISIKO PENGENDALIAN YANG N0 TUJUAN RISIKO RISIKO SUMBER U/C URAIAN ADA 1 Tersedianya Spesifikasi teknis PA/KPA, Internal C Kelalaian PPK PPK membuat komputer sebagai tidak sesuai PPK, External dalam spesifikasi teknis sarana kebutuhan. PPHP membuat Spesifikasi teknis peningkatan spesifikasi, menjadi bagian kemampuan kelalalian dokumen pengadaan teknologi PPHP dalam informasi menerima Spesifikasi teknis dimuat barang. dalam kontrak PPHP menerima barang dibandingkan dengan kontrak Jumlah komputer PA/KPA, Internal C kelalalian Jumlah barang diatur diterima tidak PPK, External PPHP dalam dalam dokumen sesuai kebutuhan PPHP menerima pengadaan barang. Jumlah barang dimuat dalam kontrak PPHP menerima barang dibandingkan dengan kontrak Penyedia barang PA/KPA, Internal C kelalaian ULP Kualifikasi penyedia tidak sanggup PPK, External dalam diatur dalam dokumen melaksanakan ULP melakukan lelang pengadaan kualifikasi ULP melakukan calon penyedia evaluasi kualifikasi calon penyedia barang PA = Pengguna Anggaran KPA = Kuasa PA PPK = Pejabat Pembuat Komitmen PPHP = Panitia Penerima Hasil Pekerjaan ULP = Unit Layanan Pengadaan U/C = Uncontrolabe/controllable Contoh lain identifikasi risiko untuk kegiatan pelayanan, misalnya pelayanan penerbitan sertifikat tanah di kantor Badan Pertanahan Nasional (BPN) adalah sebagai berikut. Standar pelayanan minimal tidak dipahami para pegawai. Pemungutan biaya layanan melebihi ketentuan (pungli) yang dilakukan oleh staf BPN. Audit Internal 37 Pemohon sertifikat menggunakan jasa calo. Pelayanan dilakukan staf BPN tidak sesuai prosedur. Penilaian Risiko Penilaian risiko pada dasarnya merupakan penentuan tingkat kemungkinan terjadinya risiko serta pengaruh/akibat yang harus ditanggung oleh entitas/organisasi. Terdapat dua unsur yang menjadi dasar untuk melakukan penaksiran risiko yaitu: 1. dampak risiko (consequences atau impact) adalah besarnya efek bila risiko terjadi; dan 2. kemungkinan terjadinya suatu risiko (likelihood atau probability) adalah tingkat kemungkinan risiko akan terjadi. Pengukuran yang dapat diberikan kepada dua unsur tersebut bisa dilakukan secara kuantitatif atau kualitatif. Metode pengukuran secara kualitatif dilaksanakan dengan menetapkan skala penilaian. Misalnya, dampak diukur dengan skala kualitatif sebagai berikut. Sangat Besar (5), Besar (4), Menengah (3), Kecil (2) dan Sangat Kecil (1). Sedangkan probailitas diukur dengan skala: (5) hampir pasti, (4) cenderung terjadi, (3) mungkin terjadi, (2) kadang‐kadang terjadi dan (1) sangat jarang terjadi. Metode kuantitatif menggunakan angka/nilai numerik untuk menyatakan besarnya probabilitas dan dampak. Nilai yang digunakan dari berbagai sumber, salah satunya adalah dari data historis selama beberapa tahun. Metode campuran menggunakan gabungan metode kuantitatif dan metode kualitatif. Masing‐masing metode ini memiliki kelebihan dan kekurangan, namun jika dilakukan dengan cara benar, ketiga metode ini akan menghasilkan peringkat risiko yang relatif sama. Yang diperlukan di sini bukan akurasi atau ketepatan nilainya tetapi hanya untuk memperkirakan peringkat risiko, mana risiko yang melebihi batas toleransi dan seberapa besar pengaruh pengendalian yang ada terhadap tingkat risiko. Dalam melakukan penaksiran risiko, idealnya dipahami pengertian mengenai risiko yang ada sebelum dan sesudah dilakukannya penanganan risiko, yaitu: inherent risk (risiko melekat atau absolut), bobot risiko diukur melalui penaksiran atas konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko pada saat manajemen belum melakukan suatu tindakan terhadap pengendalian intern; dan 38 2014 |Pusdiklatwas BPKP residual risk (risiko bersih atau terkendali), bobot risiko diukur melalui penaksiran atas konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko setelah pengendalian intern diberlakukan. Dalam praktik, hal yang paling mudah dikerjakan adalah mengukur inherent risk pada suatu kegiatan yang baru diimplementasikan, karena sangat besar kemungkinan belum ada pengendalian intern yang ditetapkan. Sedangkan untuk kegiatan yang bersifat rutin pada umumnya inherent risk akan lebih sulit untuk diukur, karenanya auditor akan menilai residual risk‐nya. Jika probabilitas risiko inheren tinggi, maka pengendalian yang bersifat preventive harus diterapkan. Jika dampak terjadinya risiko inheren besar, maka pengendalian mitigative yang diterapkan. Gambar 3.2 Pengendalian Mitigative dan Preventive INHERENT RISK RESIDUAL RISK PEMILIK RISK RISK No TUJUAN RISIKO Risk PENGENDALIAN Risk RISIKO DAMPAK PROB DAMPAK PROB RESPONSE APPETITE Level Level Tabel 3.3 Format Hasil Penilaian Risiko Audit Internal 39 Keterangan : Tujuan adalah sesuatu yang ingin dicapai oleh organisasi/manajemen. Tujuan dapat dikelompokkan kedalam kategori: strategis (memberi nilai tambah bagi stakeholders), operasional (terkait kinerja, efektifitas dan efisiensi organisasi), pelaporan (kehandalan laporan laporan internal/eksternal dan keuangan/non keuangan) dan ketaatan (terhadap peraturan dan hukum). Risiko adalah kemungkinan terjadinya sebuah kejadian yang mengancam pencapaian tujaun organisasi Pemilik risiko adalah manajemen/pejabat yang bertanggung jawab untuk menangani risiko pada unit kerja yang menjadi tanggungjwabnya. Inherent risk (risiko bawaan) adalah risiko yang murni ada tanpa memperhitungkan pengendalian yang sudah ada (eksis), atau risiko yang diukur sebelum memperhitungkan kondisi pengendaliannya. Residual risk (risiko sisa) adalah sisa dari risiko bawaan setelah diterapkannya sebuah pengendalian. Risk response (respon risiko) adalah tindakan atau serangkaian tindakan manajemen yang bertujuan untuk menangani risiko. Respon risiko dapat dikelompokkan dalam empat kelompok, yaitu: avoidace (menolak risiko), reduction/mitigate (menerapkan pengendalian), sharing (membagi risiko) and accept (menerima risiko cukup dilakukan monitor). Risk appetite (selera risiko) adalah sejumlah (sekumpulan) risiko dalam entitas yang akan diterima dalam rangka pencapaian tujuan organisasi. Dampak risiko adalah pengaruh atau akibat yang ditimbulkan seandainya risiko terjadi. Probabilitas adalah tingkat atau kemungkinan terjadinya risiko. Untuk mempermudah penyampaian informasi, hasil penilaian risiko dituangkan dalam peta risiko. Masing‐masing risiko akan ditempatkan di posisi sesuai probabilitas dan dampaknya. Contoh peta risiko adalah sebagai berikut. 40 2014 |Pusdiklatwas BPKP 5 4 Probabilitas 3 2 1 1 2 3 4 5 Dampak Gambar 3.3 Peta Risiko Contoh kasus: Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil penilaian risiko. Dalam praktik jumlah risiko dan pengendaliannya dapat berjumlah cukup banyak, dalam contoh ini hanya ditampilkan satu buah risiko. Hasil penilaian risiko adalah sebagai berikut. PEMILIK INHERENT RISK RESIDUAL RISK RISK RISK NO TUJUAN RISIKO PENGENDALIAN RISIKO DAMPAK PROB DAMPAK PROB RESPONSE APPETITE 1 Tersedianya Spesifikasi PA/KPA, 5 3 PPK 3 1 Menurunka 4 komputer teknis tidak PPK, membuat n level sebagai sesuai PPHP spesifikasi risiko sarana kebutuhan. teknis peningkatan Spesifikasi kemampuan teknis teknologi menjadi informasi bagian dokumen pengadaan Spesifikasi teknis dimuat dalam kontrak PPHP menerima barang dibandingkan dengan kontrak Audit Internal 41 Bila digambarkan dalam peta risiko, inheren risk dan residual risk risiko “Spesifikasi teknis tidak sesuai kebutuhan” dapat digambarkan sebagai berikut. 5 4 Probabilitas 3 IR 2 1 RR 1 2 3 4 5 Dampak IR = Inherent Risk RR=Residual Risk D. IDENTIFIKASI PENGENDALIAN KUNCI Pada tahap ini, tugas auditor internal adalah mengidentifikasi pengendalian yang paling berperan untuk menekan risiko sampai di level yang dapat diterima. Dalam praktik, banyak pengendalian yang diterapkan dalam suatu proses. Semua pengendalian ini memiliki peran untuk menekan risiko, namun hanya beberapa yang benar‐benar berpengaruh. Pengendalian yang benar‐benar berpengaruh ini selanjutnya disebut pengendalian kunci. Untuk menentukan pengendalian kunci, perlu dipahami berbagai aktivitas pengendalian sebagai berikut. 1. Persetujuan (approving) dari pihak yang memiliki kewenangan. Misalnya persetujuan untuk membayar sejumlah uang oleh Pengguna Anggaran (PA) atau Kuasa Pengguna Anggaran (KPA). 42 2014 |Pusdiklat

Modul Ahli Audit Internal 2014 PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue