16
3.1. Auditing
3.1.1. Pengertian Auditing
Agak sulit untuk menyebutkan definisi yang tunggal dan tepat mengenai istilah ‘audit’. Banyak pengarang terkemuka telah memberikan definisi auditing dan masing-masing dari mereka menekankan pada aspek-aspek tertentu. Untuk memperoleh pemahaman yang lebih mendalam, Penulis akan merujuk pada beberapa definisi berikut ini.
Arens et al. (2006) mendefinisikan auditing sebagai berikut: Auditing is the
accumulation and evaluation of evidence about information to determine and report on the degree of correspondence between the information and established criteria. Auditing should be done by a competent, independent person. Definisi tersebut dapat
diartikan bahwa auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi untuk menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteria-kriteria yang dimaksud yang dilakukan oleh seorang yang kompeten dan independen.Pengertian ini mencakup beberapa hal penting, antara lain: informasi yang dapat diukur dan kriteria yang telah ditetapkan;aktivitas mengumpulkan dan mengevaluasi bahan bukti; independensi dan kompetensi auditor; dan pelaporanhasil audit.
Sementara Konrath (2002) mengungkapkan: Auditing is a systematic process
of objectively obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain and communicating the result to interested users. Konrath melihat audit sebagai suatu proses sistematik dalam memperoleh dan
mengevaluasi asersi manajemen. Pengertian ini juga menambah satu aspek dalam auditing, yaitu entitas ekonomi, meliputi kegiatan dan perilaku ekonomi.
Menurut Mulyadi(2002), auditing diartikan sebagai:“Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.”
3.1.2. Jenis-jenis Audit
Audit umumnya dibedakan menjadi tiga golongan, yaitu: audit operasional, audit kepatuhan dan audit laporan keuangan.Berikut ini diberikan penjelasan singkat mengenai ketiga golongan audit tersebut.
1. Audit Operasional (Operational Audit)
Audit operasional merupakanpemeriksaan atas semua atau sebagian prosedur danmetode operasional suatu organisasi untuk menilai efisiensi, efektifitas, dan keekonomiannya. Audit operasional dapat menjadi alat manajemen yang efektif dan efisien untuk meningkatkan kinerja organisasi. Hasil dari audit operasional berupa rekomendasi-rekomendasi perbaikan bagi manajemen sehingga audit jenis ini lebih merupakan konsultasi manajemen.
2. Audit Kepatuhan (Compliance Audit)
Audit Ketaatan merupakan pemeriksaan untuk mengetahui apakah prosedur dan aturan yang telah ditetapkan otoritas berwenang sudah ditaati oleh personil di organisasi tersebut. Audit Ketaatan biasanya ditugaskan oleh otoritas berwenang yang telah menetapkan prosedur/peraturan dalam organisasi sehingga hasil audit jenis ini tidak untuk dipublikasikan tetapi untuk intern manajemen.
3. Audit Laporan Keuangan (Financial Statement Audit)
Pemeriksaan atas laporan keuangan merupakan evaluasi kewajaran laporan keuangan yang disajikan oleh manajemen secara keseluruhan dibandingkan dengan standar akuntansi keuangan yang berlaku umum. Dalam pengertiannya apakah sebuah laporan keuangan secara umum merupakan informasi yang dapat ditukar dan dapatdiverifikasi serta telah disajikan sesuai dengan kriteria tertentu. Umumnya kriteria yang dimaksud adalah standar akuntansi yang berlaku umum seperti prinsip akuntansi yang diterima umum. Hasil audit atas laporan keuangan adalah opini auditor, yaitu Unqualified Opinion, Qualified Opinion, Disclaimer
Opinion dan AdverseOpinion.
Dalam Modul Auditing yang diterbitkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP (2005), terdapat satu jenis audit lagi, yaitu:
4. Audit Investigatif
Audit investigatif adalah audit yang dilakukan berkaitan dengan adanya indikasi tindak pidana korupsi dan/atau penyalahgunaan wewenang dan/atau ketidaklancaran pembangunan.
3.1.3. Jenis-jenisAuditor
Secara umum, auditor diklasifikasikan ke dalam tiga kelompok, yaitu: 1. Auditor Pemerintah
Adalah auditor yang bertugas melakukan audit terhadap instansi-instansi pemerintah. Di Indonesia, auditor pemerintah dibagi menjadi dua jenis, yaitu: a. Auditor Eksternal Pemerintah, yang dilaksanakan oleh Badan Pemeriksa
Keuangan (BPK) sebagai perwujudan dari Pasal 23E ayat (1) Undang-undang Dasar 1945 yang berbunyi:“Badan Pemeriksa Keuangan merupakan badan yang tidak tunduk kepada pemerintah, sehingga diharapkan dapat bersikap independen.”
b. Auditor Intern Pemerintah atau yang lebih dikenal sebagai Aparat Pengawasan Intern Pemerintah (APIP), yang dilaksanakan oleh Badan Pengawasan Keuangan dan Pembangunan (BPKP), Inspektorat Jenderal
Kementerian/Lembaga, dan Inspektorat Pemerintah Provinsi/Kabupaten/Kota.
2. Auditor Intern
Merupakan auditor yang bekerja pada suatu organisasi dan oleh karenanya berstatus sebagai pegawai pada organisasi tersebut. Tugas utamanya ditujukan untuk membantu manajemen organisasi dimana ia bekerja dalam mencapai tujuan organisasinya.
3. Auditor Independen atau Akuntan Publik
Adalah fungsi pengauditan atas laporan keuangan yang diterbitkan oleh perusahaan. Pengauditan ini dilakukan pada perusahaan terbuka, yaitu perusahaan yang go public, perusahaan-perusahaan besar dan juga perusahaan kecil serta organisasi-organisasi yang tidak bertujuan mencari laba. Praktik akuntan publik harus dilakukan melalui suatu Kantor Akuntan Publik (KAP).
Arens & Loebbecke (1996) dalam bukunya “Auditing: Pendekatan Terpadu” yang diadaptasi oleh Amir Abadi Jusuf, menambahkan satu lagi jenis auditor, yaitu: 4. Auditor Pajak
Auditor Pajak berada di bawah Direktorat Jenderal Pajak (DJP), Kementerian Keuangan Republik Indonesia, yang bertanggungjawab atas penerimaan negara dari sektor perpajakan dan penegakan hukum dalam pelaksanaan ketentuan perpajakan. Aparat pelaksanaan DJP dilapangan adalah Kantor Pelayanan Pajak (KPP) dan Kantor Pemeriksaan dan Penyidikan Pajak (Karikpa).
Persamaan utama auditorintern dan auditor ekstern adalah sebagai berikut: • Baik auditor ekstern maupun auditor intern melaksanakan pengujian rutin dan
pengujian tersebut dapat mencakup, menguji dan menganalisis banyak transaksi; • Baik auditor intern maupun auditor ekstern akan khawatir apabila prosedur sangat
lemah dan/atau terdapat ketidaktaatan terhadap prosedur tersebut;
• Baik auditor intern maupun auditor ekstern sangat terlibat dalam sistem informasi, karena terdapat unsur dari pengendalian manajerial, dan juga mewujudkan hal yang fundamental terhadap proses pelaporan keuangan;
• Keduanya didasarkan pada disiplin profesional dan beroperasi berdasarkan standar profesional;
• Keduanya berusaha dapat bekerja sama secara aktif;
• Keduanya sangat berhubungan dengan sistem pengendalian intern organisasi; • Keduanya memberi perhatian pada terjadinya dan dampak dari kesalahan (errors)
dan salah saji (misstatement) yang mempengaruhi laporan keuangan; • Keduanya menghasilkan laporan audit yang formal atas aktivitas mereka.
Namun, juga terdapat perbedaan pokok antara auditorintern dengan auditor ekstern, yaitu:
− Auditor ekstern adalah orang yang independen di luar organisasi, bukan merupakan karyawan organisasi seperti auditor intern, walaupun auditor intern harus tetap menjaga independensinya, baik dalam kenyataan maupun secara mental. Namun sebagai catatan, terdapat organisasi dimana fungsi audit internnya diberikan kepada badan eksternal;
− Auditor ekstern melayani pihak ketiga yang memerlukan informasi keuangan yang dapat diandalkan, sedangkan auditor intern melayani kebutuhan organisasi; − Auditor ekstern fokus pada kejadian-kejadian masa lalu yang dinyatakan dalam
laporan keuangan, sedangkan auditor intern fokus pada kejadian-kejadian di masa depan untuk membantu pencapaian tujuan organisasi;
− Auditor ekstern memberikan opini apakah laporan keuangan telah disajikan secara wajar (true and fair view), sedangkan audit intern membentuk opini atas memadai dan efektif tidaknya sistem manajemen risiko dan pengendalian intern.Banyak pekerjaan auditor intern di luar sistem akuntansi utama.
3.2. Audit Intern
3.2.1. Pengertian Audit Intern
Pada 1978,The Institute of Internal Auditors(IIA) dalamInternational
Standards for the Professional Practice of the Internal Auditing, mendefinisikan audit
intern sebagai berikut: “Internal auditing is an independent appraisal function
established within an organization to examine and evaluate its activities as a service to the organization.”(Audit intern adalah fungsi penilaian independen yang dbentuk
dalam perusahaan untuk memeriksa dan mengevaluasi aktivitas-aktivitasnya sebagai pelayanan yang diberikan kepada organisasi.)
Tetapi dengan makin berkembangnya bisnis dan teknologi, definisi tersebut di atas tidak lagi cukup untuk mengantisipasi kebutuhan stakeholders, sehingga IIA pada Juli 1999, melakukan redefinisi internal auditing dengan suatu perubahan yang cukup substansial, sebagai berikut:“Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an
organization’soperatives. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance process.”
Terjemahannya kira-kira sebagai berikut: audit intern adalah aktivitas independen, keyakinan obyektif dan konsultasi yang dirancang untuk memberi nilai tambah dan meningkatkan operasi organisasi. Audit tersebut membantu organisasi mencapai tujuannya dengan menerapkan pendekatan yang sistematis dan berdisiplin untuk mengevaluasi dan meningkatkan efektivitas proses pengelolaan risiko, kecukupan pengendalian dan tata kelola organisasi.
Sementara itu, Sawyer (2005) menyatakan bahwa:Audit intern adalah sebuah penilaian yang sistematis dan obyektif yang dilakukan auditor intern terhadap operasi dan pengendalian yang berbeda-beda dalam organisasi untuk menentukan apakah (1) informasi keuangan dan operasi telah akurat dan dapat diandalkan; (2) risiko yang dihadapi perusahaan telah diidentifikasi dan diminimalisasi; (3) peraturan eksternal serta kebijakan dan prosedur intern yang bisa diterima telah diikuti; (4) kriteria operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif – semua dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu organisasi dalam menjalankan tanggung jawabnya secara efektif.)
Sesuai definisi baru IIA, kegiatan audit intern bertujuan untuk memberikan layanan kepada organisasi. Karena kegiatan ini, maka selain memiliki fungsi sebagai pemeriksa, auditor intern juga sekaligus berfungsi sebagai mitra manajemen (auditee). Fokus utama audit intern adalah membantu satuan kerja operasional mengelola risiko dengan mengidentifikasi masalah dan menyarankan perbaikan yang memberi nilai tambah untuk/atau memperkuat organisasi.
Secara detil perbedaan antara definisi baru dengan definisi lama dapat diformulasikan sebagai berikut:
Tabel 3.1.Perbandingan Pengertian Audit Intern
Perbandingan Pengertian Audit Intern
Definisi Lama Definisi Baru
1. Fungsi penilaian 1. Aktivitas konsultasi dankeyakinan obyektif yang dikelola secara independen
2. Mengkaji dan mengevaluasi aktivitas organisasi sebagai bentuk jasa yang diberikan bagi organisasi
2. Dirancang untuk memberikan suatu nilai tambah serta meningkatkan kegiatan operasional organisasi
3. Membantu para anggota organisasi agar dapat menjalankan tanggung jawabnya secara efektif
3. Membantu organisasi dalam usaha mencapai tujuannya
4. Memberi hasil analisis, penilaian, rekomendasi, konseling dan informasi yang berkaitan dengan aktivitas yang dikaji dan menciptakan pengendalian efektif dengan biaya wajar
4. Memberikan suatu pendekatan disiplin yang sistematis untuk mengevaluasi dan meningkatkan keefektifan manajemen risiko, pengendalian dan proses pengaturan dan pengelolaan organisasi
Sumber: Tunggal, 2008 (diolah)
Aktivitas consulting akan memberikan nilai tambah bagi auditor intern karena di samping memberikan jasa audit, pihak auditor intern juga bertindak sebagai konsultan dan kolega bagi unit operasi (auditee) untuk membicarakan hal-hal yang berkaitan dengan peningkatan efisiensi, efektivitas dan keekonomisan suatu proses kerja, sehingga tidak hanya sekedar sebagai watchdog atau policeman yang selalu mencari-cari kesalahan auditee.
Auditor intern harus melakukan risk assessment yaitu suatu proses yang dilakukan secara sistematis untuk menilai dan sekaligus melakukan professional
judgment tentang kemungkinan terjadinya suatu kondisi dan kejadian yang tidak
pengendalian yang diimplementasikan untuk mengelola risiko. Audit intern memberikan opini yang independen dan obyektif kepada manajemen suatu organisasi mengenai apakah risiko organisasi telah dikelola pada tingkat yang diterima.
Penilaian terhadap control and governance process adalah salah satu aspek penting yang menjadi fokus dan tanggung jawab auditor intern. Definisi baru audit intern menyatakan bahwa dengan pelaksanaan governance yang baik akan lebih meningkatkan fungsi pengendalian (control) yang pada akhirnya akan membantu manajemen menangani risiko. Peran ini menjadi penting selaras dengan gencarnya kampanye pelaksanaan good governance di Indonesia.
Ukuran keberhasilan auditor intern bukanlah jumlah temuan, melainkan bagaimana ia mampu memberikan saran dan rekomendasi yang efektif untuk membantu auditee menyelesaikan permasalahan yang dihadapi.
Audit intern berfungsi:
− Memastikan bahwa risiko dikurangi pada tingkat yang dapat diterima. − Menentukan proses dan tujuan organisasi.
− Melaporkan apakah risiko tidak secara memadai dikurangi oleh pengendalian. − Menguji pengendalian yang mengurangi risiko.
− Bekerja dengan bisnis untuk mengidentifikasi risiko yang menghalangi proses.
3.2.2. Tujuan Audit Intern
Pada dasarnya, tujuan utama dari audit intern dalam suatu organisasi adalah membantu organisasi mencapai tujuannya. Namun, secara luas tujuan yang ingin dicapai oleh audit intern adalah:
• Kebenaran dan kelengkapan informasi kegiatan organisasi.
• Penyesuaian dan penerapan kebijakan organisasi, rencana kerja, prosedur dan hal-hal yang diwajibkan dan hal-hal-hal-hal yang mencakup hukum dan peraturan yang berlaku. • Menjaga aset organisasi terhadap penggunaan yang salah atau sewenang-wenang
oleh pihak yang tidak berkepentingan.
• Efektifitas, efisiensi dan kelengkapan organ operasi organisasi untuk mencapai tujuan organisasi.
• Internal controlyang ada harus mencakup pengendalian aktivitas organisasi, pengendalian aktiva organisasi, bentuk informasi dan komunikasi, pengendalian yang berkelanjutan atau monitoring, pengendalian lingkungan kerja dan sekeliling, pengendalian terhadap bahaya, risiko yang diambil perusahaan.
3.2.3. Audit InternPemerintah
Menurut Standar Audit APIP yang dikeluarkan oleh Kementerian Pendayagunaan Aparatur Negara, “Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara independen, obyektif dan profesional berdasarkan standar audit, untuk menilai kebenaran, kecermatan, kredibilitas, efektifitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah.”
Kegiatan audit yang dapat dilakukan oleh APIP pada dasarnya dapat dikelompokkan ke dalam tiga jenis audit berikut ini:
1. Audit atas laporan keuangan yang bertujuan untuk memberikan opini atas kewajaran penyajian laporan keuangan sesuai dengan prinsip akuntansi yang diterima umum.
2. Audit kinerja yang bertujuan untuk memberikan simpulan dan rekomendasi atas pengelolaan instansi pemerintah secara ekonomis, efisien dan efektif.
3. Audit dengan tujuan tertentu yaitu audit yang bertujuan untuk memberikan simpulan atas suatu hal yang diaudit. Yang termasuk dalam kategori ini adalah audit investigatif, audit terhadap masalah yang menjadi fokus perhatian pimpinan organisasi dan audit yang bersifat khas.
3.3. Audit InternBerbasis Risiko
3.3.1. Pengertian Risiko
Setiap organisasi pasti mempunyai tujuan, yang utamanya adalah membangun nilai (value) kepada semua pihak yang berkepentingan (stakeholders), seperti: memastikan operasi organisasi berjalan efektif dan efisien. Tujuan tersebut dapat dicapai melalui proses, mulai dari penerapan strategi dan rencana kerja, upaya merealisasi rencana tersebut, pengendaliannya dan menikmati hasil dari tujuan yang telah ditetapkan.
Dalam upaya pencapaian tujuan tersebut, setiap organisasi sama-sama menghadapi berbagai ketidakpastian. Ketidakpastian itu mengandung risiko potensial yang dapat menghilangkan peluang untuk menghasilkan nilai tambah, bahkan dapat mengurangi nilai yang telah ada bagi para stakeholders.
Dalam Kamus Besar Bahasa Indonesia (2008), risiko diartikan sebagai “akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan.” Sedangkan BPKP (2007) mendefinisikan risiko sebagai “suatu kejadian/kondisi yang berkaitan dengan hambatan dalam pencapaian tujuan.”
Menurut Griffiths (2006) dalam bukunya Risk-based Internal Auditing: An
Introduction, risiko didefinisikan sebagai suatu keadaan yang dapat menghambat
organisasi dalam mencapai tujuan yang telah ditetapkan. Oleh karena itu, semua risiko yang ada dan akan terjadi harus dikelola dengan baik. Untuk mengelolanya dituntut adanya suatu pendekatan pengelolaan risiko (risk management) yang sesuai dengan perubahan lingkungan yang ada.
IIA mendefinisikan risiko sebagai berikut: “Risk is the possibility of an event
occuring that will have an impact on the achievement of objectives. Risk is measured in terms of impact and likelihood.” (Risiko adalah kemungkinan terjadinya sesuatu
yang dapat berpengaruh pada pencapaian tujuan. Risiko dinyatakan dalam ukuran konsekuensi dan kemungkinan.)
Jenis-jenis risiko menurut Moeller (2007), yaitu:
1. Strategic Risks: external factor risks dan internal factor risks 2. Operation Risks: process risks, compliance risks, people risks 3. Finance Risks: treasury risks, credit risks, trading risks
4. Information Risks: financial risks, operational risks, technological risks
Seperti telah kita ketahui bahwa risiko akan menghambat tujuan. Tujuan organisasi itu sendiri akan dapat dicapai melalui suatu proses. Jadi, dalam hal ini
kadangkala lebih mudah untuk melihat suatu risiko sebagai hal yang akan mengancam proses itu sendiri daripada tujuannya.
Hubungan antara risiko dan pengendalian intern berkaitan dengan tugas dan fungsi audit intern dalam membantu manajemen mencapai tujuan yang telah ditetapkan diperlihatkan pada Gambar 3.1. berikut (Tunggal, 2009):
Gambar 3.1.Hubungan Antara Risiko dan Pengendalian Intern Dengan Tugas dan Fungsi Audit Intern
3.3.2. Penaksiran Risiko
Penaksiran risiko (risk assessment) merupakan proses identifikasi dan analisis risiko yang relevan dalam pencapaian tujuan dan menciptakan dasar mengenai bagaimana risiko harus dikelola. Penaksiran risiko mencakup identifikasi risiko (risk
identification) dan evaluasi risiko (risk evaluation). Yang perlu diperhatikan dalam
Manajemen suatu
organisasi independen dan obyektif kepada manajemen Audit Internal, memberikan suatu opini yang apakah semua risiko telah dikelola ke tahap
yang dapat diterima Tugas utama audit internal yaitu membantu organisasi untuk mencapai tujuannya Tujuan
Pengendalian internal yaitu suatu proses yang
mengelola risiko
Risiko adalah suatu keadaan yang dapat menghambat organisasi
melakukan analisis dan mengukur risiko adalah faktor-faktor risiko, dampaknya dan pemicu (driver) dari masing-masing risiko.
Kegiatan penaksiran risiko, terdiri atas:
− Identifikasi entitas dan analisis terhadap risiko yang relevan untuk mencapai tujuan. − Membentuk suatu dasar untuk menentukan bagaimana risiko harus dikelola.
Menurut David McNamee dari IIA yang dikutip oleh Tampubolon (2005), secara garis besar ada tiga langkah dalam melakukan risk assessment dengan menggunakan pendekatan COSO, yaitu:
1. Menentukan sasaran dan tujuan organisasi.
2. Menilai risiko (terdiri atas: mengidentifikasi, menganalisis/mengukur dan menetapkan prioritas risiko).
3. Menetapkan pengendalian yang dibutuhkan untuk mengendalikan risiko yang ada.
Identifikasi risiko berarti mengidentifikasikan kejadian atau peristiwa yang mungkin timbul yang akan mengganggu atau menghambat upaya pencapaian sasaran organisasi. Teknik identifikasi risiko, antara lain: brainstorming, workshop yang difasilitasi, interview dan diskusi, kuesioner dan survei, analisis proses bisnis, dan analisis event tree.Tahapan-tahapan dalam identifikasi risiko adalah: (a) Preliminary list, (b) Analisis lanjutan, dan (c) Perumusan risiko.
Dalam mengevaluasi risiko, terdapat dua elemen dari risiko yang perlu dipertimbangkan, yaitu:
1. Consequence atau dampak apabila risiko benar-benar terjadi, dan 2. Likelihood atau kemungkinan terjadinya risiko.
Audit intern dapat membantu manajemen dalam pengelolaan risiko dengan memonitor bagaimana pelaksanaan pengelolaan risiko di tingkat operasional sehari-hari. Oleh karena itu, pendekatan audit telah diarahkan agar dapat mengakomodasi kebutuhan tersebut dengan menerapkan pendekatan audit yang berbasis risiko atau yang disebut Risk-Based Auditing.
3.3.3. Audit InternBerbasis Risiko
Audit Intern Berbasis Risiko (Risk-based InternalAuditing) adalah audit yang difokuskan dan diprioritaskan pada risiko bisnis dan prosesnya serta pengendalian terhadap risiko yang dapat terjadi. Dalam konsep audit berbasis risiko, semakin tinggi risiko suatu area maka harus semakin tinggi pula perhatian dalam audit area tersebut. Untuk mengidentifikasi suatu risiko bisnis, auditor harus memahami aspek pengendalian intern dari bisnis termasuk memahami risiko dan pengendalian dari sistem dalam mencapai sasaran atau tujuan organisasi.
Tujuan audit intern berbasis risiko secara umum adalah dalam rangka mengurangi risiko, mengantisipasi risiko potensial yang dapat merugikan operasi organisasi dan melindungi organisasi dari kejadian tak terduga yang diantisipasi sebelum kejadian tersebut benar-benar terjadi.
Perubahan pendekatan ke audit intern berbasis risiko adalah perubahan yang fundamental sehingga memerlukan perubahan paradigma secara total dari para pelakunya. Secara umum perubahan tersebut, yaitu:
1. perencanaan audit berbasis risiko dirancang untuk menggunakan waktu audit lebih banyak pada area yang berisiko tinggi dan merupakan sasaran organisasi yang paling penting.
2. adanya perubahan alokasi waktu dalam melakukan proses audit berbasis risiko dengan lebih banyak melakukan evaluasi terhadap kecukupan dan efektivitas pengendalian intern organisasi, tata kelola (governance) yang baik dan sistem informasi yang mencakup:
• efektivitas dan efisiensi operasi organisasi
• kehandalan dan integritas dari informasi keuangan dan operasi • perlindungan terhadap aset organisasi
• kepatuhan terhadap sistem dan prosedur, regulasi dan hukum
Perbedaan antara audit tradisional dengan audit berbasis risiko menurut Mark Davies dalam artikelnya yang berjudul Auditing in the New Millennium yang dikutip oleh Tunggal (2009) adalah sebagai berikut:
Tabel 3.2.Perbedaan Antara Audit Tradisional dengan Audit Berbasis Risiko
Kriteria Audit Tradisional Risk-Based Auditing
Fokus Sistem akuntansi Proses bisnis
Kerangka waktu Historikal Prospektif
Tim Terutama akuntan Multidisiplin
Informasi/Bukti Pihak ketiga/pengujian detil Client-based/pengujian pengendalian
Keluaran Opini, surat manajerial (fokus
pada fungsi keuangan) Opini, surat manajerial (fokus pada isu operasional) Sumber: Tunggal, 2009 (diolah)
Dalam audit intern berbasis risiko, auditor lebih berfokus dalam tahap penilaian risiko. Auditor mengidentifikasi risiko, mengukur risiko dan menetapkan prioritas dalam usaha untuk meminimalisasi usaha. Hasil penilaian risiko menjadi dasar bagi auditor untuk merencanakan audit secaramakro (universal dan jangka panjang) dan mikro (audit individual).
3.3.4. Tahapan Audit InternBerbasis Risiko
Setidaknya, terdapat lima tahapan dalam melakukan Risk-Based Internal
Auditing (Tunggal, 2009):
1. Memastikan bahwa daftar risiko (risk register) yang sudah dimiliki oleh unit organisasi sudah tepat dijadikan sebagai dasar perencanaan audit.
2. Memutuskan risiko yang dimiliki oleh manajemen untuk diberikan opini oleh auditorintern.
3. Menyusun Rencana Audit Tahunan (Risk-Based Audit Planning – Makro). Tahapan risk-based audit planning – makro dapat digambarkan sebagai berikut:
Gambar 3.2. Tahapan Risk-based Audit Planning – Makro
Output risk-based audit planning – makro adalah:
• Audit Universe, mendefinisikan total universe dari unit/satuan kerja yang dapat diaudit (Auditable Unit)
Tahap 1 Mengembangkan pemahaman bisnis entitas Tahap 2 Mengidentifikasi risiko yang dihadapi entitas Tahap 3 Menilai pengendalian Tahap 4 Memilih area yang akan diaudit Tahap 5 Persetujuan rencana audit
• Annual Audit Plan, merupakan subset dari audit universe yang mencerminkan alokasi sumber daya dan tujuan serta sasaran fungsi audit intern dalam satu tahun. Annual audit plan merupakan seri atas proses tertentu, program, proyek, kelompok kerja dan lain-lain.
4. Menyusun rencana audit individual untuk setiap unit usaha (Risk-Based Audit
Planning – Mikro).
Tahapan risk-based audit planning – mikro dapat digambarkan sebagai berikut:
Gambar 3.3. Tahapan Risk-based Audit Planning – Mikro
5. Menyampaikan laporan secara periodik kepada manajemen.
3.3.5. Perencanaan Audit InternBerbasis Risiko
Tahap yang paling menentukan dalam proses risk-based auditing adalah tahap perencanaan. Hal ini merupakan langkah awal dan sekaligus penting dalam menghasilkan proses dan hasil audit yang efisien dan efektif. Perencanaan yang berbasis risiko (risk-based plan) adalah usaha penyiapan untuk suatu penugasan dengan menggunakan basis risiko sebagai landasan menentukan tujuan, lingkup dan prosedur pengujian yang akan dilakukan.
Tahap 1 Melakukan wawancara dengan pihak terkait Tahap 2 Mendokumentasikan pengendalian yang ada
Tahap 3 Melakukan analisis atas informasi Tahap 4 Pelaksanaan dan pelaporan audit
Standar Kinerja IIA mewajibkan kepala eksekutif audit membuat rencana berbasis risiko (risk-based plan) untuk menentukan prioritas dari aktivitas audit intern, konsisten dengan tujuan organisasi.Ada beberapa prinsip yang perlu diperhatikan dalam penyusunan rencana audit, sebagai berikut:
1. mengintegrasikan faktor risiko ke dalam setiap audit mulai dari yang memiliki skor risiko lebih tinggi.
2. karena sumber daya untuk melaksanakan audit terbatas, tidak mungkin untuk melakukan audit dengan cakupan seratus persen. Keterbatasan ini tercermin dari pemakaian risk assessment guna menetapkan skala prioritas audit.
3. adanya inherent risk dan keterbatasan metode atau sistem penetapan prioritas audit mengharuskan audit intern untuk secara berkala mengkaji semua faktor risiko serta proses scoring(pemberian skor) yang ada dalam rangka menyempurnakan rencana audit.
Risk assessment (penaksiran risiko) didefinisikan sebagai sebuah proses
estimasi skor risiko dari auditable units dalam organisasi. Risk assessment ini digunakan untuk mengidentifikasi, mengukur dan menentukan prioritas dari risiko, agar sebagian besar sumber daya diarahkan ke area layak audit dengan skor atau bobot risiko tinggi. Tujuan utamanya adalah untuk menentukan prioritas risiko masing-masing auditable units, yang pada giliran berikutnya akan menentukan frekuensi, intensitas dan waktu audit, serta jumlah auditor yang diperlukan.
Auditable units adalah entitas terkecil dalam sebuah organisasi yang patut
dikompilasi, disusun dan diorganisasikan dengan baik ke dalam apa yang dikenal sebagai Audit Universe. Audit Universe merupakan kumpulan dari semua proses, program, proyek dan audit organisasi lain yang relevan dengan rencana strategis dan mempunyai skala kepentingan yang signifikan untuk mencapai rencana.Audit
Universe mewakili seluruh populasi dari subyek yang berpotensi atau layak untuk
diaudit karena memiliki karakterisktik yang serupa dan dapat dilakukan risk
assessment. Audit Universe ini harus disesuaikan, minimal setahun sekali agar
mencerminkan strategi dan arahan, penekanan dan fokus terkini dari organisasi. Namun, mengingat audit universe merupakan bagian dari rencana audit yang didasarkan pada risk assessment maka audit universe ini dapat juga dipengaruhi oleh hasil dari proses manajemen risiko.
Kriteria auditable units, antara lain:
1) Memberikan kontribusi pada tujuan organisasi;
2) Mempunyai dampak cukup besar/nyata (materialitas/signifikan/dampak bisnis) terhadap organisasi; dan
3) Cukup penting dalam menjustifikasi biaya pengendalian, yakni: yang memiliki potensi kerugian yang lebih besar dari biaya yang dikeluarkan untuk pengendalian (termasuk biaya audit).
Contoh dari subyek yang berpotensi atau layak untuk diaudit (auditable units) adalah:
• Satuan kerja dalam organisasi, seperti: Divisi, Grup, Bagian, Seksi.
• Sebuah pos dalam laporan keuangan, seperti: piutang dagang, hutang dagang. • Sebuah kasus kecurangan atau penggelapan.
Diperlukan dua tahap dalam proses penyusunan rencana audit (Tampubolon, 2005), yaitu:
1. Menemukan risiko apa saja yang ada.
Hal-hal yang dilakukan pada tahap ini, yaitu:
a. Melakukan penelaahan pendahuluan (preliminary review), mulai dari rencana kerja dan anggaran organisasi, laporan keuangan, ketentuan hukum dan regulasi yang berlaku, sistem informasi manajemen, kertas kerja audit yang lalu, dan lain sebagainya.
b. Menyusunaudit universedan menetapkan auditable units yang ada di dalam organisasi.
c. Melakukan risk assessment termasuk melakukan wawancara dengan manajemen dari satuan kerja operasional.
Risk assessment dilakukan dengan cara, sebagai berikut:
1) Menetapkan dan merancang faktor-faktor risiko yang menjadi perhatian manajemen;
2) Memilih format yang tepat untuk menilai faktor-faktor risiko tersebut sehingga faktor risiko yang lebih penting akan memainkan peran yang lebih penting dalam proses penilaian risiko dibandingkan faktor risiko yang kurang penting;
3) Membangun seperangkat aturan untuk masing-masing auditable unit yang akan mencerminkan secara tepat kandungan risiko dari faktor-faktor risiko yang telah ditetapkan dan sebuah metode penyusunan prioritas audit untuk masing-masing auditable unit.
Penaksiran risiko akan menghasilkan skala prioritas auditable units, frekuensi audit, intensitas audit dan waktu audit.
d. Membahas risk assessment dengan manajemen untuk mendapatkan validasi. e. Menyusun rencana audit.
2. Menjalankan tugas audit, dalam rangka meyakinkan manajemen bahwa semua risiko yang dapat diidentifikasi telah dikurangi ke tingkat yang dapat diterima. Tahap ini memiliki tiga bagian yang ada kaitannya dengan tahap pertama:
a. Memecah sebuah satuan kerja menjadi satuan-satuan yang lebih kecil untuk dapat dikelola. Satuan ini disebut juga sebagai satuan layak audit (auditable units). b. Menentukan auditable units mana yang perlu diaudit, yang dapat mewakili
dalam hal mendapatkan keyakinan bahwa risiko-risiko utama telah dikurangi secara memadai. Penentuan ini yang akan menghasilkan rencana audit.
c. Melaksanakan audit sesuai rencana yang telah disusun.
3.4. Metodologi Group Field Project
Setelah mendalami permasalahan yang ada dan berlandaskan teori-teori yang telah disebutkan pada subbab sebelumnya, Penulis mencoba untuk mengimplementasikannya dalam kegiatan Group Field Project (GFP) ini.
Pembahasan GFP ini dibatasi hanya sampai dengan perencanaan makro dari audit berbasis risiko dengan tujuan akhir untuk menyusun Program Kerja Audit Tahunan (PKAT) Inspektorat Jenderal Kementerian Energi dan Sumber Daya Mineral.
3.4.1. Kerangka Pikir
Langkah-langkah yang ditempuh dalam pelaksanaan GFP ini digambarkan pada diagram berikut ini.
Gambar 3.4. Kerangka Pikir Group Field Project
Diagram di atas dapat dijelaskan sebagai berikut:
1. Penelaahan pendahuluan terhadap proses bisnis Kementerian ESDM dilakukan dengan menelaah Visi, Misi, Tugas dan Fungsi, Rencana Strategis, Rencana Kerja dan Anggaran, dan Laporan Akuntabilitas Kinerja Instansi Pemerintah di setiap unit organisasi di lingkungan Kementerian ESDM untuk memperoleh gambaran umum mengenai sumber-sumber dan faktor-faktor risiko apa saja yang dapat menghambat Kementerian ESDM dalam mencapai tujuannya.
2. Penyusunan audit universe dan penetapanauditable units di lingkungan Kementerian ESDM akan didasarkan pada struktur organisasi, unit/satuan kerja penghasil, kegiatan yang bersifat keproyekan dan kegiatan Dekonsentrasi.
Tahap 1 Penelaahan Pendahuluan Proses Bisnis Tahap 2 Penyusunan Audit Universe dan Penetapan Auditable Units Tahap 3 Penaksiran Risiko Kementerian ESDM Tahap 4
Analisis Sumber Daya Manusia, Waktu dan Biaya
Audit
Tahap 5
Program Kerja Audit Tahunan
3. Penaksiran risiko dilakukan dengan memberikan skor terhadap auditable units yang ada berdasarkan sumber-sumber dan faktor-faktor risiko yang telah ditentukan sebelumnya. Penaksiran risiko ini menghasilkan tingkatan prioritas masing-masing auditable unit.
4. Proses selanjutnya adalah melakukan analisis untuk memperoleh estimasi sumber daya manusia, waktu dan biaya audit optimal yang dibutuhkan dalam setiap pelaksanaan audit.
5. Dari proses-proses yang dilakukan pada tahap 1 sampai dengan tahap 4, dihasilkan Program Kerja Audit Tahunan Inspektorat Jenderal Kementerian ESDM.
3.4.2. Metode Pengumpulan dan Analisis Data
Pelaksanaan GFP ini menggunakan data primer dan data sekunder. Pengumpulan data primer akan dilakukan dengan cara observasi, wawancara dan
Focus Discussion Group (FGD) dengan berbagai pihak yang terkait di lingkungan
Inspektorat Jenderal Kementerian ESDM. Sedangkan data sekunder, terdiri dari:
1. Rencana Strategis (RENSTRA), Laporan Akuntabilitas Kinerja Instansi Pemerintah (LAKIP), dan Rencana Kerja dan Anggaran (RKA)yang bersumber dari seluruh organisasi utama di lingkungan Kementerian ESDM;
2. Program Kerja Pengawasan Tahunan (PKPT), Laporan Hasil Pemeriksaan (LHP),Daftar Penilaian Obyek Pemeriksaan (DPOP), dan laporan-laporan terkait lainnya yang bersumber dari Inspektorat Jenderal Kementerian ESDM; dan 3. Studi literatur atas buku/jurnal/artikel dan peraturan perundang-undangan yang
Data-data yang telah dikumpulkan, diolah secara matematis dan dianalisis secara secara deskriptif dalam bentuk tabel dan diagram yang disertai dengan penjelasan.
