AUDIT INTERNAL
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
2014
Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP dalam rangka Diklat Fungsional Auditor – Diklat Pembentukan Auditor Terampil dan Ahli Edisi Pertama : Tahun 2014 Penyusun : M. Fahrudin, S.E., M.Acc. Pereviu : Agus Tri Prasetyo, Ak., M.E. Narasumber : Wakhyudi, Ak., M.Comm. Penyunting : Kusmayawati Penata Letak Didik Hartadi, S.E. Pusdiklatwas BPKP Jl. Beringin II, Pandansari, Ciawi, Bogor 16720 Telp. (0251) 8249001 ‐ 8249003 Fax. (0251) 8248986 ‐ 8248987 Email : pusdiklat@bpkp.go.id Website : http://pusdiklatwas.bpkp.go.id e‐Learning : http://lms.bpkp.go.id Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari Pusat Pendidikan dan Pelatihan Pengawasan BPKP.
Kata Pengantar
Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu manajemen untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan (assurance activities) dan layanan konsultansi (consulting activities) sesuai standar, sehingga memberikan perbaikan efisiensi dan efektivitas atas tata kelola, manajemen risiko, dan pengendalian intern organisasi. Selain itu, Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah mengatur bahwa pelaksanaan audit intern di lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai tugas melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor. Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang transparan dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek pelaksanaan tugas umum pemerintahan dan pembangunan yang dituangkan dalam Undang‐ Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN.
Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah pendidikan dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi tertentu sesuai dengan perannya sesuai dengan keputusan bersama Kepala Pusat Pembinaan Jabatan Fungsional Auditor dan Kepala Pusat Pendidikan dan Pelatihan Pengawasan Badan Pengawasan Keuangan dan Pembangunan Nomor KEP‐82/JF/1/2014 dan Nomor KEP‐ 168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional Auditor.
Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan dengan sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi auditor.
Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan kontribusi atas terwujudnya modul ini. Ciawi, 30 April 2014 Kepala Pusdiklat Pengawasan BPKP Nurdin, Ak., M.B.A.
Daftar
Isi
Kata Pengantar ... i Daftar Isi... iii Daftar Gambar dan Tabel ... v Bab I PENDAHULUAN ... 1 A. Latar Belakang ... 1 B. Kompetensi Dasar ... 1 C. Indikator Keberhasilan ... 2 D. Sistematika Modul ... 2 E. Metode Pembelajaran ... 3 Bab II GAMBARAN UMUM ... 5 A. Pengertian Internal Audit ... 5 B. Perubahan Paradigma APIP ... 8 C. Perkembangan Risk Based Audit ... 9 D. Kegiatan Assurance dan Konsultansi ... 13 E. Tahapan Penugasan Audit Internal ... 22 Bab III PERENCANAAN PENUGASAN ASSURANCE ... 25 A. Penetapan Tujuan dan Lingkup Penugasan ... 30 B. Pemahaman Proses Kerja Auditi ... 32 C. Identifikasi dan Penilaian Risiko ... 35 D. Identifikasi Pengendalian Kunci ... 42 E. Evaluasi Pengendalian ... 45 F. Penyusunan Rencana Pengujian ... 46 G. Penyusunan Program Kerja ... 52 H. Pengalokasian Sumber Daya ... 56 Bab IV PELAKSANAAN PENUGASAN ASSURANCE ... 57 A. Pengujian Dan Pengumpulan Bukti ... 57 B. Evaluasi Bukti dan Pengambilan Kesimpulan ... 64 C. Pengembangan Temuan dan Rekomendasi ... 66 Bab V PELAPORAN PENUGASAN ASSURANCE ... 73 A. Penyampaian Simpulan Sementara ... 74 B. Penyusunan Laporan ... 75 C. Monitoring Tindak Lanjut ... 78Bab VI PENUGASAN KONSULTANSI ... 81 A. Jenis Jasa Konsultansi ... 81 B. Pemilihan Penugasan Konsultansi ... 83 C. Proses Penugasan Konsultansi ... 84 D. Perencanaan Penugasan Konsultansi ... 85 E. Pelaksanaan Penugasan Konsultansi ... 87 F. Komunikasi dan Tindak Lanjut ... 88 G. Perubahan Jasa Konsultansi ... 89 H. Kapabilitas yang Diperlukan ... 89 Bab VII PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI ... 91 A. Perkembangan Teknologi Informasi ... 91 B. Pemanfaatan Teknologi Informasi oleh Organisasi Pemerintah ... 91 C. Pemanfaatan Teknologi Informasi Bagi Auditor Internal ... 93 Daftar Pustaka ... 99
Daftar Gambar dan Tabel
Gambar
Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI ... 13 Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran ... 34 Gambar 3.2 Pengendalian Mitigative dan Preventive ... 39 Gambar 3.3 Peta Risiko ... 41 Gambar 4.1 Contoh Hubungan PKA dengan KKA ... 60 Gambar 4.2 Hubungan Antara Sampling Error Dengan Jumlah Sampling ... 61 Gambar 6.1 Jenis Jasa Konsultansi ... 81 Gambar 7.1 Sistem Akuntansi Manual dan Sistem Akuntansi Berbasis komputer ... 92Tabel
Tabel 2.1 Perubahan Paradigma Auditor Internal ... 8 Tabel 2.2 Tingkatan Risk Maturity dan Langkah yang akan diambil Auditor Internal ... 11 Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi ... 20 Tabel 3.1 Tahapan Penugasan Assurance... 25 Tabel 3.2 Format Hasil Identifikasi Risiko ... 36 Tabel 3.3 Format Hasil Penilaian Risiko ... 39 Tabel 3.4 Format Tahap Matriks Risiko dan Pengendalian ... 53 Tabel 3.5 Format Program Kerja Audit ... 54 Tabel 4.1 Jumlah Populasi dan Sampel (Krejcie dan Morgan) ... 62 Tabel 4.2 Format Matriks Risiko dan Pengendalian serta Hasil Pengujian ... 63 Tabel 4.3 Matriks Risiko dan Pengendalian serta judgement yang diambil ... 65 Tabel 6.1 Tahap Penugasan Konsultansi ... 84
Bab I
PENDAHULUAN
A. LATAR BELAKANG Perkembangan jasa yang diberikan oleh aparat pengawasan internal (auditor internal) dewasa ini mengalami peningkatan yang luar biasa, untuk merefleksikan pemberdayaan kedudukan unit pengawasan internal dalam suatu organisasi. Peran sebagai watchdog yang selama ini menjadi ciri khas unit pengawasan internal telah mengalami pergeseran dan perluasan menjadi konsultan dan katalis bagi organisasi.The Institute of Internal Auditors (IIA) sebagai institusi profesi auditor internal telah menetapkan standar profesional pelaksanaan audit internal yang menyatakan, bahwa aktivitas audit internal dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Auditor internal membantu organisasi dalam mencapai tujuannya dengan menggunakan pendekatan yang sistematis dan disiplin, untuk mengevaluasi dan meningkatkan efektivitas pengelolaan risiko, pengendalian dan proses tata kelola.
Modul ini disusun untuk membekali para auditor/calon auditor agar dapat melaksanakan penugasan sebagai auditor internal. Lingkup tugas sebagai auditor internal cukup luas, yang terdiri dari penugasan assurance berupa audit, evaluasi, reviu, dan pemantauan serta penugasan konsultansi berupa asistensi, bimbingan teknis, konsultan dan penugasan lain. Hal‐ hal yang perlu diketahui calon auditor mengenai kegiatan auditor internal berusaha dicakup dalam modul ini, namun para auditor/calon auditor internal harus memperkaya pengetahuannya dengan mencari sumber pengetahuan lain.
B. KOMPETENSI DASAR
Kompetensi dasar yang diharapkan setelah mempelajari modul Audit Internal ini adalah peserta diklat diharapkan mampu menjelaskan konsepsi pelaksanaan audit intern.
C. INDIKATOR KEBERHASILAN
Setelah mengikuti proses pembelajaran ini, peserta diklat diharapkan memiliki pengetahuan mengenai:
1. prinsip‐prinsip audit kinerja, audit atas aspek keuangan tertentu, audit untuk tujuan tertentu, dan audit khusus/ investigasi/berindikasi tindak pidana korupsi;
2. prinsip‐prinsip kegiatan pengawasan lain, antara lain kegiatan sosialisasi mengenai pengawasan, pendidikan dan pelatihan pengawasan, pembimbingan dan konsultansi, pengelolaan hasil pengawasan, dan pemaparan hasil pengawasan;
3. praktik‐praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain; 4. sistem teknologi informasi dalam melaksanakan kegiatan audit intern; dan 5. metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. D. SISTEMATIKA MODUL Modul Audit Internal disajikan dengan sistematika sebagai berikut. Bab I Pendahuluan
Bab ini berisi latar belakang, kompetensi dasar, indikator keberhasilan, deskripsi singkat, serta metode pembelajaran.
Bab II Gambaran Umum
Bab ini menjelaskan mengenai pengertian internal audit, perubahan paradigma APIP, perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan penugasan audit internal.
Bab III Perencanaan Penugasan Assurance
Bab ini menjelaskan mengenai penetapan tujuan dan lingkup assurance audit internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko, identifikasi
pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian, penyusunan program kerja dan pengalokasian sumber daya.
Bab IV Pelaksanaan Penugasan Assurance
Bab ini menjelaskan mengenai pengujian dan pengumpulan bukti, evaluasi bukti dan pengambilan kesimpulan serta pengembangan temuan dan rekomendasi.
Bab V Pelaporan Penugasan Assurance
Bab ini menjelaskan mengenai penyampaian simpulan sementara, penyusunan laporan, dan monitoring tindak lanjut.
Bab VI Penugasan Konsultansi
Bab ini menjelaskan mengenai jenis, pemilihan, dan proses serta praktik penugasan konsultansi selain itu juga menjelaskan mengenai perubahan jasa konsultansi dan kapabilitas yang diperlukan.
Bab VII Pengaruh Perkembangan Teknologi Informasi
Bab ini menjelaskan mengenai perkembangan teknologi informasi dan pemanfaatan teknologi informasi oleh organisasi pemerintah dan bagi auditor internal.
E. METODE PEMBELAJARAN
Metode yang digunakan untuk mencapai tujuan pembelajaran adalah:
1. Ceramah
Widyaiswara/instruktur menjelaskan mengenai Audit Internal atau bersifat deskriptif. Modul ini secara umum hanya membagi kegiatan audit internal dalam dua kelompok, yaitu assurance dan konsultansi. Rincian lebih lanjut masing‐masing jenis kegiatan assurance dan konsultansi tidak dibahas mendalam. Alasannya, uraian lebih lanjut mengenai berbagai jenis kegiatan ( misalnya audit investigasi, audit pengadaan barang dan kegiatan lain) akan di bahas di diklat substantive lebih lanjut.
2. Tanya Jawab dan diskusi
Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang terkait dengan permasalahan dalam kegiatan audit internal. 3. Latihan Peserta berlatih menyelesaikan soal‐soal yang terkait dengan audit internal. ~
Bab II
GAMBARAN UMUM
Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai pengertian internal audit, perubahan paradigma APIP, perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan penugasan audit internal. A. PENGERTIAN INTERNAL AUDITInternal audit di seluruh dunia melakukan kegiatan yang cukup bervariasi tergantung pada kondisi dan kebutuhan organisasi. Akibatnya muncul beberapa definisi internal audit antara lain sebagai berikut.
Definisi menurut American Accounting Association (AAA) adalah:
Internal audit adalah proses sistematis untuk secara objektif memperoleh dan mengevaluasi asersi mengenai tindakan dan kejadian‐kejadian ekonomis untuk meyakinkan derajat kesesuaian antara asersi ini dengan kriteria yang ditetapkan dan mengomunikasikannya ke pengguna yang berkepentingan.
Definisi Internal Audit menurut Sawyer (2005: 10) adalah:
Internal audit adalah sebuah penilaian yang sistematis dan objektif yang dilakukan auditor internal terhadap operasi dan kontrol yang berbeda‐beda dalam organisasi untuk menentukan apakah: (1) informasi keuangan dan operasi telah akurat dan dapat diandalkan; (2) risiko yang dihadapi organisasi telah diidentifikasi dan diminimalisasi; (3) peraturan eksternal serta kebijakan dan prosedur internal yang bisa diterima telah diikuti; (4) kriteria operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif—semua
dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu anggota organisasi dalam menjalankan tanggung jawabnya secara efektif.
Definisi Audit Internal (Pengawasan intern) menurut Standar Audit Aparat Pengawasan Intern Pemerintah (APIP) adalah:
Pengawasan intern adalah seluruh proses kegiatan audit, reviu, pemantauan, evaluasi, dan kegiatan pengawasan lainnya berupa asistensi, sosialisasi dan konsultansi terhadap
penyelenggaraan tugas dan fungsi organisasi dalam rangka memberikan keyakinan yang memadai bahwa kegiatan telah dilaksanakan sesuai dengan tolok ukur yang telah ditetapkan secara efektif dan efisien untuk kepentingan pimpinan dalam mewujudkan kepemerintahan yang baik. Definisi internal audit menurut The Institute of Internal Auditor’s (IIA) adalah: Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Internal Audit adalah kegiatan konsultasi dan assurance independen yang dirancang untuk memberikan nilai tambah dan perbaikan operasi organisasi. Internal audit membantu organisasi untuk mencapai tujuannya melalui pendekatan yang sistematis dan disiplin dalam mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendali‐an, dan proses tata kelola.
Kedua definisi pertama, yaitu definisi menurut AAA dan Sawyer, belum memasukkan peran auditor internal sebagai konsultan. Sementara dalam praktik, terjadi peningkatan signifikan peran auditor internal sebagai konsultan yang memberikan nilai tambah bagi organisasi. Maka definisi yang akan digunakan modul ini adalah dua definisi terakhir, yaitu definisi menurut Standar Audit APIP dan definisi menurut IIA. Kedua definisi ini serupa dimana membagi peran auditor internal ke dalam dua kelompok assurance dan consulting (dalam Standar Audit APIP disebut : pengawasan lainnya).
Analisis lebih lanjut terhadap definisi Internal Auditing dilakukan dengan analisis masing‐masing kata kunci definisi internal audit menurut IIA sebagai berikut.
Internal Audit
Audit merupakan suatu proses penilaian terhadap informasi, kondisi, operasi dan/atau
pengendalian, yang dilakukan secara objektif oleh pihak yang kompeten dan independen. Kata
internal dapat diartikan bahwa kegiatan audit dilaksanakan sendiri oleh organisasi atau oleh
pegawai organisasi tersebut. Hal ini untuk membedakan dengan audit eksternal yang dilaksanakan oleh akuntan publik atau Badan Pemeriksa Keuangan (BPK).
Assurance
Peran assurance dilakukan dengan memberikan penilaian/pendapat objektif terkait suatu entitas, operasi, fungsi, proses, sistem, atau subjek lainnya. Sifat dan lingkup kegiatan assurance ditentukan oleh auditor internal. Dalam Standar Audit APIP, kegiatan assurance terbagi dalam kegiatan audit, reviu, pemantauan, dan evaluasi.
Konsultansi
Peran sebagai konsultan muncul setelah terjadi perubahan paradigma auditor internal. Paradigma lama auditor internal sebagai watchdog, telah bertambah dengan peran sebagai konsultan dan catalist. Peran konsultan pada umumnya bersifat pemberian saran, atau layanan lain dengan sifat dan ruang lingkup berdasar kesepakatan antara auditor dengan yang disepakati dengan manajemen. Layanan konsultasi ini bertujuan untuk memberi nilai tambah dan meningkatkan tata kelola, manajemen risiko dan pengendalian organisasi. Dalam Standar Audit APIP, kegiatan konsultansi ini disebut dengan kegiatan pengawasan lainnya, yang terbagi dalam kegiatan berupa asistensi, sosialisasi dan konsultansi.
Independen
Independen adalah suatu kondisi dimana auditor internal terbebas dari segala kondisi yang mengancam kemampuannya dalam bertindak objektif/tidak bias.
Membantu Organisasi untuk Mencapai Tujuannya
dalam definisi IIA ditegaskan bahwa tujuan auditor internal adalah membantu organisasi dalam mencapai tujuannya. Hal ini dapat dilakukan melalui meningkatkan efektivitas manajemen risiko (dimana risiko yang mengganggu pencapaian tujuan organisasi merupakan fokus utama), pengendalian internal (untuk memastikan bahwa tujuan organisasi terwujud), dan proses tata kelola (organisasi tanpa tata kelola yang baik tidak akan berhasil mencapai tujuannya).
Pendekatan yang Sistematis dan Disiplin
Auditor internal telah memiliki standar audit dan standar perilaku yang jelas, sehingga dapat dijamin bahwa auditor internal telah bekerja dengan sistematis dan disiplin.
B. PERUBAHAN PARADIGMA APIP
Peran auditor internal pada awal keberadaannya berperan utama sebagai watchdog, namun sejak tahun 1970‐an telah mengalami pergeseran menjadi konsultan. Adapun peran auditor internal sebagai katalis, baru berkembang sekitar tahun 1990‐an. Perubahan paradigma ini tidak berarti bahwa peran sebagai watchdog ditinggalkan, tetapi justru peran auditor internal meluas. Tabel berikut ini menggambarkan secara singkat perubahan paradigma auditor internal.
URAIAN WATCHDOG CONSULTANT CATALYST
Proses Audit kepatuhan
(Compliance Audit) Audit operasional Assurance Fokus Adanya Variasi (penyimpangan, kesalahan atau kecurangan dll) Penggunaan sumber daya (resources) Nilai (Values)
Impact Jangka pendek Jangka menengah Jangka panjang
Tabel 2.1 Perubahan Paradigma Auditor Internal
Peran watchdog meliputi aktivitas inspeksi, observasi, perhitungan, pengujian transaksi yang bertujuan untuk memastikan ketaatan terhadap ketentuan, peraturan atau kebijakan yang telah ditetapkan. Audit yang dilakukan adalah audit kepatuhan (compliance audit) dan apabila dijumpai penyimpangan dapat dilakukan koreksi atas sistem pengendalian manajemen. Peran watchdog umumnya menghasilkan rekomendasi yang mempunyai dampak jangka pendek, yaitu perbaikan atas kesalahan yang sudah terjadi.
Peran auditor internal sebagai konsultan diharapkan dapat memberikan manfaat berupa nasehat (advice) dalam pengelolaan sumber daya (resources) organisasi, sehingga dapat membantu tugas para pimpinan di tingkat operasional. Audit yang dilakukan adalah audit operasional yaitu untuk meyakini apakah organisasi telah memanfaatkan sumber daya organisasi secara ekonomis, efisien, dan efektif, sehingga dapat dinilai apakah manajemen telah menjalankan aktivitas organisasi yang mengarah kepada tujuannya. Rekomendasi yang dibuat umumnya bersifat jangka menengah, yaitu memperbaiki dan meningkatkan efektifitas dan efisiensi operasi organisasi.
Peran auditor internal sebagai katalis berkaitan dengan jaminan kualitas (quality assurance). Auditor diharapkan dapat membimbing manajemen dalam mengenali berbagai risiko yang mengancam pencapaian tujuan organisasi. Pemberian jasa jaminan kualitas bertujuan untuk meyakinkan bahwa aktivitas organisasi yang dijalankan, telah menghasilkan keluaran (output)
yang dapat memenuhi kebutuhan penggunanya. Dalam memainkan perannya sebagai katalis, auditor internal berperan sebagai fasilitator dan agen perubahan (agent of change). Dampak dari peran ini bersifat jangka panjang karena fokus katalis adalah nilai jangka panjang (long‐term values) dari organisasi, terutama berkaitan dengan tujuan organisasi yang dapat memenuhi kepuasan pelanggan (customer satisfaction) dan masyarakat (stakeholders).
C. PERKEMBANGAN
RISK BASED AUDIT
Mengapa Risiko menjadi pusat perhatian Auditor Internal?
Definisi Risiko menurut Peraturan Pemerintah Nomor 60 Tahun 2008 adalah Kemungkinan kejadian yang mengancam pencapaian tujuan instansi pemerintah. Sementara itu, tujuan auditor internal adalah membantu organisasi untuk mencapai tujuannya, maka sudah seharusnya risiko organisasi menjadi pusat perhatian auditor internal organisasi tersebut.
Pemahaman auditor terkait risiko yang dihadapi organisasi memegang peranan penting dalam perencanaan dan pelaksanaan setiap penugasan. Auditor harus memaksimalkan segala sumberdaya, waktu, tenaga dan biaya yang terbatas pada area pemeriksaan yang berisiko tinggi. Pemahaman auditor terkait risiko organisasi dapat diperoleh dari risk register (daftar risiko) yang disusun oleh manajemen. Namun, sebelum auditor memanfaatkan daftar risiko tersebut, terlebih dahulu harus menilai tingkatan risk maturity (kematangan manajemen risiko) organisasi.
Manajemen Risiko
Menurut Peraturan Pemerintah Nomor 60 Tahun 2008, pemimpin instansi pemerintah wajib melakukan penilaian risiko secara periodik dan komprehensif. Risiko‐risiko tersebut harus dipertimbangkan dalam setiap pengambilan keputusan. Penilaian risiko adalah kegiatan penilaian atas kemungkinan dan dampak kejadian yang dapat mengancam pencapaian tujuan Instansi Pemerintah. Langkah penilaian risiko terdiri dari:
1. Identifikasi risiko: untuk mengenali risiko‐risiko yang mengancam tujuan organisasi yang bersumber dari eksternal dan internal serta faktor lain yang dapat meningkatkan risiko.
2. Analisis risiko: untuk menentukan tingkat (scoring) probabilitas dan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan Instansi Pemerintah.
Risiko‐risiko ini merupakan tanggung jawab manajemen selaku pemilik risiko. Manajemen harus membangun pengendalian internal (internal control) untuk menjaga agar risiko‐risiko tetap berada di tingkat yang dapat ditolerir (dibawah risk appetite). Serangkaian proses sejak identifikasi, analisis, pengelolaan, dan pengendalian risiko untuk memberikan keyakinan yang memadai tentang pencapaian tujuan adalah kegiatan manajemen risiko.
Risk Maturity
Risk Maturity Level adalah tingkatan sejauh mana manajemen risiko telah diadopsi dan diterapkan di seluruh organisasi untuk mengidentifikasi, menganalisis, menentukan response risiko dan melaporkan peluang/ancaman yang dapat mempengaruhi pencapaian tujuan organisasi. Tingkat risk maturity berpengaruh pada rencana audit yang disusun auditor internal. Untuk mengetahui sejauh mana tingkat risk maturity suatu organisasi auditor internal dapat melakukan hal‐hal sebagai berikut.
1. Melakukan wawancara dengan jajaran pimpinan organisasi untuk mengatahui proses yang telah diterapkan untuk meningkatkan manajemen risiko. Proses yang telah dilakukan oleh manajemen dapat berupa pelatihan, workshop, membuat questionnaire tentang risiko dan wawancara dengan pemilik risiko. Hasil akhir dari proses ini adalah risk register yang komprehensif dan kesimpulan bagaimana risk manajemen tertanam dalam organisasi.
2. Mengumpulkan informasi/bukti yang mendukung simpulan diatas antara lain berupa:
a. tujuan organisasi;
b. kertas kerja penilaian risiko berupa scoring dampak dan probabilitas untuk menyusun peringkat risiko;
c. tingkat risk appetite yang ditetapkan pimpinan operasi;
d. prosedur yang digunakan manajemen untuk mengidentifikasi risiko;
e. bukti bahwa manajemen mempertimbangkan risiko dalam pengambilan keputusan;
f. daftar risiko organisasi yang menunjukkan hubungan antara tujuan, risiko, pemilik risiko, score dampak dan probabilitas untuk inherent risk dan residual risk. termasuk risk response dan pengendalian yang telah diterapkan serta tingkat risk appetite yang dikehendaki pimpinan organisasi; dan
g. dokumen lain yang membuktikan adanya komitmen pimpinan terhadap penerapan manajemen risiko.
Tingkat risk maturity auditi mempengaruhi langkah audit yang akan diambil. Dalam table berikut digambarkan tingkatan risk maturity dan langkah yang akan diambil auditor internal.
Risk Maturity Karakteristik kunci Pendekatan Internal Audit
Risk Naive Organisasi belum menerapkan Manajemen Risiko secara formal Memfasilitasi organisasi membangun manajemen risiko. Auditor melakukan penilaian risiko dengan keterlibatan manajemen. Risk Aware Penerapkan Manajemen Risiko Organisasi secara acak (scattered silo approach) Memfasilitasi organisasi membangun manajemen risiko. Auditor melakukan penilaian risiko dengan keterlibatan manajemen. Risk Defined Strategi dan kebijakan manajemen risiko telah dikomunikasikan dan tingkatan risiko yang dapat ditolerir (risk appetite) telah ditetapkan Memfasilitasi penyempurnaan manajemen risiko. Audit memanfaatkan hasil penilaian risiko yang dilakukan manajemen Risk Managed Risk manajemen telah diterapkan dan dan telah dikomunikasikan ke seluruh anggota organisasi. Penekanan audit pada proses manajemen risiko. Perhatian khusus diberikan untuk memverifikasi pemantauan risiko utama. Risk Enabled Organisasi telah mengintegrasikan manajemen risiko dan internal control Penekanan audit pada proses manajemen risiko. Perhatian khusus diberikan untuk memverifikasi pemantauan risiko utama. Tabel 2.2 Tingkatan risk maturity dan langkah yang akan diambil auditor internal
Hasil penilaian tingkat risk maturity dapat digunakan sebagai bahan pertimbangan dalam menentukan pendekatan audit yang akan digunakan oleh auditor internal sebagai berikut.
1. Jika risk maturity organisasi berada pada level risk aware (penerapan manajemen risiko secara acak) dan risk naive (manajemen resiko belum diterapkan secara formal), maka auditor tidak dapat meyakini risk register organisasi. Dalam kondisi seperti ini, internal auditor dapat menjalankan peran konsultatifnya, yaitu bertindak sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi organisasi.
Auditor internal dimungkinkan untuk melakukan audit berbasis risiko setelah dilakukan fasilitasi penyusunan risk register organisasi. Auditor internal tidak dapat menetapkan risiko tanpa keterlibatan pihak manajemen, karena pemilik dan penanggung jawab risiko adalah manajemen. Hal ini dilakukan untuk menghindari kesalahpahaman pihak manajemen yang menganggap bahwa auditor internal yang bertanggung jawab terhadap risiko organisasi.
2. Pada kondisi risk defined (strategi dan kebijakan manajemen risiko telah ditetapkan), pekerjaan audit diawali dengan verifikasi apakah proses manajemen risiko sudah berjalan dengan efektif. Pekerjaan audit lebih detail diperlukan untuk meyakinkan bahwa semua risiko sudah diidentifikasi dan pengendalian terhadap risiko telah berjalan efektif.
3. Pada kondisi risk managed dan risk enabled, pekerjaan audit tidak lagi diarahkan untuk menemukan kesalahan penetapan risiko atau kelemahan pengendalian. Perhatian khusus diarahkan pada proses manajemen risiko dan verifikasi terhadap pemantauan manajemen atas risiko‐risiko kunci dalam organisasi. Audit Universe (Peta Objek Audit) Dari hasil penilaian risk maturity, dapat diperoleh daftar risiko (risk register) organisasi. Dalam konteks kondisi manajemen risiko yang masih naïve dan aware, daftar ini dapat diperoleh dari hasil fasilitasi penyusunan risk register. Bila manajemen risiko organisasi telah mencapai level managed dan enabled, auditor dapat menggunakan daftar risiko yang dihasilkan manajemen. Daftar risiko ini merupakan sumber penyusunan audit universe yang akan digunakan dalam proses perencanaan dan pelaksanaan audit selanjutnya.
Audit Universe (peta audit) merupakan daftar semua kemungkinan audit yang dapat dilakukan dan dimanfaatkan untuk perencanaan audit jangka panjang (lebih dari satu tahun), menyusun strategi audit, dan aktivitas audit lainnya. Peta audit adalah risk register yang telah dikembangkan lebih lanjut yang memuat informasi sebagai berikut.
• Risiko yang telah teridentifikasi dan telah dilengkapi dengan score. • Tujuan yang terancam oleh masing‐masing risiko.
• Pemilik Risiko (risk owner).
• Simpulan hasil audit sebelumnya mengenai efektifitas pengendalian setiap risiko. • Informasi mengenai audit‐audit yang telah dan akan dilakukan.
• Informasi lain terkait pengendalian dan risiko.
Peta Audit sebaiknya disimpan dalam bentuk data base (misalnya Access), bukan spreadsheet (misalnya Excel). Keuntungan penggunaan data base adalah data yang disimpan relatif lebih terjaga keamanan, konsistensi dan integritasnya. Dalam bentuk data base, peta audit lebih mudah dalam menghasilkan laporan misalnya:
• Penugasan‐penugasan audit yang sedang berlangsung. • Risiko‐risiko yang mengancam tujuan tertentu.
• Rincian risiko‐risiko yang diurutkan berdasar score‐nya.
• Beragam laporan lain sesuai data‐data yang disimpan dalam data base.
D. KEGIATAN
ASSURANCE
DAN KONSULTANSIGambaran lingkup penugasan auditor internal menurut Draft Standar Audit Intern Pemerintah Indonesia yang disusun Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI), dapat digambarkan dalam skema sebagai berikut.
Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI
Peran Auditor Internal
Peran audit internal menurut Standar Audit APIP dan IIA dapat dibagi dalam dua kelompok, yaitu assurance dan konsultansi. Standar audit APIP menyatakan bahwa pengawasan intern adalah seluruh proses kegiatan (assurance) audit, reviu, pemantauan, evaluasi, dan kegiatan pengawasan lainnya (konsultansi) berupa asistensi, sosialisasi dan konsultansi. Hal ini senada dengan IIA yang membagi secara tegas tugas auditor internal dengan pernyataan bahwa: “Internal auditing is an independent, objective assurance and consulting activity”.
IIA dalam International Standards for the Professional Practice of Internal Auditing (IPPF‐2013) mendefinisikan kedua peran ini sebagai berikut.
Assurance services : An objective examination of evidence for the purpose of providing an
independent assessment on governance, risk management, and control processes for the organization. Examples may include financial, performance, compliance, system security, and due diligence engagements.
Terjemahannya: Kegiatan Penjaminan adalah pemeriksaan bukti‐bukti secara objektif untuk memberikan penilaian independen tentang manajemen risiko, pengendalian, dan proses tata kelola. Contohnya dapat berupa penugasan terkait keuangan, kinerja, ketaatan, dan keamanan sistem
Consulting Services : Advisory and related client service activities, the nature and scope of
which are agreed with the client, are intended to add value and improve an organization’s
governance, risk management, and control processes without the internal auditor
assuming management responsibility. Examples include counsel, advice, facilitation, and training.
Terjemahannya : Kegiatan konsultansi adalah pemberian saran terkait aktivitas organisasi. Sifat dan lingkup penugasan disepakati bersama untuk memberikan nilai tambah dan perbaikan risiko, pengendalian, dan proses tata kelola organisasi. Contohnya dapat berupa konsultansi, pemberian saran, fasilitasi dan pelatihan.
Persamaan dan Perbedaan Assurance dan Konsultansi
Persamaan kedua peran ini adalah bertujuan untuk meningkatkan governance, risk management, and control (GRC) organisasi. Bedanya, assurance dilakukan melalui pemeriksaan bukti‐bukti yang bertujuan menilai GRC, sedangkan konsultansi dilakukan melalui kegiatan pemberian saran perbaikan GRC.
Perbedaan mendasar antara kedua peran ini adalah sebagai berikut.
1. Pihak‐pihak yang Terlibat
Dalam kegiatan konsultansi, pihak yang terlibat hanya dua pihak, yaitu pihak manajemen selaku peminta/penerima saran dan auditor internal selaku pemberi saran. Dalam kegiatan assurance ada tiga pihak terlibat, yaitu manajemen selaku auditi, auditor internal selaku pelaksana kegiatan dan pihak ketiga yang memanfaatkan hasil kegiatan assurance ini.
2. Standar Pelaksanaan
Standar audit APIP sementara ini belum mengatur kegiatan konsultansi, namun IIA menerbitkan standar pelaksanaan berupa IPPF‐2013. Dalam standar ini, Attribute Standard dan Performance Standard berlaku pada semua kegiatan Assurance dan Konsultansi, dengan perbedaan standard untuk masing masing peran.
3. Tujuan Kegiatan
Kegiatan assurance bertujuan untuk memberikan penilaian independen dengan lingkup dan sifat kegiatan yang ditentukan oleh auditor. Sedangkan kegiatan konsultansi bertujuan untuk memberikan saran, pelatihan dan fasilitasi. Sifat dan lingkup kegiatan konsultansi ditetapkan sesuai kesepakatan antara manajemen dan auditor internal.
4. Penyampaian Hasil Kegiatan.
Jenis informasi yang disampaikan untuk berbagai kegiatan assurance relative sama, sehingga format laporan dapat dikatakan tidak jauh berbeda. Keseragaman format ini mempermudah pembaca laporan untuk mencari informasi tertentu yang mereka butuhkan. Laporan kegiatan konsultansi sebaliknya, sangat berbeda tergantung jenis dan lingkup penugasan yang disepakati. Bentuk dan isi laporan konsultansi disesuaikan dengan kebutuhan, dalam bentuk yang dianggap paling efektif dan efisien dalam menyampaikan pesan.
Jenis Kegiatan Assurance
Menurut Draft Standar Audit Intern Pemerintah Indonesia (AAIPI), kegiatan assurance yang dilakukan oleh APIP meliputi kegiatan berikut ini. 1. Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara independen, objektif dan profesional berdasarkan standar audit, untuk menilai kebenaran, kecermatan, kredibilitas, efektifitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah. Jenis audit yang dapat dilakukan APIP dapat terbagi dalam tiga kelompok, yaitu: a. Audit keuangan adalah audit atas laporan keuangan, yang terbagi atas:
1) Audit keuangan yang bertujuan untuk memberikan opini atas kewajaran penyajian laporan keuangan sesuai dengan prinsip akuntansi yang diterima umum. Dalam penugasan ini auditor wajib menggunakan Standar Pemeriksaan Keuangan Negara (SPKN) dan/atau Standar Profesional Akuntan Publik (SPAP). 2) Audit terhadap aspek keuangan tertentu (audit atas laporan keuangan bukan untuk memberikan opini), contohnya antara lain: a) audit atas bagian dari laporan keuangan/informasi keuangan; b) audit atas laporan pendapatan dan biaya; c) audit atas laporan penerimaan dan pengeluaran kas; d) audit atas laporan aktiva tetap, permintaan anggaran; e) audit pengelolaan keuangan dana dekonsentrasi; dan f) audit Keuangan Lainnya.
b. Audit kinerja adalah audit atas pelaksanaan tugas dan fungsi instansi pemerintah yang terdiri atas audit aspek ekonomi, efisiensi, dan audit aspek efektivitas, serta ketaatan pada peraturan. Contoh Audit kinerja antara lain:
1) audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada peraturan;
2) post audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada peraturan;
3) audit kinerja atas penyusunan dan pelaksanaan anggaran; 4) audit kinerja atas penerimaan, penyaluran, dan penggunaan dana; 5) audit kinerja atas pengelolaan aset dan kewajiban; 6) audit operasional program/kegiatan; 7) audit akuntabilitas kinerja; dan 8) audit sistem informasi. c. Audit dengan tujuan tertentu adalah audit di luar audit keuangan dan audit kinerja yang bertujuan untuk memberikan simpulan atas suatu hal yang diaudit. Yang termasuk dalam kategori ini antara lain:
1) audit investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan pelakunya guna dilakukan tindakan hukum selanjutnya; 2) audit terhadap masalah yang menjadi fokus perhatian pimpinan organisasi; 3) audit ketaatan (compliance audit); 4) audit atas tindak kecurangan/fraud audit; 5) audit atas kegiatan melawan hukum/illegal act audit; 6) mengumpulkan data dan/atau informasi intelijen; 7) fraud audit/illegal act audit/audit atas tindak kecurangan/KKN/audit forensik/ audit investigatif; 8) memproses penyelesaian TP/TGR; 9) audit atas berbagai indikasi pemborosan (waste, abuse);
10) audit khusus terhadap adanya pengaduan masyarakat terkait dugaan penyimpangan dalam pengelolaan aset, pelayanan publik atau pelaksanaan pemerintahan;
11) membantu aparat penegak hukum (APH) untuk memberikan keterangan ahli/pendampingan pemberian keterangan ahli dalam peradilan kasus hasil pengawasan;
12) membantu aparat penegak hukum (APH) untuk melakukan penghitungan kerugian keuangan negara (audit PKKN); 13) audit atas pengelolaan aset; 14) audit atas kepegawaian; 15) memberikan kesaksian dalam peradilan kasus hasil pengawasan non keuangan seperti kasus perceraian, indisipliner pegawai, dan kasus perselingkuhan; 16) mengkaji sistem pengendalian manajemen objek pengawasan;
17) pengendalian intern terhadap ketaatan hukum dan peraturan atas proses tender, akuntansi, hibah, bantuan, dan kontrak; 18) audit ketaatan atas hukum dan peraturan; 19) audit penyesuaian harga; 20) audit klaim; 21) audit lingkungan; 22) audit sosial, audit atas efektifitas bantuan sosial (misalnya: bantuan langsung tunai/BLT); 23) audit khusus dalam rangka serah terima jabatan (sertijab)/alih jabatan; 24) pemeriksaan dalam rangka berakhirnya masa jabatan kepala daerah; 25) audit atas catatan‐catatan akuntansi intern (internal accounting records);
26) audit buril, seperti: melaksanakan verifikasi, serta pengujian dan penilaian dokumen; dan
2. Reviu adalah penelaahan ulang bukti‐bukti suatu kegiatan untuk memastikan bahwa
kegiatan tersebut telah dilaksanakan sesuai dengan ketentuan, standar, rencana, atau norma yang telah ditetapkan. Contoh reviu antara lain: a. reviu atas laporan keuangan; b. reviu atas sistem pengendalian intern pemerintah (SPIP); c. reviu atas rencana kegiatan dan anggaran (RKA); d. reviu atas usulan revisi yang mengubah plafon anggaran; e. reviu atas aspek keuangan tertentu; f. reviu aspek kinerja tertentu; g. reviu periodik atas pengelolaan keuangan; h. reviu atas aspek tertentu penyelenggaraan pemerintahan dan pembangunan; dan i. reviu atas hasil kajian pengawasan tertentu. 3. Pemantauan adalah proses penilaian kemajuan suatu program/kegiatan dalam mencapai tujuan yang telah ditetapkan. Contoh pemantauan antara lain: a. pemantauan tindak lanjut hasil pemeriksaan; b. pemantauan terhadap pelaksanaan kebijakan; c. pemantauan realisasi penyerapan anggaran; d. pemantauan capaian kinerja instansi pemerintah; e. monitoring dana dekonsentrasi; dan f. pemantauan persidangan perkara pidana. 4. Evaluasi adalah rangkaian kegiatan membandingkan hasil/prestasi suatu kegiatan dengan standar, rencana, atau norma yang telah ditetapkan, dan menentukan faktor‐ faktor yang mempengaruhi keberhasilan atau kegagalan suatu kegiatan dalam mencapai tujuan. Contoh evaluasi antara lain:
a. evaluasi dan penilaian atas efektivitas proses tata kelola; b. evaluasi dan penilaian atas efektivitas manajemen risiko;
d. evaluasi atas efektivitas suatu program; e. evaluasi kelembagaan; f. evaluasi kebijakan; g. evaluasi strategi pelaksanaan kegiatan; h. evaluasi akuntabilitas kinerja instansi pemerintah (AKIP); dan i. evaluasi hasil pengembangan sistem informasi.
Masing‐masing kegiatan assurance (audit, reviu, pemantauan dan evaluasi) memiliki derajat assurance yang berbeda sesuai sifat dan jumlah bukti yang akan diuji. Derajat assurance berbanding lurus dengan jumlah bukti yang dikumpulkan dan dievaluasi, sebagaimana tergambar dalam table berikut.
Jenis Penugasan Derajat Assurance Jumlah Bukti Dikumpukan Sifat Assurance
Audit Tinggi Banyak Positif
Reviu Sedang Cukup Banyak Negatif
Assurance Lain Bervariasi Bervariasi Negatif
Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi
Positive assurance (biasa disebut reasonable assurance/jaminan memadai) diberikan oleh auditor internal untuk memberikan keyakinan bahwa informasi yang diaudit telah sesuai dengan kriteria/ketentuan. Contoh:
• Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam bentuk: “Dari hasil audit yang telah dilakukan, disimpulkan bahwa pelaksanaan tugas dan fungsi Satker XYZ telah dilaksanakan dengan efektif dalam mencapai tujuan organisasi”.
Negative assurance/jaminan terbatas yang diberikan oleh auditor ‘hanya’ memberi keyakinan bahwa tidak ditemukan adanya penyimpangan/bukti adanya penyimpangan dari kriteria yang digunakan. Contoh :
• Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam bentuk: “Dari hasil evaluasi yang telah dilakukan, tidak ditemukan bukti bahwa pelaksanaan tugas dan fungsi Satker XYZ dilaksanakan dengan tidak efektif”.
Jenis Kegiatan Konsultansi
Kegiatan konsultasi sangat bervariasi baik bentuk dan sifatnya, disesuaikan dengan kesepakatan antara auditor dan manajemen. Kegiatan ini dapat didesain sesuai kebutuhan manajemen untuk mengatasi masalah tertentu. Walaupun demikian, kegiatan ini hanya dapat dilaksanakan sepanjang tidak mengganggu independensi dan objektifitas auditor internal. Kegiatan konsultansi dapat berbentuk pemberian saran (advisory role), pelatihan (training role), dan bimbingan teknis (facilitative role). Namun, dalam praktik kegiatan konsultansi tidak dapat dipisahkan secara tegas antara advisory role, training role, dan facilitative role. Misalnya dalam kegiatan facilitative, auditor juga berperan advisory. Demikian juga dalam kegiatan training role, auditor internal juga memberika saran (advisory role) 1. Advisory Role
Pada umumnya, kegiatan konsultansi bersifat memberikan saran kepada manajemen. Kegiatan dapat dilakukan dalam bentuk kajian dan penyampaian rekomendasi. Setiap organisasi tentu mengalami berbagai tantangan, untuk menghadapinya manajemen dapat meminta auditor untuk memberikan saran misalnya dalam hal‐hal berikut. a. Membangun desain pengendalian internal. b. Membangun prosedur dan kebijakan. c. Memberikan saran tentang kegiatan yang berisiko tinggi. d. Membangun manajemen risiko. 2. Training Role
Auditor pada umumnya berpengalaman melaksanakan tugas assurance dan memiliki pengetahuan yang dapat dibagi dengan manajemen. Pengetahuan auditor yang dapat diberikan terkait berbagai kriteria/peraturan, manajemen risiko, pengendalian internal dan best practices. Auditor dapat membagikan/menyebarkan/mendesiminasikan pengetahuan tersebut atas permintaan manajemen melalui pelatihan, workshop, atau sosialisasi.
3. Facilitative Role
Manajemen juga bisa meminta auditor internal untuk terlibat lebih jauh, misalnya sebagai fasilitator (facilitative role). Peran fasilitator ini dilaksanakan dalam bentuk pendampingan asistensi dan bimbingan teknis pendampingan. Internal auditor telah berpengalaman dalam melakukan analisis pengendalian yang diperlukan untuk menangani sebuah risiko. Internal auditor dapat membimbing manajemen untuk menemukan ‘kelemahan’ sebuah pengendalian dan membimbing manajemen membangun pengendalian untuk menutup kelemahan tersebut.
Selaku fasilitator, auditor internal terlibat langsung dalam kegiatan manajemen. Yang harus diperhatikan adalah dalam melakukan asistensi, internal auditor tidak boleh bertindak sebagai pengambil keputusan yang menjadi tanggung jawab manajemen. Standar IPPF mengatur bahwa ketika membantu manajemen, auditor internal harus menghindari asumsi dari manajemen, bahwa auditor telah mengambil alih tanggung jawab manajemen selaku penanggung jawab risiko.
E. TAHAPAN PENUGASAN AUDIT INTERNAL
Menurut Institut of Internal Auditors ‐ Research Foundation (IIA‐RF)1, tahapan penugasan auditor internal baik penugasan assurance maupun konsultansi secara umum terbagi dalam tiga tahap utama, yaitu: perencanaan, pelaksanaan dan pelaporan. Dalam praktik tidak ada garis tegas yang membagi ketiga tahap ini. Tahap perencanaan tidak berhenti saat dimulainya tahap pelaksanaan, karena penyesuaian rencana perlu dilakukan saat ditemukan adanya penyimpangan. Penyampaian simpulan (tahap pelaporan) tidak harus setelah tahap pelaksanaan penugasan selesai, namun dapat dilakukan saat ditemukan adanya masalah yang perlu penanganan segera.
Penugasan Assurance
Penugasan assurance bervariasi sesuai tujuan dan lingkupnya, namun dengan tahapan penugasan relatif sama. Tahapan‐tahapan berikut pada umumnya dilakukan di setiap kegiatan assurance, dengan sedikit penyesuaian pelaksanaan. Tahapan kegiatan assurance dapat dirinci sebagai berikut.
1. Perencanaan a. Penetapan tujuan dan lingkup penugasan. b. Pemahaman auditi. c. Identifikasi dan penilaian risiko. d. Identifikasi pengendalian kunci. e. Evaluasi pengendalian. f. Penyusunan rencana pengujian. g. Penyusunan program audit. h. Pengalokasian sumber daya. 2. Pelaksanaan a. Pengujian dan pengumpulan bukti. b. Evaluasi bukti dan pengambilan kesimpulan. c. Pengembangan temuan dan rekomendasi. 3. Pelaporan a. Penyampaian simpulan sementara. b. Penyusunan laporan. c. Distribusi laporan. d. Monitoring tindak lanjut. Penugasan Konsultansi
Berbeda dengan kegiatan assurance, kegiatan konsultansi berbeda tahapannya untuk setiap kegiatan. Hal ini disebabkan lingkup, sifat dan metode kegiatan ditetapkan berdasar kesepakatan antara auditor dan manajemen. Dengan kata lain, bentuk penugasan konsultansi sangat bergantung kebutuhan manajemen. Berikut adalah tahapan kegiatan konsultansi secara umum penerapannya disesuaikan lingkup dan tujuan penugasan. Tahapan kegiatan konsultansi dapat dirinci sebagai berikut.
1. Perencanaan a. Penentuan tujuan dan lingkup. b. Permintaan persetujuan tujuan dan lingkup penugasan dari manajeman. c. Pemahaman lingkup penugasan dan proses bisnis. d. Pemahaman risiko yang terkait (jika diperlukan). e. Pemahaman pengendalian terkait (jika diperlukan). f. Evaluasi desain pengendalian. g. Penyusunan rencana penugasan. h. Pengalokasian sumber daya. 2. PELAKSANAAN a. Penugasan Advisory 1) Pengumpulan dan evaluasi bukti. 2) Penyusunan saran. b. Penugasan Training dan Fasilitative 1) Penutupan bahan fasilitasi/training. 2) Pelaksanaan fasilitasi/training. 3) Evaluasi efektifitas. 3. PELAPORAN a. Penyampaian simpulan sementara. b. Penyusunan laporan. c. Distribusi laporan. d. Monitoring tindak lanjut (jika diperlukan).
Bab III
PERENCANAAN PENUGASAN
ASSURANCE
Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai tahapan praktik perencanaan assurance audit internal yaitu: penetapan tujuan dan lingkup assurance audit internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko, identifikasi pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian, penyusunan program kerja dan pengalokasian sumber daya.
Kegiatan assurance merupakan penilaian objektif yang dilakukan auditor internal atas bukti untuk memberikan pendapat independen mengenai tata kelola, manajemen risiko dan proses pengendalian. Jenis dan lingkup penugasan assurance ditentukan oleh instansi auditor internal (APIP). Telah dibahas sebelumnya bahwa kegiatan assurance dapat dilaksanakan dalam berbagai bentuk antara lain: audit keuangan, audit kinerja, audit dengan tujuan tertentu, evaluasi, reviu dan pemantauan/monitoring. Tahapan seluruh kegiatan ini dapat digambarkan sebagai berikut.
Dalam praktik, beberapa penugasan assurance tidak menggunakan tahapan tersebut di atas. Hal ini disebabkan, ada beberapa penugasan yang telah diatur dengan ketentuan khusus. Misalnya penugasan‐penugasan sebagai berikut.
1. Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (AKIP)
Evaluasi AKIP diatur dengan Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (Juklak Evaluasi AKIP) yang setiap tahun diterbitkan oleh Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (MenPanRB). Salah satunya adalah Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 20 Tahun 2013 tentang Perubahan Lampiran Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 25 Tahun 2012 Tentang Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah.
Evaluasi AKIP adalah aktivitas analisis yang sistematis, pemberian nilai, atribut, apresiasi, dan pengenalan permasalahan, serta pemberian solusi atas masalah yang ditemukan untuk tujuan peningkatan kinerja dan akuntabilitas instansi/unit kerja pemerintah. Metodologi yang digunakan untuk melakukan evaluasi akuntabilitas kinerja instansi dengan menggunakan teknik "criteria referenced survey", dengan cara menilai secara bertahap langkah demi langkah (step by step assessment) setiap komponen dan selanjutnya menilai secara keseluruhan (overall assessment) dengan kriteria evaluasi dari masing‐masing komponen yang telah ditetapkan sebelumnya. Kriteria evaluasi kinerja instansi pemerintah ditentukan dengan berdasarkan kepada:
a. kebenaran normatif sebagaimana yang ditetapkan dalam pedoman penyusunan laporan akuntabilitas kinerja instansi pemerintah;
b. kebenaran normatif yang bersumber pada modul‐modul atau buku‐buku petunjuk mengenai sistem AKIP;
c. kebenaran normatif yang bersumber pada best practice baik di Indonesia maupun di luar negeri;
d. kebenaran normatif yang bersumber pada berbagai praktik manajemen strategis, manajemen kinerja, dan sistem akuntabilitas yang baik.
Penilaian apakah suatu instansi telah memenuhi suatu kriteria, harus didasarkan pada fakta objektif dan professional judgement dari para evaluator. Teknik evaluasi pada dasarnya merupakan cara/alat/metode yang digunakan untuk pengumpulan dan analisis data. Berbagai teknik evaluasi dapat dipilih untuk digunakan dalam evaluasi ini, namun demikian pada akhirnya teknik yang digunakan harus dapat mendukung penggunaan metode evaluasi yang telah ditetapkan, sehingga mampu menjawab tujuan dilakukannya evaluasi ini. Berbagai teknik pengumpulan data antara lain: kuisioner, wawancara, observasi, studi dokumentasi atau kombinasi beberapa teknik tersebut. Sedangkan teknik analisis data antara lain: telaahan sederhana, berbagai analisis dan pengukuran, metode statistik, pembandingan, analisis logika program dan sebagainya.
Ruang lingkup evaluasi AKIP meliputi kegiatan evaluasi terhadap perencanaan strategis dan perencanaan kinerja tahunan, pelaksanaan program dan kegiatan, pengukuran capaian kinerja, serta pelaporan kinerja, informasi kinerja yang dipertanggungjawabkan dalam LAKIP bukanlah satu‐satunya yang digunakan dalam menentukan nilai evaluasi, akan tetapi juga termasuk berbagai hal yang dapat dihimpun guna mengukur keberhasilan ataupun keunggulan instansi. Untuk keberhasilan pelaksanaan evaluasi, terlebih dahulu perlu didefinisikan kepentingan pihak‐pihak pengguna hasil evaluasi. Informasi yang dihasilkan dari suatu evaluasi antara lain mencakup: a. informasi untuk mengetahui tingkat kemajuan/perkembangan (progress); b. informasi untuk membantu agar kegiatan tetap dalam alurnya; dan c. informasi untuk meningkatkan efisiensi. 2. Audit Investigatif Audit Investigastif dilakukan berdasar Peraturan Menteri Pendayagunaan Aparatur Negara (Permen PAN) Nomor PER/05/M.PAN/03/2008 tentang Standar Audit Aparat Pengawasan Internal Pemerintah, juga harus berpedoman pada Peraturan Kepala BPKP Nomor PER‐1314/K/D6/2012 tentang Pedoman Penugasan Bidang Investigasi (PPBI).
Audit Investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan pelakunya guna dilakukan tindakan hukum selanjutnya. Berdasarkan pengertian audit
investigatif di atas, maka dalam audit investigatif terdapat proses pengungkapan terjadi atau tidaknya suatu perbuatan dan pelakunya dengan tujuan untuk membuktikan ada atau tidaknya perbuatan melanggar hukum.
Dengan demikian, terkait dengan pengelolaan keuangan negara, audit investigatif merupakan suatu upaya untuk membuktikan ada tidaknya suatu perbuatan yang melanggar hukum sehingga apabila perbuatan terbukti, maka akan dikualifikasikan apakah perbuatan tersebut termasuk kesalahan administrasi yang nantinya akan dilakukan tuntutan ganti rugi/tuntutan perbendaharaan atau terdapat indikasi tindak pidana korupsi/terdapat indikasi tindak pidana lain.
Tahapanan kegiatan audit investigasi adalah sebagai berikut.
a. Pra‐perencanaan
Pra‐perencanaan dalam audit investigatif meliputi proses pengidentifikasian masalah dalam kegiatan yang memerlukan audit investigatif, penyusunan hipotesis awal atas masalah yang diidentifikasi, dan pengolahan hipotesis, hingga ditetapkannya simpulan berupa layak atau tidaknya dilakukan suatu audit investigatif terhadap masalah tersebut.
b. Perencanaan
Penyusunan rencana penugasan audit meliputi kegiatan penetapan sasaran dan ruang lingkup audit investigatif serta melakukan alokasi sumber daya dalam rangka melaksanakan penugasan tersebut.
c. Pengumpulan dan Evaluasi Bukti
Pelaksanaan pengumpulan dan evaluasi bukti harus difokuskan pada upaya pengujian hipotesis untuk mengungkapkan: fakta‐fakta dan proses kejadian (modus operandi), sebab dan dampak penyimpangan, serta pihak‐pihak yang diduga terlibat/bertanggung jawab atas kerugian keuangan negara/daerah.
d. Pelaporan
Proses dokumentasi atas hasil pelaksanaan audit investigatif merupakan tahap yang sama pentingnya dengan tahapan lain dalam audit investigatif atas suatu kasus.
Biasanya bentuk dokumentasi tersebut berupa laporan tertulis. Laporan tertulis merupakan suatu bukti bahwa audit investigasi telah dilaksanakan sesuai dengan prosedur yang berlaku.
Auditor harus mempertimbangkan bahwa laporan hasil audit investigasi akan dibaca oleh banyak pihak termasuk pihak‐pihak mempunyai kepentingan yang bertentangan dengan auditor. Dengan demikian, dalam menyusun laporannya auditor harus mampu bertahan dengan apa yang sudah ditulisnya. Untuk itu, ia harus dapat meyakinkan bahwa laporan telah dibuat sesuai dengan prosedur dan telah menjawab pertanyaan klasik yaitu: siapa, apa, mengapa, dimana, bilamana, dan bagaimana.
3. Reviu Laporan Keuangan
Reviu atas laporan keuangan pemerintah diatur dengan Peraturan Menteri Keuangan Nomor 41/PMK.09/2010 tentang Standar Reviu atas Laporan Keuangan Kementerian Negara/Lembaga dan Peraturan Menteri Dalam Negeri Nomor 4 Tahun 2008 tentang Pedoman Pelaksanaan Reviu atas Laporan Keuangan Pemerintah Daerah.
Reviu atas laporan keuangan adalah proses penelaahan atas penyelenggaraan akuntansi dan penyajian laporan keuangan kementerian/lembaga/pemerindah daerah (K/L/D) yang dilakukan oleh aparat pengawasan intern pemerintah (APIP) yang kompeten untuk memberikan keyakinan terbatas bahwa akuntansi telah diselenggarakan berdasarkan sistem akuntansi dan telah disajikan sesuai dengan standar akuntansi pemerintah. Laporan keuangan pemerintah dimaksud terdiri atas: a. laporan realisasi anggaran; b. neraca; c. laporan arus kas; dan d. catatan atas laporan keuangan. Tahapan reviu laporan keuangan adalah sebagai berikut.
a. Perencanaan, kegiatan yang dilakukan dalam tahap ini berupa penentuan objek, proses dan akun yang akan direviu serta pemilihan langkah‐langkah reviu.
b. Pelaksanaan, kegiatan yang dilakukan dalam tahap ini penelaahan atas penyelenggaraan akuntansi dan laporan keuangan K/L pada unit reviu penyusunan KKR. c. Pelaporan berupa penyusunan: 1) catatan hasil reviu; 2) ikhtisar hasil reviu; dan 3) laporan hasil reviu.
d. Pendampingan selama pemeriksaan BPK. Yang dapat dilakukan oleh APIP dalam tahap ini adalah: 1) menjelaskan kepada BPK mengenai hasil reviu atas laporan keuangan K/L agar dapat digunakan oleh BPK; 2) mendukung kelancaran pelaksanaan pemeriksaan BPK; 3) mengantisipasi permasalahan/kendala yang dihadapi oleh unit akuntansi pada saat pelaksanaan pemeriksaan oleh BPK;
4) membantu penyamaan persepsi unit akuntansi terhadap temuan hasil pemeriksaan BPK;
5) mendampingi unit akuntansi dalam pertemuan akhir dengan BPK untuk membahas hasil pemeriksaan; dan
6) Mendorong unit akuntansi untuk segera memperbaiki laporan keuangan berdasarkan hasil pemeriksaan BPK.
A. PENETAPAN TUJUAN DAN LINGKUP PENUGASAN
Langkah pertama dalam memulai suatu penugasan adalah menentukan tujuan (apa yang akan dicapai) dan lingkup penugasan (apa yang akan diuji). Pada bagian sebelumnya telah disebutkan bahwa kegiatan assurance dapat berbentuk audit, reviu, evaluasi dan pemantauan. Pembagian penugasan ini berdasarkan tujuan dan lingkup penugasan. Misalnya, jika sebuah penugasan bertujuan untuk memberikan positive assurance (keyakinan memadai) maka jenis
penugasannya adalah ‘audit’. Keyakinan memadai yang diberikan membawa konsekuensi bahwa penugasan akan menggunakan sumber daya lebih terkait banyaknya jumlah bukti yang harus diuji. Audit dapat dikelompokkan lebih lanjut sesuai tujuannya, misalnya sebagai berikut.
1. Audit yang bertujuan untuk memberi opini atas laporan keuangan disebut Audit Keuangan.
2. Audit yang bertujuan untuk menilai efektifitas dan efisiensi sebuah kegiatan/program disebut Audit Kinerja.
3. Audit yang bertujuan untuk menilai ketaatan terhadap peraturan tertentu (compliance audit) disebut Audit Kinerja.
4. Audit yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan yang melawan hukum disebut Audit Investigasi (audit tujuan tertentu).
Dalam hal keterbatasan sumber daya atau cukup dengan jaminan terbatas, jenis penugasan dapat disesuaikan. Penugasan dapat dilakukan dalam bentuk reviu, evaluasi atau pemantauan, yang hanya memberikan negative assurance (keyakinan terbatas). Pemberian keyakinan terbatas ini dapat dikelompokkan lagi berdasar tujuannya, misalnya sebagai berikut.
1. Penelaahan ulang bukti‐bukti suatu kegiatan yang bertujuan untuk memastikan bahwa kegiatan telah dilaksanakan sesuai dengan ketentuan disebut Reviu.
2. Kegiatan yang bertujuan untuk menilai kemajuan suatu program/kegiatan dalam mencapai tujuan yang telah ditetapkan disebut Pemantauan.
3. Rangkaian kegiatan yang bertujuan membandingkan hasil/prestasi suatu kegiatan dengan standar, rencana, atau norma disebut Evaluasi.
Lingkup penugasan adalah batasan hal‐hal yang akan diuji. Batasan tersebut dapat berupa proses tertentu, tingkatan tertentu, periode waktu dan/atau wilayah tertentu. Keputusan menentukan lingkup penugasan memerlukan professional judgement dari pimpinan instansi auditor internal. Penentuan lingkup penugasan yang jelas, membantu tim audit untuk lebih fokus pada pengujian tertentu. Bagi pembaca laporan, pernyataan lingkup penugasan yang jelas dapat mempermudah untuk memahami permasalahan dan simpulan yang disampaikan dalam laporan.