AUDIT INTERNAL
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
2014
Audit Internal Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP dalam rangka Diklat Fungsional Auditor – Diklat Pembentukan Auditor Terampil dan Ahli Edisi Pertama : Tahun 2014 Penyusun : M. Fahrudin, S.E., M.Acc. Pereviu : Agus Tri Prasetyo, Ak., M.E. Narasumber : Wakhyudi, Ak., M.Comm. Penyunting : Kusmayawati Penata Letak Didik Hartadi, S.E.
Pusdiklatwas BPKP Jl. Beringin II, Pandansari, Ciawi, Bogor 16720 Telp. (0251) 8249001 ‐ 8249003 Fax. (0251) 8248986 ‐ 8248987 Email :
[email protected] Website : http://pusdiklatwas.bpkp.go.id e‐Learning : http://lms.bpkp.go.id
Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari Pusat Pendidikan dan Pelatihan Pengawasan BPKP.
Kata Pengantar
Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu manajemen untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan (assurance activities) dan layanan konsultansi (consulting activities) sesuai standar, sehingga memberikan perbaikan efisiensi dan efektivitas atas tata kelola, manajemen risiko, dan pengendalian intern organisasi. Selain itu, Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah mengatur bahwa pelaksanaan audit intern di lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai tugas melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor. Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang transparan dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek pelaksanaan tugas umum pemerintahan dan pembangunan yang dituangkan dalam Undang‐ Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN. Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah pendidikan dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi tertentu sesuai dengan perannya sesuai dengan keputusan bersama Kepala Pusat Pembinaan Jabatan Fungsional Auditor dan Kepala Pusat Pendidikan dan Pelatihan Pengawasan Badan Pengawasan Keuangan dan Pembangunan Nomor KEP‐82/JF/1/2014 dan Nomor KEP‐ 168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional Auditor. Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan dengan sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi auditor. Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan kontribusi atas terwujudnya modul ini. Ciawi, 30 April 2014 Kepala Pusdiklat Pengawasan BPKP Nurdin, Ak., M.B.A.
Audit Internal
i
ii
2014 |Pusdiklatwas BPKP
Daftar Isi Kata Pengantar .................................................................................................................................. i Daftar Isi........................................................................................................................................... iii Daftar Gambar dan Tabel ................................................................................................................. v Bab I
PENDAHULUAN ................................................................................................................. 1 A. Latar Belakang .................................................................................................................................. 1 B. Kompetensi Dasar ........................................................................................................................... 1 C. Indikator Keberhasilan ................................................................................................................... 2 D. Sistematika Modul .......................................................................................................................... 2 E. Metode Pembelajaran ................................................................................................................... 3
Bab II GAMBARAN UMUM .......................................................................................................... 5 A. Pengertian Internal Audit .............................................................................................................. 5 B. Perubahan Paradigma APIP .......................................................................................................... 8 C. Perkembangan Risk Based Audit ................................................................................................ 9 D. Kegiatan Assurance dan Konsultansi ....................................................................................... 13 E. Tahapan Penugasan Audit Internal .......................................................................................... 22 Bab III PERENCANAAN PENUGASAN ASSURANCE ...................................................................... 25 A. Penetapan Tujuan dan Lingkup Penugasan ........................................................................... 30 B. Pemahaman Proses Kerja Auditi ............................................................................................... 32 C. Identifikasi dan Penilaian Risiko ................................................................................................ 35 D. Identifikasi Pengendalian Kunci ................................................................................................ 42 E. Evaluasi Pengendalian .................................................................................................................. 45 F. Penyusunan Rencana Pengujian ............................................................................................... 46 G. Penyusunan Program Kerja ........................................................................................................ 52 H. Pengalokasian Sumber Daya ...................................................................................................... 56 Bab IV PELAKSANAAN PENUGASAN ASSURANCE ....................................................................... 57 A. Pengujian Dan Pengumpulan Bukti .......................................................................................... 57 B. Evaluasi Bukti dan Pengambilan Kesimpulan ........................................................................ 64 C. Pengembangan Temuan dan Rekomendasi .......................................................................... 66 Bab V PELAPORAN PENUGASAN ASSURANCE ........................................................................... 73 A. Penyampaian Simpulan Sementara ......................................................................................... 74 B. Penyusunan Laporan .................................................................................................................... 75 C. Monitoring Tindak Lanjut ............................................................................................................ 78 Audit Internal
iii
Bab VI PENUGASAN KONSULTANSI ............................................................................................. 81 A. Jenis Jasa Konsultansi .................................................................................................................. 81 B. Pemilihan Penugasan Konsultansi ........................................................................................... 83 C. Proses Penugasan Konsultansi .................................................................................................. 84 D. Perencanaan Penugasan Konsultansi ..................................................................................... 85 E. Pelaksanaan Penugasan Konsultansi ...................................................................................... 87 F. Komunikasi dan Tindak Lanjut .................................................................................................. 88 G. Perubahan Jasa Konsultansi ...................................................................................................... 89 H. Kapabilitas yang Diperlukan ...................................................................................................... 89 Bab VII PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI .................................................. 91 A. Perkembangan Teknologi Informasi ....................................................................................... 91 B. Pemanfaatan Teknologi Informasi oleh Organisasi Pemerintah .................................... 91 C. Pemanfaatan Teknologi Informasi Bagi Auditor Internal ................................................. 93 Daftar Pustaka ................................................................................................................................ 99
iv
2014 |Pusdiklatwas BPKP
Daftar Gambar dan Tabel
Gambar Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI .............................................. 13 Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran ........................................... 34 Gambar 3.2 Pengendalian Mitigative dan Preventive ................................................................ 39 Gambar 3.3 Peta Risiko ............................................................................................................... 41 Gambar 4.1 Contoh Hubungan PKA dengan KKA ....................................................................... 60 Gambar 4.2 Hubungan Antara Sampling Error Dengan Jumlah Sampling ................................. 61 Gambar 6.1 Jenis Jasa Konsultansi ............................................................................................. 81 Gambar 7.1 Sistem Akuntansi Manual dan Sistem Akuntansi Berbasis komputer .................... 92
Tabel Tabel 2.1
Perubahan Paradigma Auditor Internal .................................................................... 8
Tabel 2.2
Tingkatan Risk Maturity dan Langkah yang akan diambil Auditor Internal ............ 11
Tabel 2.3
Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi ............... 20
Tabel 3.1
Tahapan Penugasan Assurance............................................................................... 25
Tabel 3.2
Format Hasil Identifikasi Risiko ............................................................................... 36
Tabel 3.3
Format Hasil Penilaian Risiko .................................................................................. 39
Tabel 3.4
Format Tahap Matriks Risiko dan Pengendalian .................................................... 53
Tabel 3.5
Format Program Kerja Audit ................................................................................... 54
Tabel 4.1
Jumlah Populasi dan Sampel (Krejcie dan Morgan) ............................................... 62
Tabel 4.2
Format Matriks Risiko dan Pengendalian serta Hasil Pengujian ............................ 63
Tabel 4.3
Matriks Risiko dan Pengendalian serta judgement yang diambil ........................... 65
Tabel 6.1
Tahap Penugasan Konsultansi ................................................................................ 84
Audit Internal
v
vi
2014 |Pusdiklatwas BPKP
Bab I PENDAHULUAN
A.
LATAR BELAKANG
Perkembangan jasa yang diberikan oleh aparat pengawasan internal (auditor internal) dewasa ini mengalami peningkatan yang luar biasa, untuk merefleksikan pemberdayaan kedudukan unit pengawasan internal dalam suatu organisasi. Peran sebagai watchdog yang selama ini menjadi ciri khas unit pengawasan internal telah mengalami pergeseran dan perluasan menjadi konsultan dan katalis bagi organisasi. The Institute of Internal Auditors (IIA) sebagai institusi profesi auditor internal telah menetapkan standar profesional pelaksanaan audit internal yang menyatakan, bahwa aktivitas audit internal dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Auditor internal membantu organisasi dalam mencapai tujuannya dengan menggunakan pendekatan yang sistematis dan disiplin, untuk mengevaluasi dan meningkatkan efektivitas pengelolaan risiko, pengendalian dan proses tata kelola. Modul ini disusun untuk membekali para auditor/calon auditor agar dapat melaksanakan penugasan sebagai auditor internal. Lingkup tugas sebagai auditor internal cukup luas, yang terdiri dari penugasan assurance berupa audit, evaluasi, reviu, dan pemantauan serta penugasan konsultansi berupa asistensi, bimbingan teknis, konsultan dan penugasan lain. Hal‐ hal yang perlu diketahui calon auditor mengenai kegiatan auditor internal berusaha dicakup dalam modul ini, namun para auditor/calon auditor internal harus memperkaya pengetahuannya dengan mencari sumber pengetahuan lain.
B.
KOMPETENSI DASAR
Kompetensi dasar yang diharapkan setelah mempelajari modul Audit Internal ini adalah peserta diklat diharapkan mampu menjelaskan konsepsi pelaksanaan audit intern.
Audit Internal
1
C.
INDIKATOR KEBERHASILAN
Setelah mengikuti proses pembelajaran ini, peserta diklat diharapkan memiliki pengetahuan mengenai: 1.
prinsip‐prinsip audit kinerja, audit atas aspek keuangan tertentu, audit untuk tujuan tertentu, dan audit khusus/ investigasi/berindikasi tindak pidana korupsi;
2.
prinsip‐prinsip kegiatan pengawasan lain, antara lain kegiatan sosialisasi mengenai pengawasan, pendidikan dan pelatihan pengawasan, pembimbingan dan konsultansi, pengelolaan hasil pengawasan, dan pemaparan hasil pengawasan;
3.
praktik‐praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain;
4.
sistem teknologi informasi dalam melaksanakan kegiatan audit intern; dan
5.
metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain.
D.
SISTEMATIKA MODUL
Modul Audit Internal disajikan dengan sistematika sebagai berikut. Bab I
Pendahuluan Bab ini berisi latar belakang, kompetensi dasar, indikator keberhasilan, deskripsi singkat, serta metode pembelajaran.
Bab II
Gambaran Umum Bab ini menjelaskan mengenai pengertian internal audit, perubahan paradigma APIP, perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan penugasan audit internal.
Bab III
Perencanaan Penugasan Assurance Bab ini menjelaskan mengenai penetapan tujuan dan lingkup assurance audit internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko, identifikasi
2
2014 |Pusdiklatwas BPKP
pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian, penyusunan program kerja dan pengalokasian sumber daya. Bab IV
Pelaksanaan Penugasan Assurance Bab ini menjelaskan mengenai pengujian dan pengumpulan bukti, evaluasi bukti dan pengambilan kesimpulan serta pengembangan temuan dan rekomendasi.
Bab V
Pelaporan Penugasan Assurance Bab ini menjelaskan mengenai penyampaian simpulan sementara, penyusunan laporan, dan monitoring tindak lanjut.
Bab VI
Penugasan Konsultansi Bab ini menjelaskan mengenai jenis, pemilihan, dan proses serta praktik penugasan konsultansi selain itu juga menjelaskan mengenai perubahan jasa konsultansi dan kapabilitas yang diperlukan.
Bab VII
Pengaruh Perkembangan Teknologi Informasi Bab ini menjelaskan mengenai perkembangan teknologi informasi dan pemanfaatan teknologi informasi oleh organisasi pemerintah dan bagi auditor internal.
E.
METODE PEMBELAJARAN
Metode yang digunakan untuk mencapai tujuan pembelajaran adalah: 1.
Ceramah Widyaiswara/instruktur menjelaskan mengenai Audit Internal atau bersifat deskriptif. Modul ini secara umum hanya membagi kegiatan audit internal dalam dua kelompok, yaitu assurance dan konsultansi. Rincian lebih lanjut masing‐masing jenis kegiatan assurance dan konsultansi tidak dibahas mendalam. Alasannya, uraian lebih lanjut mengenai berbagai jenis kegiatan ( misalnya audit investigasi, audit pengadaan barang dan kegiatan lain) akan di bahas di diklat substantive lebih lanjut.
Audit Internal
3
2.
Tanya Jawab dan diskusi Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang terkait dengan permasalahan dalam kegiatan audit internal.
3.
Latihan Peserta berlatih menyelesaikan soal‐soal yang terkait dengan audit internal. ~
4
2014 |Pusdiklatwas BPKP
Bab II GAMBARAN UMUM Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai pengertian internal audit, perubahan paradigma APIP, perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan penugasan audit internal.
A.
PENGERTIAN INTERNAL AUDIT
Internal audit di seluruh dunia melakukan kegiatan yang cukup bervariasi tergantung pada kondisi dan kebutuhan organisasi. Akibatnya muncul beberapa definisi internal audit antara lain sebagai berikut. Definisi menurut American Accounting Association (AAA) adalah: Internal audit adalah proses sistematis untuk secara objektif memperoleh dan mengevaluasi asersi mengenai tindakan dan kejadian‐kejadian ekonomis untuk meyakinkan derajat kesesuaian antara asersi ini dengan kriteria yang ditetapkan dan mengomunikasikannya ke pengguna yang berkepentingan. Definisi Internal Audit menurut Sawyer (2005: 10) adalah: Internal audit adalah sebuah penilaian yang sistematis dan objektif yang dilakukan auditor internal terhadap operasi dan kontrol yang berbeda‐beda dalam organisasi untuk menentukan apakah: (1) informasi keuangan dan operasi telah akurat dan dapat diandalkan; (2) risiko yang dihadapi organisasi telah diidentifikasi dan diminimalisasi; (3) peraturan eksternal serta kebijakan dan prosedur internal yang bisa diterima telah diikuti; (4) kriteria operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif—semua dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu anggota organisasi dalam menjalankan tanggung jawabnya secara efektif. Definisi Audit Internal (Pengawasan intern) menurut Standar Audit Aparat Pengawasan Intern Pemerintah (APIP) adalah: Pengawasan intern adalah seluruh proses kegiatan audit, reviu, pemantauan, evaluasi, dan kegiatan pengawasan lainnya berupa asistensi, sosialisasi dan konsultansi terhadap
Audit Internal
5
penyelenggaraan tugas dan fungsi organisasi dalam rangka memberikan keyakinan yang memadai bahwa kegiatan telah dilaksanakan sesuai dengan tolok ukur yang telah ditetapkan secara efektif dan efisien untuk kepentingan pimpinan dalam mewujudkan kepemerintahan yang baik. Definisi internal audit menurut The Institute of Internal Auditor’s (IIA) adalah: Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Internal Audit adalah kegiatan konsultasi dan assurance independen yang dirancang untuk memberikan nilai tambah dan perbaikan operasi organisasi. Internal audit membantu organisasi untuk mencapai tujuannya melalui pendekatan yang sistematis dan disiplin dalam mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendali‐an, dan proses tata kelola. Kedua definisi pertama, yaitu definisi menurut AAA dan Sawyer, belum memasukkan peran auditor internal sebagai konsultan. Sementara dalam praktik, terjadi peningkatan signifikan peran auditor internal sebagai konsultan yang memberikan nilai tambah bagi organisasi. Maka definisi yang akan digunakan modul ini adalah dua definisi terakhir, yaitu definisi menurut Standar Audit APIP dan definisi menurut IIA. Kedua definisi ini serupa dimana membagi peran auditor internal ke dalam dua kelompok assurance dan consulting (dalam Standar Audit APIP disebut : pengawasan lainnya). Analisis lebih lanjut terhadap definisi Internal Auditing dilakukan dengan analisis masing‐masing kata kunci definisi internal audit menurut IIA sebagai berikut. Internal Audit Audit merupakan suatu proses penilaian terhadap informasi, kondisi, operasi dan/atau pengendalian, yang dilakukan secara objektif oleh pihak yang kompeten dan independen. Kata internal dapat diartikan bahwa kegiatan audit dilaksanakan sendiri oleh organisasi atau oleh pegawai organisasi tersebut. Hal ini untuk membedakan dengan audit eksternal yang dilaksanakan oleh akuntan publik atau Badan Pemeriksa Keuangan (BPK).
6
2014 |Pusdiklatwas BPKP
Assurance Peran assurance dilakukan dengan memberikan penilaian/pendapat objektif terkait suatu entitas, operasi, fungsi, proses, sistem, atau subjek lainnya. Sifat dan lingkup kegiatan assurance ditentukan oleh auditor internal. Dalam Standar Audit APIP, kegiatan assurance terbagi dalam kegiatan audit, reviu, pemantauan, dan evaluasi. Konsultansi Peran sebagai konsultan muncul setelah terjadi perubahan paradigma auditor internal. Paradigma lama auditor internal sebagai watchdog, telah bertambah dengan peran sebagai konsultan dan catalist. Peran konsultan pada umumnya bersifat pemberian saran, atau layanan lain dengan sifat dan ruang lingkup berdasar kesepakatan antara auditor dengan yang disepakati dengan manajemen. Layanan konsultasi ini bertujuan untuk memberi nilai tambah dan meningkatkan tata kelola, manajemen risiko dan pengendalian organisasi. Dalam Standar Audit APIP, kegiatan konsultansi ini disebut dengan kegiatan pengawasan lainnya, yang terbagi dalam kegiatan berupa asistensi, sosialisasi dan konsultansi. Independen Independen adalah suatu kondisi dimana auditor internal terbebas dari segala kondisi yang mengancam kemampuannya dalam bertindak objektif/tidak bias. Membantu Organisasi untuk Mencapai Tujuannya dalam definisi IIA ditegaskan bahwa tujuan auditor internal adalah membantu organisasi dalam mencapai tujuannya. Hal ini dapat dilakukan melalui meningkatkan efektivitas manajemen risiko (dimana risiko yang mengganggu pencapaian tujuan organisasi merupakan fokus utama), pengendalian internal (untuk memastikan bahwa tujuan organisasi terwujud), dan proses tata kelola (organisasi tanpa tata kelola yang baik tidak akan berhasil mencapai tujuannya). Pendekatan yang Sistematis dan Disiplin Auditor internal telah memiliki standar audit dan standar perilaku yang jelas, sehingga dapat dijamin bahwa auditor internal telah bekerja dengan sistematis dan disiplin.
Audit Internal
7
B.
PERUBAHAN PARADIGMA APIP
Peran auditor internal pada awal keberadaannya berperan utama sebagai watchdog, namun sejak tahun 1970‐an telah mengalami pergeseran menjadi konsultan. Adapun peran auditor internal sebagai katalis, baru berkembang sekitar tahun 1990‐an. Perubahan paradigma ini tidak berarti bahwa peran sebagai watchdog ditinggalkan, tetapi justru peran auditor internal meluas. Tabel berikut ini menggambarkan secara singkat perubahan paradigma auditor internal. URAIAN
WATCHDOG
CONSULTANT
CATALYST
Proses
Audit kepatuhan (Compliance Audit)
Audit operasional
Assurance
Fokus
Adanya Variasi (penyimpangan, kesalahan atau kecurangan dll)
Penggunaan sumber daya (resources)
Nilai (Values)
Impact
Jangka pendek
Jangka menengah
Jangka panjang
Tabel 2.1 Perubahan Paradigma Auditor Internal
Peran watchdog meliputi aktivitas inspeksi, observasi, perhitungan, pengujian transaksi yang bertujuan untuk memastikan ketaatan terhadap ketentuan, peraturan atau kebijakan yang telah ditetapkan. Audit yang dilakukan adalah audit kepatuhan (compliance audit) dan apabila dijumpai penyimpangan dapat dilakukan koreksi atas sistem pengendalian manajemen. Peran watchdog umumnya menghasilkan rekomendasi yang mempunyai dampak jangka pendek, yaitu perbaikan atas kesalahan yang sudah terjadi. Peran auditor internal sebagai konsultan diharapkan dapat memberikan manfaat berupa nasehat (advice) dalam pengelolaan sumber daya (resources) organisasi, sehingga dapat membantu tugas para pimpinan di tingkat operasional. Audit yang dilakukan adalah audit operasional yaitu untuk meyakini apakah organisasi telah memanfaatkan sumber daya organisasi secara ekonomis, efisien, dan efektif, sehingga dapat dinilai apakah manajemen telah menjalankan aktivitas organisasi yang mengarah kepada tujuannya. Rekomendasi yang dibuat umumnya bersifat jangka menengah, yaitu memperbaiki dan meningkatkan efektifitas dan efisiensi operasi organisasi. Peran auditor internal sebagai katalis berkaitan dengan jaminan kualitas (quality assurance). Auditor diharapkan dapat membimbing manajemen dalam mengenali berbagai risiko yang mengancam pencapaian tujuan organisasi. Pemberian jasa jaminan kualitas bertujuan untuk meyakinkan bahwa aktivitas organisasi yang dijalankan, telah menghasilkan keluaran (output) 8
2014 |Pusdiklatwas BPKP
yang dapat memenuhi kebutuhan penggunanya. Dalam memainkan perannya sebagai katalis, auditor internal berperan sebagai fasilitator dan agen perubahan (agent of change). Dampak dari peran ini bersifat jangka panjang karena fokus katalis adalah nilai jangka panjang (long‐term values) dari organisasi, terutama berkaitan dengan tujuan organisasi yang dapat memenuhi kepuasan pelanggan (customer satisfaction) dan masyarakat (stakeholders).
C.
PERKEMBANGAN RISK BASED AUDIT
Mengapa Risiko menjadi pusat perhatian Auditor Internal? Definisi Risiko menurut Peraturan Pemerintah Nomor 60 Tahun 2008 adalah Kemungkinan kejadian yang mengancam pencapaian tujuan instansi pemerintah. Sementara itu, tujuan auditor internal adalah membantu organisasi untuk mencapai tujuannya, maka sudah seharusnya risiko organisasi menjadi pusat perhatian auditor internal organisasi tersebut. Pemahaman auditor terkait risiko yang dihadapi organisasi memegang peranan penting dalam perencanaan dan pelaksanaan setiap penugasan. Auditor harus memaksimalkan segala sumberdaya, waktu, tenaga dan biaya yang terbatas pada area pemeriksaan yang berisiko tinggi. Pemahaman auditor terkait risiko organisasi dapat diperoleh dari risk register (daftar risiko) yang disusun oleh manajemen. Namun, sebelum auditor memanfaatkan daftar risiko tersebut, terlebih dahulu harus menilai tingkatan risk maturity (kematangan manajemen risiko) organisasi. Manajemen Risiko Menurut Peraturan Pemerintah Nomor 60 Tahun 2008, pemimpin instansi pemerintah wajib melakukan penilaian risiko secara periodik dan komprehensif. Risiko‐risiko tersebut harus dipertimbangkan dalam setiap pengambilan keputusan. Penilaian risiko adalah kegiatan penilaian atas kemungkinan dan dampak kejadian yang dapat mengancam pencapaian tujuan Instansi Pemerintah. Langkah penilaian risiko terdiri dari: 1.
Identifikasi risiko: untuk mengenali risiko‐risiko yang mengancam tujuan organisasi yang bersumber dari eksternal dan internal serta faktor lain yang dapat meningkatkan risiko.
2.
Analisis risiko: untuk menentukan tingkat (scoring) probabilitas dan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan Instansi Pemerintah.
Audit Internal
9
Risiko‐risiko ini merupakan tanggung jawab manajemen selaku pemilik risiko. Manajemen harus membangun pengendalian internal (internal control) untuk menjaga agar risiko‐risiko tetap berada di tingkat yang dapat ditolerir (dibawah risk appetite). Serangkaian proses sejak identifikasi, analisis, pengelolaan, dan pengendalian risiko untuk memberikan keyakinan yang memadai tentang pencapaian tujuan adalah kegiatan manajemen risiko. Risk Maturity Risk Maturity Level adalah tingkatan sejauh mana manajemen risiko telah diadopsi dan diterapkan di seluruh organisasi untuk mengidentifikasi, menganalisis, menentukan response risiko dan melaporkan peluang/ancaman yang dapat mempengaruhi pencapaian tujuan organisasi. Tingkat risk maturity berpengaruh pada rencana audit yang disusun auditor internal. Untuk mengetahui sejauh mana tingkat risk maturity suatu organisasi auditor internal dapat melakukan hal‐hal sebagai berikut. 1.
Melakukan wawancara dengan jajaran pimpinan organisasi untuk mengatahui proses yang telah diterapkan untuk meningkatkan manajemen risiko. Proses yang telah dilakukan oleh manajemen dapat berupa pelatihan, workshop, membuat questionnaire tentang risiko dan wawancara dengan pemilik risiko. Hasil akhir dari proses ini adalah risk register yang komprehensif dan kesimpulan bagaimana risk manajemen tertanam dalam organisasi.
2.
Mengumpulkan informasi/bukti yang mendukung simpulan diatas antara lain berupa: a.
tujuan organisasi;
b.
kertas kerja penilaian risiko berupa scoring dampak dan probabilitas untuk menyusun peringkat risiko;
c.
tingkat risk appetite yang ditetapkan pimpinan operasi;
d.
prosedur yang digunakan manajemen untuk mengidentifikasi risiko;
e.
bukti bahwa manajemen mempertimbangkan risiko dalam pengambilan keputusan;
f.
daftar risiko organisasi yang menunjukkan hubungan antara tujuan, risiko, pemilik risiko, score dampak dan probabilitas untuk inherent risk dan residual risk. termasuk risk response dan pengendalian yang telah diterapkan serta tingkat risk appetite yang dikehendaki pimpinan organisasi; dan
10
2014 |Pusdiklatwas BPKP
g.
dokumen lain yang membuktikan adanya komitmen pimpinan terhadap penerapan manajemen risiko.
Tingkat risk maturity auditi mempengaruhi langkah audit yang akan diambil. Dalam table berikut digambarkan tingkatan risk maturity dan langkah yang akan diambil auditor internal. Risk Maturity
Karakteristik kunci
Pendekatan Internal Audit
Risk Naive
Organisasi belum menerapkan Manajemen Risiko secara formal
Memfasilitasi organisasi membangun manajemen risiko. Auditor melakukan penilaian risiko dengan keterlibatan manajemen.
Risk Aware
Penerapkan Manajemen Risiko Organisasi secara acak (scattered silo approach)
Memfasilitasi organisasi membangun manajemen risiko. Auditor melakukan penilaian risiko dengan keterlibatan manajemen.
Risk Defined
Strategi dan kebijakan manajemen risiko telah dikomunikasikan dan tingkatan risiko yang dapat ditolerir (risk appetite) telah ditetapkan
Memfasilitasi penyempurnaan manajemen risiko. Audit memanfaatkan hasil penilaian risiko yang dilakukan manajemen
Risk Managed
Risk manajemen telah diterapkan dan Penekanan audit pada proses manajemen dan telah dikomunikasikan ke seluruh risiko. Perhatian khusus diberikan untuk memverifikasi pemantauan risiko utama. anggota organisasi.
Risk Enabled
Organisasi telah mengintegrasikan manajemen risiko dan internal control
Penekanan audit pada proses manajemen risiko. Perhatian khusus diberikan untuk memverifikasi pemantauan risiko utama.
Tabel 2.2 Tingkatan risk maturity dan langkah yang akan diambil auditor internal
Hasil penilaian tingkat risk maturity dapat digunakan sebagai bahan pertimbangan dalam menentukan pendekatan audit yang akan digunakan oleh auditor internal sebagai berikut. 1.
Jika risk maturity organisasi berada pada level risk aware (penerapan manajemen risiko secara acak) dan risk naive (manajemen resiko belum diterapkan secara formal), maka auditor tidak dapat meyakini risk register organisasi. Dalam kondisi seperti ini, internal auditor dapat menjalankan peran konsultatifnya, yaitu bertindak sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi organisasi.
Audit Internal
11
Auditor internal dimungkinkan untuk melakukan audit berbasis risiko setelah dilakukan fasilitasi penyusunan risk register organisasi. Auditor internal tidak dapat menetapkan risiko tanpa keterlibatan pihak manajemen, karena pemilik dan penanggung jawab risiko adalah manajemen. Hal ini dilakukan untuk menghindari kesalahpahaman pihak manajemen yang menganggap bahwa auditor internal yang bertanggung jawab terhadap risiko organisasi. 2.
Pada kondisi risk defined (strategi dan kebijakan manajemen risiko telah ditetapkan), pekerjaan audit diawali dengan verifikasi apakah proses manajemen risiko sudah berjalan dengan efektif. Pekerjaan audit lebih detail diperlukan untuk meyakinkan bahwa semua risiko sudah diidentifikasi dan pengendalian terhadap risiko telah berjalan efektif.
3.
Pada kondisi risk managed dan risk enabled, pekerjaan audit tidak lagi diarahkan untuk menemukan kesalahan penetapan risiko atau kelemahan pengendalian. Perhatian khusus diarahkan pada proses manajemen risiko dan verifikasi terhadap pemantauan manajemen atas risiko‐risiko kunci dalam organisasi.
Audit Universe (Peta Objek Audit)
Dari hasil penilaian risk maturity, dapat diperoleh daftar risiko (risk register) organisasi. Dalam konteks kondisi manajemen risiko yang masih naïve dan aware, daftar ini dapat diperoleh dari hasil fasilitasi penyusunan risk register. Bila manajemen risiko organisasi telah mencapai level managed dan enabled, auditor dapat menggunakan daftar risiko yang dihasilkan manajemen. Daftar risiko ini merupakan sumber penyusunan audit universe yang akan digunakan dalam proses perencanaan dan pelaksanaan audit selanjutnya. Audit Universe (peta audit) merupakan daftar semua kemungkinan audit yang dapat dilakukan dan dimanfaatkan untuk perencanaan audit jangka panjang (lebih dari satu tahun), menyusun strategi audit, dan aktivitas audit lainnya. Peta audit adalah risk register yang telah dikembangkan lebih lanjut yang memuat informasi sebagai berikut. •
Risiko yang telah teridentifikasi dan telah dilengkapi dengan score.
•
Tujuan yang terancam oleh masing‐masing risiko.
•
Pemilik Risiko (risk owner).
•
Pengendalian yang diterapkan oleh manajemen.
12
2014 |Pusdiklatwas BPKP
•
Simpulan hasil audit sebelumnya mengenai efektifitas pengendalian setiap risiko.
•
Informasi mengenai audit‐audit yang telah dan akan dilakukan.
•
Informasi lain terkait pengendalian dan risiko.
Peta Audit sebaiknya disimpan dalam bentuk data base (misalnya Access), bukan spreadsheet (misalnya Excel). Keuntungan penggunaan data base adalah data yang disimpan relatif lebih terjaga keamanan, konsistensi dan integritasnya. Dalam bentuk data base, peta audit lebih mudah dalam menghasilkan laporan misalnya: •
Penugasan‐penugasan audit yang sedang berlangsung.
•
Risiko‐risiko yang mengancam tujuan tertentu.
•
Rincian risiko‐risiko yang diurutkan berdasar score‐nya.
•
Beragam laporan lain sesuai data‐data yang disimpan dalam data base.
D.
KEGIATAN ASSURANCE DAN KONSULTANSI
Gambaran lingkup penugasan auditor internal menurut Draft Standar Audit Intern Pemerintah Indonesia yang disusun Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI), dapat digambarkan dalam skema sebagai berikut.
Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI
Audit Internal
13
Peran Auditor Internal Peran audit internal menurut Standar Audit APIP dan IIA dapat dibagi dalam dua kelompok, yaitu assurance dan konsultansi. Standar audit APIP menyatakan bahwa pengawasan intern adalah seluruh proses kegiatan (assurance) audit, reviu, pemantauan, evaluasi, dan kegiatan pengawasan lainnya (konsultansi) berupa asistensi, sosialisasi dan konsultansi. Hal ini senada dengan IIA yang membagi secara tegas tugas auditor internal dengan pernyataan bahwa: “Internal auditing is an independent, objective assurance and consulting activity”. IIA dalam International Standards for the Professional Practice of Internal Auditing (IPPF‐2013) mendefinisikan kedua peran ini sebagai berikut. Assurance services : An objective examination of evidence for the purpose of providing an independent assessment on governance, risk management, and control processes for the organization. Examples may include financial, performance, compliance, system security, and due diligence engagements. Terjemahannya: Kegiatan Penjaminan adalah pemeriksaan bukti‐bukti secara objektif untuk memberikan penilaian independen tentang manajemen risiko, pengendalian, dan proses tata kelola. Contohnya dapat berupa penugasan terkait keuangan, kinerja, ketaatan, dan keamanan sistem Consulting Services : Advisory and related client service activities, the nature and scope of which are agreed with the client, are intended to add value and improve an organization’s governance, risk management, and control processes without the internal auditor assuming management responsibility. Examples include counsel, advice, facilitation, and training. Terjemahannya : Kegiatan konsultansi adalah pemberian saran terkait aktivitas organisasi. Sifat dan lingkup penugasan disepakati bersama untuk memberikan nilai tambah dan perbaikan risiko, pengendalian, dan proses tata kelola organisasi. Contohnya dapat berupa konsultansi, pemberian saran, fasilitasi dan pelatihan. Persamaan dan Perbedaan Assurance dan Konsultansi Persamaan kedua peran ini adalah bertujuan untuk meningkatkan governance, risk management, and control (GRC) organisasi. Bedanya, assurance dilakukan melalui pemeriksaan bukti‐bukti yang bertujuan menilai GRC, sedangkan konsultansi dilakukan melalui kegiatan pemberian saran perbaikan GRC.
14
2014 |Pusdiklatwas BPKP
Perbedaan mendasar antara kedua peran ini adalah sebagai berikut. 1.
Pihak‐pihak yang Terlibat Dalam kegiatan konsultansi, pihak yang terlibat hanya dua pihak, yaitu pihak manajemen selaku peminta/penerima saran dan auditor internal selaku pemberi saran. Dalam kegiatan assurance ada tiga pihak terlibat, yaitu manajemen selaku auditi, auditor internal selaku pelaksana kegiatan dan pihak ketiga yang memanfaatkan hasil kegiatan assurance ini.
2.
Standar Pelaksanaan Standar audit APIP sementara ini belum mengatur kegiatan konsultansi, namun IIA menerbitkan standar pelaksanaan berupa IPPF‐2013. Dalam standar ini, Attribute Standard dan Performance Standard berlaku pada semua kegiatan Assurance dan Konsultansi, dengan perbedaan standard untuk masing masing peran.
3.
Tujuan Kegiatan Kegiatan assurance bertujuan untuk memberikan penilaian independen dengan lingkup dan sifat kegiatan yang ditentukan oleh auditor. Sedangkan kegiatan konsultansi bertujuan untuk memberikan saran, pelatihan dan fasilitasi. Sifat dan lingkup kegiatan konsultansi ditetapkan sesuai kesepakatan antara manajemen dan auditor internal.
4.
Penyampaian Hasil Kegiatan. Jenis informasi yang disampaikan untuk berbagai kegiatan assurance relative sama, sehingga format laporan dapat dikatakan tidak jauh berbeda. Keseragaman format ini mempermudah pembaca laporan untuk mencari informasi tertentu yang mereka butuhkan. Laporan kegiatan konsultansi sebaliknya, sangat berbeda tergantung jenis dan lingkup penugasan yang disepakati. Bentuk dan isi laporan konsultansi disesuaikan dengan kebutuhan, dalam bentuk yang dianggap paling efektif dan efisien dalam menyampaikan pesan.
Audit Internal
15
Jenis Kegiatan Assurance Menurut Draft Standar Audit Intern Pemerintah Indonesia (AAIPI), kegiatan assurance yang dilakukan oleh APIP meliputi kegiatan berikut ini. 1.
Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara independen, objektif dan profesional berdasarkan standar audit, untuk menilai kebenaran, kecermatan, kredibilitas, efektifitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah. Jenis audit yang dapat dilakukan APIP dapat terbagi dalam tiga kelompok, yaitu: a.
Audit keuangan adalah audit atas laporan keuangan, yang terbagi atas: 1)
Audit keuangan yang bertujuan untuk memberikan opini atas kewajaran penyajian laporan keuangan sesuai dengan prinsip akuntansi yang diterima umum. Dalam penugasan ini auditor wajib menggunakan Standar Pemeriksaan Keuangan Negara (SPKN) dan/atau Standar Profesional Akuntan Publik (SPAP).
2)
Audit terhadap aspek keuangan tertentu (audit atas laporan keuangan bukan untuk memberikan opini), contohnya antara lain:
b.
a)
audit atas bagian dari laporan keuangan/informasi keuangan;
b)
audit atas laporan pendapatan dan biaya;
c)
audit atas laporan penerimaan dan pengeluaran kas;
d)
audit atas laporan aktiva tetap, permintaan anggaran;
e)
audit pengelolaan keuangan dana dekonsentrasi; dan
f)
audit Keuangan Lainnya.
Audit kinerja adalah audit atas pelaksanaan tugas dan fungsi instansi pemerintah yang terdiri atas audit aspek ekonomi, efisiensi, dan audit aspek efektivitas, serta ketaatan pada peraturan. Contoh Audit kinerja antara lain: 1)
audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada peraturan;
2)
post audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada peraturan;
16
2014 |Pusdiklatwas BPKP
c.
3)
audit kinerja atas penyusunan dan pelaksanaan anggaran;
4)
audit kinerja atas penerimaan, penyaluran, dan penggunaan dana;
5)
audit kinerja atas pengelolaan aset dan kewajiban;
6)
audit operasional program/kegiatan;
7)
audit akuntabilitas kinerja; dan
8)
audit sistem informasi.
Audit dengan tujuan tertentu adalah audit di luar audit keuangan dan audit kinerja yang bertujuan untuk memberikan simpulan atas suatu hal yang diaudit. Yang termasuk dalam kategori ini antara lain: 1)
audit investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan pelakunya guna dilakukan tindakan hukum selanjutnya;
2)
audit terhadap masalah yang menjadi fokus perhatian pimpinan organisasi;
3)
audit ketaatan (compliance audit);
4)
audit atas tindak kecurangan/fraud audit;
5)
audit atas kegiatan melawan hukum/illegal act audit;
6)
mengumpulkan data dan/atau informasi intelijen;
7)
fraud audit/illegal act audit/audit atas tindak kecurangan/KKN/audit forensik/ audit investigatif;
8)
memproses penyelesaian TP/TGR;
9)
audit atas berbagai indikasi pemborosan (waste, abuse);
10)
audit khusus terhadap adanya pengaduan masyarakat terkait dugaan penyimpangan dalam pengelolaan aset, pelayanan publik atau pelaksanaan pemerintahan;
Audit Internal
17
11)
membantu aparat penegak hukum (APH) untuk memberikan keterangan ahli/pendampingan pemberian keterangan ahli dalam peradilan kasus hasil pengawasan;
12)
membantu aparat penegak hukum (APH) untuk melakukan penghitungan kerugian keuangan negara (audit PKKN);
13)
audit atas pengelolaan aset;
14)
audit atas kepegawaian;
15)
memberikan kesaksian dalam peradilan kasus hasil pengawasan non keuangan seperti kasus perceraian, indisipliner pegawai, dan kasus perselingkuhan;
16)
mengkaji sistem pengendalian manajemen objek pengawasan;
17)
pengendalian intern terhadap ketaatan hukum dan peraturan atas proses tender, akuntansi, hibah, bantuan, dan kontrak;
18)
audit ketaatan atas hukum dan peraturan;
19)
audit penyesuaian harga;
20)
audit klaim;
21)
audit lingkungan;
22)
audit sosial, audit atas efektifitas bantuan sosial (misalnya: bantuan langsung tunai/BLT);
23)
audit khusus dalam rangka serah terima jabatan (sertijab)/alih jabatan;
24)
pemeriksaan dalam rangka berakhirnya masa jabatan kepala daerah;
25)
audit atas catatan‐catatan akuntansi intern (internal accounting records);
26)
audit buril, seperti: melaksanakan verifikasi, serta pengujian dan penilaian dokumen; dan
27)
18
audit yang bersifat khas lainnya.
2014 |Pusdiklatwas BPKP
2.
Reviu adalah penelaahan ulang bukti‐bukti suatu kegiatan untuk memastikan bahwa kegiatan tersebut telah dilaksanakan sesuai dengan ketentuan, standar, rencana, atau norma yang telah ditetapkan. Contoh reviu antara lain:
3.
a.
reviu atas laporan keuangan;
b.
reviu atas sistem pengendalian intern pemerintah (SPIP);
c.
reviu atas rencana kegiatan dan anggaran (RKA);
d.
reviu atas usulan revisi yang mengubah plafon anggaran;
e.
reviu atas aspek keuangan tertentu;
f.
reviu aspek kinerja tertentu;
g.
reviu periodik atas pengelolaan keuangan;
h.
reviu atas aspek tertentu penyelenggaraan pemerintahan dan pembangunan; dan
i.
reviu atas hasil kajian pengawasan tertentu.
Pemantauan adalah proses penilaian kemajuan suatu program/kegiatan dalam mencapai tujuan yang telah ditetapkan. Contoh pemantauan antara lain:
4.
a.
pemantauan tindak lanjut hasil pemeriksaan;
b.
pemantauan terhadap pelaksanaan kebijakan;
c.
pemantauan realisasi penyerapan anggaran;
d.
pemantauan capaian kinerja instansi pemerintah;
e.
monitoring dana dekonsentrasi; dan
f.
pemantauan persidangan perkara pidana.
Evaluasi adalah rangkaian kegiatan membandingkan hasil/prestasi suatu kegiatan dengan standar, rencana, atau norma yang telah ditetapkan, dan menentukan faktor‐ faktor yang mempengaruhi keberhasilan atau kegagalan suatu kegiatan dalam mencapai tujuan. Contoh evaluasi antara lain: a.
evaluasi dan penilaian atas efektivitas proses tata kelola;
b.
evaluasi dan penilaian atas efektivitas manajemen risiko;
c.
evaluasi dan penilaian atas efektivitas penerapan sistem pengendalian intern;
Audit Internal
19
d.
evaluasi atas efektivitas suatu program;
e.
evaluasi kelembagaan;
f.
evaluasi kebijakan;
g.
evaluasi strategi pelaksanaan kegiatan;
h.
evaluasi akuntabilitas kinerja instansi pemerintah (AKIP); dan
i.
evaluasi hasil pengembangan sistem informasi.
Masing‐masing kegiatan assurance (audit, reviu, pemantauan dan evaluasi) memiliki derajat assurance yang berbeda sesuai sifat dan jumlah bukti yang akan diuji. Derajat assurance berbanding lurus dengan jumlah bukti yang dikumpulkan dan dievaluasi, sebagaimana tergambar dalam table berikut. Jenis Penugasan
Derajat Assurance
Jumlah Bukti Dikumpukan
Sifat Assurance
Audit
Tinggi
Banyak
Positif
Reviu
Sedang
Cukup Banyak
Negatif
Assurance Lain
Bervariasi
Bervariasi
Negatif
Tabel 2.3 Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi
Positive assurance (biasa disebut reasonable assurance/jaminan memadai) diberikan oleh auditor internal untuk memberikan keyakinan bahwa informasi yang diaudit telah sesuai dengan kriteria/ketentuan. Contoh: •
Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam bentuk: “Dari hasil audit yang telah dilakukan, disimpulkan bahwa pelaksanaan tugas dan fungsi Satker XYZ telah dilaksanakan dengan efektif dalam mencapai tujuan organisasi”.
Negative assurance/jaminan terbatas yang diberikan oleh auditor ‘hanya’ memberi keyakinan bahwa tidak ditemukan adanya penyimpangan/bukti adanya penyimpangan dari kriteria yang digunakan. Contoh : •
Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam bentuk: “Dari hasil evaluasi yang telah dilakukan, tidak ditemukan bukti bahwa pelaksanaan tugas dan fungsi Satker XYZ dilaksanakan dengan tidak efektif”.
20
2014 |Pusdiklatwas BPKP
Jenis Kegiatan Konsultansi Kegiatan konsultasi sangat bervariasi baik bentuk dan sifatnya, disesuaikan dengan kesepakatan antara auditor dan manajemen. Kegiatan ini dapat didesain sesuai kebutuhan manajemen untuk mengatasi masalah tertentu. Walaupun demikian, kegiatan ini hanya dapat dilaksanakan sepanjang tidak mengganggu independensi dan objektifitas auditor internal. Kegiatan konsultansi dapat berbentuk pemberian saran (advisory role), pelatihan (training role), dan bimbingan teknis (facilitative role). Namun, dalam praktik kegiatan konsultansi tidak dapat dipisahkan secara tegas antara advisory role, training role, dan facilitative role. Misalnya dalam kegiatan facilitative, auditor juga berperan advisory. Demikian juga dalam kegiatan training role, auditor internal juga memberika saran (advisory role) 1.
Advisory Role Pada umumnya, kegiatan konsultansi bersifat memberikan saran kepada manajemen. Kegiatan dapat dilakukan dalam bentuk kajian dan penyampaian rekomendasi. Setiap organisasi tentu mengalami berbagai tantangan, untuk menghadapinya manajemen dapat meminta auditor untuk memberikan saran misalnya dalam hal‐hal berikut.
2.
a.
Membangun desain pengendalian internal.
b.
Membangun prosedur dan kebijakan.
c.
Memberikan saran tentang kegiatan yang berisiko tinggi.
d.
Membangun manajemen risiko.
Training Role Auditor pada umumnya berpengalaman melaksanakan tugas assurance dan memiliki pengetahuan yang dapat dibagi dengan manajemen. Pengetahuan auditor yang dapat diberikan terkait berbagai kriteria/peraturan, manajemen risiko, pengendalian internal dan best practices. Auditor dapat membagikan/menyebarkan/mendesiminasikan pengetahuan tersebut atas permintaan manajemen melalui pelatihan, workshop, atau sosialisasi.
Audit Internal
21
3.
Facilitative Role Manajemen juga bisa meminta auditor internal untuk terlibat lebih jauh, misalnya sebagai fasilitator (facilitative role). Peran fasilitator ini dilaksanakan dalam bentuk pendampingan asistensi dan bimbingan teknis pendampingan. Internal auditor telah berpengalaman dalam melakukan analisis pengendalian yang diperlukan untuk menangani sebuah risiko. Internal auditor dapat membimbing manajemen untuk menemukan ‘kelemahan’ sebuah pengendalian dan membimbing manajemen membangun pengendalian untuk menutup kelemahan tersebut. Selaku fasilitator, auditor internal terlibat langsung dalam kegiatan manajemen. Yang harus diperhatikan adalah dalam melakukan asistensi, internal auditor tidak boleh bertindak sebagai pengambil keputusan yang menjadi tanggung jawab manajemen. Standar IPPF mengatur bahwa ketika membantu manajemen, auditor internal harus menghindari asumsi dari manajemen, bahwa auditor telah mengambil alih tanggung jawab manajemen selaku penanggung jawab risiko.
E.
TAHAPAN PENUGASAN AUDIT INTERNAL
Menurut Institut of Internal Auditors ‐ Research Foundation (IIA‐RF)1, tahapan penugasan auditor internal baik penugasan assurance maupun konsultansi secara umum terbagi dalam tiga tahap utama, yaitu: perencanaan, pelaksanaan dan pelaporan. Dalam praktik tidak ada garis tegas yang membagi ketiga tahap ini. Tahap perencanaan tidak berhenti saat dimulainya tahap pelaksanaan, karena penyesuaian rencana perlu dilakukan saat ditemukan adanya penyimpangan. Penyampaian simpulan (tahap pelaporan) tidak harus setelah tahap pelaksanaan penugasan selesai, namun dapat dilakukan saat ditemukan adanya masalah yang perlu penanganan segera. Penugasan Assurance Penugasan assurance bervariasi sesuai tujuan dan lingkupnya, namun dengan tahapan penugasan relatif sama. Tahapan‐tahapan berikut pada umumnya dilakukan di setiap kegiatan assurance, dengan sedikit penyesuaian pelaksanaan. Tahapan kegiatan assurance dapat dirinci sebagai berikut. 1
Kurt F Reding et al (IIA-RF), 2009, Internal Auditing: Assurance and Consulting Services, 2nd Edition
22
2014 |Pusdiklatwas BPKP
1.
2.
3.
Perencanaan a.
Penetapan tujuan dan lingkup penugasan.
b.
Pemahaman auditi.
c.
Identifikasi dan penilaian risiko.
d.
Identifikasi pengendalian kunci.
e.
Evaluasi pengendalian.
f.
Penyusunan rencana pengujian.
g.
Penyusunan program audit.
h.
Pengalokasian sumber daya.
Pelaksanaan a.
Pengujian dan pengumpulan bukti.
b.
Evaluasi bukti dan pengambilan kesimpulan.
c.
Pengembangan temuan dan rekomendasi.
Pelaporan a.
Penyampaian simpulan sementara.
b.
Penyusunan laporan.
c.
Distribusi laporan.
d.
Monitoring tindak lanjut.
Penugasan Konsultansi Berbeda dengan kegiatan assurance, kegiatan konsultansi berbeda tahapannya untuk setiap kegiatan. Hal ini disebabkan lingkup, sifat dan metode kegiatan ditetapkan berdasar kesepakatan antara auditor dan manajemen. Dengan kata lain, bentuk penugasan konsultansi sangat bergantung kebutuhan manajemen. Berikut adalah tahapan kegiatan konsultansi secara umum penerapannya disesuaikan lingkup dan tujuan penugasan. Tahapan kegiatan konsultansi dapat dirinci sebagai berikut.
Audit Internal
23
1.
2.
Perencanaan a.
Penentuan tujuan dan lingkup.
b.
Permintaan persetujuan tujuan dan lingkup penugasan dari manajeman.
c.
Pemahaman lingkup penugasan dan proses bisnis.
d.
Pemahaman risiko yang terkait (jika diperlukan).
e.
Pemahaman pengendalian terkait (jika diperlukan).
f.
Evaluasi desain pengendalian.
g.
Penyusunan rencana penugasan.
h.
Pengalokasian sumber daya.
PELAKSANAAN a.
b.
3.
24
Penugasan Advisory 1)
Pengumpulan dan evaluasi bukti.
2)
Penyusunan saran.
Penugasan Training dan Fasilitative 1)
Penutupan bahan fasilitasi/training.
2)
Pelaksanaan fasilitasi/training.
3)
Evaluasi efektifitas.
PELAPORAN a.
Penyampaian simpulan sementara.
b.
Penyusunan laporan.
c.
Distribusi laporan.
d.
Monitoring tindak lanjut (jika diperlukan).
2014 |Pusdiklatwas BPKP
Bab III PERENCANAAN PENUGASAN ASSURANCE Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai tahapan praktik perencanaan assurance audit internal yaitu: penetapan tujuan dan lingkup assurance audit internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko, identifikasi pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian, penyusunan program kerja dan pengalokasian sumber daya.
Kegiatan assurance merupakan penilaian objektif yang dilakukan auditor internal atas bukti untuk memberikan pendapat independen mengenai tata kelola, manajemen risiko dan proses pengendalian. Jenis dan lingkup penugasan assurance ditentukan oleh instansi auditor internal (APIP). Telah dibahas sebelumnya bahwa kegiatan assurance dapat dilaksanakan dalam berbagai bentuk antara lain: audit keuangan, audit kinerja, audit dengan tujuan tertentu, evaluasi, reviu dan pemantauan/monitoring. Tahapan seluruh kegiatan ini dapat digambarkan sebagai berikut.
Tabel 3.1 Tahapan Penugasan Assurance
Audit Internal
25
Dalam praktik, beberapa penugasan assurance tidak menggunakan tahapan tersebut di atas. Hal ini disebabkan, ada beberapa penugasan yang telah diatur dengan ketentuan khusus. Misalnya penugasan‐penugasan sebagai berikut. 1.
Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (AKIP) Evaluasi AKIP diatur dengan Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (Juklak Evaluasi AKIP) yang setiap tahun diterbitkan oleh Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (MenPanRB). Salah satunya adalah Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 20 Tahun 2013 tentang Perubahan Lampiran Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 25 Tahun 2012 Tentang Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah. Evaluasi AKIP adalah aktivitas analisis yang sistematis, pemberian nilai, atribut, apresiasi, dan pengenalan permasalahan, serta pemberian solusi atas masalah yang ditemukan untuk tujuan peningkatan kinerja dan akuntabilitas instansi/unit kerja pemerintah. Metodologi yang digunakan untuk melakukan evaluasi akuntabilitas kinerja instansi dengan menggunakan teknik "criteria referenced survey", dengan cara menilai secara bertahap langkah demi langkah (step by step assessment) setiap komponen dan selanjutnya menilai secara keseluruhan (overall assessment) dengan kriteria evaluasi dari masing‐masing komponen yang telah ditetapkan sebelumnya. Kriteria evaluasi kinerja instansi pemerintah ditentukan dengan berdasarkan kepada: a.
kebenaran normatif sebagaimana yang ditetapkan dalam pedoman penyusunan laporan akuntabilitas kinerja instansi pemerintah;
b.
kebenaran normatif yang bersumber pada modul‐modul atau buku‐buku petunjuk mengenai sistem AKIP;
c.
kebenaran normatif yang bersumber pada best practice baik di Indonesia maupun di luar negeri;
d.
kebenaran normatif yang bersumber pada berbagai praktik manajemen strategis, manajemen kinerja, dan sistem akuntabilitas yang baik.
26
2014 |Pusdiklatwas BPKP
Penilaian apakah suatu instansi telah memenuhi suatu kriteria, harus didasarkan pada fakta objektif dan professional judgement dari para evaluator. Teknik evaluasi pada dasarnya merupakan cara/alat/metode yang digunakan untuk pengumpulan dan analisis data. Berbagai teknik evaluasi dapat dipilih untuk digunakan dalam evaluasi ini, namun demikian pada akhirnya teknik yang digunakan harus dapat mendukung penggunaan metode evaluasi yang telah ditetapkan, sehingga mampu menjawab tujuan dilakukannya evaluasi ini. Berbagai teknik pengumpulan data antara lain: kuisioner, wawancara, observasi, studi dokumentasi atau kombinasi beberapa teknik tersebut. Sedangkan teknik analisis data antara lain: telaahan sederhana, berbagai analisis dan pengukuran, metode statistik, pembandingan, analisis logika program dan sebagainya. Ruang lingkup evaluasi AKIP meliputi kegiatan evaluasi terhadap perencanaan strategis dan perencanaan kinerja tahunan, pelaksanaan program dan kegiatan, pengukuran capaian kinerja, serta pelaporan kinerja, informasi kinerja yang dipertanggungjawabkan dalam LAKIP bukanlah satu‐satunya yang digunakan dalam menentukan nilai evaluasi, akan tetapi juga termasuk berbagai hal yang dapat dihimpun guna mengukur keberhasilan ataupun keunggulan instansi. Untuk keberhasilan pelaksanaan evaluasi, terlebih dahulu perlu didefinisikan kepentingan pihak‐pihak pengguna hasil evaluasi. Informasi yang dihasilkan dari suatu evaluasi antara lain mencakup:
2.
a.
informasi untuk mengetahui tingkat kemajuan/perkembangan (progress);
b.
informasi untuk membantu agar kegiatan tetap dalam alurnya; dan
c.
informasi untuk meningkatkan efisiensi.
Audit Investigatif Audit Investigastif dilakukan berdasar Peraturan Menteri Pendayagunaan Aparatur Negara (Permen PAN) Nomor PER/05/M.PAN/03/2008 tentang Standar Audit Aparat Pengawasan Internal Pemerintah, juga harus berpedoman pada Peraturan Kepala BPKP Nomor PER‐1314/K/D6/2012 tentang Pedoman Penugasan Bidang Investigasi (PPBI). Audit Investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan pelakunya guna dilakukan tindakan hukum selanjutnya. Berdasarkan pengertian audit
Audit Internal
27
investigatif di atas, maka dalam audit investigatif terdapat proses pengungkapan terjadi atau tidaknya suatu perbuatan dan pelakunya dengan tujuan untuk membuktikan ada atau tidaknya perbuatan melanggar hukum. Dengan demikian, terkait dengan pengelolaan keuangan negara, audit investigatif merupakan suatu upaya untuk membuktikan ada tidaknya suatu perbuatan yang melanggar hukum sehingga apabila perbuatan terbukti, maka akan dikualifikasikan apakah perbuatan tersebut termasuk kesalahan administrasi yang nantinya akan dilakukan tuntutan ganti rugi/tuntutan perbendaharaan atau terdapat indikasi tindak pidana korupsi/terdapat indikasi tindak pidana lain. Tahapanan kegiatan audit investigasi adalah sebagai berikut. a.
Pra‐perencanaan Pra‐perencanaan dalam audit investigatif meliputi proses pengidentifikasian masalah dalam kegiatan yang memerlukan audit investigatif, penyusunan hipotesis awal atas masalah yang diidentifikasi, dan pengolahan hipotesis, hingga ditetapkannya simpulan berupa layak atau tidaknya dilakukan suatu audit investigatif terhadap masalah tersebut.
b.
Perencanaan Penyusunan rencana penugasan audit meliputi kegiatan penetapan sasaran dan ruang lingkup audit investigatif serta melakukan alokasi sumber daya dalam rangka melaksanakan penugasan tersebut.
c.
Pengumpulan dan Evaluasi Bukti Pelaksanaan pengumpulan dan evaluasi bukti harus difokuskan pada upaya pengujian hipotesis untuk mengungkapkan: fakta‐fakta dan proses kejadian (modus operandi), sebab dan dampak penyimpangan, serta pihak‐pihak yang diduga terlibat/bertanggung jawab atas kerugian keuangan negara/daerah.
d.
Pelaporan Proses dokumentasi atas hasil pelaksanaan audit investigatif merupakan tahap yang sama pentingnya dengan tahapan lain dalam audit investigatif atas suatu kasus.
28
2014 |Pusdiklatwas BPKP
Biasanya bentuk dokumentasi tersebut berupa laporan tertulis. Laporan tertulis merupakan suatu bukti bahwa audit investigasi telah dilaksanakan sesuai dengan prosedur yang berlaku. Auditor harus mempertimbangkan bahwa laporan hasil audit investigasi akan dibaca oleh banyak pihak termasuk pihak‐pihak mempunyai kepentingan yang bertentangan dengan auditor. Dengan demikian, dalam menyusun laporannya auditor harus mampu bertahan dengan apa yang sudah ditulisnya. Untuk itu, ia harus dapat meyakinkan bahwa laporan telah dibuat sesuai dengan prosedur dan telah menjawab pertanyaan klasik yaitu: siapa, apa, mengapa, dimana, bilamana, dan bagaimana. 3.
Reviu Laporan Keuangan Reviu atas laporan keuangan pemerintah diatur dengan Peraturan Menteri Keuangan Nomor 41/PMK.09/2010 tentang Standar Reviu atas Laporan Keuangan Kementerian Negara/Lembaga dan Peraturan Menteri Dalam Negeri Nomor 4 Tahun 2008 tentang Pedoman Pelaksanaan Reviu atas Laporan Keuangan Pemerintah Daerah. Reviu atas laporan keuangan adalah proses penelaahan atas penyelenggaraan akuntansi dan penyajian laporan keuangan kementerian/lembaga/pemerindah daerah (K/L/D) yang dilakukan oleh aparat pengawasan intern pemerintah (APIP) yang kompeten untuk memberikan keyakinan terbatas bahwa akuntansi telah diselenggarakan berdasarkan sistem akuntansi dan telah disajikan sesuai dengan standar akuntansi pemerintah. Laporan keuangan pemerintah dimaksud terdiri atas: a.
laporan realisasi anggaran;
b.
neraca;
c.
laporan arus kas; dan
d.
catatan atas laporan keuangan.
Tahapan reviu laporan keuangan adalah sebagai berikut. a.
Perencanaan, kegiatan yang dilakukan dalam tahap ini berupa penentuan objek, proses dan akun yang akan direviu serta pemilihan langkah‐langkah reviu.
Audit Internal
29
b.
Pelaksanaan, kegiatan yang dilakukan dalam tahap ini penelaahan atas penyelenggaraan akuntansi dan laporan keuangan K/L pada unit reviu penyusunan KKR.
c.
d.
Pelaporan berupa penyusunan: 1)
catatan hasil reviu;
2)
ikhtisar hasil reviu; dan
3)
laporan hasil reviu.
Pendampingan selama pemeriksaan BPK. Yang dapat dilakukan oleh APIP dalam tahap ini adalah: 1)
menjelaskan kepada BPK mengenai hasil reviu atas laporan keuangan K/L agar dapat digunakan oleh BPK;
2)
mendukung kelancaran pelaksanaan pemeriksaan BPK;
3)
mengantisipasi permasalahan/kendala yang dihadapi oleh unit akuntansi pada saat pelaksanaan pemeriksaan oleh BPK;
4)
membantu penyamaan persepsi unit akuntansi terhadap temuan hasil pemeriksaan BPK;
5)
mendampingi unit akuntansi dalam pertemuan akhir dengan BPK untuk membahas hasil pemeriksaan; dan
6)
Mendorong unit akuntansi untuk segera memperbaiki laporan keuangan berdasarkan hasil pemeriksaan BPK.
A.
PENETAPAN TUJUAN DAN LINGKUP PENUGASAN
Langkah pertama dalam memulai suatu penugasan adalah menentukan tujuan (apa yang akan dicapai) dan lingkup penugasan (apa yang akan diuji). Pada bagian sebelumnya telah disebutkan bahwa kegiatan assurance dapat berbentuk audit, reviu, evaluasi dan pemantauan. Pembagian penugasan ini berdasarkan tujuan dan lingkup penugasan. Misalnya, jika sebuah penugasan bertujuan untuk memberikan positive assurance (keyakinan memadai) maka jenis
30
2014 |Pusdiklatwas BPKP
penugasannya adalah ‘audit’. Keyakinan memadai yang diberikan membawa konsekuensi bahwa penugasan akan menggunakan sumber daya lebih terkait banyaknya jumlah bukti yang harus diuji. Audit dapat dikelompokkan lebih lanjut sesuai tujuannya, misalnya sebagai berikut. 1.
Audit yang bertujuan untuk memberi opini atas laporan keuangan disebut Audit Keuangan.
2.
Audit yang bertujuan untuk menilai efektifitas dan efisiensi sebuah kegiatan/program disebut Audit Kinerja.
3.
Audit yang bertujuan untuk menilai ketaatan terhadap peraturan tertentu (compliance audit) disebut Audit Kinerja.
4.
Audit yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan yang melawan hukum disebut Audit Investigasi (audit tujuan tertentu).
Dalam hal keterbatasan sumber daya atau cukup dengan jaminan terbatas, jenis penugasan dapat disesuaikan. Penugasan dapat dilakukan dalam bentuk reviu, evaluasi atau pemantauan, yang hanya memberikan negative assurance (keyakinan terbatas). Pemberian keyakinan terbatas ini dapat dikelompokkan lagi berdasar tujuannya, misalnya sebagai berikut. 1.
Penelaahan ulang bukti‐bukti suatu kegiatan yang bertujuan untuk memastikan bahwa kegiatan telah dilaksanakan sesuai dengan ketentuan disebut Reviu.
2.
Kegiatan yang bertujuan untuk menilai kemajuan suatu program/kegiatan dalam mencapai tujuan yang telah ditetapkan disebut Pemantauan.
3.
Rangkaian kegiatan yang bertujuan membandingkan hasil/prestasi suatu kegiatan dengan standar, rencana, atau norma disebut Evaluasi.
Lingkup penugasan adalah batasan hal‐hal yang akan diuji. Batasan tersebut dapat berupa proses tertentu, tingkatan tertentu, periode waktu dan/atau wilayah tertentu. Keputusan menentukan lingkup penugasan memerlukan professional judgement dari pimpinan instansi auditor internal. Penentuan lingkup penugasan yang jelas, membantu tim audit untuk lebih fokus pada pengujian tertentu. Bagi pembaca laporan, pernyataan lingkup penugasan yang jelas dapat mempermudah untuk memahami permasalahan dan simpulan yang disampaikan dalam laporan.
Audit Internal
31
Contoh kasus: Pada tahun 2014, sebuah Satuan Kerja XYZ melaksanakan pengadaan 300 set komputer dan 15.000 eksemplar buku untuk 150 sekolah yang tersebar di 15 kecamatan. Pengadaan ini menggunakan dana APBN yang bersumber dari DIPA Satker XYZ. Auditor internal ditugaskan untuk memastikan bahwa kegiatan pengadaan komputer tersebut telah sesuai peraturan yang berlaku tentang pengadaan barang/jasa instansi pemerintah. Atas penugasan tersebut auditor internal menetapkan tujuan dan lingkup sebagai berikut.
B.
•
Tujuan penugasan: memberi positive assurance bahwa pengadaan komputer tersebut telah sesuai ketentuan yang berlaku.
•
Lingkup penugasan: pengadaan komputer pada satker XYZ pada tahun 2014.
•
Nama penugasan: audit kinerja atas pengadaan komputer pada Satker XYZ tahun 2014.
PEMAHAMAN PROSES KERJA AUDITI
Dalam merencanakan penugasan, auditor internal harus memahami auditi (tujuan, proses dan area yang menjadi lingkup penugasan). Kegagalan dalam memahami auditi dapat berakibat pengujian yang tidak lengkap atau kesalahan pengalokasian sumber daya. Yang pertama harus dipahami oleh auditor internal adalah tujuan organisasi. Tujuan organisasi dapat diartikan sebagai sesuatu yang diupayakan untuk dicapai oleh organisasi. Informasi yang diuji pada umumnya terkait pernyataan (assertion) auditi sejauh mana tujuan organisasi telah tercapai dan proses yang dilakukan manajemen dalam mencapainya. Auditor internal dapat menggunakan berbagai sumber untuk memahami auditi. Salah satunya dengan memanfaatkan data yang telah tersedia, misalnya data‐data sebagai berikut. 1.
Renstra
2.
Kebijakan
3.
Prosedur Baku
4.
Uraian tugas masing‐masing pegawai yang terlibat
5.
Process Map/Flow Chart keseluruhan proses
6.
Dokumentasi lain misalnya laporan efektifitas internal control
32
2014 |Pusdiklatwas BPKP
Atas data‐data tersebut dapat dilakukan prosedur analitis lebih lanjut dengan langkah sebagai berikut. 1.
Membandingkan data tahun ini dengan data tahun sebelumnya.
2.
Analisis rasio misalnya tingkat penyerapan anggaran (realisasi/anggaran).
3.
Mengukur tingkat kemandirian keuangan pemerintah daerah (PAD/total pendapatan).
4.
Mengukur tingkat capaian kinerja, baik kinerja keuangan maupun kinerja non keuangan.
Perkembangan teknologi dalam pengelolaan keuangan pemerintah dan kegiatan lainnya dapat dimanfaatkan oleh auditor untuk mempermudah pelaksanaan tugas. Misalnya dengan memanfaatkan sistem informasi yang ada, auditor internal dapat dengan mudah memperoleh informasi sebagai berikut. 1.
Jumlah atau persentase pembayaran yang dilakukan setelah tanggal jatuh tempo.
2.
Pengelompokkan data berdasar jumlah pembayaran atau penerima pembayaran.
3.
Pembayaran dengan jumlah yang sama terhadap rekanan yang sama.
Contoh kasus: Melanjutkan kasus Satker XYZ tersebut di atas, dilakukan pemahaman tujuan dan proses pengadaan komputer. Yang pertama harus dilakukan oleh auditor adalah memahami ‘tujuan auditi’. Tujuan auditi secara umum terlukis dalam dokumen Rencana Strategis (Renstra). Dari tujuan tingkat organisasi, manajemen menjabarkan dalam tujuan kegiatan. Informasi tujuan kegiatan dapat di peroleh dari dokumen Daftar Isian Pelaksanaan Anggaran (DIPA) untuk APBN, dan Dokumen Pelaksanaan Anggaran (DPA‐SKPD). Gambar berikut adalah petikan DIPA lampiran 1.a tentang Jabaran Anggaran, terdapat informasi mengenai indikator kinerja output dan outcome tingkat program dan kegiatan.
Audit Internal
33
Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran
Tujuan Satker XYZ yang tertuang dalam Renstra adalah “Mewujudkan perluasan dan pemerataan kesempatan memperoleh pendidikan yang bermutu di Kota XYZ”. Tujuan tingkat organisasi ini di jabarkan lebih lanjut dalam indikator kegiatan pengadaan komputer, yaitu “Tersedianya komputer di sekolah sebagai sarana peningkatan kemampuan siswa dalam bidang teknologi informasi”. Prosedur pelaksanaan kegiatan (Standard Operating Procedure – SOP) dapat diperoleh dari Satker XYZ. Sebagai auditor internal sudah selayaknya memiliki akses untuk memperoleh dokumen tersebut. Dalam contoh kasus Pengadaan Barang dan Jasa (PBJ) ini, prosedur pengadaan sudah ditetapkan dalam Peraturan Presiden Republik Indonesia Nomor 54 Tahun 2010 dan perubahannya tentang Pengadaan Barang/Jasa Pemerintah. Dalam tahap pemahaman auditi ini, auditor internal berusaha mengumpulkan berbagai informasi terkait kegiatan yang dilakukan Satker XYZ. Misalnya: spesifikasi komputer, pengadaan tahun sebelumnya, pengadaan sejenis yang dilakukan oleh satker lain dan informasi lain yang relevan. Proses PBJ yang sudah dilaksanakan dengan metode e‐ procurement, melalui LPSE (lembaga pengadaan secara elektronik), memberi auditor internal banyak keuntungan. Auditor dapat memperoleh berbagai informasi terkait proses PBJ, misalnya:
34
2014 |Pusdiklatwas BPKP
1.
harga perkiraan sendiri (HPS);
2.
dokumen pengadaan (spesifikasi dan syarat‐syarat lain);
3.
peserta yang mendaftar dan peserta yang melakukan penawaran;
4.
tanya jawab yang terjadi dalam proses pemberian penjelasan;
5.
hasil evaluasi kualifikasi, teknis, dan harga; dan
6.
pemenang lelang.
Pemanfaatan teknologi informasi dalam kegiatan manajemen sangat membantu auditor internal. Dalam contoh audit PBJ ini, auditor memperoleh banyak informasi penting dengan mudah. Demikian pula penggunaan sistem informasi lainnya seperti SIMDA, SAK, SIMAK BMN, dan sistem informasi lainnya dapat memberi informasi penting dengan cara mudah.
C.
IDENTIFIKASI DAN PENILAIAN RISIKO
Dalam bagian sebelumnya telah dijelaskan konsep risk maturity. Auditor internal idealnya telah melakukan pengujian dan memiliki informasi risk maturity level setiap organisasi/satuan kerja yang menjadi lingkup pengawasannya. Informasi ini sangat bermanfaat dalam penugasan tahap ini (identifikasi dan penilaian risiko). Pada kondisi risk managed dan risk enabled, auditor internal mendapat informasi risiko yang dihadapi organisasi dari daftar risiko kunci hasil proses manajemen risiko organisasi. Pada kondisi risk defined auditor cukup dengan melakukan verifikasi apakah proses manajemen risiko sudah berjalan dengan efektif. Bila proses manajemen risiko sudah berjalan dengan baik, auditor internal dapat menggunakan daftar risiko organisasi. Namun, bila ternyata kematangan manajemen risiko organisasi masih pada tingkat risk naïve dan aware, auditor perlu menjalankan peran konsultatifnya. Dalam kondisi organisasi berada pada level risk aware dan risk naïve, maka auditor bertindak sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi organisasi. Sekali lagi, auditor harus melibatkan manajemen dalam proses identifikasi dan penilaian risiko ini. Hal ini dilakukan untuk menghindari kesalahpahaman pihak manajemen yang menganggap bahwa auditor internal yang bertanggung jawab terhadap pengelolaan (manajemen) risiko organisasi.
Audit Internal
35
Identifikasi Risiko Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu risiko dapat terjadi, sebelum risiko timbul dan berdampak negatif terhadap pencapaian tujuan. Hasil identifikasi risiko adalah suatu daftar risiko‐risiko yang berpotensi mengancam pencapaian tiap tujuan organisasi. Dalam rangka menjamin perolehan identifikasi risiko yang akurat, penilaian risiko harus menggunakan metodologi yang tepat dan melibatkan para pemilik risiko yang terkait dengan kegiatan yang dinilai risikonya. Metodologi yang tepat akan mengarahkan ketepatan proses penilaian, sedang keterlibatan para pemilik risiko penting karena mereka yang mengerti kegiatan dan menjadi pihak yang terkena dampak atas kegagalan pencapaian tujuan. Identifikasi dilakukan melalui wawancara dengan para pihak yang terkait dengan kegiatan yang dinilai risikonya, evaluasi dokumen, pengamatan dan pendekatan lainnya untuk menggali risiko yang ada. Finalisasi hasil identifikasi dilakukan melalui proses rapat internal (Focus Group Discussion‐FGD) untuk mengkonfirmasi ulang risiko yang telah teridentifikasi dan untuk meminta masukan atas risiko‐risiko baru yang sebelumnya belum teridentifikasi. COSO ‐ Enterprise Risk Management (2004) menyebutkan bahwa sumber risiko dapat dikelompokkan menjadi dua faktor, yaitu faktor internal dan faktor eksternal. Yang termasuk dalam faktor eksternal antara lain perubahan ekonomi, bencana alam, peristiwa politik, perubahan sosial dan perkembangan teknologi. Sedangkan yang termasuk dalam faktor internal antara lain infrastruktur organisasi, personil, proses bisnis dan kondisi teknologi organisasi. Output identifikasi risiko adalah daftar risiko yang sekurang‐kurangnya memuat informasi tentang tujuan terkait risiko, pernyataan risiko pemilik risiko, sumber risiko dan pengendalian yang ada. Hasil identifikasi risiko dapat dituangkan dalam format berikut. No
Tujuan
Pernyataan Risiko
Pemilik Risiko
Sumber Risiko Sumber
Uncotrollable /Controllable (U/C)
Uraian
Pengendalian yang Ada
Tabel 3.2 Format Hasil Identifikasi Risiko
36
2014 |Pusdiklatwas BPKP
Contoh kasus: Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil identifikasi risiko. Dalam praktik jumlah risiko dapat berjumlah cukup banyak, dalam contoh ini hanya ditampilkan beberapa risiko. Hasil identifikasi risiko adalah sebagai berikut. N0
1
TUJUAN
Tersedianya komputer sebagai sarana peningkatan kemampuan teknologi informasi
PERNYATAAN RISIKO
PEMILIK RISIKO
Spesifikasi teknis tidak sesuai kebutuhan.
PA/KPA, PPK, PPHP
Jumlah komputer diterima tidak sesuai kebutuhan
PA/KPA, PPK, PPHP
SUMBER RISIKO SUMBER
Internal External
Internal External
U/C
C
C
URAIAN
PENGENDALIAN YANG ADA
Kelalaian PPK dalam membuat spesifikasi, kelalalian PPHP dalam menerima barang.
• PPK membuat spesifikasi teknis
kelalalian PPHP dalam menerima barang.
• Jumlah barang diatur dalam dokumen pengadaan
• Spesifikasi teknis menjadi bagian dokumen pengadaan • Spesifikasi teknis dimuat dalam kontrak • PPHP menerima barang dibandingkan dengan kontrak
• Jumlah barang dimuat dalam kontrak • PPHP menerima barang dibandingkan dengan kontrak
Penyedia barang tidak sanggup melaksanakan pengadaan
PA/KPA, PPK, ULP
Internal External
C
kelalaian ULP dalam melakukan kualifikasi calon penyedia
• Kualifikasi penyedia diatur dalam dokumen lelang • ULP melakukan evaluasi kualifikasi calon penyedia barang
PA = Pengguna Anggaran KPA = Kuasa PA PPK = Pejabat Pembuat Komitmen PPHP = Panitia Penerima Hasil Pekerjaan ULP = Unit Layanan Pengadaan U/C = Uncontrolabe/controllable
Contoh lain identifikasi risiko untuk kegiatan pelayanan, misalnya pelayanan penerbitan sertifikat tanah di kantor Badan Pertanahan Nasional (BPN) adalah sebagai berikut. •
Standar pelayanan minimal tidak dipahami para pegawai.
•
Pemungutan biaya layanan melebihi ketentuan (pungli) yang dilakukan oleh staf BPN.
Audit Internal
37
•
Pemohon sertifikat menggunakan jasa calo.
•
Pelayanan dilakukan staf BPN tidak sesuai prosedur.
Penilaian Risiko Penilaian risiko pada dasarnya merupakan penentuan tingkat kemungkinan terjadinya risiko serta pengaruh/akibat yang harus ditanggung oleh entitas/organisasi. Terdapat dua unsur yang menjadi dasar untuk melakukan penaksiran risiko yaitu: 1.
dampak risiko (consequences atau impact) adalah besarnya efek bila risiko terjadi; dan
2.
kemungkinan terjadinya suatu risiko (likelihood atau probability) adalah tingkat kemungkinan risiko akan terjadi.
Pengukuran yang dapat diberikan kepada dua unsur tersebut bisa dilakukan secara kuantitatif atau kualitatif. Metode pengukuran secara kualitatif dilaksanakan dengan menetapkan skala penilaian. Misalnya, dampak diukur dengan skala kualitatif sebagai berikut. Sangat Besar (5), Besar (4), Menengah (3), Kecil (2) dan Sangat Kecil (1). Sedangkan probailitas diukur dengan skala: (5) hampir pasti, (4) cenderung terjadi, (3) mungkin terjadi, (2) kadang‐kadang terjadi dan (1) sangat jarang terjadi. Metode kuantitatif menggunakan angka/nilai numerik untuk menyatakan besarnya probabilitas dan dampak. Nilai yang digunakan dari berbagai sumber, salah satunya adalah dari data historis selama beberapa tahun. Metode campuran menggunakan gabungan metode kuantitatif dan metode kualitatif. Masing‐masing metode ini memiliki kelebihan dan kekurangan, namun jika dilakukan dengan cara benar, ketiga metode ini akan menghasilkan peringkat risiko yang relatif sama. Yang diperlukan di sini bukan akurasi atau ketepatan nilainya tetapi hanya untuk memperkirakan peringkat risiko, mana risiko yang melebihi batas toleransi dan seberapa besar pengaruh pengendalian yang ada terhadap tingkat risiko. Dalam melakukan penaksiran risiko, idealnya dipahami pengertian mengenai risiko yang ada sebelum dan sesudah dilakukannya penanganan risiko, yaitu: •
inherent risk (risiko melekat atau absolut), bobot risiko diukur melalui penaksiran atas konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko pada saat manajemen belum melakukan suatu tindakan terhadap pengendalian intern; dan
38
2014 |Pusdiklatwas BPKP
•
residual risk (risiko bersih atau terkendali), bobot risiko diukur melalui penaksiran atas konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko setelah pengendalian intern diberlakukan.
Dalam praktik, hal yang paling mudah dikerjakan adalah mengukur inherent risk pada suatu kegiatan yang baru diimplementasikan, karena sangat besar kemungkinan belum ada pengendalian intern yang ditetapkan. Sedangkan untuk kegiatan yang bersifat rutin pada umumnya inherent risk akan lebih sulit untuk diukur, karenanya auditor akan menilai residual risk‐nya. Jika probabilitas risiko inheren tinggi, maka pengendalian yang bersifat preventive harus diterapkan. Jika dampak terjadinya risiko inheren besar, maka pengendalian mitigative yang diterapkan.
Gambar 3.2 Pengendalian Mitigative dan Preventive
INHERENT RISK
No
TUJUAN
RISIKO
PEMILIK RISIKO
DAMPAK
RESIDUAL RISK Risk PENGENDALIAN Risk PROB DAMPAK PROB Level Level
RISK RESPONSE
RISK APPETITE
Tabel 3.3 Format Hasil Penilaian Risiko
Audit Internal
39
Keterangan : •
Tujuan adalah sesuatu yang ingin dicapai oleh organisasi/manajemen. Tujuan dapat dikelompokkan kedalam kategori: strategis (memberi nilai tambah bagi stakeholders), operasional (terkait kinerja, efektifitas dan efisiensi organisasi), pelaporan (kehandalan laporan laporan internal/eksternal dan keuangan/non keuangan) dan ketaatan (terhadap peraturan dan hukum).
•
Risiko adalah kemungkinan terjadinya sebuah kejadian yang mengancam pencapaian tujaun organisasi
•
Pemilik risiko adalah manajemen/pejabat yang bertanggung jawab untuk menangani risiko pada unit kerja yang menjadi tanggungjwabnya.
•
Inherent risk (risiko bawaan) adalah risiko yang murni ada tanpa memperhitungkan pengendalian yang sudah ada (eksis), atau risiko yang diukur sebelum memperhitungkan kondisi pengendaliannya.
•
Residual risk (risiko sisa) adalah sisa dari risiko bawaan setelah diterapkannya sebuah pengendalian.
•
Risk response (respon risiko) adalah tindakan atau serangkaian tindakan manajemen yang bertujuan untuk menangani risiko. Respon risiko dapat dikelompokkan dalam empat kelompok, yaitu: avoidace (menolak risiko), reduction/mitigate (menerapkan pengendalian), sharing (membagi risiko) and accept (menerima risiko cukup dilakukan monitor).
•
Risk appetite (selera risiko) adalah sejumlah (sekumpulan) risiko dalam entitas yang akan diterima dalam rangka pencapaian tujuan organisasi.
•
Dampak risiko adalah pengaruh atau akibat yang ditimbulkan seandainya risiko terjadi.
•
Probabilitas adalah tingkat atau kemungkinan terjadinya risiko.
Untuk mempermudah penyampaian informasi, hasil penilaian risiko dituangkan dalam peta risiko. Masing‐masing risiko akan ditempatkan di posisi sesuai probabilitas dan dampaknya. Contoh peta risiko adalah sebagai berikut.
40
2014 |Pusdiklatwas BPKP
5
Probabilitas
4
3
2
1
1
2
3 Dampak
4
5
Gambar 3.3 Peta Risiko
Contoh kasus: Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil penilaian risiko. Dalam praktik jumlah risiko dan pengendaliannya dapat berjumlah cukup banyak, dalam contoh ini hanya ditampilkan satu buah risiko. Hasil penilaian risiko adalah sebagai berikut. NO 1
TUJUAN Tersedianya komputer sebagai sarana peningkatan kemampuan teknologi informasi
RISIKO Spesifikasi teknis tidak sesuai kebutuhan.
PEMILIK RISIKO PA/KPA, PPK, PPHP
INHERENT RISK DAMPAK
PROB
5
3
PENGENDALIAN • PPK membuat spesifikasi teknis
RESIDUAL RISK DAMPAK
PROB
3
1
RISK RESPONSE Menurunka n level risiko
RISK APPETITE 4
• Spesifikasi teknis menjadi bagian dokumen pengadaan • Spesifikasi teknis dimuat dalam kontrak • PPHP menerima barang dibandingkan dengan kontrak
Audit Internal
41
Bila digambarkan dalam peta risiko, inheren risk dan residual risk risiko “Spesifikasi teknis tidak sesuai kebutuhan” dapat digambarkan sebagai berikut. 5
Probabilitas
4
3
IR
2
1
D.
RR
1
2
3 Dampak
4
5
IR = Inherent Risk RR=Residual Risk
IDENTIFIKASI PENGENDALIAN KUNCI
Pada tahap ini, tugas auditor internal adalah mengidentifikasi pengendalian yang paling berperan untuk menekan risiko sampai di level yang dapat diterima. Dalam praktik, banyak pengendalian yang diterapkan dalam suatu proses. Semua pengendalian ini memiliki peran untuk menekan risiko, namun hanya beberapa yang benar‐benar berpengaruh. Pengendalian yang benar‐benar berpengaruh ini selanjutnya disebut pengendalian kunci. Untuk menentukan pengendalian kunci, perlu dipahami berbagai aktivitas pengendalian sebagai berikut. 1.
Persetujuan (approving) dari pihak yang memiliki kewenangan. Misalnya persetujuan untuk membayar sejumlah uang oleh Pengguna Anggaran (PA) atau Kuasa Pengguna Anggaran (KPA).
42
2014 |Pusdiklatwas BPKP
2.
Perhitungan atau perhitungan ulang angka yang didapat dari proses sebelumnya. Misalnya sebelum melakukan pembayaran, kasir wajib menghitung ulang jumlah tagihan yang harus dibayar.
3.
Dokumentasi berupa penyimpanan bukti/sumber informasi terkait keputusan yang diambil.
4.
Pengujian kelengkapan dokumen/bukti yang mendukung suatu kejadian. Misalnya menguji Berita Acara Serah Terima (BAST) untuk memastikan barang telah diterima sesuai dengan spesifikasi yang ditentukan sebelum dilakukan pembayaran.
5.
Pencocokan dan pembandingan dua dokumen untuk diproses selanjutnya. Misalnya dicocokkan antara jumlah pembayaran dengan nilai kontrak dan BAST.
6.
Monitoring adalah penilaian kemajuan suatu anggaran/program/kegiatan dalam mencapai target yang telah ditetapkan. Misalnya monitoring serapan anggaran apakah sesuai yang diharapkan dan tidak melebihi pagu.
7.
Pembatasan kegiatan yang hanya dapat dilakukan oleh seseorang yang berwenang. Misalnya penandatangan kontrak atau perikatan hanya dapat dilakukan oleh Pejabat Pembuat Komitmen (PPK).
8.
Pemisahan kewenangan antar pihak yang terlibat dalam suatu kegiatan agar timbul mekanisme check and recheck. Misalnya pemisahan pihak yang menyetujui pembayaran, mencatat pembayaran, dan melakukan pembayaran.
9.
Supervisi atau pengarahan dan pengawasan dari atasan untuk menghindari terjadinya hal‐ hal yang tidak diharapkan.
Menurut COSO Internal Control — Integrated Framework Guidance on Monitoring, pengendalian kunci (key controls) memiliki salah satu atau kedua karakteristik berikut. 1.
Kegagalan pengendalian kunci dapat berdampak material terhadap pencapaian tujuan organisasi karena tidak dapat segera dideteksi oleh pengendalian lain.
2.
Berfungsinya pengendalian kunci dapat mencegah kegagalan pengendalian lain sebelum berdampak material.
Audit Internal
43
Contoh kasus: Melanjutkan kasus Satker XYZ, risiko “Spesifikasi teknis tidak sesuai kebutuhan” ditangani dengan beberapa pengendalian sebagai berikut. 1.
Dalam tahap perencanaan, PA/KPA menyusun Rencana Umum Pengadaan (RUP).
2.
Dalam tahap persiapan pemilihan, PPK menyusun HPS dan spesifikasi teknis yang disusun dengan memperhatikan RUP dan anggaran. ;
3.
ULP menyusun Dokumen Pengadaan dan memasukkan klausul spesifikasi teknis kedalamnya.
4.
ULP melakukan evaluasi teknis dokumen penawaran dan diuji kesesuaiannya dengan Spesifikasi Teknis. ;
5.
Penawaran yang tidak sesuai dengan spesifikasi teknis dinyatakan gugur dan tidak dilakukan evaluasi tahap selanjutnya.
6.
ULP menyusun draft kontrak dengan memasukkan spesifikasi teknis dalam kontrak.
7.
PPK menyusun kontrak final dan menguji apakah spesifikasi teknis dalam kontrak sesuai dengan spesifikasi yang telah ditetapkan sebelumnya.
8.
Penyedia barang menyelesaikan dan menyerahkan barang. PPHP menerima dan menguji barang yang diterima dibandingkan dengan kontrak. ;
Pengendalian ini bersumber dari Peraturan Presiden Nomor 70 Tahun 2012 tentang Pengadaan Barang dan Jasa. Peraturan ini memuat langkah‐langkah yang harus dilakukan oleh instansi pemerintah dalam setiap pengadaan. Dalam konteks kegiatan lain, informasi pengendalian yang diterapkan organisasi dapat diperoleh dari peraturan organisasi terkait, pedoman dan SOP. Dari sekian banyak pengendalian tersebut diatas semuanya berpengaruh dalam menangani risiko. Namun yang perlu diidentifikasi dalam tahap ini adalah pengendalian yang benar‐benar berpengaruh (key control/pengendalian kunci). Penentuan pengendalian kunci ini penting bagi auditor untuk dapat lebih fokus dalam melaksanakan penugasan. Dari contoh delapan pengendalian di atas, diasumsikan yang menjadi pengendalian kunci (dengan tanda “;”) adalah pengendalian nomor 2, 4 dan 5. Pengendalian ini merupakan pengendalian terpenting dalam menangani risiko “Spesifikasi teknis tidak sesuai kebutuhan”. Penetapan pengendalian kunci ini dengan pertimbangan bahwa: 1.
Kegagalan pengendalian ini tidak dapat segera dideteksi oleh pengendalian lain.
2.
Berfungsinya pengendalian kunci dapat mencegah kegagalan pengendalian lain.
44
2014 |Pusdiklatwas BPKP
E.
EVALUASI PENGENDALIAN
Internal auditor harus memastikan bahwa pengendalian kunci telah didesain dengan baik untuk menekan risiko di level yang dapat diterima. Yang perlu diperhatikan bahwa hubungan antara risiko dan pengendalian bukan hubungan ‘one‐to‐one’. Bisa jadi, satu pengendalian dapat menangani beberapa risiko atau satu risiko perlu ditangani dengan beberapa pengendalian sekaligus. Pada tahap ini, auditor internal harus memahami hal‐hal sebagai berikut. 1.
Tingkatan risiko yang dapat diterima manajemen (acceptable level) sesuai tingkatan selera risiko manajemen (risk appetite).
2.
Apakah risiko ditangani oleh satu (individually) atau beberapa (collectively) pengendalian kunci .
3.
Apakah ada pengendalian tambahan (compensating control) dari proses lain yang turut menekan risiko ke level yang dapat diterima.
4.
Apakah desain pengendalian kunci, jika berjalan efektif, dapat menekan risiko ke level yang dapat diterima.
Contoh kasus: Melanjutkan kasus Satker XYZ, risiko “Spesifikasi teknis tidak sesuai kebutuhan” ditangani dengan tiga pengendalian kunci berikut. 1.
Dalam tahap persiapan pemilihan, PPK menyusun HPS dan spesifikasi teknis yang disusun dengan memperhatikan RUP dan anggaran. ;
2.
ULP melakukan evaluasi teknis dokumen penawaran dan diuji kesesuaiannya dengan spesifikasi teknis. ;
3.
Penyedia barang menyelesaikan dan menyerahkan barang. PPHP menerima dan menguji barang yang diterima dibandingkan dengan kontrak. ;
Dari hasil evaluasi ketiga pengendalian kunci ini, disimpulkan bahwa timbulnya risiko dapat dicegah bila ketiga pengendalian ini (collectively) berfungsi dengan baik.
Audit Internal
45
F.
PENYUSUNAN RENCANA PENGUJIAN
Internal auditor harus mendisain tehnik memperoleh bukti‐bukti untuk mencapai tujuan audit. Rencana pengujian termasuk sifat pengujian, waktu dan prosedur yang diperlukan dalam mendapatkan bukti. Bukti dapat dibedakan dalam beberapa jenis atau golongan sebagai berikut. 1.
Bukti pengujian fisik Bukti pengujian fisik dilakukan untuk meyakinkan mengenai keberadaan (kuantitatif) dan mutu (kualitatif) dari aktiva berwujud. Bukti ini juga untuk meyakinkan kebenaran atau kesesuaian suatu proses dengan prosedur bakunya. Bukti pengujian fisik diperoleh melalui pengamatan langsung dengan mata kepala auditor sendiri. Hasil pengamatan fisik oleh auditor tersebut dikukuhkan ke dalam suatu media pengganti fisik yaitu berita acara pemeriksaan fisik, hasil inspeksi lapangan, foto, surat pernyataan, denah lokasi atau peta lokasi dan lain‐ lain. Contoh : Berita Acara Pemeriksaan Fisik
2.
Bukti dokumen Bukti audit yang paling banyak ditemui oleh auditor adalah bukti dokumen. Bukti dokumen pada umumnya terbuat dari kertas yang mengandung informasi. Dalam menilai atau mengevaluasi bukti dokumen, auditor sebaiknya memperhatikan pengendalian intern sumber dokumen tersebut dan terpenuhinya persyaratan yuridis. Kelemahan sistem pengendalian manajemen memungkinkan dokumen mengandung kesalahan, bahkan dokumen palsu yang dibuat oleh karyawan yang tidak jujur. Contoh: Kuitansi, Surat Perintah Membayar (SPM), Buku Kas Umum
3.
Bukti analisis Bukti analisis adalah bukti audit yang diperoleh auditor dengan melakukan analisis atau mengolah lebih lanjut data‐data auditi dan data lain yang berkaitan dengan auditi. Bukti analisis hanya memberikan petunjuk mengenai kecenderungan suatu kejadian, sehingga untuk membuktikan terjadi atau tidaknya harus didalami dengan perolehan jenis bukti yang lain.
46
2014 |Pusdiklatwas BPKP
Contoh: Analisis tren jumlah pelayanan dari tahun ke tahun, Analisis perbandingan waktu pelayanan dengan pelayanan serupa di provinsi/kabupaten/kota lain. 4.
Bukti keterangan Bukti keterangan adalah bukti yang diperoleh auditor dari pihak lain (baik dari pihak auditi maupun pihak ketiga) berdasarkan pertanyaan atau informasi tertentu yang diminta oleh auditor. Yang termasuk bukti keterangan adalah bukti kesaksian (didapat dari pihak lain karena diminta oleh auditor), bukti lisan (yang dituangkan dalam kertas kerja dengan seksama) dan bukti ahli (adalah bukti yang didapat dari tenaga ahli yang kompeten dalam bidangnya). Contoh : Berita Acara Permintaan Keterangan (BAPK), Berita Acara Hasil Konfirmasi
Prosedur audit adalah urutan langkah yang ditempuh oleh auditor dalam rangka memperoleh bukti dengan menggunakan berbagai ‘teknik audit’, teknik‐teknik audit yang umum digunakan adalah: 1.
Analisis Analisis adalah memecah/mengurai data/informasi ke dalam unsur‐unsur yang lebih kecil atau bagian‐bagian sehingga dapat diketahui pola hubungan antar unsur atau unsur penting yang tersembunyi. Contoh : Mengurai nilai kontrak kedalam unsur‐unsur yang lebih kecil.
2.
Observasi/pengamatan Observasi/pengamatan adalah peninjauan dan pengamatan atas suatu objek secara hati‐ hati, ilmiah dan kontinu selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah. Teknik ini sering dilakukan dari jarak jauh dan tanpa disadari oleh pihak yang diamati. Contoh: Pengamatan kegiatan pelayanan Kartu Tanda Penduduk (KTP) dan Kartu Keluarga (KK)
3.
Permintaan informasi Permintaan informasi (inquiry) dapat dilakukan untuk menggali informasi dari berbagai pihak yang berkompeten. Pihak yang kompeten bisa berarti pegawai, pejabat, spesialis
Audit Internal
47
atau profesional suatu bidang ilmu. Teknik ini dapat dilakukan dengan mengajukannya secara tertulis maupun secara lisan. Contoh: Permintaan informasi tentang pengamanan sistem informasi kepada programmer. 4.
Evaluasi Evaluasi adalah cara untuk memperoleh suatu simpulan atau pandangan/penilaian dengan mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi yang telah diperoleh. Evaluasi dapat dilaksanakan dengan walkthrough test, dengan mengikuti proses suatu transaksi hingga akhir prosesnya, untuk mengetahui sesuai atau tidaknya dengan sistem dan prosedur yang ditentukan. Contoh: Evaluasi tugas Unit Layanan Pengadaan (ULP) dalam menentukan pemenang.
5.
Investigasi Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan melalui penjabaran, penguraian, atau penelitian secara mendalam. Investigasi merupakan suatu proses pendalaman dari verifikasi setelah adanya indikasi. Contoh : Investigasi dugaan pungutan liar pada kantor pelayanan
6.
Verifikasi Verifikasi adalah pengujian secara rinci dan teliti tentang kebenaran, ketelitian perhitungan, kesahihan, pembukuan, pemilikan dan eksistensi suatu dokumen. Contoh : Verifikasi Surat Pemberitahuan Pajak Tahunan (SPT)
7.
Cek Cek adalah menguji kebenaran atau keberadaan sesuatu, dengan teliti. Contoh : Menguji kebenaran sebuah bukti.
8.
Uji/test Uji atau test adalah penelitian secara mendalam terhadap hal‐hal yang esensial atau penting. Contoh : Menguji nilai HPS yang disusun oleh PPK
48
2014 |Pusdiklatwas BPKP
9.
Footing Footing adalah menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah (vertikal). Footing dilakukan terhadap data yang disediakan oleh auditi. Tujuan teknik audit footing adalah untuk menentukan apakah data atau laporan yang disediakan auditi dapat diyakini ketepatan perhitungannya. Contoh : Lokasi
Pondasi
Pasangan Batu
Atap
Pengecatan
Jumlah
1
Lokas i A
10.000.000 30.000.000 15.000.000 5.000.000 60.000.000
2
Lokas i B
12.500.000 37.500.000 18.750.000 6.250.000 75.000.000
3
Lokas i C
15.625.000 46.875.000 23.437.500 7.812.500 93.750.000
4
Lokas i D
9.000.000 27.000.000 13.500.000 4.500.000 54.000.000
5
Lokas i E
14.062.500 42.187.500 21.093.750 7.031.250 84.375.000
6
Lokas i F
10.800.000 32.400.000 16.200.000 5.400.000 64.800.000
Total
71.987.500 215.962.500 107.981.250 35.993.750 431.925.000
footing
No
10.
Cross footing Cross Footing adalah menguji kebenaran penjumlahan subtotal dan total dari kiri ke kanan (horizontal). Sama halnya dengan teknik audit footing, cross footing dilakukan terhadap perhitungan yang dibuat oleh auditi. Contoh : No
Lokasi
Pondasi
Pasangan Batu
Atap
Pengecatan
Jumlah
1
Loka s i A
10.000.000 30.000.000 15.000.000 5.000.000 60.000.000
2
Loka s i B
12.500.000 37.500.000 18.750.000 6.250.000 75.000.000
3
Loka s i C
15.625.000 46.875.000 23.437.500 7.812.500 93.750.000
4
Loka s i D
9.000.000 27.000.000 13.500.000 4.500.000 54.000.000
5
Loka s i E
14.062.500 42.187.500 21.093.750 7.031.250 84.375.000
6
Loka s i F
10.800.000 32.400.000 16.200.000 5.400.000 64.800.000
Total
71.987.500 215.962.500 107.981.250 35.993.750 431.925.000
C r ocross s s ffooting ooting
Audit Internal
49
11.
Vouching
Vouching adalah menelusuri suatu informasi/data dalam suatu dokumen dari pencatatan menuju kepada adanya bukti pendukung (voucher); atau menelusur mengikuti ketentuan/prosedur yang berlaku dari hasil menuju awal kegiatan. Vouching hanya mengecek adanya bukti (voucher) tetapi belum meneliti isinya (substantif). Contoh :
12.
Trasir Trasir atau telusur adalah teknik audit dengan menelusuri suatu bukti transaksi/kejadian (voucher) menuju ke penyajian/informasi dalam suatu dokumen. Teknik audit trasir merupakan cara perolehan bukti dengan arah pengujian yang terbalik dari teknik audit vouching. Contoh :
50
2014 |Pusdiklatwas BPKP
13.
Scanning Scanning adalah penelaahan secara umum dan dilakukan dengan cepat tetapi teliti untuk menemukan hal‐hal yang tidak lazim atas suatu informasi/data. Contoh: Scanning bukti‐bukti perjalanan dinas yang belum ada stempel dan visum (tanda tangan).
14.
Rekonsiliasi Rekonsiliasi adalah mencocokkan dua data yang terpisah, mengenai hal yang sama yang dikerjakan oleh instansi/unit/bagian yang berbeda. Tujuan teknik audit rekonsiliasi adalah untuk memperoleh jumlah yang seharusnya atau jumlah yang benar mengenai suatu hal tertentu. Contoh : rekonsiliasi saldo kas bendahara dengan saldo menurut rekening koran bank.
15.
Konfirmasi Konfirmasi adalah memperoleh bukti sebagai peyakin bagi auditor, dengan cara mendapatkan/meminta informasi yang sah dari pihak yang relevan, umumnya pihak di luar auditi. Konfirmasi dapat dilakukan dengan lisan yaitu dengan wawancara langsung kepada pihak yang bersangkutan, atau dapat dilakukan secara tertulis dengan mengirimkan surat konfirmasi. Pada konfirmasi tertulis, terdapat dua teknik konfirmasi, yakni: a.
konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar tersebut mengenai data yang diminta; dan
b.
konfirmasi negatif yaitu konfirmasi yang meminta jawaban tertulis bila data yang dikonfirmasikan berbeda/salah dan tidak perlu dijawab apabila data yang dikonfirmasikan telah sama/benar dengan data yang bersangkutan.
16.
Pembandingan Pembandingan dilakukan antara data dari satu unit kerja dengan data dari unit kerja yang lain atau pembandingan dengan periode sebelumnya, untuk kemudian ditarik kesimpulannya. Contoh: Membandingkan harga pengadaan komputer kantor.
Audit Internal
51
17.
Inventarisasi/opname Inventarisasi atau opname adalah pemeriksaan fisik dengan menghitung fisik barang, menilai kondisinya (rusak berat, rusak ringan, atau baik) dan membandingkannya dengan saldo menurut buku (administrasi), kemudian mencari sebab‐sebab terjadinya perbedaan apabila ada. Hasil opname biasanya dituangkan dalam suatu berita acara (BA). Contoh: Inventarisasi Barang Milik Negara/Daerah.
18.
Inspeksi Inspeksi adalah meneliti secara langsung ke tempat kejadian, yang lazim pula disebut on the spot inspection, yang dilakukan secara rinci dan teliti. Inspeksi sering dilakukan dengan mendadak. Contoh: Inspeksi lapangan pekerjaan pembesian dan pembetonan yang dilakukan pemborong
Contoh kasus Melanjutkan kasus Satker XYZ, risiko “Spesifikasi teknis tidak sesuai kebutuhan” ditangani dengan tiga pengendalian kunci berikut. Pengendalian Kunci
Prosedur Pengujian
•
PPK menyusun spesifikasi teknis
•
Lakukan evaluasi apakah spesifikasi yang disusun oleh PPK sesuai dengan yang dibutuhkan
•
ULP melakukan evaluasi teknis penawaran
•
Lakukan wawancara dengan petugas ULP tentang evaluasi teknis yang dilakukan ULP
•
PPHP menerima dan menguji barang yang diterima
•
Lakukan pengamatan fisik barang /komputer yang dibeli.
•
Bandingkan antara spesifikasi barang yang diterima dengan spesifikasi teknis dalam SPK
•
Bandingkan antara barang yang diterima dengan spesifikasi teknis
G.
PENYUSUNAN PROGRAM KERJA
Program Kerja Audit (PKA) adalah rancangan prosedur dan teknik audit yang disusun secara sistematis yang harus diikuti/dilaksanakan oleh auditor dalam kegiatan audit untuk mencapai tujuan audit. Tiap instansi pengawasan dapat memiliki format PKA tersendiri, tetapi isi PKA secara umum adalah sama, memuat informasi prosedur audit, dilaksanakan oleh, waktu yang
52
2014 |Pusdiklatwas BPKP
diperlukan, dan nomor Kertas Kerja Audit (KKA). PKA ini disusun melalui tahap matriks risiko dan pengendalian (risk and control matrix), dengan format sebagai berikut. Risiko
Pengendalian Kunci
Risiko A
Risiko B
Risiko A
Prosedur Pengujian
•
Pengendalian A
•
Prosedur A
•
Pengendalian B
•
Prosedur B
•
Pengendalian C
•
Prosedur C
•
Pengendalian D
•
Prosedur D
•
Pengendalian E
•
Prosedur E
•
Pengendalian F
•
Prosedur F
•
Pengendalian G
•
Prosedur G
•
Pengendalian H
•
Prosedur H
•
Pengendalian I
•
Prosedur I
Tabel 3.4 Format Tahap Matriks Risiko dan Pengendalian
Prosedur pengujian dari matriks tersebut diatas akan dituangkan dalam format PKA pada kolom uraian (prosedur audit). Konsep PKA disiapkan oleh ketua tim. Kemudian, pengendali teknis (PT) mereviu untuk memberikan tambahan informasi dan arahan. Setelah itu, PKA direviu kembali oleh pengendali mutu (PM) untuk disetujui. Setelah sebuah prosedur diselesaikan auditor menandai dalam PKA bahwa pekerjaan telah dilaksanakan dan menuliskan nomor KKA. Supervisor (PT) dapat melakukan reviu KKA dan memonitor program audit yang belum diselesaikan.
Audit Internal
53
Inspektorat Jenderal Departemen Dalam Negeri Jakarta
No. KKA
Nama Auditi : Tahun/Masa Audit :
PROGRAM KERJA AUDIT Dilaksanakan oleh No.
Waktu yang diperlukan
Uraian Rencana
A B C
Realisasi
Rencana
Nomor KKA
Catatan
Realisasi
Pendahuluan Tujuan Audit Langkah-langkah kerja
1.
...............................................
2.
...............................................
3.
...............................................
dst.
(Kota, Tanggal)
Direview oleh (Tanggal) Pengendali Teknis
Disusun oleh Ketua Tim
Nama
Nama
Disetujui oleh (Tanggal) Pengendali Mutu Nama Tabel 3.5 Format Program Kerja Audit
Contoh kasus Melanjutkan kasus Satker XYZ, format risk and control matrix untuk risiko “Spesifikasi teknis tidak sesuai kebutuhan” adalah sebagai berikut. Risiko Spesifikasi teknis tidak sesuai kebutuhan
54
Pengendalian Kunci
Prosedur Pengujian
• PPK menyusun spesifikasi teknis
• Lakukan evaluasi apakah spesifikasi yang disusun oleh PPK sesuai dengan yang dibutuhkan.
• ULP melakukan evaluasi teknis penawaran
• Lakukan wawancara dengan petugas ULP tentang evaluasi teknis yang dilakukan ULP
2014 |Pusdiklatwas BPKP
Risiko
Pengendalian Kunci
Prosedur Pengujian
• PPHP menerima dan menguji barang yang diterima
• Lakukan pengamatan fisik barang/ komputer yang dibeli. • Bandingkan antara spesifikasi barang yang diterima dengan spesifikasi teknis dalam SPK • Bandingkan antara barang yang diterima dengan spesifikasi teknis
Format PKA kegiatan ini adalah sebagai berikut. Inspektorat XYZ Nama Auditi : Satker XYZ Tahun : 2014
No
Uraian
PROGRAM KERJA AUDIT Dilaksanakan oleh Rencana Realisasi
No PKA : P 001
Waktu diperlukan Rencana Realisasi
Nomor KKA
A B C
Pendahuluan Tujuan Audit Langkah‐langkah kerja
1
Lakukan evaluasi apakah spesifikasi yang disusun oleh PPK sesuai dengan yang dibutuhkan
Budi
1 Jam
KKA 001
2 3 4
Lakukan wawancara dengan petugas ULP tentang evaluasi teknis yang dilakukan ULP
Budi
1 Jam
KKA 002
Budi
0,5 Jam
KKA 003
Budi
0,5 Jam
KKA 004
Budi
1 Jam
KKA 005
5
Lakukan pengamatan fisik barang /komputer yang dibeli. Bandingkan antara spesifikasi barang yang diterima dengan spesifikasi teknis dalam SPK Bandingkan antara barang yang diterima dengan spesifikasi teknis
Catatan
Direviu oleh Pengendali Teknis
Disusun Oleh Ketua Tim
Ahmad
Budi
Audit Internal
55
H.
PENGALOKASIAN SUMBER DAYA
Langkah terakhir di tahap perencanaan adalah pengalokasian sumber daya (jam kerja auditor dan dana) yang diperlukan untuk melaksanakan penugasan. Pada tahap ini diperlukan pengalaman auditor dalam menentukan jumlah waktu, biaya dan jadwal agar penugasan dapat diselesaikan tepat waktu. Hasil dari tahap ini adalah alokasi hari pengawasan (HP) masing‐masing auditor, alokasi biaya per auditor dan jenis pengujian yang akan dilakukan. Dengan kata lain, masing‐masing prosedur pengujian tersebut diatas ditetapkan auditor yang akan melaksanakan disertai target waktu pelaksanaan dan dana bila diperlukan. ~
56
2014 |Pusdiklatwas BPKP
Bab IV PELAKSANAAN PENUGASAN ASSURANCE Indikator Keberhasilan Setelah mempelajari bab ini, diharapkan para peserta diklat memiliki pengetahuan mengenai tahapan praktik pelaksanaan assurance audit internal yaitu: pengujian dan pengumpulan bukti, evaluasi bukti dan pengambilan kesimpulan serta pengembangan temuan dan rekomendasi.
A.
PENGUJIAN DAN PENGUMPULAN BUKTI
Pada tahap pelaksanaan kegiatan assurance dilakukan pengujian yang telah direncanakan dalam PKA pada tahap perencanaan. Dalam setiap pengujian yang dilakukan, hasilnya didokumentasikan ke dalam kertas kerja audit (KKA). KKA adalah catatan (dokumentasi) yang dibuat oleh auditor mengenai bukti‐bukti yang dikumpulkan, berbagai teknik dan prosedur audit yang diterapkan, serta simpulan‐simpulan yang dibuat selama melakukan audit. Dalam pengertian dokumentasi yang dibuat oleh auditor adalah berupa dokumen‐dokumen yang dikumpulkan oleh auditor, baik yang dibuat sendiri maupun dokumen yang berupa fotokopi/salinan (auditor’s copy) yang diperoleh auditor selama pelaksanaan audit. Dalam
Audit Internal
57
pengertian dokumen bukan saja yang berbentuk kertas, namun juga termasuk foto/film/ gambar, kaset rekaman, file komputer. Sumber dokumen KKA dapat berasal dari auditi, pihak di luar auditi/instansi lainnya, maupun dari pihak auditor. KKA yang baik harus mencerminkan: 1.
Kegiatan audit mulai dari perencanaan, survai pendahuluan, evaluasi pengendalian manajemen, pengujian substantif, sampai dengan pelaporan dan tindak lanjut hasil audit. Hal ini dikarenakan semua kegiatan audit didokumentasikan dalam bentuk KKA.
2.
Langkah‐langkah audit yang ditempuh, pengujian yang dilakukan, informasi yang diperoleh dan simpulan‐simpulan hasil audit. Langkah‐langkah kerja dalam PKA yang telah dilaksanakan menghasilkan data beserta penarikan simpulan hasil audit didokumentasikan dalam KKA. sebagai bukti yang mendukung kesimpulan apakah pengendalian telah berjalan dengan efektif.
Tujuan penyusunan KKA adalah: 1.
KKA merupakan penghubung antara audit yang dilaksanakan dengan LHA, jadi informasi dalam LHA harus dapat dirujuk ke KKA.
2.
KKA mendokumentasikan seluruh informasi yang diperoleh selama kegiatan audit, mulai dari kegiatan perencanaan sampai dengan penyusunan konsep LHA.
3.
KKA mencakup seluruh masalah yang ditemukan selama pelaksanaan audit, termasuk perluasan perolehan bukti untuk mendukung temuan audit.
4.
KKA akan membantu auditor pada saat pembahasan permasalahan dengan auditi. Dengan KKA yang lengkap, jika suatu permasalahan disanggah oleh auditi, maka auditor akan dapat menjelaskan permasalahannya dengan bantuan KKA.
5.
KKA dapat digunakan oleh PT sebagai sarana mengawasi, menilai, memonitor, dan menilai kecukupan teknik dan prosedur audit.
6.
KKA dapat menjadi bahan pembuktian dalam hal masalah diajukan ke pengadilan. KKA yang lengkap dapat menjadi alat untuk membela diri tentang kecukupan prosedur audit yang telah dijalankan sebagai pendukung pengambilan simpulan.
7.
KKA dapat menjadi referensi dalam perencanaan tugas audit atau pelaksanaan audit periode berikutnya dan referensi dalam memonitor tindak lanjut audit.
58
2014 |Pusdiklatwas BPKP
8.
KKA yang disusun auditor intern dapat digunakan untuk membantu auditor ekstern dalam mengevaluasi sistem pengendalian intern auditi. KKA juga dapat digunakan oleh auditor ekstern untuk mengevaluasi pekerjaan auditor intern sebelum auditor ekstern memutuskan untuk memanfaatkan hasil kerja auditor intern yang terkait dengan keperluan auditnya.
9.
Penyusunan KKA memungkinkan dilakukannya reviu oleh rekan sejawat (peer reviu) atau oleh lembaga yang berwenang, juga sebagai pertanggungjawaban auditor bahwa audit telah dilaksanakan sesuai standar audit.
Contoh kasus : Melanjutkan kasus Satker XYZ, PKA nomor C.1 “Lakukan evaluasi apakah spesifikasi yang disusun oleh PPK sesuai dengan yang dibutuhkan” dilaksanakan oleh Budi hasilnya adalah sebagai berikut. Inspektorat XYZ Nama Auditi : Satker XYZ Tahun : 2014
No KKA : KKA 001 Ref PKA : P 001
Dibuat oleh : Budi Direviu oleh : Ahmad
KERTAS KERJA AUDIT Hasil Evaluasi Spesifikasi Komputer
• • • • • •
Informasi/Analisis Spesifikasi Processor Clock Speed RAM HDD VGA Card Operating System
RKB I7 3,4 Ghz 12 GB 2 TB 2 GB W7Pro
KAK I7 3,4 Ghz 12 GB 2 TB 2 GB W7Pro
Sesuai/ Tidak Sesuai Sesuai Sesuai Sesuai Sesuai Sesuai
Catatan : RKB : Rencana Kebutuhan Barang, disusun oleh Pengguna Anggaran (PA) KAK : Kerangka Acuan Kerja, disusun oleh Pejabat Pembuat Komitmen (PPK) Kesimpulan : Spesifikasi teknis yang disusun oleh PPK telah sesuai dengan spesifikasi yang dibutuhkan
Audit Internal
59
Hubungan PKA dengan KKA PKA adalah rancangan prosedur dan teknik audit yang akan diikuti/dilaksanakan dan KKA adalah dokumentasi hasil pelaksanaan PKA. Bagan berikut merupakan contoh yang memperlihatkan hubungan PKA dan KKA tersebut.
Gambar 4.1 Contoh Hubungan PKA dengan KKA
60
2014 |Pusdiklatwas BPKP
Dari contoh di atas, terlihat bahwa KKA Nomor KKA 001 adalah dokumentasi dari pelaksanaan PKA Nomor P001. Pada contoh tersebut dapat dilihat hubungan langkah kerja pada PKA “Lakukan evaluasi apakah spesifikasi yang disusun oleh PPK sesuai dengan yang dibutuhkan” dan hasil pengujian tertuang dalam KKA yang berjudul “Hasil Evaluasi Spesifikasi Komputer”. Audit Sampling Audit sampling adalah penerapan pengujian/prosedur audit kurang dari 100% populasi yang bertujuan untuk mendapat simpulan kondisi seluruh populasi. Pengujian yang dilakukan atas seluruh bukti/elemen dinamakan sensus. Idealnya, agar hasil pengujian lebih bisa dipercaya, seorang Auditor melakukan sensus. Namun karena sesuatu hal Auditor bisa tidak meneliti keseluruhan bukti, maka yang bisa dilakukannya adalah meneliti sebagian dari keseluruhan populasi/sampling. Agar hasil Pengujian yang dilakukan terhadap sampel bisa mewakili populasi, maka cara penarikan sampelnya harus dilakukan dengan hati‐hati. Dapat dikatakan tidak ada sampel yang bisa mewakili karakteristik populasi sepenuhnya. Oleh karena itu dalam setiap penarikan sampel senantiasa melekat penyimpangan, yang dikenal dengan nama “sampling error”. Sampling error dapat ditekan dengan cara menambahkan jumlah sampel, namun tidak selamanya demikian. Hubungan antara sampling error dengan jumlah sample, dapat digambarkan sebegai berikut.
Gambar 4.2 Hubungan Antara Sampling Error Dengan Jumlah Sampling
Jumlah sampel yang diambil menjadi persoalan yang penting. Misalnya, jumlah populasi bukti adalah 1.000 buah bukti. Pertanyaannya adalah, berapa bukti yang harus diambil menjadi sampel agar hasilnya mewakili populasi? Jawabnya dapat dipelajari di Modul Sampling Audit.
Audit Internal
61
Salah satu metode penentuan jumlah sampling adalah menggunakan table Krejcie dan Morgan (1970) sebagai berikut. Populasi (P)
Sampel (s)
Populasi (P)
Sampel (s)
Populasi (P)
Sampel (s)
10
10
220
140
1200
291
15
14
230
144
1300
297
20
19
240
148
1400
302
25
24
250
152
1500
306
30
28
260
155
1600
310
35
32
270
159
1700
313
40
36
280
162
1800
317
45
40
290
165
1900
320
50
44
300
169
2000
322
55
48
320
175
2200
327
60
52
340
181
2400
331
65
56
360
186
2600
335
70
59
380
191
2800
338
75
63
400
196
3000
341
80
66
420
201
3500
346
85
70
440
205
4000
351
90
73
460
210
4500
354
95
76
480
214
5000
357
100
80
500
217
6000
361
110
86
550
226
7000
364
120
92
600
234
8000
367
130
97
650
242
9000
368
140
103
700
248
10000
370
150
108
750
254
15000
375
160
113
800
260
20000
377
170
118
850
265
30000
379
180
123
900
269
40000
380
190
127
950
274
50000
381
200
132
1000
278
75000
382
210
136
1100
285
1000000
384
Tabel 4.1 Jumlah Populasi dan Sampel (Krejcie dan Morgan)
62
2014 |Pusdiklatwas BPKP
Metode pengampilan sample ada dua jenis, yaitu : random sampling/probability sampling dan nonrandom samping/nonprobability sampling. Yang dimaksud dengan random sampling adalah cara pengambilan sampel yang memberikan kesempatan yang sama untuk diambil kepada setiap elemen populasi. Sedangkan yang dimaksud dengan nonrandom sampling atau nonprobability sampling adalah setiap elemen populasi tidak mempunyai kemungkinan yang sama untuk dijadikan sampel. Matriks Risiko dan Pengendalian Prosedur pengujian yang di PKA yang disusun berdasarkan matriks risiko dan pengendalian dilakukan untuk memastikan apakah pengendalian kunci yang diterapkan telah didesain dan diterapkan dapat menekan risiko ke tingkat yang dapat diterima (acceptable level). Hasil pengujian‐pengujian pengendalian kunci yang telah dilakukan dituangkan kedalam format matriks risiko dan pengendalian dengan menambah sebuah kolom ‘hasil pengujian’ sebagai berikut. Risiko Risiko A
Risiko B
Risiko C
Pengendalian Kunci
Prosedur Pengujian
Hasil Pengujian
• Pengendalian A
• Prosedur A
• Hasil Pengujian A
• Pengendalian B
• Prosedur B
• Hasil Pengujian B
• Pengendalian C
• Prosedur C
• Hasil Pengujian C
• Pengendalian D
• Prosedur D
• Hasil Pengujian D
• Pengendalian E
• Prosedur E
• Hasil Pengujian E
• Pengendalian F
• Prosedur F
• Hasil Pengujian F
• Pengendalian G
• Prosedur G
• Hasil Pengujian G
• Pengendalian H
• Prosedur H
• Hasil Pengujian H
• Pengendalian I
• Prosedur I
• Hasil Pengujian I
Tabel 4.2 Format Matriks Risiko dan Pengendalian serta Hasil Pengujian
Contoh kasus Melanjutkan kasus Satker XYZ, format risk and control matrix untuk risiko “Spesifikasi teknis tidak sesuai kebutuhan” setelah dilakukan pengujian adalah sebagai berikut.
Audit Internal
63
Pengendalian Kunci
Prosedur Pengujian
Hasil Pengujian
• PPK menyusun spesifikasi teknis
• Spesifikasi yang disusun oleh • Lakukan evaluasi apakah PPK telah sesuai dengan spesifikasi yang disusun oleh kebutuhan PPK sesuai dengan yang dibutuhkan
• ULP melakukan evaluasi teknis penawaran
• Lakukan pengujian terhadap • Spesifikasi teknis telah dimanfaatkan sebagai media evaluasi teknis yang evaluasi teknis yang dilakukan ULP dilakukan ULP
• PPHP menerima dan menguji barang yang diterima
• Bandingkan antara barang yang diterima dengan Berita Acara Penerimaan Barang
• Berita acara penerimaan barang tidak sesuai dengan barang yang diterima
• Bandingkan antara barang yang diterima dengan spesifikasi teknis
• Terdapat perbedaan spesifikasi teknis dengan komputer yg diterima.
• Lakukan pengamatan fisik barang /komputer yang dibeli.
• Spesifikasi komputer dalam kontrak dg processor i7, yang diterima processor i5
B.
EVALUASI BUKTI DAN PENGAMBILAN KESIMPULAN
Pelaksanaan prosedur dan teknik audit menghasilkan bukti‐bukti yang membantu auditor untuk dapat menilai efektifitas pengendalian intern. Beberapa pertanyaan yang harus dijawab auditor untuk menilai efektifitas pengendalian intern adalah sebagai berikut. 1.
Apakah pengendalian kunci telah didesain dengan baik?
2.
Apakah pengendalian kunci telah berfungsi dengan baik seperti yang direncanakan?
3.
Apakah risiko terkait telah berhasil di tekan pada tingkat yang dapat diterima?
4.
Apakah pengendalian yang telah didesain dan diterapkan membantu pencapaian tujuan organisasi?
Untuk bisa menjawab pertanyaan‐pertanyaan ini, auditor internal harus mengambil kesimpulan berdasar informasi/bukti yang didapat sejak tahap perencanaan sampai pelaksanaan penugasan. Simpulan diambil dengan menggunakan judgement dari auditor. Matriks Risiko dan Pengendalian yang lengkap berikut adalah cara terbaik untuk mendokumentasikan judgement yang diambil.
64
2014 |Pusdiklatwas BPKP
Risiko Risiko A
Risiko B
Risiko C
Pengendalian Kunci
Prosedur Pengujian
Prosedur Pengujian
• Pengendalian A
• Prosedur A
• Hasil Pengujian A
• Pengendalian B
• Prosedur B
• Hasil Pengujian B
• Pengendalian C
• Prosedur C
• Hasil Pengujian C
• Pengendalian D
• Prosedur D
• Hasil Pengujian D
• Pengendalian E
• Prosedur E
• Hasil Pengujian E
• Pengendalian F
• Prosedur F
• Hasil Pengujian F
• Pengendalian G
• Prosedur G
• Hasil Pengujian G
• Pengendalian H
• Prosedur H
• Hasil Pengujian H
• Pengendalian I
• Prosedur I
• Hasil Pengujian I
Simpulan Simpulan Risiko A
Simpulan Risiko B
Simpulan Risiko C
Tabel 4.3 Matriks Risiko dan Pengendalian serta judgement yang diambil
Contoh kasus Melanjutkan kasus Satker XYZ, setelah dilakukan pengujian, simpulan atas efektifitas pengendalian atas risiko “Spesifikasi teknis tidak sesuai kebutuhan” adalah sebagai berikut. Risiko Spesifikasi teknis tidak sesuai kebutuhan
Pengendalian Kunci • PPK menyusun spesifikasi teknis • ULP melakukan evaluasi teknis penawaran • PPHP menerima dan menguji barang yang diterima
Prosedur Pengujian
Simpulan
• Lakukan evaluasi apakah • Ketiga pengendalian kunci risiko ini berfungsi spesifikasi yang disusun secara kolektif. oleh PPK sesuai dengan Kelemahan pada salah yang dibutuhkan satu pengendalian kunci • Lakukan pengujian mengancam pen‐ terhadap evaluasi teknis capaian tujuan. yang dilakukan ULP • Kelalaian PPHP dalam • Bandingkan antara memeriksa barang barang yang diterima berakibat barang yang dengan Berita Acara diterima tidak sesuai Penerimaan Barang spesifikasi • Bandingkan antara barang yang diterima dengan spesifikasi teknis • Lakukan pengamatan fisik barang /komputer yang dibeli.
Jika ditemukan adanya pengendalian kunci yang tidak berfungsi, maka kemungkinan terjadinya risiko tinggi. Dalam kondisi ini, auditor harus melakukan pengujian substantif untuk memastikan bahwa risiko benar‐benar terjadi atau tidak.
Audit Internal
65
Contoh : Tujuan untuk menguji apakah terjadi ketidaksesuaian antara spesifikasi teknis barang dengan kebutuhan, kuantifikasi temuan, dan menentukan kondisi serta penyebabnya. Langkah yang harus dilakukan oleh auditor adalah memperluas sample pengujian dengan membandingkan barang yang diterima dengan berita acara penerimaan barang.
C.
PENGEMBANGAN TEMUAN DAN REKOMENDASI
Setelah dilakukan pengujian, pengumpulan bukti, evaluasi bukti, dan menyusun simpulan, auditor internal harus menyusun temuan (observation/finding). Temuan berpangkal tolak dari perbandingan kondisi (apa yang sebenarnya terjadi) dengan kriteria (apa yang seharusnya terjadi), mengungkap akibat yang ditimbulkan dari perbedaan kondisi dan kriteria tersebut serta mencari penyebabnya. Pengembangan temuan sangat menentukan keberhasilan tugas audit. Untuk itu, auditor perlu memahami unsur‐unsur temuan, sehingga pengembangan temuan menjadi lebih efektif. Langkah‐langkah pengembangan temuan adalah sebagai berikut. 1.
Kenali secara khusus apa yang kurang dalam hubungan dengan kriteria/tolok ukur yang lazim.
2.
Pada dasarnya dalam suatu audit, auditor membandingkan “apa yang sebenarnya terjadi” dengan “apa yang seharusnya terjadi”. Auditor perlu meyakini kelayakan kriteria/tolok ukur yang dipergunakan. Penentuan kriteria/tolok ukur pada prinsipnya merupakan tanggung jawab manajemen. Bila dalam audit tidak dijumpai tolok ukur, maka auditor harus merumuskannya bersama‐sama dengan auditi.
3.
Kenali batas wewenang dan tanggung jawab pejabat yang terlibat dalam pelaksanaan kegiatan, program dan fungsi yang diaudit.
4.
Auditor perlu mengenali batas wewenang pejabat yang bertanggung jawab langsung terhadap kegiatan, program dan fungsi yang diaudit dan juga mengetahui pejabat yang bertanggung jawab pada tingkat yang lebih tinggi untuk mengetahui pada siapa laporan dan rekomendasi ditujukan. Pengendalian manajemen secara efektif terhadap operasi memerlukan penetapan tanggung jawab yang tegas, dengan kewenangan yang memadai untuk melaksanakannya. Sebagai akibat dari audit, mungkin akan ditemukan bahwa
66
2014 |Pusdiklatwas BPKP
kekurangan yang diidentifikasi terjadi karena kewenangan dan tanggung jawab tidak ditetapkan dengan jelas atau tidak dipahami dengan baik. 5.
Pastikan sebab kelemahannya. Agar auditor dapat melakukan audit secara tepat, menyampaikan laporan secara jujur serta efektif dan mengembangkan rekomendasi tindakan korektif, maka sebelumnya ia perlu mengidentifikasi dan memahami sebab dari kekurangan. Auditor harus menyelidiki sebab terjadinya keadaan yang merugikan dan mengapa hal tersebut harus berlangsung. Jika telah diadakan perbaikan melalui prosedur intern untuk menghindari keadaan yang merugikan tersebut, apakah penerapan prosedur tersebut yang keliru. Sebab kelemahan tersebut dapat bermacam‐macam; yang terpenting diantaranya adalah kelemahan dalam sistem pengendalian manajemen yang apabila tidak dikoreksi akan menimbulkan kerugian yang lebih besar. Pengenalan auditor mengenai sebab dari kelemahan dapat membawa auditor mengenali masalah lain yang memerlukan penyelidikan dan pengembangan lebih lanjut. Bila auditor mengetahui sebabnya, maka auditor akan lebih mudah mempertimbangkan rekomendasi perbaikannya.
6.
Tentukan apakah kelemahan tersebut merupakan kasus yang berdiri sendiri atau tersebar luas. Penentuan ini diperlukan untuk mencapai simpulan yang tepat mengenai arti penting kelemahan tersebut. Simpulan ini seringkali merupakan hal yang esensial untuk mendorong pimpinan auditi mengambil tindakan korektif. Dalam menentukan apakah kelemahan ini berdiri sendiri atau terkait dengan kegiatan lainnya, auditor dapat mengidentifikasinya dengan mempelajari apakah terdapat instansi lain yang melakukan kegiatan yang sama. Bila auditor yakin bahwa kondisi itu tersebar luas atau besar kemungkinannya akan berulang kembali, maka auditor harus merekomendasikan perbaikan kesalahan tersebut secepat mungkin.
7.
Tentukan akibat atau arti pentingnya kelemahan. Auditor harus mempertimbangkan akibat atau arti pentingnya kelemahan dengan mengerti dan mendalami cara manajemen melaksanakan kegiatannya. Auditor tidak saja perlu memperhatikan akibat langsung, tetapi juga akibat sampingan, akibat jangka panjang, atau akibat lainnya, baik yang nyata maupun potensial. Dalam audit yang
Audit Internal
67
mengarah kepada kehematan dan keefisienan, bila memungkinkan, auditor perlu menentukan akibat finansial yang ditimbulkan oleh kekurangan dan kelemahan tersebut di atas. Hal itu akan menunjukan pentingnya tindakan korektif dan pengungkapan dalam laporan menjadi makin meyakinkan. Apabila penetapan akibat finansial itu tidak mungkin, maka akibat yang merugikan perlu dinyatakan dalam ukuran relatif sebagai hasil perbandingan dengan kegiatan, program dan fungsi yang diaudit. Jika audit operasional diarahkan pada efektivitas, maka akibat yang harus diungkap auditor adalah seberapa jauh akibat yang terjadi ini akan mempengaruhi keberhasilan pencapaian tujuan suatu program. Tujuan akhir audit adalah agar tindakan korektif atau perbaikan yang direkomendasikan dan telah disetujui, benar‐benar dilaksanakan. Oleh karena itu, auditor harus mengikuti perkembangan tindakan auditi dalam melaksanakan rekomendasi dan apabila perlu dapat dilakukan audit tindak lanjut atas temuan hasil audit. 8.
Mintakan komentar pejabat yang kompeten. Pada setiap tahap audit, pembicaraan dengan auditi harus dilaksanakan agar audit dapat lebih berdayaguna dan berhasil guna. Pembicaraan ini dilakukan tidak saja pada setiap akhir tahapan audit, tetapi juga harus dilakukan secara dini selama proses audit dilakukan. Materi yang dibicarakan antara lain mencakup masalah yang berkaitan dengan pengenalan terhadap auditi, baik mengenai kegiatan operasionalnya maupun sistem pengendalian manajemennya; menyangkut masalah pembuktian, penentuan unsur temuan terutama kriteria dan pembicaraan akhir termasuk rekomendasi. Pada tahap pengujian substantif/pengembangan, pembicaraan harus dilakukan lebih intensif karena menyangkut materi temuan final dan menyangkut kesepakatan atas rekomendasi. Dengan demikian dapat terhindar adanya sanggahan atas isi laporan dari auditi.
9.
Mintakan kesediaan untuk menindaklanjuti. Temuan dan rekomendasi yang telah disetujui oleh pihak auditi agar dimintakan komitmen kesanggupan melakukan tindak lanjut. Komitmen tersebut dapat berbentuk keterangan tertulis atau berita acara yang antara lain menetapkan kapan tindak lanjut rekomendasi akan dilakukan. Atas dasar komitmen tersebut, pemantauan pelaksanaan setiap rekomendasi akan lebih efektif.
68
2014 |Pusdiklatwas BPKP
Dalam mengembangkan rekomendasi dapat pula digunakan pendekatan antara lain penyelesaian masalah dan pengambilan keputusan dengan tujuh langkah, yaitu: 1.
Identifikasi masalah.
2.
Menguraikan masalah. Seberapa besar? Dimana? Kapan? Apakah sering terjadi?
3.
Mencari kemungkinan penyebabnya. Apakah penyebab menggambarkan situasi keseluruhan atau hanya sebagian?
4.
Buatlah alternatif‐alternatif tindakan untuk menyelesaikan masalah.
5.
Analisis setiap alternatif, apa kebaikan dan kelemahan apabila suatu alternatif dipilih untuk dilakukan.
6.
Pilihlah alternatif tindakan yang paling baik.
7.
Buatlah rekomendasi untuk dapat mengimplementasikan alternatif tindakan yang paling baik tersebut. Yakinkan kepada pihak manajemen, bagaimana prosedurnya dan bagaimana mengendalikannya.
Unsur temuan adalah: 1.
Kondisi (kekurangan atau kelemahan apa yang sebenarnya terjadi). Kondisi menunjukkan realitas yang ada dari suatu pelaksanaan kegiatan yang menunjukkan adanya kekurangan atau kelemahan. Untuk menyatakan kondisi, auditor harus mengumpulkan bukti yang relevan, kompeten, cukup dan material.
2.
Kriteria (apa yang seharusnya terjadi). Kriteria adalah standard, ukuran atau harapan (expectation), antara lain berupa: a.
peraturan perundang‐undangan yang berlaku;
b.
ketentuan manajemen yang harus ditaati/dilaksanakan;
c.
pengendalian manajemen yang andal;
d.
tolok ukur keberhasilan, efisiensi dan kehematan; dan
e.
standar dan norma/kaidah.
Audit Internal
69
Kriteria yang diperoleh harus diuji dan dianalisis secara tepat dan setelah itu barulah dapat digunakan sebagai tolok ukur atau pembanding dengan kondisi yang dijumpai. Dalam praktik, permasalahan yang dihadapi adalah auditi tidak memiliki kriteria untuk kegiatan yang diaudit. Secara teoretis penetapan kriteria yang jelas merupakan salah satu tanggung jawab auditi. Apabila kriteria tidak tersedia auditor dapat melakukan beberapa hal antara lain: a.
melakukan konfirmasi kepada pihak ketiga (misalnya dalam hal harga barang/jasa);
b.
bersama dengan auditi melakukan formulasi kriteria yang akan dipakai sebagai tolok ukur;
c.
norma standar yang sama atau sejenis dengan kegiatan auditi sehingga norma/ standar tersebut dapat digunakan sebagai pembanding; dan
d.
menggunakan keterangan tenaga ahli.
Selanjutnya kriteria yang diperoleh tersebut harus dibicarakan dengan pihak auditi untuk memperoleh kesepakatan. 3.
Sebab (mengapa terjadi perbedaan antara kondisi dan kriteria). Materi penyebab merupakan hal yang penting apabila ditinjau dari tujuan audit yaitu untuk menghasilkan rekomendasi ke arah perbaikan di masa datang. Penyebab ini mengungkap tentang mengapa terjadi ketidaksesuaian antara kondisi dan kriteria.
4.
Akibat dan dampak (apa akibat dan dampak yang ditimbulkan dari adanya perbedaan antara kondisi dan kriteria).
5.
Rekomendasi (apa yang dapat dilakukan untuk memperbaikinya). Rekomendasi adalah usulan rencana perbaikan yang diberikan oleh auditor internal untuk menutup gap antara kondisi dan kriteria. Materi rekomendasi harus dirancang guna: a.
memperbaiki kelemahan (menghilangkan penyebab); dan
b.
meminimalisasi akibat dari kelemahan yang ada.
70
2014 |Pusdiklatwas BPKP
Rekomendasi harus jelas: a.
ditujukan kepada siapa;
b.
mengarah pada tindakan nyata;
c.
konsekuensi yang akan timbul apabila tindak lanjut atas rekomendasi tidak dilakukan;
d.
dapat dilaksanakan oleh auditi; dan
e.
apabila ada altenatif perbaikan tuangkanlah semua alternatif berikut alasannya masing‐masing.
Dalam memberikan/merumuskan rekomendasi, auditor harus memperhatikan: a.
biaya yang akan terjadi dalam mengimplementasikan rekomendasi harus tidak melebihi manfaat yang akan diperolehnya;
b.
jika terdapat beberapa alternatif rekomendasi dengan biaya yang terkait, harus diusulkan; dan
c.
rekomendasi harus dapat dilaksanakan.
Contoh kasus Melanjutkan kasus Satker XYZ, setelah dilaksanakan pengujian, disusun temuan sebagai berikut. Judul Spesifikasi Teknis Komputer Tidak Sesuai Kontrak Kondisi Dari hasil audit pengadaan 300 set komputer pada Satuan Kerja XYZ diketahui adanya perbedaan antara spesifikasi barang yang diterima dengan spesifikasi barang dalam kontrak. Spesifikasi komputer yang diterima adalah sebagai berikut. Intel Core i5 2310 2.9 GHz, RAM 8GB, HDD 2TB, DVD/RW, VGA AMD Radeon‐2GB, Windows 8 Pro, Monitor 21.5"
Audit Internal
71
Kriteria Menurut kontrak spesikasi komputer adalah sebagai berikut. Intel Core i7 3770‐3.4Ghz, RAM 12GB, HDD 2TB, DVD/RW, VGA AMD Radeon‐2GB, Windows 8 Pro, Monitor 21.5" Peraturan Presiden Nomor 54 Tahun 2010 pada pasal 5 mengatur bahwa Pengadaan Barang/Jasa menerapkan prinsip efektifitas. Dimana efektif, berarti pengadaan barang/jasa harus sesuai dengan kebutuhan dan sasaran yang telah ditetapkan serta memberikan manfaat yang sebesar‐besarnya. Sebab Panitia Penerima Hasil Pekerjaan (PPHP) lalai dalam melaksanakan tugasnya. PPHP melakukan pemeriksaan hasil pekerjaan sesuai dengan ketentuan yang tercantum dalam Kontrak. PPHP menerima hasil Pengadaan Barang/Jasa setelah melalui proses pemeriksaan/pengujian. Akibat Kondisi ini mengakibatkan adanya potensi kerugian keuangan negara sebesar Rp.xxx.xxx,xx (sesuai nilai kontrak) dan pengadaan 300 set komputer tersebut tidak dapat berfungsi optimal dalam menunjang kegiatan organisasi. Rekomendasi Direkomendasikan kepada Kepala Satuan Kerja XYZ untuk : •
memerintah PPK untuk meminta pertanggung jawaban penyedia barang untuk mengganti komputer yang tidak sesuai spesifikasi; dan
•
menegur PPHP yang telah lalai dalam melaksanakan tugasnya.
72
2014 |Pusdiklatwas BPKP
Bab V PELAPORAN PENUGASAN ASSURANCE Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai tahapan praktik pelaporan assurance audit internal yaitu: penyampaian simpulan sementara, penyusunan laporan, dan monitoring tindak lanjut.
Setelah menyelesaikan penugasan, internal auditor harus mengomunikasikan hasil penugasannya kepada manajemen auditi. Secara umum pengkomunikasian tersebut mencakup dua bentuk komunikasi, lisan dan tertulis. Komunikasi lisan harus dilakukan sebelum komunikasi tertulis dalam bentuk laporan hasil audit (LHA) yang resmi diterbitkan. Pengomunikasian secara lisan dimaksudkan untuk memperoleh kesepakatan mengenai hasil audit. Semua masalah yang ditemukan harus didiskusikan agar tidak terjadi penyanggahan yang dapat menyebabkan terhambatnya pelaksanaan tindak lanjut. Auditi memang diberi kesempatan untuk memberi tanggapan atas temuan audit, namun demikian bukan berarti bahwa setiap sanggahan auditi harus diterima begitu saja. Hanya jika sanggahan tersebut disertai bukti yang dapat diyakini, serta bukti tersebut memang tidak ditemukan saat
Audit Internal
73
pelaksanaan audit, barulah sanggahan auditi dapat diterima. Hal ini yang dimaksudkan bahwa auditor harus memiliki sikap pandang yang terbuka.
A.
PENYAMPAIAN SIMPULAN SEMENTARA
Penyampaian hasil penugasan (communication) adalah bagian tidak terpisahkan dari sebuah penugasan assurance. Selama pelaksanaan penugasan, internal auditor secara teratur berkomunikasi dengan personil kunci auditi. Pada umumnya komunikasi dilakukan dalam bentuk tatap muka untuk menyampaikan permasalahan‐permasalahan yang ditemui. Komunikasi selama proses penugasan dapat membantu auditor internal untuk memastikan fakta yang ditemukan benar‐benar akurat. Disamping akan dapat diperoleh informasi langkah koreksi (rekomendasi) terbaik. Hasil komunikasi ini akan dimanfaatkan untuk penyusunan simpulan/temuan final yang akan dimuat dalam LHA. Apabila pembicaraan tidak dilakukan secara bertahap, dikhawatirkan setelah auditor melangkah jauh dengan waktu yang cukup lama ternyata setelah materi temuan dibicarakan dengan pihak auditi, barulah terungkap adanya bukti atau kebijakan manajemen lain yang ternyata dapat menggugurkan temuan tersebut. Pembicaraan akhir harus tuntas. Ada baiknya sebelum dibicarakan final, ketua tim berkonsultasi dulu dengan pengendali teknisnya dan/atau pengendali mutunya supaya ada keseragaman pendapat mengenai masalah yang akan dibicarakan dengan auditi. Pengalaman menunjukan bahwa masih ada pembicaraan akhir atas temuan audit yang dilaksanakan oleh ketua tim audit sebelum direviu oleh pengendali teknis dan pengendali mutu, misalnya karena lokasi auditi jauh di luar kota. Hal ini mengandung risiko karena setelah direviu pengendali teknis, materi temuan dapat saja berubah sehingga tidak lagi sesuai dengan apa yang telah dibicarakan dengan auditi. Apabila terjadi perubahan materi laporan yang telah dibicarakan dengan auditi tanpa memberi informasi terlebih dulu kepada auditi, dapat menimbulkan citra yang kurang baik terhadap auditor. Usahakan mendapat komentar pejabat atau pihak yang langsung berkepentingan yang akan melakukan tindak lanjut temuan tersebut dan akan mengalami akibat negatif dari pelaporan temuan tersebut. Auditor harus memberikan kesempatan kepada pejabat atau pihak yang terkena atau mungkin terkena secara negatif pelaporan tersebut untuk memberi komentar tertulis atau lisan serta memberi informasi atau penjelasan sebelum laporan dikeluarkan. Komentar dan penjelasan tambahan ini harus dihargai dan dibahas untuk disajikan secara layak, lengkap dan objektif dalam laporan akhir. Apabila komentar pendahuluan sudah diterima dan 74
2014 |Pusdiklatwas BPKP
kemudian diadakan perubahan penting dalam temuan atau rekomendasi, maka pejabat atau pihak yang terkena harus diberi kesempatan lagi untuk memberikan komentar mengenai pembahasan tersebut sebelum laporan diterbitkan. Apabila tidak bisa diperoleh komentar dari pihak yang terkena, maka laporan harus memaparkan kenyataan itu. Komentar tambahan juga harus diminta apabila komentar pendahuluan tampaknya tidak relevan dengan simpulan dan rekomendasi yang diajukan.
B.
PENYUSUNAN LAPORAN
Proses penyusunan laporan, diawali dengan penyusunan konsep laporan oleh ketua tim (KT). Pengendali teknis (PT) melakukan reviu konsep laporan untuk keseluruhan aspek (baik fisik, format dan substansi). Laporan hasil penugasan harus memenuhi syarat kualitas komunikasi yang baik, yaitu akurat, objektif, jelas, ringkas, konstruktif, lengkap dan tepat waktu. 1.
Akurat: Laporan yang dihasilkan harus sesuai dengan fakta yang terjadi dan bebas dari kesalahan. Perlunya keakuratan didasarkan atas kebutuhan untuk memberikan keyakinan kepada pengguna laporan bahwa apa yang dilaporkan memiliki kredibilitas dan dapat diandalkan. Satu ketidakakuratan dalam laporan hasil audit dapat menimbulkan keraguan atas keandalan seluruh laporan tersebut dan dapat mengalihkan perhatian pengguna laporan hasil audit dari substansi laporan tersebut. Bukti yang dicantumkan dalam laporan harus masuk akal dan mencerminkan kebenaran mengenai masalah yang dilaporkan. Penggambaran yang benar berarti penjelasan secara akurat tentang lingkup dan metodologi audit, serta penyajian temuan yang konsisten dengan lingkup audit. Salah satu cara untuk meyakinkan bahwa laporan telah memenuhi standar pelaporan adalah dengan menggunakan proses pengendalian mutu, seperti proses referensi. Proses referensi adalah proses dimana seorang auditor yang tidak terlibat dalam proses audit tersebut menguji bahwa suatu fakta, angka, atau tanggal telah dilaporkan dengan benar, bahwa temuan telah didukung dengan dokumentasi audit dan bahwa simpulan dan rekomendasi secara logis didasarkan pada data pendukung.
Audit Internal
75
2.
Objektif: Laporan harus adil dan berimbang yang menyajikan penilaian seluruh fakta dan kejadian yang relevan. Kredibilitas suatu laporan ditentukan oleh penyajian bukti yang tidak memihak, sehingga pengguna laporan dapat diyakinkan oleh fakta yang disajikan. Auditor harus menyajikan hasil audit secara netral dan menghindari kecenderungan melebih‐lebihkan kekurangan yang ada. Dalam menjelaskan kekurangan suatu kinerja, auditor harus menyajikan penjelasan pejabat yang bertanggung jawab, termasuk pertimbangan atas kesulitan yang dihadapi entitas yang diperiksa.
3.
Jelas : Laporan harus mudah dibaca dan dipahami. Laporan harus ditulis dengan bahasa yang jelas dan sesederhana mungkin. Penggunaan bahasa yang lugas dan tidak teknis sangat penting untuk menyederhanakan penyajian. Jika digunakan istilah teknis, singkatan dan akronim yang tidak begitu dikenal, maka hal itu harus didefinisikan dengan jelas. Apabila diperlukan, auditor dapat membuat ringkasan laporan untuk menyampaikan informasi yang penting sehingga diperhatikan oleh pengguna laporan hasil audit. Ringkasan tersebut memuat jawaban terhadap sasaran audit, temuan‐temuan yang paling material dan rekomendasi.
4.
Ringkas: Laporan seharusnya berisi point‐point penting, dihindari bahasa bertele‐tele, detail dan pengulangan yang tidak perlu. Laporan yang ringkas adalah laporan yang tidak lebih panjang dari yang diperlukan untuk menyampaikan dan mendukung pesan. Laporan yang terlalu rinci dapat menurunkan kualitas laporan, bahkan dapat menyembunyikan pesan yang sesungguhnya dan dapat membingungkan atau mengurangi minat pembaca. Pengulangan yang tidak perlu juga harus dihindari. Meskipun banyak peluang untuk mempertimbangkan isi laporan, laporan yang lengkap tetapi ringkas, akan mencapai hasil yang lebih baik.
5.
Konstruktif: Laporan hasil penugasan hendaknya bermanfaat bagi auditi serta membawa kearah perbaikan. Agar meyakinkan, maka laporan harus dapat menjawab sasaran audit, menyajikan temuan, kesimpulan dan rekomendasi yang logis. Informasi yang disajikan harus cukup meyakinkan pengguna laporan untuk mengakui validitas temuan tersebut dan manfaat penerapan rekomendasi. Laporan yang disusun dengan cara ini dapat membantu pejabat yang bertanggung jawab untuk memusatkan perhatiannya atas hal yang memerlukan perhatian itu dan dapat membantu untuk melakukan perbaikan sesuai rekomendasi dalam laporan hasil audit.
76
2014 |Pusdiklatwas BPKP
6.
Lengkap: Laporan berisi seluruh informasi penting dan sesuai yang mendukung rekomendasi dan kesimpulan. Laporan harus memuat semua informasi dan bukti yang dibutuhkan untuk memenuhi sasaran audit, memberikan pemahaman yang benar dan memadai atas hal yang dilaporkan dan memenuhi persyaratan isi laporan hasil audit. Hal ini juga berarti bahwa laporan harus memasukkan informasi mengenai latar belakang permasalahan secara memadai. Laporan harus memberikan perspektif yang wajar mengenai aspek kedalaman dan signifikansi temuan audit, seperti frekuensi terjadinya penyimpangan dibandingkan dengan jumlah kasus atau transaksi yang diuji, serta hubungan antara temuan audit dengan kegiatan entitas yang diaudit. Hal ini diperlukan agar pembaca memperoleh pemahaman yang benar dan memadai.
7.
Tepat waktu: Agar suatu informasi bermanfaat secara maksimal, maka laporan harus tepat waktu, karena laporan yang terlambat disampaikan nilainya menjadi kurang bagi pengguna laporan hasil audit. Oleh karena itu, auditor harus merencanakan penerbitan laporan tersebut secara semestinya dan melakukan audit dengan dasar pemikiran tersebut. Selama audit berlangsung, auditor harus mempertimbangkan adanya laporan sementara untuk hal yang material kepada auditi dan/atau kepada pihak lain yang terkait. Laporan sementara tersebut bukan merupakan pengganti laporan akhir, tetapi mengingatkan kepada pejabat terkait terhadap hal yang membutuhkan perhatian segera dan memungkinkan pejabat tersebut untuk memperbaikinya sebelum laporan akhir diselesaikan. laporan yang dihasilkan tersedia pada saat dibutuhkan.
Laporan Hasil Audit (LHA) dapat disusun dalam dua bentuk yaitu bentuk bab dan bentuk surat. 1.
LHA Bentuk Bab Dalam menyajikan informasi hasil audit dikelompokkan dalam bab. Ketentuan mengenai bentuk bab biasanya sudah ditetapkan oleh organisasi audit. Penyusunan LHA dalam bentuk bab sangat sesuai untuk menyampaikan informasi penting dengan jumlah materi yang banyak.
2.
LHA Bentuk Surat Laporan bentuk surat biasanya digunakan apabila hal‐hal yang ingin dilaporkan materinya relatif sedikit atau harus disampaikan dengan segera.
Audit Internal
77
C.
MONITORING TINDAK LANJUT
Proses penugasan assurance tidak berakhir saat penugasan selesai. Setiap institusi auditor internal harus mengembangkan sistem monitoring tindak lanjut hasil penugasan. Sangat penting bagi auditor internal untuk memastikan bahwa rekomendasi telah ditindaklanjuti oleh manajemen. Pemantauan tindak lanjut hasil harus dilakukan agar auditi memahami dan memperbaiki kelemahan dan kesalahan yang ada sehingga mampu meningkatkan kinerja organisasinya. Selain itu, auditor internal harus memantau pelaksanaan tindak lanjut yang dilakukan auditi untuk memastikan bahwa semua rekomendasi sudah dilaksanakan dengan tepat, sehingga keefektifan pelaksanaan audit bisa tercapai. Kewajiban untuk melaksanakan tindak lanjut berada pada pimpinan auditi. Hal ini sesuai dengan pasal 43 Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah, yang menyatakan bahwa “Pimpinan instansi pemerintah wajib melakukan tindak lanjut atas rekomendasi hasil audit dan reviu lainnya”. Pelaksanaan tindak lanjut tersebut merupakan bagian kegiatan pemantauan sistem pengendalian intern yang ada. Di sisi lain, auditor internal berkewajiban untuk memantau pelaksanaan tindak lanjut untuk menjamin keefektifan pelaksanaan audit. Auditor internal harus memasukkan kegiatan pemantauan tindak lanjut dalam rencana strategis maupun tahunan. Pada setiap pelaksanaan audit ulangan atas suatu auditi, auditor harus melihat apakah rekomendasi dari laporan hasil audit terdahulu telah ditindaklanjuti. Auditor internal bertanggung jawab untuk memberitahukan langkah‐langkah yang harus dilakukan auditi agar tindak lanjut hasil audit bisa dilaksanakan dengan efektif dan tepat waktu. Dalam memutuskan penyelesaian tindak lanjut yang belum tuntas, auditor harus mempertimbangkan pelaksanaan prosedur dengan sifat tindak lanjut yang sama yang dilakukan oleh auditi yang lain. Pelaksanaan tindak lanjut merupakan kewajiban manajemen. Sedangkan pemantauan atas pelaksanaan tersebut menjadi tanggung jawab auditor internal. Agar pemantauan tersebut bisa berjalan dengan efektif, auditor internal harus membuat prosedur pemantauan pelaksanaan tindak lanjut yang didasarkan pada tingkat kesulitan, ketepatan waktu, pertimbangan risiko dan kerugian. Untuk temuan audit yang sangat penting, auditi harus melaksanakan tindak lanjut secepat mungkin dan auditor internal harus terus memantau tindak lanjut yang dilaksanakan oleh auditi tersebut karena dampak dari temuan tersebut sangat besar.
78
2014 |Pusdiklatwas BPKP
Agar pelaksanaan tindak lanjut efektif, perlu dilakukan hal‐hal sebagai berikut. 1.
Laporan hasil audit ditujukan kepada tingkatan manajemen yang dapat melakukan tindak lanjut.
2.
Tanggapan auditi diterima dan dievaluasi selama audit berlangsung atau dalam waktu yang wajar setelah audit berakhir.
3.
Laporan perkembangan kemajuan tindak lanjut diterima dari auditi secara periodik.
4.
Status tindak lanjut dari pelaksanaan tindak lanjut dilaporkan kepada pimpinan auditi.
Hal yang perlu diperhatikan dalam pemantauan tindak lanjut hasil audit adalah sebagai berikut. 1.
Semua formulir dan bukti pendukung yang terkait dengan tindak lanjut temuan audit harus didokumentasikan dengan baik dan dipisahkan antara temuan yang rekomendasinya sudah tuntas diselesaikan dengan temuan yang masih terbuka (yang rekomendasinya belum atau belum seluruhnya ditindaklanjuti).
2.
Tim pemantau tindak lanjut melakukan pemutakhiran tindak lanjut atas saldo temuan yang belum ditindaklanjuti dan tindak lanjut yang masih kurang. Pemutakhiran tersebut dilakukan sekali dalam setahun dan dituangkan dalam sebuah berita acara yang ditandatangani pimpinan auditi dan tim pemantau tindak lanjut. ~
Audit Internal
79
80
2014 |Pusdiklatwas BPKP
Bab VI PENUGASAN KONSULTANSI Indikator Keberhasilan Setelah mempelajari bab ini, diharapkan para peserta diklat memiliki pengetahuan mengenai jenis, pemilihan, dan proses serta praktik penugasan konsultansi selain itu juga pengetahuan mengenai perubahan jasa konsultansi dan kapabilitas yang diperlukan.
Kegiatan konsultansi merupakan pemberian saran, dengan jenis dan sifat kegiatan yang disepakati oleh auditor internal dan manajemen. Kegiatan ini bertujuan untuk memberi nilai tambah dan meningkatkan tata kelola, manajemen risiko dan proses pengendalian. Dalam melaksanakan jasa konsultansi, auditor internal harus tetap menjaga objektivitasnya dan tidak mengambil alih tanggung jawab manajemen.
A.
JENIS JASA KONSULTANSI
Gambar 6.1 Jenis Jasa Konsultansi
Seperti telah dijelaskan sebelumnya, kegiatan konsultansi dikelompokkan ke dalam tiga kelompok kegiatan yaitu Advisory, Training dan Fasilitative. Kegiatan Advisory dirancang untuk memberikan saran. Misalnya, manajemen meminta auditor internal memberikan rekomendasi perbaikan untuk menilai efisiensi dan efektivitas proses bisnis tertentu atau, auditor internal diminta ikut serta dalam proses jaminan mutu (quality assurance). Contoh kegiatan konsultansi yang termasuk dalam kelompok advisory, adalah:
Audit Internal
81
1.
memberi saran atas rancangan pengendalian;
2.
memberi saran selama proses pengembangan kebijakan dan prosedur;
3.
memberi saran pemecahan masalah pada proyek‐proyek yang berisiko tinggi seperti proyek pengembangan sistem informasi; dan
4.
memberi saran pada aktivitas‐aktivitas tertentu manajemen risiko organisasi.
Pengalaman yang diperoleh dari kegiatan assurance memberikan kemampuan bagi auditor internal untuk memahami aturan khusus bagi organisasi dan praktik‐praktik terbaik (best practices) tertentu yang bermanfaat bagi organisasi. Oleh karena itu, auditor internal dapat berbagi pengetahuan melalui pelatihan (training). Biasanya, kemampuan spesifik inilah yang diminta dengan metode penyampaian disesuaikan dengan target pegawai penerima pelatihan. Pelatihan dapat juga dilakukan dengan mengikutsertakan auditor internal di dalam proses yang ingin diperbaiki, yaitu dengan on the job training. Metode ini secara langsung terjadi transfer pengetahuan dari auditor internal kepada peserta pelatihan. Kegiatan konsultansi yang termasuk dalam kelompok pelatihan, adalah: 1.
pelatihan manajemen risiko dan pengendalian intern;
2.
benchmark unit internal dengan unit lainnya dari organisasi yang serupa untuk mengidentifikasikan praktik‐praktik terbaik; dan
3.
post mortem analysis yaitu mencarikan pelajaran yang dapat diambil dari suatu kegiatan setelah kegiatan tersebut diselesaikan.
Kegiatan fasilitatif memerlukan keterlibatan yang lebih mendalam dari auditor internal dalam melaksanakan tugas‐tugasnya membantu manajemen meningkatkan kinerja organisasi dalam mencapai tujuannya. Contoh kegiatan ini ialah Contol Self Assessment (CSA) yang memerlukan fasilitasi dari auditor internal. Pengetahuan yang dimiliki oleh auditor internal dalam hal ini diperlukan untuk memfasilitasi diskusi tentang proses bisnis dan pengendalian. Diskusi yang dilakukan terkait dengan proses yang ada dibandingkan dengan proses yang diinginkan. Gap yang terjadi dianalisis dan ditentukan langkah‐langkah untuk menutup gap tersebut. Auditor internal menjadi penuntun dalam diskusi tersebut. Namun demikian, auditor internal harus tetap objektif dan tidak masuk terlalu dalam kepada area yang menjadi tanggungjawab
82
2014 |Pusdiklatwas BPKP
manajemen. Auditor internal dalam kegiatan fasilitatif berfungsi sebagai narasumber, fungsi pelaksanaan pengambil keputusan tetap berada pada pihak manajemen. Pengasan konsultansi yang bersifat fasilitatif seperti: 1.
memfasilitasi proses penilaian risiko organisasi;
2.
memfasilitasi penilaian mandiri terhadap pengendalian oleh manajemen;
3.
memfasilitasi manajemen dalam merancang kembali pengendalian dan prosedur untuk suatu area yang berubah secara signifikan; dan
4.
berlaku sebagai perantara (liaison) dalam isu‐isu pengendalian antara manajemen dengan auditor ekstern, rekanan, dan kontraktor.
Walaupun penugasan dikelompokkan ke dalam tiga kelompok kegiatan konsultansi, dalam pelaksanaannya setiap kegiatan tidak sepenuhnya berdiri sendiri. Seperti dalam kegiatan fasilitatif, dalam proses pemberian layanannya, auditor internal juga memberikan pelatihan kepada manajemen dan para pegawai yang terlibat untuk keberhasilan tujuan penugasan. Secara umum, tahapan penugasan konsultansi secara esensial sama dengan penugasan assurance. Terdapat tahapan perencanaan, pelaksanaan dan komunikasi. Namun demikian, pelaksanaan tahapan tergantung dari sifat dan jenis penugasan, sehingga ada kemungkinan salah satu langkah di dalam suatu tahapan tidak dilaksanakan. Selain itu, sangat penting untuk diperhatikan bahwa jasa konsultansi dan assurance tidak selalu merupakan suatu penugasan terpisah. Auditor internal harus menyadari bahwa jasa assurance dan konsultansi kadang tergabung dalam satu penugasan, yang sering disebut sebagai penugasan gabungan (blended engagement). Penugasan jenis ini menggabungkan sisi assurance dengan konsultansi dalam suatu pendekatan terpadu (consolidated approach). Hal yang harus dijaga ialah independensi dan objektivitas. Selain itu, komunikasi hasil penugasan juga perlu dipisahkan karena maksud dan lingkup penugasan yang berbeda.
B.
PEMILIHAN PENUGASAN KONSULTANSI
Sangat mungkin terjadi, keterbatasan sumber daya menjadikan fungsi auditor internal tidak dapat menerima permintaan manajemen untuk melaksanakan penugasan konsultansi, sehingga perlu dilakukan pemilihan atas penugasan ini secara selektif. Pemilihan seharusnya didasarkan
Audit Internal
83
kepada tingkat besaran risiko yang terkait pada penugasan. Beberapa cara menetapkan penugasan konsultansi adalah sebagai berikut. 1.
Penugasan diusulkan selama proses penilaian risiko tahunan dan, jika penugasan dikategorikan prioritas tinggi, penugasan tersebut dimasukkan ke dalam rencana audit internal tahunan.
2.
Penugasan spesifik yang diminta oleh manajemen.
3.
Kondisi terkini atau perubahan‐perubahan yang mengharuskan fungsi auditor internal memberi perhatian.
C.
PROSES PENUGASAN KONSULTANSI
Diantara tiga jenis penugasan konsultansi, penugasan advisory adalah penugasan yang memiliki tahapan paling mirip dengan tahapan jasa assurance. Untuk selanjutnya, modul ini membahas kegiatan advisory. Secara umum, tiga tahapan dalam penugasan advisory sama dengan tahapan penugasan assurance. Perbedaan terletak pada langkah‐langkah di dalam tahapannya. Pada praktiknya, beberapa langkah mungkin tidak diperlukan.
Tabel 6.1 Tahap Penugasan Konsultansi
84
2014 |Pusdiklatwas BPKP
Sesuai dengan tahapan tersebut, auditor internal harus melakukan kegiatan‐kegiatan agar tugas‐tugas advisory terlaksana secara sistematis dan sesuai dengan standar pelaksanaan tugas auditor internal di bidang jasa konsultansi.
D.
PERENCANAAN PENUGASAN KONSULTANSI
Kegiatan perencanaan dalam bidang advisory tidak jauh beda dengan kegiatan perencanaan di bidang assurance. Beberapa perbedaannya adalah sebagai berikut. 1.
Jika penugasan advisory dilakukan setelah rencana audit internal difinalkan, kegiatan perencanaan biasanya lebih sensitif terhadap waktu dan kemungkinan perlu diselesaikan dalam waktu yang sangat mendesak. Seringkali jangka waktu untuk penugasan semacam ini tidak fleksibel sebagai akibat lingkungan yang melingkupi pengendalian fungsi audit internal atau karena umpan balik sensitif terhadap waktu.
2.
Tidak semua tahapan perencanaan cocok dengan setiap penugasan konsultansi, perlu disesuaikan dengan kondisi yang ada.
Berikut penjelasan setiap langkah di dalam setiap tahapan perencanaan. 1.
Penentuan Sasaran dan Ruang Lingkup Penugasan Perencanaan penugasan advisory dimulai ketika penugasan konsultansi diidentifikasikan dan dijadwalkan. Pada tahap perencanaan, auditor harus mampu mengenali dan memahami ekspektasi pelanggan atas penugasan yang disepakati. Perolehan kesepakatan tentang sasaran penugasan di awal penugasan sangatlah penting. Dalam penugasan konsultansi sasaran mungkin tidak terdefinisi secara tetap dan dapat berubah sejalan dengan semakin banyak informasi yang diperoleh. Contoh penugasan konsultansi jenis advisory ialah: a.
reviu rancangan pengendalian dan pemberian masukan untuk perbaikan;
b.
pemberian input tentang rancangan suatu proses baru;
c.
reviu sistem komputer baru sebelum penerapannya;
d.
pemberian saran selama proses reviu due dilligence untuk kegiatan merger dan akuisisi.
Audit Internal
85
Keterbatasan sumber daya harus dipahami dengan baik terkait dengan penugasan yang dijalankan. Dengan demikian, fungsi auditor internal perlu memberi batasan dalam penugasan baik dalam hal lingkup penugasan maupun waktu. 2.
Memperoleh Persetujuan tentang Sasaran dan Ruang Lingkup dari Pemberi Penugasan Seperti dinyatakan dalam standar IIA 2201 C1, persetujuan sasaran dan lingkup penugasan harus mendapat persetujuan dari manajemen pemberi tugas (pelanggan). Kesepakatan ini perlu didokumentasikan dan direviu bersama dengan manajemen pemberi tugas agar tidak terjadi kesalahpahaman di kemudian hari. Selain itu, auditor perlu mendiskusikan output yang diharapkan dari hasil penugasan. Hal ini perlu agar auditor mampu memenuhi ekspektasi pemberi tugas.
3.
Memahami Lingkungan Penugasan dan Proses Bisnis yang Relevan Auditor akan berhasil dalam melaksanakan tugasnya jika dia memahami dengan baik di lingkungan mana organisasi kliennya berada. Hal ini karena perspektif yang luas dan cara pandang terhadap organisasi secara menyeluruh akan membantu auditor dalam memberikan nilai tambah bagi organisasi.
4.
Memahami Risiko‐risiko yang Relevan (jika diperlukan) Auditor internal yang memberikan saran tentang risiko dan manajemen risiko seharusnya memiliki pemahaman yang baik tentang toleransi organisasi dan pemberi tugas terhadap risiko.
5.
Memahami Rancangan Pengendalian (jika diperlukan) Dalam beberapa kejadian, auditor perlu memahami pengendalian tertentu. Penentuan pengendalian mana yang relevan membutuhkan judgement auditor. Sekali pengendalian yang relevan dipahami, pengendalian tersebut harus dikaitkan dengan risiko terkait yang teridentifikasi di langkah sebelumnya.
6.
Mengevaluasi Rancangan Pengendalian (jika diperlukan) Pengendalian yang teridentifikasi dalam langkah sebelumnya perlu dievaluasi, jika hal itu relevan dengan penugasan konsultansi yang dilaksanakan.
86
2014 |Pusdiklatwas BPKP
7.
Menentukan pendekatan pelaksanaan penugasan Pendekatan penugasan harus dirancang untuk mencapai sasaran penugasan konsultansi untuk pemberian saran. Hal ini mencakup penetapan auditor internal atas sifat, waktu dan kecukupan bukti dan prosedur yang perlu dilakukan untuk memperoleh bukti.
8.
Mengalokasikan Sumber Daya untuk Penugasan Alokasi sumber daya memperhatikan kemampuan (pengetahuan, kelahlian dan ketrampilan) dan pengalaman kerja auditor. Hal ini perlu untuk mempercepat dan meyakinkan bahwa penugasan dapat mencapai sasaran penugasan yang telah ditetapkan.
E.
PELAKSANAAN PENUGASAN KONSULTANSI
Setiap kegiatan penugasan konsultansi memiliki langkah yang berbeda, beberapa prosedur yang dilaksanakan dalam penugasan tersebut mencakup: 1.
pemahaman isu‐isu manajemen yang berkaitan dengan area yang sedang direviu;
2.
perolehan informasi;
3.
melakukan prosedur analitis;
4.
mereviu berbagai dokumen, termasuk struktur organisasi, bagan arus proses, dan prosedur standar (SOP);
5.
penggunaan teknik audit berbantuan komputer;
6.
pemahaman pengendalian dan penetapan pengendalian yang perlu ditingkatkan; dan
7.
evaluasi efisiensi pengendalian yang ada.
Dapat tidaknya prosedur tersebut diaplikasikan tergantung pada sifat penugasan konsultansi. 1.
Pengumpulan dan Evaluasi Bukti Audior harus memperoleh bukti yang cukup untuk mendukung ketercapaian sasaran penugasan. Auditor mengevaluasi bukti dan menetapkan jenis saran yang akan diberikan. Evaluasi bukti perlu didokumentasikan ke dalam kertas kerja.
Audit Internal
87
2.
Penyusunan Saran Penting untuk dipastikan bahwa saran yang diberikan untuk mencapai sasaran yang ditetapkan dalam penugasan, dapat dimengerti oleh klien, dan dapat dilaksanakan. Saran harus mengindikasikan secara jelas bahwa apa yang diperlukan klien dapat dicapai.
F.
KOMUNIKASI DAN TINDAK LANJUT
Komunikasi hasil penugasan penting baik dalam penugasan assurance maupun konsultansi. Ada kesamaan dan ada pula perbedaannya. Berikut adalah langkah‐langkah komunikasi. 1.
Menentukan Sifat dan Bentuk Komunikasi dengan Pemberi Tugas Komunikasi dalam penugasan konsultansi dapat berbagai bentuk. Tergantung dari sifat penugasan dan ekspektasi klien, komunikasi dapat lebih informal jika dibandingkan dengan penugasan assurance misal cukup dengan presentasi, memorandum atau e‐mail.
2.
Melakukan Pembahasan Saran dengan Manajemen Ada kemungkinan suatu hal mempengaruhi ketepatan saran yang diberikan oleh auditor kepada kliennya. Oleh karena itu, saran perlu dipahami oleh klien, dan dapat diimplementasikan secara efektif.
3.
Melaksanakan Komunikasi Interim dan Komunikasi Awal Penugasan Penugasan konsultansi sangat sensitivitas terhadap waktu, hal ini mengakibatkan perlunya melakukan komunikasi segera dan sesering mungkin.
4.
Membangun Komunikasi Akhir Hasil Penugasan Formal atau tidaknya bentuk komunikasi, selain tergantung dari jenis jasa yang diberikan (konsultansi atau assurance) juga tergantung kepada kesepakatan antara auditor dengan klien tentang materi apa yang akan disampaikan.
5.
Mendistribusikan Komuniksi Akhir Hasil Penugasan Komunikasi akhir penugasan konsultansi disampaikan kepada pihak yang menerima jasa fungsi auditor internal.
88
2014 |Pusdiklatwas BPKP
6.
Melaksanakan Pemantauan dan Tindak Lanjut (jika diperlukan) Kegiatan pemantauan dan tindak lanjut dalam jasa konsultansi bisa dilakukan selama proses penugasan. Dengan demikian, maka kemungkinan kegiatan pemantauan dan tindak lanjut tidak diperlukan lagi, mengingat selama penugasan telah langsung dilakukan perbaikan.
G.
PERUBAHAN JASA KONSULTANSI
Kegiatan auditor intern sebelumnya berfokus pada jasa assurance. Adanya perubahan paradigma menuntut auditor selain memberikan jasa assurance juga memberikan jasa konsultansi. Hal ini berimplikasi perlunya perubahan mindset auditor. Auditor internal dituntut untuk memberikan nilai tambah dari hasil kerjanya. Nilai hasil kerja auditor internal akan bertambah jika sanggup mendorong pencapaian tujuan organisasi, memudahkan peningkatan di bidang operasional, dan/atau mengurangi risiko. Hal ini dimungkinkan karena auditor internal memiliki pengetahuan dan keahlian di bidang tata kelola, manajemen risiko dan pengendalian.
H.
KAPABILITAS YANG DIPERLUKAN
Secara khusus, auditor internal yang melaksanakan kegiatan konsultansi diharapkan memiliki kemampuan sebagai berikut. 1.
Memiliki keahlian memfasilitasi dan kolaborasi.
2.
Memiliki pengalaman tugas secara umum maupun keahlian spesifik.
3.
Mampu membangun hubungan baik dengan cepat dan memiliki keahlian interpersonal yang kuat.
4.
Mampu berpikir analitis dalam menyelesaikan masalah‐masalah yang tidak terstruktur.
5.
Mampu belajar dan beradaptasi secara cepat di tengah lingkungan yang dinamik.
6.
Mampu memproses dan merespon informasi secara cepat. ~
Audit Internal
89
90
2014 |Pusdiklatwas BPKP
Bab VII PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI Indikator Keberhasilan Setelah mempelajari bab ini, diharapkan para peserta diklat memiliki pengetahuan mengenai sistem teknologi informasi dalam melaksanakan kegiatan audit intern.
A.
PERKEMBANGAN TEKNOLOGI INFORMASI
Komputer bukan lagi barang baru bagi masyarakat dewasa ini. Dari televisi, AC, DVD Player dan peralatan elektronik lainnya dikendalikan oleh microchip, otak komputer. Tapi, sayang sekali auditor internal belum memanfaatkan komputer dalam melakukan tugasnya. Saat ini komputer bagi sebagian besar auditor masih sebagai pengganti mesin ketik, yang hanya digunakan untuk aplikasi word processor (MS Word) dan spreadsheet (MS Excel). Berbagai alasan yang biasa digunakan, misalnya ”Saya bukan auditor sistem informasi”, atau ”Dengan cara begini juga bisa”. Walaupun demikian, kita tidak dapat menutup mata akan kemampuan komputer jika digunakan sesuai kemampuannya. Pada bab terdahulu sudah disinggung keuntungan memanfaatkan komputer dalam mendapat berbagai informasi dengan mudah dari proses e‐procurement. Ditengah perkembangan teknologi yang pesat seperti sekarang ini, auditor harus mulai meninggalkan tehnik audit manual. Gambaran auditor dengan kaca mata tebal, dengan kalkulator di tangan dan tenggelam di tumpukan dokumen, saat ini seharusnya sudah tidak ada lagi. Perkembangan teknologi telah masuk kerumah, kantor dan sekolah. Sudah saatnya perkembangan teknologi dimanfaatkan dalam dunia auditor internal.
B.
PEMANFAATAN TEKNOLOGI INFORMASI OLEH ORGANISASI PEMERINTAH
Teknologi informasi telah mengubah cara penyimpanan, pemrosesan dan pengolahan data transaksi. Perkembangan teknologi membuat komputer makin cepat, efisien, mampu menyimpan memory dalam jumlah besar dan mampu melakukan kalkulasi yang rumit. Hal ini
Audit Internal
91
telah dimanfaatkan diberbagai bidang. Dalam bidang akuntansi, komputer telah memfasilitasi penyelenggaraan akuntansi dan penyusunan laporan keuangan. Perubahan dari akuntansi manual ke akuntansi berbasis komputer dapat dilihat dalam gambar berikut. Sistem akauntansi manual
Bukti Transaksi
Jurnal
Buku Besar
Neraca Saldo
Laporan Keuangan
Buku Pembantu
Sistem akuntansi Berbasis Komputer
Bukti Transaksi
Aplikasi Komputer
Laporan Keuangan
Gambar 7. 1 Sistem Akuntansi Manual dan Sistem Akuntansi Berbasis komputer
Perbedaan karakteristik pemrosesan secara manual dan pemrosesan komputer antara lain sebagai berikut. 1.
Jejak‐jejak transaksi (transaction trails) pemrosesan manual sangat berbeda dengan pemrosesan komputer. Jejak transaksi manual berupa ”kertas” dengan paraf, tanda tangan dan tanda thick mark. Jejak pemrosesan komputer tidak tampak dalam bentuk kertas namun tersedia dalam bentuk yang dapat dibaca komputer.
2.
Pemrosesan transaksi secara seragam (uniform processing of transaction). Pemrosesan komputer menempatkan transaksi sejenis pada instruksi pemrosesan yang sama. Sehingga menghilangkan terjadinya kesalahan tulis yang biasa terjadi pada proses manual. Sebaliknya, kesalahan proses komputer akan mengakibatkan kesalahan seragam pada transaksi yang sama.
92
2014 |Pusdiklatwas BPKP
Instansi pemerintah pusat sudah wajib untuk menerapkan aplikasi sistem akuntansi instansi (SAI), sistem informasi manajemen akuntansi barang milik negara (SIMAK BMN), dan berbagai aplikasi lainnya. Instansi pemerintah daerah tidak mau ketinggalan, berbagai aplikasi sudah diterapkan. Aplikasi pengelolaan keuangan untuk pemerintah daerah cukup beragam, misalnya sistem informasi manajemen daerah (SIMDA), sistem informasi pengelolaan keuangan daerah (SIPKD) dan sistem informasi manajemen keuangan daerah (SIMKADA) dan aplikasi lainnya. Perkembangan ini memunculkan berbagai implikasi, misalnya berkurangnya dokumen dalam bentuk kertas dan munculnya risiko‐risiko baru terkait penggunaan sistem informasi.
C.
PEMANFAATAN TEKNOLOGI INFORMASI BAGI AUDITOR INTERNAL
International Standards for the Professional Practice of Internal Auditing (IPPF‐2013), pada point 1220.A2 menyatakan bahwa : “In exercising due professional care internal auditors must consider the use of technology‐ based audit and other data analysis techniques”. Auditor internal harus mempertimbangkan untuk melakukan audit berbasis teknologi dan teknik analisis data lainnya. Menurut Webber (2000), terdapat beberapa alasan mengapa auditor internal harus memberi perhatian lebih pada pemanfaatan teknologi informasi organisasi, antara lain sebagai berikut. 1.
Adanya Risiko Kehilangan dan Kebocoran Data Data telah menjadi sumber daya penting bagi organisasi. Kehilangan data dapat disebabkan karena virus, kerusakan server, hacker dan sebab lainnya. Hal ini akan menimbul kerugian organisasi dan kemungkinan tuntutan pihak ketiga.
2.
Kesalahan Pengambilan Keputusan Saat ini telah banyak organisasi memanfaatkan teknologi informasi untuk membantu pengambilan keputusan dengan memanfaatkan aplikasi Decission Support Systems (DSS).
3.
Penyalahgunaan Komputer Kecurangan banyak terjadi melalui penyalahgunaan akses langsung maupun on line. Penyalahgunaan akses serta kejahatan dunia maya (cyber crime) oleh peretas jaringan (hackers dan crackers) dapat menimbulkan kerugian bagi organisasi.
Audit Internal
93
4.
Kerugian kesalahan Proses Kemampuan computer untuk melakukan proses rumit telah dimanfaatkan dalam proses bisnis organisasi. Namun bukan berarti hal ini tanpa risiko, terutama bila tidak dilakukan pengujian awal dan pengujian berkala.
5.
Tingginya Nilai Investasi TI Investasi yang dikeluarkan oleh organisasi untuk pengembangan teknologi informasi sangat besar. Audit sistem informasi dapat meningkatkan efektifitas investasi pada TI dimaksud.
Menurut ISACA (Information Systems Audit and Control Association) mendefinisikan “technology‐based audit” atau “Komputer Assisted Audit Technique (CAAT)” sebagai: automatisasi teknik audit, antara lain seperti Generalized Audit Software (GAS), pengujian data otomatis, audit program terkomputerisasi, dan audit sistem. Beberapa CAAT yang biasa digunakan antara lain Generalized Audit Software (GAS), yaitu software serbaguna yang dapat melakukan berbagai tugas auditor seperti pemilihan sample, pencocokan, penghitungan ulang dan pelaporan. Program aplikasi audit yang banyak tersedia di pasaran adalah ACL (Audit Command Language) dan IDEA (Interactive Data Extraction and Analysis). ACL dan IDEA dapat membantu auditor dalam mencari transaksi sesuai kriteria yang ditentukan dari ribuan transaksi yang ada. Dalam proses perencanaan, aplikasi ini dapat membantu auditor menentukan jumlah populasi, mendapat data anggaran, dan realisasi tahun ini dan tahun sebelumnya, serta membantu melakukan trend analisis. Hasilnya auditor internal dapat memahami kegiatan organisasi yang diaudit tanpa harus meninggalkan meja kerjanya. Pada tahap pelaksanaan penugasan, aplikasi audit dapat membantu dalam: 1.
melakukan pengujian dan control hubungan;
2.
menguji kontrol total;
3.
mengelompokkan biaya dan pendapatan per‐bulan, per‐lokasi, dan per‐sumber anggaran;
4.
memilih sample statistic; dan
5.
membuat judgmental samples sesuai risiko atau materialitas.
94
2014 |Pusdiklatwas BPKP
Auditor dapat menggunakan tiga pendekatan dalam melaksanakan audit, yaitu: audit sekitar komputer (auditing around computer); audit melalui komputer (auditing through computer); dan audit dengan komputer (auditing with computer). Tiga pendekatan tersebut secara garis besar dapat dikelompokkan dalam dua cara, yaitu audit dengan komputer (audit with computer) dan audit tanpa komputer (audit without computer), sebagai berikut. 1.
Audit Tanpa Komputer Audit ini sering disebut dengan auditing around computer. Dalam audit ini pengujian hanya dilakukan sebatas pada masukan dan keluaran komputer saja, sedangkan penilaian pemrosesan sistem informasi diabaikan. Auditor mendapatkan dokumen sumber dalam bentuk hard copy atau dalam bentuk soft copy yang mudah dibaca komputer (Microsoft Excel). Keunggulan metode ini terletak pada kesederhanaannya dan dapat dipelajari oleh auditor yang memiliki kemampuan minimal dalam bidang komputer. Dalam metode ini, auditor menguji pengendalian input, menentukan hasil yang diharapkan dan membandingkan output dengan hasil yang diharapkan.
2.
Audit dengan komputer Dalam audit ini, auditor memanfaatkan Computer Assisted Audit Techniques (CAAT). Bentuk awal pendekatan ini adalah pemanfaatan komputer sebagai alat untuk melakukan dokumentasi, perhitungan, perbandingan dan sebagainya. Audit ini menguji pemrosesan data oleh sistem aplikasi komputer auditi dengan auditing through computer. Untuk memeriksa program komputer, auditor memasukkan data kedalam komputer untuk diproses dan dianalisis hasilnya. Hasil teknik ini lebih dapat dipercaya dibandingkan dengan teknik audit di sekitar komputer. Namun demikian, teknik ini membutuhkan biaya dan tenaga ahli yang lebih berpengalaman.
Perkembangan selanjutnya, teknik audit ini mengarah pada penggunaan komputer dan software untuk mengotomatisasi prosedur audit. Software tersebut antara lain dapat dikelompokkan menjadi : Audit Internal
95
1.
Generalized Audit Software (GAS) GAS merupakan software audit serbaguna yang dapat digunakan untuk pemilihan data, pembandingan, perhitungan kembali dan pelaporan seperti ACL dan IDEA.
2.
Specialized Audit Software (SAS) SAS merupakan perangkat lunak yang dirancang secara khusus sesuai kebutuhan auditor untuk situasi audit tertentu. Meskipun pemrograman SAS dapat diserahkan pada programmer, namun auditor juga perlu memahami konsep pemrograman secara umum.
Contoh pemanfaatan teknologi informasi dalam audit antara lain sebagai berikut. Contoh 1 Audit pada Perusahaan Daerah Air Minum (PDAM) yang telah menggunakan Sistem Informasi Akuntansi PDAM (SIA‐PDAM). Dalam audit ini auditor dapat melakukan berbagai prosedur audit dengan bantuan teknologi informasi. Prosedur yang dapat dilakukan antara lain: 1.
membandingkan saldo‐saldo dalam laporan keuangan dengan buku besar dan transaksi pendukungnya;
2.
pengujian tagihan kepada pelanggan berdasarkan golongan kelompok pelanggan, tarif dan pemakaian air;
3.
merinci jumlah pelanggan sesuai kelompoknya; dan
4.
pengujian kebenaran penggunaan air.
Contoh 2 Audit pada satuan kerja yang telah menggunakan sistem informasi akuntansi (SAI pada instansi pemerintah pusat dan SIMDA pada instansi pemerintah daerah). Dalam audit ini auditor dapat melakukan prosedur audit berikut dengan bantuan teknologi informasi. 1.
Membandingkan saldo‐saldo dalam laporan keuangan dengan buku besar dan transaksi pendukungnya.
2.
Menguji pencatatan belanja modal dengan daftar aset tetap.
3.
Merinci realisasi belanja per jenis belanja, per urusan (untuk pemerintah daerah) dan per fungsi/sub fungsi (untuk pemerintah pusat).
96
2014 |Pusdiklatwas BPKP
Contoh 3 Sebagaimana dicontohkan pada bab sebelumnya, audit atas proses PBJ yang sudah dilaksanakan dengan metode e‐procurement, melalui LPSE (lembaga pengadaan secara elektronik), auditor dapat memperoleh informasi dan melakukan pengujian terkait proses PBJ, misalnya : 1.
harga perkiraan sendiri (HPS);
2.
dokumen pengadaan (spesifikasi dan syarat‐syarat lain);
3.
peserta yang mendaftar dan peserta yang melakukan penawaran;
4.
tanya jawab yang terjadi dalam proses pemberian penjelasan; dan
5.
hasil evaluasi kualifikasi, teknis dan harga. ~
Audit Internal
97
98
2014 |Pusdiklatwas BPKP
Daftar Pustaka
Alkafaji, Yass. et.al. 2010. The IIA’s Global Internal Audit Survey: A Component of the CBOK Study Characteristics of an Internal Audit Activity. Coderre, David. 2009. Internal Audit: Efficiency through Automation. Griffiths, David. 2010. Risk Based Internal Auditing. A Compilation. Griffiths, David. 2010. Risk Based Internal Auditing. An Implementation. Griffiths, David. 2010. Risk Based Internal Auditing. An Introduction. Kastowo, Marno. 2013. Teknologi Informasi dan Sistem Akuntansi Instansi. Moeller, Robert R. Brink’s Modern Internal Auditing, A Common Body of Knowledge. 7th Edition, 2009. Pickett, K. H. Spencer. 2003. The Internal Auditing Handbook. 2nd Edition. Pusat Pendidikan dan Pelatihan Pengawasan BPKP. 2009. Audit Berbasis Risiko ‐ Perencanaan Mikro. Pusat Pendidikan dan Pelatihan Pengawasan BPKP. 2009. Auditing. Pusat Pendidikan dan Pelatihan Pengawasan BPKP. 2011. Perencanaan Penugasan Audit. Reding, Kurt F. et.al. 2009. Internal Auditing: Assurance and Consulting Services. 2nd Edition. The Institute of Internal Auditors – UK and Ireland. 2003. An Approach to Implementing Risk Based Internal Auditing: Professional Guidance for Internal Auditors. The Institute of Internal Auditors. 2012. International Standards for The Professional Practice of Internal Auditing (Standards).
Audit Internal
99
100
2014 |Pusdiklatwas BPKP
