Audit Internal

AUDIT INTERNAL

BAB I PENDAHULUAN

A. LATAR BELAKANG Pergeseran Peran Auditor

Watch Dog

Konsultan & Katalis

A. LATAR BELAKANG Aktivitas audit internal dirancang untuk:

Memberikan nilai tambah

Meningkatkan operasi organisasi

A. LATAR BELAKANG Audit Evaluasi Assurance Reviu Pemantauan

Lingkup tugas Auditor Internal

Asistensi Bimbingan Teknis Konsultansi Konsultan Lainnya

B. KOMPETENSI DASAR

“Setelah mempelajari modul ini peserta diklat diharapkan mampu menjelaskan konsepsi pelaksanaan audit intern.”

C. INDIKATOR KEBERHASILAN Memiliki pengetahuan mengenai prinsip-prinsip audit kinerja, audit atas aspek keuangan tertentu, audit untuk tujuan tertentu, dan audit khusus/ investigasi/berindikasi tindak pidana korupsi. Memiliki pengetahuan mengenai prinsip-prinsip kegiatan pengawasan lain. Memiliki pengetahuan mengenai praktik-praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. Memiliki pengetahuan mengenai sistem teknologi informasi dalam melaksanakan kegiatan audit intern. Memiliki pengetahuan mengenai metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain.

D. SISTEMATIKA MODUL 1. Bab I Pendahuluan 2. Bab II Gambaran Umum 3. Bab III Perencanaan Penugasan Assurance 4. Bab IV Pelaksanaan Penugasan Assurance 5. Bab V Pelaporan Penugasan Assurance 6. Bab VI Penugasan Konsultansi 7. Bab VII Pengaruh Perkembangan Teknologi I nformasi 8. Bab VIII Simpulan

E. METODE PEMBELAJARAN

Ceramah

Tanya jawab & diskusi

Latihan

BAB II GAMBARAN UMUM

Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai prinsip-prinsip audit kinerja, audit atas aspek keuangan tertentu, audit untuk tujuan tertentu, dan audit khusus/ investigasi/berindikasi tindak pidana korupsi. Serta memiliki pengetahuan mengenai prinsip-prinsip kegiatan pengawasan lain, antara lain kegiatan sosialisasi mengenai pengawasan, pendidikan dan pelatihan pengawasan, pembimbingan dan konsultansi, pengelolaan hasil pengawasan, dan pemaparan hasil pengawasan.

A. PENGERTIAN INTERNAL AUDIT Pengawasan intern adalah seluruh proses kegiatan audit, reviu, pemantauan, evaluasi, dan kegiatan pengawasan lainnya berupa asistensi, sosialisasi dan konsultansi terhadap penyelenggaraan tugas dan fungsi organisasi dalam rangka memberikan keyakinan yang memadai bahwa kegiatan telah dilaksanakan sesuai dengan tolok ukur yang telah ditetapkan secara efektif dan efisien untuk kepentingan pimpinan dalam mewujudkan kepemerintahan yang baik. (Standar APIP)

A. PENGERTIAN INTERNAL AUDIT Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. (The Institute of Internal Auditor’s)

A. PENGERTIAN INTERNAL AUDIT Audit Pendekatan sistematis dan disiplin

Membantu organisasi mencapai tujuannya

Internal

Kata kunci Internal Audit

Independen

Assurance

Konsultansi

B. PERUBAHAN PARADIGMA APIP URAIAN

WATCHDOG

CONSULTANT

CATALYST

Proses

Audit kepatuhan (Compliance Audit)

Audit operasional

Assurance

Fokus

Adanya Variasi (penyimpangan, kesalahan atau kecurangan dll)

Penggunaan sumber daya (resources)

Nilai (Values)

Impact

Jangka pendek

Jangka menengah

Jangka panjang

C. PERKEMBANGAN RISK BASED AUDIT

Risk Management

Risk Maturity Level

Risk Register (Daftar Risiko)

TAHAPAN PENETAPAN PETA OBYEK AUDIT

Audit Universe (Peta Obyek Audit)

“kemungkinan kejadian yang mengancam pencapaian tujuan instansi pemerintah.” (Peraturan Pemerintah Nomor 60 Tahun 2008 tentang SPIP)

RISK MANAGEMENT: “Serangkaian proses sejak identifikasi, analisis, pengelolaan, dan pengendalian risiko untuk memberikan keyakinan yang memadai tentang pencapaian tujuan.” Langkah penilaian risiko: Identifikasi & Analisis

RISK MATURITY LEVEL: “tingkatan sejauh mana Manajemen Risiko telah diadopsi dan diterapkan di seluruh organisasi untuk mengidentifikasi, menganalisis, menentukan response risiko dan melaporkan peluang/ancaman yang dapat mempengaruhi pencapaian tujuan organisasi.”

Tujuan organisasi Kertas kerja penilaian risiko

Langkah untuk mengetahui Risk Maturity Level

Wawancara dengan Pimpinan Organisasi

Tingkat risk appetite

Mengumpulkan informasi/bukti

Prosedur identifikasi risiko Bukti bahwa pengambilan keputusan mempertimbangkan risiko Daftar risiko organisasi

Dokumen lain

RISK MATURITY MODEL

Sumber: http://www.collectionscanada.gc.ca/audits-evaluations/012014-257-e.html

RISK MATURITY DAN PENDEKATAN AUDIT INTERNAL Risk Maturity

Karakteristik kunci

Pendekatan Internal Audit

Risk Naive

Organisasi belum menerapkan Manajemen Risiko secara formal

Memfasilitasi organisasi membangun manajemen risiko. Auditor melakukan penilaian risiko dengan keterlibatan manajemen.

Risk Aware

Penerapkan Manajemen Risiko Organisasi secara acak (scattered silo approach)

Memfasilitasi organisasi membangun manajemen risiko. Auditor melakukan penilaian risiko dengan keterlibatan manajemen.

Risk Defined

Strategi dan kebijakan manajemen risiko telah dikomunikasikan dan tingkatan risiko yang dapat ditolerir (risk appetite) telah ditetapkan

Memfasilitasi penyempurnaan manajemen risiko. Audit memanfaatkan hasil penilaian risiko yang dilakukan manajemen

Risk Managed

Risk manajemen telah diterapkan dan dan telah dikomunikasikan ke seluruh anggota organisasi.

Penekanan audit pada proses manajemen risiko. Perhatian khusus diberikan untuk memverifikasi pemantauan risiko utama.

Risk Enabled

Organisasi telah mengintegrasikan manajemen risiko dan internal control

Penekanan audit pada proses manajemen risiko. Perhatian khusus diberikan untuk memverifikasi pemantauan risiko utama.

DAFTAR RISIKO (RISK REGISTER) • Dari hasil penilaian risk maturity, dapat diperoleh daftar risiko (risk register) organisasi. • Dalam konteks kondisi manajemen risiko yang masih naive dan aware, daftar ini dapat diperoleh dari hasil fasilitasi penyusunan risk register. • Bila manajemen risiko organisasi telah mencapai level managed dan enabled, auditor dapat menggunakan daftar risiko yang dihasilkan manajemen.

Audit Universe (peta audit) merupakan daftar semua kemungkinan audit yang dapat dilakukan yang dapat dimanfaatkan untuk perencanaan audit jangka panjang (lebih dari satu tahun), menyusun strategi audit, dan aktivitas audit lainnya.

AUDIT?

INFORMASI DALAM AUDIT UNIVERSE • Risiko yang telah teridentifikasi dan telah dilengkapi dengan score. • Tujuan yang terancam oleh masing-masing risiko. • Pemilik Risiko (risk owner). • Pengendalian yang diterapkan oleh manajemen. • Simpulan hasil audit sebelumnya mengenai efektifitas pengendalian setiap risiko. • Informasi mengenai audit-audit yang telah dan akan dilakukan. • Informasi lain terkait pengendalian dan risiko.

D. KEGIATAN ASSURANCE DAN KONSULTANSI

PERAN AUDITOR INTERNAL

ASSURANCE KONSULTANS I

KEGIATAN ASSURANCE • Pemeriksaan bukti-bukti secara obyektif untuk memberikan penilaian independen tentang manajemen risiko, pengendalian, dan proses tata kelola. • Contohnya dapat berupa penugasan terkait keuangan, kinerja, ketaatan, dan keamanan sistem (International Standards for the Professional Practice of Internal Auditing (IPPF-2013))

KEGIATAN KONSULTANSI • Pemberian saran terkait aktivitas organisasi. Sifat dan lingkup penugasan disepakati bersama untuk memberikan nilai tambah dan perbaikan risiko, pengendalian, dan proses tata kelola organisasi. • Contohnya dapat berupa konsultansi, pemberian saran, fasilitasi dan pelatihan. (International Standards for the Professional Practice of Internal Auditing (IPPF-2013))

PERBEDAAN ASSURANCE DAN KONSULTANSI

PIHAK YANG TERLIBAT

ASSURANCE

KONSULTANSI

Auditi, auditor internal, dan penerima manfaat

Manajemen dan Auditor Internal

STANDAR PELAKSANAAN

TUJUAN KEGIATAN

PENYAMPAIAN HASIL

Sdh. Diatur dalam Standar Audit APIP

Memberikan penilaian independen, dg. lingkup menurut auditor

Jenis informasi & format laporan relatif sama

Memberikan saran, pelatihan dan fasilitasi

Jenis inforasi & format laporan tergantung jenis & lingkup penugasan yg disepakati

Blm. Diatur dalam Standar Audit APIP

JENIS KEGIATAN ASSURANCE DAN KONSULTANSI

DERAJAT ASSURANCE

Jenis Penugasan

Derajat Assurance

Jumlah Bukti Dikumpul kan

Audit

Tinggi

Banyak

Positif

Reviu

Sedang

Cukup Banyak

Negatif

Assurance Lain

Bervariasi

Bervariasi

Negatif

Sifat Assurance

POSITIVE ASSURACE • Positive assurance (biasa disebut reasonable assurance/jaminan memadai) diberikan oleh auditor internal untuk memberikan keyakinan bahwa informasi yang diaudit telah sesuai dengan kriteria/ketentuan. • Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam bentuk : “Dari hasil audit yang telah dilakukan, disimpulkan bahwa pelaksanaan tugas dan fungsi Satker XYZ telah dilaksanakan dengan efektif dalam mencapai tujuan organisasi”.

NEGATIVE ASSURANCE • Negative assurance/jaminan terbatas yang diberikan oleh auditor ‘hanya’ memberi keyakinan bahwa tidak ditemukan adanya penyimpangan/bukti adanya penyimpangan dari kriteria yang digunakan. • Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam bentuk : “Dari hasil evaluasi yang telah dilakukan, tidak ditemukan bukti bahwa pelaksanaan tugas dan fungsi Satker XYZ dilaksanakan dengan tidak efektif”.

E. TAHAPAN PENUGASAN AUDIT INTERNAL

TAHAPAN PENUGASAN ASSURANCE

PERENCANAAN

PELAKSANAAN

PELAPORAN

• Penetapan tujuan dan lingkup penugasan • Pemahaman auditi • Identifikasi dan penilaian riitsiko • Identifikasi pengendalian kunci • Evaluasi pengendalian • Penyusunan rencana pengujian • Penyusunan program audit • Pengalokasian sumber daya

• Pengujian dan pengumpulan bukti • Evaluasi bukti dan pengambilan kesimpulan • Pengembangan temuan dan rekomendasi

• Penyampaian simpulan sementara • Penyusunan laporan • Distributi laporan • Monitoring tindak lanjut

TAHAPAN PENUGASAN KONSULTANSI

PERENCANAAN

PELAKSANAAN

PELAPORAN

• Penentuan tujuan dan lingkup • Permintaan persetujuan tujuan dan lingkup penugasan dari manajemen • Pemahaman lingkup penugasan dan proses bisnis • Pemahaman risiko yang terkait (jika diperlukan) • Pemahaman pengendalian terkait (jika diperlukan) • Evaluasi desain pengendalian • Penyusunan rencana penugasan • Pengalokasian sumber daya

• Penugasan Advisory • Pengumpulan dan evaluasi bukti • Penyusunan saran • Penugasan Training dan Fasilitative • Penyusunan bahan fasilitasi/training • Pelaksanaan fasiliasi/training • Evaluasi efektivitas

• Penyampaian simpulan sementara • Penyusunan laporan • Distributi laporan • Monitoring tindak lanjut (jika diperlukan)

BAB III PERENCANAAN PENUGASAN ASSURANCE AUDIT INTERNAL

Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai praktik-praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. (2.8) dan memiliki pengetahuan mengenai metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. (2.6)

PENUGASAN ASSURANCE YANG TAHAPANNYA TELAH DIATUR SECARA KHUSUS •

Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (AKIP)  Peraturan Menteri Pendayagunaan Aparatur Negara Dan Reformasi Birokrasi Nomor 20 Tahun 2013 tentang Perubahan Lampiran Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 25 Tahun 2012 Tentang Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah.

•

Audit Investigatif  Peraturan Menteri Pendayagunaan Aparatur Negara (Permen PAN) Nomor PER/05/M.PAN/03/2008 tentang Standar Audit Aparat Pengawasan Internal Pemerintah dan Peraturan Kepala BPKP Nomor PER-1314/K/D6/2012 tentang Pedoman Penugasan Bidang Investigasi (PPBI)

•

Reviu Laporan Keuangan  Peraturan Menteri Keuangan Nomor 41/PMK.09/2010 tentang Standar Reviu atas Laporan Keuangan Kementerian Negara/Lembaga dan Peraturan Menteri Dalam Negeri nomor 4 tahun 2008 tentang Pedoman Pelaksanaan Reviu atas Laporan Keuangan Pemerintah Daerah

A. PENETAPAN TUJUAN DAN LINGKUP • Tujuan > Apa yang akan dicapai • Lingkup penugasan > Apa yang akan diuji

AUDIT (POSITIVE ASSURANCE) BERDASARKAN TUJUANNYA

Audit Keuangan

• Memberi opini atas laporan keuangan

Audit Kinerja

• Menilai efektifitas dan efisiensi program/kegiatan, serta ketaatan pada peraaturan

Audit Investigasi

• Mengungkapkan terjadi atau tidaknya suatu perbuatan yang melawan hukum

PEMBERIAN KEYAKINAN TERBATAS (NEGATIVE ASSURANCE) BERDASARKAN TUJUANNYA

Reviu

• Penelaahan ulang bukti-bukti suatu kegiatan yang bertujuan untuk memastikan bahwa kegiatan telah dilaksanakan sesuai dengan ketentuan

Pemantauan

• Menilai kemajuan suatu program/kegiatan dalam mencapai tujuan yang telah ditetapkan

Evaluasi

• Membandingkan hasil/prestasi suatu kegiatan dengan standar, rencana, atau norma

B. PEMAHAMAN PROSES KERJA AUDITI PEMAHAMAN TERHADAP: • TUJUAN ORGANISASI • PROSES KERJA • AREA YANG MENJADI LINGKUP PENUGASAN

SUMBER DATA DALAM MEMAHAMI AUDITI • • • •

Renstra Kebijakan Prosedur Baku Uraian tugas masing-masing pegawai yang terlibat • Process Map/Flow Chart keseluruhan proses • Dokumentasi lain misalnya laporan efektifitas internal control

PROSEDUR ANALITIS DALAM MEMAHAMI AUDITI • Membandingkan data tahun ini dengan data tahun sebelumnya • Analisis rasio, misalnya tingkat penyerapan anggaran (realisasi/anggaran) • Mengukur tingkat kemandirian keuangan pemerintah daerah (PAD/total pendapatan) • Mengukur tingkat capaian kinerja, baik kinerja keuangan maupun kinerja non keuangan

C. IDENTIFIKASI DAN PENILAIAN RISIKO • Untuk mengidentifikasi dan menilai risiko, auditor memerlukan informasi tentang risiko. • Informasi mencakup risk maturity level, proses manajemen risiko yang dilaksanakan organisasi, dan risiko yang dihadapi organisasi. • Informasi yang dihadapi organisasi tertuang pada daftar risiko. (rujuk kembali slide 23 di Bab II > keterkaitan antara Risk Maturity Level dengan pendekatan audit internal dlm. mengidentifikasi dan menilai risiko)

IDENTIFIKASI RISIKO • Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu risiko dapat terjadi, sebelum risiko timbul dan berdampak negatif terhadap pencapaian tujuan. • Identifikasi dilakukan melalui wawancara dengan para pihak yang terkait dengan kegiatan yang dinilai risikonya, evaluasi dokumen, pengamatan dan pendekatan lainnya untuk menggali risiko yang ada. • Hasil identifikasi risiko adalah suatu daftar risiko-risiko yang berpotensi mengancam pencapaian tiap tujuan organisasi.

SUMBER RISIKO • Faktor Internal antara lain infrastruktur organisasi, personil, proses bisnis dan kondisi teknologi organisasi.

• Faktor Eksternal antara lain perubahan ekonomi, bencana alam, peristiwa politik, perubahan sosial dan perkembangan teknologi. (COSO - Enterprise Risk Management (2004))

FORMAT HASIL IDENTIFIKASI RISIKO

PENILAIAN RISIKO • Penilaian risiko pada dasarnya merupakan penentuan tingkat kemungkinan terjadinya risiko serta pengaruh/akibat yang harus ditanggung oleh entitas/organisasi. • Unsur penaksiran risiko: – Dampak risiko (consequences/impact) – Kemungkinan terjadinya (likelihood/probability)

PENGUKURAN RISIKO • Dampak dan kemungkinan terjadinya risiko dapat diukur secara kuantitatif atau kualitatif. • Contoh: – Dampak: Sangat Besar (5), Besar (4), Menengah (3), Kecil (2) dan Sangat Kecil (1). – Kemungkinan terjadinya: (5) hampir pasti, (4) cenderung terjadi, (3) mungkin terjadi, (2) kadangkadang terjadi dan (1) sangat jarang terjadi.

RISIKO SEBELUM DAN SESUDAH PENANGANAN

INHERENT RISK

INTERNAL CONTROL

RESIDUAL RISK

PENGENDALIAN MITIGATIVE DAN PREVENTIVE

CONTOH FORMAT HASIL PENILAIAN RISIKO

CONTOH PETA RISIKO P r o b a b il i t a s

5 4 3 2

IR

1

RR

1

2

IR = Inherent Risk RR=Residual Risk

3 Dampak

4

5

D. IDENTIFIKASI PENGENDALIAN KUNCI  mengidentifikasi pengendalian yang paling berperan untuk menekan risiko sampai di level yang dapat diterima.

AKTIVITAS PENGENDALIAN

• Pengujian • Persetujuan kelengkapan (approving) • Perhitungan/Perhit dokumen/bukti ungan ulang angka • Pencocokan dan pembandigan dua • Dokumentasi dokumen • Monitoring

• Pembatasan kegiatan • Pemisahan kewenangan • Supervisi/pengara han dan waskat

KARAKTERISTIK PENGENDALIAN KUNCI • Kegagalan pengendalian kunci dapat berdampak material terhadap pencapaian tujuan organisasi karena tidak dapat segera dideteksi oleh pengendalian lain • Berfungsinya pengendalian kunci dapat mencegah kegagalan pengendalian lain sebelum berdampak material. (COSO Internal Control — Integrated Framework Guidance on Monitoring)

E. EVALUASI PENGENDALIAN • Internal auditor harus memastikan bahwa pengendalian kunci telah didesain dengan baik untuk menekan risiko di level yang dapat diterima. • Hal-hal yang harus difahami auditor: – Tingkatan risiko yang dapat diterima manajemen (acceptable level) sesuai tingkatan selera risiko manajemen (risk appetite). – Apakah risiko ditangani oleh satu (individually) atau beberapa (collectively) pengendalian kunci . – Apakah ada pengendalian tambahan (compensating control) dari proses lain yang turut menekan risiko ke level yang dapat diterima. – Apakah desain pengendalian kunci, jika berjalan efektif, dapat menekan risiko ke level yang dapat diterima.

F. PENYUSUNAN RENCANA PENGUJIAN • Internal auditor harus mendisain teknik memperoleh bukti-bukti untuk mencapai tujuan audit. • Rencana pengujian termasuk sifat pengujian, waktu dan prosedur yang diperlukan dalam mendapatkan bukti.

JENIS/GOLONGAN BUKTI Bukti pengujian fisik Bukti dokumen Bukti analisis Bukti keterangan

TEKNIK AUDIT YANG UMUM DIGUNAKAN Analisis

Cross footing

Observasi/pengamatan

Vouching

Permintaan informasi

Trasir

Evaluasi

Scanning

Investigasi

Rekonsiliasi

Verifikasi

Konfirmasi

Cek

Pembandingan

Uji/Test

Inventarisasi/opname

Footing

Inspeksi

G. PENYUSUNAN PROGRAM KERJA • Program Kerja Audit (PKA) adalah rancangan prosedur dan teknik audit yang disusun secara sistematis yang harus diikuti/dilaksanakan oleh auditor dalam kegiatan audit untuk mencapai tujuan audit. • Isi PKA secara umum : prosedur audit, dilaksanakan oleh, waktu yang diperlukan, dan nomor Kertas Kerja Audit (KKA). • Penyusunan PKA melalui tahap matriks risiko dan pengendalian.

MATRIKS RISIKO DAN PENGENDALIAN Risiko Risiko A

Risiko B

Risiko A

Pengendalian Kunci  Pengendalian A

Prosedur Pengujian  Prosedur A

 Pengendalian B

 Prosedur B

 Pengendalian C

 Prosedur C

 Pengendalian D

 Prosedur D

 Pengendalian E

 Prosedur E

 Pengendalian F

 Prosedur F

 Pengendalian G

 Prosedur G

 Pengendalian H

 Prosedur H

 Pengendalian I

 Prosedur I

CONTOH FORMAT PKA

H. PENGALOKASIAN SUMBER DAYA • Pengalokasian sumber daya dilakukan untuk menentukan jumlah waktu, biaya dan jadwal yang diperlukan agar penugasan dapat diselesaikan tepat waktu. • Hasil dari tahap ini adalah alokasi hari pengawasan (HP) masing-masing auditor, alokasi biaya per auditor dan jenis pengujian yang akan dilakukan.

BAB IV PELAKSANAAN PENUGASAN AUDIT INTERNAL

Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai praktik-praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. (2.8) dan memiliki pengetahuan mengenai metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. (2.6)

A. PENGUJIAN DAN PENGUMPULAN BUKTI

Dalam setiap pengujian yang dilakukan, hasilnya didokumentasikan ke dalam Kertas Kerja Audit (KKA).

KKA adalah catatan (dokumentasi) yang dibuat oleh auditor mengenai bukti-bukti yang dikumpulkan, berbagai teknik dan prosedur audit yang diterapkan, serta simpulansimpulan yang dibuat selama melakukan . Bisa dibuat sendiri oleh auditor atau berupa salinan (auditor’s copy)

DOKUMEN KKA • Dokumen dapat berbentuk kertas foto/film/gambar, kaset rekaman, atau file komputer. • Sumber dokumen KKA dapat berasal dari auditi, pihak di luar auditi/instansi lainnya, maupun dari pihak auditor.

KKA yang baik harus mencerminkan: • Kegiatan audit mulai dari perencanaan, survai pendahuluan, evaluasi pengendalian manajemen, pengujian substantif, sampai dengan pelaporan dan tindak lanjut hasil audit. • Langkah-langkah audit yang ditempuh, pengujian yang dilakukan, informasi yang diperoleh dan simpulan-simpulan hasil audit.

TUJUAN PENYUSUNAN KKA • • • • • • • •

• •

Menghubungkan audit yang dilaksanakan dengan LHA Mendokumentasikan seluruh informasi yang diperoleh selama kegiatan audit. Mendukung temuan audit. Membantu auditor pada saat pembahasan permasalahan dengan auditi. Menjadi sarana untuk mengawasi, menilai, memonitor, dan menilai kecukupan teknik dan prosedur audit. Menjadi bahan pembuktian dalam hal masalah diajukan ke pengadilan. Menjadi referensi dalam perencanaan tugas audit atau pelaksanaan audit periode berikutnya dan referensi dalam memonitor tindak lanjut audit. Membantu auditor ekstern dalam mengevaluasi sistem pengendalian intern auditi dan mengevaluasi pekerjaan auditor intern sebelum auditor ekstern memutuskan untuk memanfaatkan hasil kerja auditor intern yang terkait dengan keperluan auditnya. Memungkinkan dilakukannya review oleh rekan sejawat (peer review) atau oleh lembaga yang berwenang, Sebagai pertanggungjawaban auditor bahwa audit telah dilaksanakan sesuai standar audit.

HUBUNGAN PKA DENGAN KKA

AUDIT SAMPLING • Audit sampling adalah penerapan pengujian/prosedur audit kurang dari 100% populasi yang bertujuan untuk mendapat simpulan kondisi seluruh populasi. • Dalam setiap penarikan sampel senantiasa melekat penyimpangan, yang dikenal dengan nama “sampling error”. Sampling error dapat ditekan dengan cara menambahkan jumlah sampel, namun tidak selamanya demikian.

HUBUNGAN SAMPLING EROR DENGAN JUMLAH SAMPLE

MATRIKS RISIKO DAN HASIL PENGUJIAN

B. EVALUASI BUKTI DAN PENGAMBILAN KESIMPULAN Evaluasi bukti dilakukan untuk menjawab pertanyaan terkait efektifitas pengendalian intern sebagai berikut: • Apakah pengendalian kunci telah didesain dengan baik? • Apakah pengendalian kunci telah berfungsi dengan baik seperti yang direncanakan ? • Apakah risiko terkait telah berhasil di tekan pada tingkat yang dapat diterima ? • Apakah pengendalian yang telah didesain dan diterapkan membantu pencapaian tujuan organisasi ?

MATRIKS RISIKO DAN SIMPULAN

C. PENGEMBANGAN TEMUAN DAN REKOMENDASI

Kondisi Kriteria

≠

TEMUAN/ OBSERVATION/ FINDINGS

SARAN /REKOMEN DASI

LANGKAH PENGEMBANGAN TEMUAN 1

• Kenali secara khusus apa yang kurang dalam hubungan dengan kriteria/tolok ukur yang lazim.

2

• Yakini kelayakan kriteria/tolok ukur yang dipergunakan. • Bila tidak dijumpai tolok ukur, rumuskan bersama-sama dengan auditi.

3

• Kenali batas wewenang dan tanggung jawab pejabat yang terlibat dalam pelaksanaan kegiatan, program dan fungsi yang diaudit.

4

• Kenali batas wewenang pejabat yang bertanggung jawab langsung terhadap kegiatan, program dan fungsi yang diaudit dan ketahui pejabat yang bertanggung jawab pada tingkat yang lebih tinggi.

5 6 7 8 9

• Pastikan sebab kelemahannya. • Tentukan apakah kelemahan tersebut merupakan kasus yang berdiri sendiri atau tersebar luas. • Tentukan akibat atau arti pentingnya kelemahan. • Mintakan komentar pejabat yang kompeten. • Mintakan kesediaan untuk menindaklanjuti.

LANGKAH PENGEMBANGAN REKOMENDASI 1 2 3 4 5 6 7 8 9

• Identifikasi masalah • Menguraikan masalah. Seberapa besar? Dimana? Kapan? Apakah sering terjadi? • Mencari kemungkinan penyebabnya. Apakah penyebab menggambarkan situasi keseluruhan atau hanya sebagian? • Buatlah alternatif-alternatif tindakan untuk menyelesaikan masalah. • Analisis setiap alternatif, apa kebaikan dan kelemahan apabila suatu alternatif dipilih untuk dilakukan. • Pilihlah alternatif tindakan yang paling baik. • Buatlah rekomendasi untuk dapat mengimplementasikan alternatif tindakan yang paling baik tersebut. Yakinkan kepada pihak manajemen, bagaimana prosedurnya dan bagaimana mengendalikannya. • Mintakan komentar pejabat yang kompeten. • Mintakan kesediaan untuk menindaklanjuti.

Peraturan perundangundangan

Unsur Temuan

Kondisi

Ketentuan manajemen

Kriteria

Pengendalian manajemen

Sebab

Tolok ukur keberhasilan, efisiensi dan kehematan

Akibat

Standar dan norma/kaidah

Memperbaiki kelemahan

Rekomendasi

Meminimalisasi akibat dari kelemahan yang ada

KRITERIA REKOMENDASI YANG BAIK • Jelas ditujukan kepada siapa. • Mengarah pada tindakan nyata. • Konsekuensi yang akan timbul apabila tindak lanjut atas rekomendasi tidak dilakukan. • Dapat dilaksanakan oleh auditi • Apabila ada alternatif perbaikan, tuangkan semua alternatif berikut alasan masingmasing.

HAL-HAL YANG HARUS DIPERHATIKAN DALAM MEMBERIKAN/MERUMUSKAN REKOMENDASI • Biaya yang akan terjadi dalam mengimplementasikan rekomendasi harus tidak melebihi manfaat yang akan diperolehnya. • Jika terdapat beberapa alternatif rekomendasi dengan biaya yang terkait, harus diusulkan. • Rekomendasi harus dapat dilaksanakan.

LANGKAH YANG DAPAT DILAKUKAN APABILA TIDAK TERSEDIA KRITERIA • Melakukan konfirmasi kepada pihak ketiga (misalnya dalam hal harga barang/jasa). • Bersama dengan auditi melakukan formulasi kriteria yang akan dipakai sebagai tolok ukur. • Norma standar yang sama atau sejenis dengan kegiatan auditi sehingga norma/standar tersebut dapat digunakan sebagai pembanding. • Menggunakan keterangan tenaga ahli. • Selanjutnya kriteria yang diperoleh tersebut harus dibicarakan dengan pihak auditi untuk memperoleh kesepakatan.

BAB V PELAPORAN PENUGASAN

Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai praktik-praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. (2.8) dan memiliki pengetahuan mengenai metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. (2.6)

A. PENYAMPAIAN SIMPULAN SEMENTARA • Selama pelaksanaan penugasan, internal auditor secara teratur berkomunikasi dengan personil kunci auditi. • Pembicaraan akhir harus tuntas. Ada baiknya sebelum dibicarakan final, ketua tim berkonsultasi dulu dengan pengendali teknisnya dan/atau pengendali mutunya supaya ada keseragaman pendapat mengenai masalah yang akan dibicarakan dengan auditi. • Usahakan mendapat komentar pejabat atau pihak yang langsung berkepentingan yang mungkin akan melakukan tindak lanjut temuan tersebut dan mungkin akan mengalami akibat negatif dari pelaporan temuan tersebut. • Apabila tidak bisa diperoleh komentar dari pihak yang terkena, maka laporan harus memaparkan kenyataan itu. • Komentar tambahan juga harus diminta apabila komentar pendahuluan tampaknya tidak relevan dengan simpulan dan rekomendasi yang diajukan.

B. PENYUSUNAN LAPORAN • Proses penyusunan laporan, diawali dengan penyusunan konsep laporan oleh Ketua Tim (KT). • Pengendali teknis (PT) melakukan reviu konsep laporan untuk keseluruhan aspek (baik fisik, format dan substansi).

SYARAT KUALITAS KOMUNIKASI YANG BAIK DARI SEBUAH LAPORAN Akurat Obyektif Jelas Ringkas Konstruktif Lengkap Tepat waktu

Bentuk Laporan

Bentuk Bab

Bentuk Surat

Materi laporan banyak

Materi laporan relatif sedikit/ harus disampaikan segera

C. MONITORING TINDAK LANJUT PENETAPAN TUJUAN DAN LINGKUP

TEMUAN AUDIT

TL ATAS TEMUAN AUDIT • Kewajiban Pimpinan Auditi • Sesuai Pasasl 43 PP Nomor 60 Tahun 2008

PEMANTAUAN TL • Kewajiban APIP

HAL-HAL YANG PERLU DILAKUKAN AGAR TL EFEKTIF • Laporan hasil audit ditujukan kepada tingkatan manajemen yang dapat melakukan tindak lanjut. • Tanggapan auditi diterima dan dievaluasi selama audit berlangsung atau dalam waktu yang wajar setelah audit berakhir. • Laporan perkembangan kemajuan tindak lanjut diterima dari auditi secara periodik. • Status tindak lanjut dari pelaksanaan tindak lanjut dilaporkan kepada pimpinan auditi.

HAL YANG PERLU DIPERHATIKAN DALAM PEMANTAUAN TL • Semua formulir dan bukti pendukung yang terkait dengan tindak lanjut temuan audit harus didokumentasikan dengan baik dan dipisahkan antara temuan yang rekomendasinya sudah tuntas diselesaikan dengan temuan yang masih terbuka (yang rekomendasinya belum atau belum seluruhnya ditindaklanjuti). • Tim pemantau tindak lanjut melakukan pemutakhiran tindak lanjut atas saldo temuan yang belum ditindaklanjuti dan tindak lanjut yang masih kurang. Pemutakhiran tersebut dilakukan sekali dalam setahun dan dituangkan dalam sebuah berita acara yang ditandatangani pimpinan auditi dan tim pemantau tindak lanjut.

BAB VI PENUGASAN KONSULTANSI

Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai praktik-praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. (2.8) dan memiliki pengetahuan mengenai metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain. (2.6)

A. JENIS JASA KONSULTANSI

CONTOH KEGIATAN ADVISORY • Memberi saran atas rancangan pengendalian; • Memberi saran selama proses pengembangan kebijakan dan prosedur; • Memberi saran pemecahan masalah pada proyek-proyek yang berisiko tinggi seperti proyek pengembangan sistem informasi; • Memberi saran pada aktivitas-aktivitas tertentu manajemen risiko organisasi.

CONTOH KEGIATAN PELATIHAN • Pelatihan manajemen risiko dan pengendalian intern; • Benchmark unit internal dengan unit lainnya dari organisasi yang serupa untuk mengidentifikasikan praktik-praktik terbaik; • Post mortem analysis yaitu menyarikan pelajaran yang dapat diambil dari suatu kegiatan setelah kegiatan tersebut diselesaikan.

CONTOH KEGIATAN FASILITATIF • Memfasilitasi proses penilaian risiko organisasi; • Memfasilitas penilaian mandiri terhadap pengendalian oleh manajemen; • Memfasilitasi manajemen dalam merancang kembali pengendalian dan prosedur untuk suatu area yang berubah secara signifikan; • Berlaku sebagai perantara (liaison) dalam isu-isu pengendalian antara manajemen dengan auditor ekstern, rekanan, dan kontraktor.

B. PEMILIHAN PENUGASAN KONSULTANSI Beberapa cara menetapkan penugasan konsultatif: • Penugasan diusulkan selama proses penilaian risiko tahunan dan, jika penugasan dikategorikan prioritas tinggi, penugasan tersebut dimasukkan ke dalam rencana audit internal tahunan; • Penugasan spesifik yang diminta oleh manajemen; • Kondisi terkini atau perubahan-perubahan yang mengharuskan fungsi auditor internal memberi perhatian.

C. PROSES PENUGASAN KONSULTANSI TAHAP PENUGASAN KONSULTANSI PERENCANAAN Penentuan tujuan dan lingkup Permintaan persetujuan tujuan dan lingkup dari manajeman Pemahaman lingkup penugasan dan proses bisnis Pemahaman risiko yang terkait (jika diperlukan) Evaluasi pengendalian terkait (jika diperlukan) Evaluasi desain pengendalian Penyusunan rencana penugasan Pengalokasian sumber daya

PELAKSANAAN Pengumpulan dan evaluasi bukti Merumuskan saran/rekomendasi perbaikan

PELAPORAN Menentukan sifat dan bentuk komunikasi Pembahasan saran dengan manajemen Komunikasi pendahuluan Melaksanakan komunikasi akhir Melaksanakan pemantauan tindak lanjut

D. PERENCANAAN Kegiatan perencanaan dalam bidang advisory tidak jauh beda dengan kegiatan perencanaan di bidang assurance. Beberapa perbedaannya ialah: • Penugasan advisory dilakukan setelah rencana audit intern difinalkan, kegiatan perencanaan biasanya lebih sensitif terhadap waktu dan kemungkinan perlu diselesaikan dalam waktu yang sangat mendesak. Seringkali rerangka waktu untuk penugasan semacam ini tidak felksibel sebagai akibat lingkungan yang melingkupi pengendalian fungsi audit internal atau karena umpan balik sensitif terhadap waktu. • Tidak semua tahapan perencanaan seperti terlihat dalam gambar slide diatas cocok dengan setiap penugasan konsultansi, namun perlu disesuaikan dengan kondisi yang ada.

E. PELAKSANAAN Prosedur yang dilaksanakan mencakup: • Pemahaman isu-isu manajemen yang berkaitan dengan area yang sedang direviu. • Perolehan informasi. • Melakukan prosedur analitis • Mereviu berbagai dokumen, termasuk struktur organisasi, bagan arus proses, dan prosedur standar (SOP). • Penggunaan teknik audit berbantuan komputer. • Pemahaman pengendalian dan penetapan pengendalian yang mana yang perlu ditingkatkan. • Evaluasi efisiensi pengendalian yang ada.

F. KOMUNIKASI DAN TINDAK LANJUT Langkah-langkah komunikasi: • Menentukan sifat dan bentuk komunikasi dengan pemberi tugas • Melakukan pembahasan saran dengan manajemen • Melaksanakan komunikasi interim dan komunikasi awal penugasan • Membangun komunikasi akhir hasil penugasan • Mendistribusikan komuniksi akhir hasil penugasan • Melaksanakan pemantauan dan tindak lanjut, jika diperlukan

G. PERUBAHAN JASA KONSULTANSI • Kegiatan auditor intern sebelumnya berfokus pada jasa assurance. • Adanya perubahan paradigma menuntut auditor selain memberikan jasa assurance juga memberikan jasa konsultansi. • Hal ini berimplikasi perlunya perubahan mindset auditor. Auditor intern dituntut untuk memberikan nilai tambah dari hasil kerjanya.

H. KAPABILITAS YANG DIPERLUKAN • Memiliki keahlian memfasilitasi dan kolaborasi. • Memiliki pengalaman tugas secara umum maupun keahlian spesifik. • Mampu membangun hubungan baik dengan cepat dan memiliki keahlian interpersonal yang kuat. • Mampu berpikir analitis dalam menyelesaikan masalahmasalah yang tidak terstruktur. • Mampu belajar dan beradaptasi secara cepat di tengah lingkungan yang dinamik. • Mampu memproses dan merespon informasi secara cepat.

BAB VII PENGARUS PERKEMBANGAN TEKNOLOGI INFORMASI

BAB VII PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI

Indikator Keberhasilan Setelah mempelajari bab ini, peserta diklat diharapkan Memiliki pengetahuan mengenai sistem teknologi informasi dalam melaksanakan kegiatan audit intern. (2.9)

A. PERKEMBANGAN TEKNOLOGI INFORMASI • Saat ini komputer bagi sebagian besar auditor masih sebagai pengganti mesin ketik, yang hanya digunakan untuk aplikasi word processor (MS Word) dan spreadsheet (MS Excel). • Gambaran auditor dengan kaca mata tebal, dengan kalkulator di tangan dan tenggelam di tumpukan dokumen, saat ini seharusnya sudah tidak ada lagi. Perkembangan teknologi telah masuk kerumah, kantor dan sekolah. Sudah saatnya perkembangan teknologi dimanfaatkan dalam dunia auditor internal.

B. PEMANFAATAN TEKNOLOGI INFORMASI OLEH ORGANISASI PEMERINTAH • Teknologi informasi telah mengubah cara penyimpanan, pemrosesan dan pengolahan data transaksi. • Dalam bidang akuntansi, komputer telah mefasilitasi penyelenggaraan akuntansi dan penyusunan laporan keuangan.

PERBEDAAN PEMROSESAN SECARA MANUAL DAN PEMROSESAN KOMPUTER • Jejak-jejak transaksi (transaction trails) pemrosesan manual sangat berbeda dengan pemrosesan komputer. J – ejak transaksi manual berupa ”kertas” dengan paraf, tanda tangan dan tanda thick mark. – Jejak pemrosesan komputer tidak tampak dalam bentuk kertas namun tersedia dalam bentuk yang dapat dibaca komputer.

• Pemrosesan transaksi secara seragam (uniform processing of transaction). – Pemrosesan komputer menempatkan transaksi sejenis pada instruksi pemrosesan yang sama. Sehingga menghilangkan terjadinya kesalahan tulis yang biasa terjadi pada proses manual. – Sebaliknya, kesalahan proses komputer akan mengakibatkan kesalahan seragam pada transaksi yang sama.

C. PEMANFAATAN TEKNOLOGI INFORMASI BAGI AUDITOR “In exercising due professional care internal auditors must consider the use of technologybased audit and other data analysis techniques”. (International Standards for the Professional Practice of Internal Auditing (IPPF-2013), pada point 1220.A2)

INTERNASIONAL PRAKTIK PROFESIONAL AUDIT INTERNAL (STANDAR) 2017 1220.A2-Dalam menerapkan kecermatan profesional, auditor internal harus mempertimbangkan penggunaan sarana audit berbantuan teknologi dan teknik analisis data lainnya.

BEBERAPA ALASAN PERLUNYA PERHATIAN AUDITOR PADA PEMANFAATAN TI ORGANISASI • • • • •

Adanya risiko kehilangan dan kebocoran data. Kesalahan pengambilan keputusan Penyalahgunaan Komputer Kerugian kesalahan proses Tingginya nilai investasi TI

PENDEKATAN AUDIT BERBASIS KOMPUTER

AUDIT TANPA KOMPUTER (AUDIT ARROUND THE COMPUTER) AUDIT DENGAN KOMPUTER (CAAT) (Computer Assisted Audit Technique)

COMPUTER ASSISTED AUDIT TECHNIQUE • “technology-based audit” atau “Computer Assisted Audit Technique (CAAT)” : automatisasi teknik audit, antara lain seperti Generalized Audit Software (GAS), pengujian data otomatis, audit program terkomputerisasi, dan audit sistem. (ISACA (Information Systems Audit and Control Association))

• Beberapa CAAT yang biasa digunakan antara lain Generalized Audit Software (GAS), yaitu software serbaguna yang dapat melakukan berbagai tugas auditor seperti pemilihan sample, pencocokan, penghtungan ulang dan pelaporan.