PROGRAM KERJA PENGAWASAN TAHUN 2019 BERBASIS RISIKO FORUM SPI PTN SERPONG 10-12 OKTOBER 2018
PKPT Istilah PKPT ( Program Kerja PengawasanTahunan) karena lingkup penugasan audit internal tidak hanya bidang audit, tetapi juga konsultasi kepada auditable units/ klien. Satuan layak audit (auditable units) adalah entitas terkecil dari suatu organisasi yang patut dipertimbangkan untuk dilakukan penilaian risiko(risk assessment) sebelum diaudit. Dengan demikian, satuan layak audit dapat melingkupi: satuan kerja dalam sebuah organisasi, sebuah siklus transaksi, suatu pos dalam laporan keuangan, maupun sebuah kasus yang terjadi dalam organisasi yang bersangkutan yang layak untuk diaudit.
PKPT Program kerja pemeriksaan tahunan ( PKPT/PKAT/ PKT/anual audit plan). Yaitu dokumen ini berisi auditable unit/bagian/fungsi organisasi mana saja yang akan diperiksa pada tahun tertentu, siapa yang akan Pemeriksa, kapan audit dan target penerbitan hasdil pemeriksaan/LHP, dimana, berapa budgetnya ( merinci 5 W), dibuat setiap akhir tahun, untuk persiapan pemeriksaan tahun berikutnya. PKPT ditanda tangan oleh Ketua SPI. Survey pendahuluan dan Audit program, yang merupakan langkah lanjut dari PKPT, dibuat sebanyak obyek pemeriksaan yang akan diperiksa, dan memuat rencana tahapan / langkah-langkah kegiatan , bagaimana audit dibuat saat akan melakukan audit, ditandatangani oleh Ketua SPI. Kertas kerja audit, disusun sesuai temuan dilapangan, ditanda tangan oleh auditor Laporan hasil pemeriksaan (LHP), ditanda tangan oleh Ka SPI Laporan monitoring tindak lanjut , ditanda tangan oleh Ka SPI
PRINSIP PKPT SPI SPI Informasi dan Komunikasi Kegiatan Pengendalian Linkungan pengendalian Kegiatan Pengendalian Penilaian Risiko Pemantauan pengendalian ATURAN Pp60/2008 SPI Kepemimpinan Kondusif SPI Integriras &Etika Struktur Organisasi ASPEK PRILAKU Komitmen&Kompetensi Budaya Organisasi Kebijakan
19 risk factors versi Patton & Lewis Kualitas Internal Kontrol 2 Kompetensi Manajemen 3 Integritas manjemen 4 Besarnya Unit 5 Perubahan dalam Sistem 6 Kompleksitas Operasi 7 8 Likuiditas Harta 9 Perubahan Personil 10 Kondisi Ekonomi 11 Tingkat Komputerisasi 12 Waktu audit yang lalu 13 Tekanan Mencapai Kinerja 14 Peraturan Pemerintah 15 Tingkat Motivasi Pegawai 16 Rencana Audit Instansi lain 17 Politik 18 Independensi 19 Jarak antar Kantor Pusat
Faktor Risiko ke 9 yang Bersentuhan Ketidak patuhan terhadap peraturan per UU Kelemahan prosedur dan kesalahan pencatatan Kelemahan penyusunan & penyajian laporan keuangan Kelemahan pengelolaan kas (kas bon) Kebijakan akuntansi pemda belum sesuai SAP Pengelolaan pendapatan dan belanja tidak sesuai dengan ketentuan Penyertaan dan penempatan modal belum akuntabel. Pemberian bantuan sosial dan hibah tdk didukung akuntabilitas yang baik. Aset tetap tidak dapat diyakini kewajarannya Aset masih dikuasai oleh pihak yang tidak berhak Aset yang belumjelas kepemilikannya: Kerjasama pemanfaatan aset dgn pihak ketiga
Konsep Perencanan Berbasis Risiko Auditor intern harus melakukan identifikasi dan evaluasi risiko signifikan yang dihadapi organisasi (Pusdiklatwas BPKP, Modul Diklat Audit Berpeduli Risiko. 2007.) Untuk keperluan ini auditor intern perlu melakukan penaksiran risiko terhadap kecukupan proses pengelolaan risiko yang dilakukan oleh manajemen auditi. Pendekatan audit berbasis risiko menyarankan agar risiko-risiko yang mungkin dihadapi pleh manajemen auditi diidentifikasi dan dilaporkan kepada pihak manajemen apakah risiko-risiko tersebut telah dapat dikelola dengan baik atau bahkan sebaliknya Perencana audit terlebih dahulu harus mengelompokkan sejumlah risiko yang teridentifikasi, selanjutnya melakukan penaksiran risiko tersebut. Penaksiran risiko pada dasarnya untuk menentukan besarnya tingkat kemungkinan terjadinya risiko serta pengaruh atau akibat yang harus ditanggung oleh manajemen auditi. Penaksiran dilakukan dengan cara menguantifikasi peluang risiko yang sebenarnya bersifat kualitatif.
PertanyaanRisiko Organisasi telah mengevaluasi berbagai cara berbeda untuk menilai risiko Beberapa organisasi telah membuat daftar pertanyaan yang akan digunakan auditor dalam merencanakan penugasan Aspek Komputerisasi
Risiko Kecurangan Manajemen Tujuan SPIP Tercapainya efektivitas dan efisiensi pencapaian tujuan penyelenggaraan pemerintahan negara Keandalan pelaporan keuangan Pengamanan aset negara Ketaatan terhadap peraturan perundang-undangan Risiko Kecurangan Manajemen
Kuantifikasi Tingkat Risiko dilakukan dengan menyatakannya dalam bentuk angka, biasanya dalam skala lima. Angka tersebut mewakili tingkat risiko yang teridentifikasi, yakni: angka 5 menunjukkan risiko “sangat tinggi”, angka 4 “tinggi”, 3 “cukup tinggi”, 2 “rendah”, dan 1 “sangat rendah”. dibuat suatu tabel untuk mengalikan tingkat kemungkinan terjadinya risiko dengan taksiran dampak terjadinya risiko yang bersangkutan. Atas dasar perhitungan risiko tersebut, selanjutnya ditentukan auditi mana yang akan diaudit. Semakin tinggi tingkat risiko, semakin tinggi prioritasnya untuk diaudit. Ada 5 (lima) kategori probabilitas risiko: Paling kecil kemungkinan terjadinya (very rare); Jarang (rare); Mungkin (possible); Sangat mungkin (likely); dan Hampir pasti (almost certain).
Jenis Risiko 1 Risiko Inherent – Atau ‘Inherent Risk’ (IR) adalah risiko yang mungkin timbul akibat karakter bawaan dari suatu transaksi, entah karena: (a) kompleksitas transaksi dan klas transaksi; atau (b) kompleksitas perhitungan; atau (c) aset yg mudah tercuri/digelapkan; atau (d) ketiadaan informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa inherent risk adalah diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga diluar kendali pihak auditee sendiri. Dengan kata lain, auditor hanya bisa menemukan tetapi tidak bisa melakukan apa-apa.
Jenis Risiko 2 Risiko Pengendalian – Atau ‘Control Risk’ (CR) adalah risiko yang bisa timbul akibat kelemahan sistim pengendalian intern (SPI) auditee, entah karena desainnya yang lemah atau pelaksanaanya yang tidak sesuai desain—thus tidak mampu mencegah potensi salahsaji bersifat material dan/atau penggelapan (fraud). CR tidak bisa dikendalikan oleh auditor akan tetapi bisa dikendalikan oleh auditee jika mereka mau. Karakter perusahaan ber CR tinggi, antara lain: Struktur Organisasi (SO), tidak jelas dengan pembagian tugas yang juga tidak jelas. Jika ini terjadi maka bisa dipastikan CR nya tinggi; Lemahnya pengawasan manajemen (para manager) terhadap operasional perusahaan (ciri ini bisa dilihat dari beberapa hal, misal: tidak ada level otorisasi transaksi yang jelas, semua orang bisa mengakses semua data/informasi, tidak ada aktivitas supervisi, tidak pernah ada audit fisik, tidak ada performance review, tidak ada budgeted financial statement). Kalau ini yang terjadi maka angka persentase CR sudah pasti tinggi. Tidak memiliki auditor internal dan komite audit. Jika ini yang tejadi maka bisa dipastikan angka CR juga tinggi. Sistim Pengendalian Internal lemah atau tidak efektif (semua aspek SPI perlu diperiksa terlebih dahulu untuk menentukan faktor ini, perhatikan contoh dibawah.
Jenis Risiko 3 Risiko Deteksi – Atau ‘Detection Risk’ (DR), adalah risiko yang bisa timbul akibat kegagalan auditor dalam menedeteksi adanya salahsaji bersifat material dan/atau penggelapan (fraud). DR ada dalam kendali auditor. Karena DR sepenuhnya ada pada kendali auditor, maka sudah pasti mereka harus berupaya untuk menekan risiko ini hingga ke tingkatakan yang paling minimal (tidak mungkin menghilangkan risiko ini sepenuhnya). Ada 4 faktor yang berpotensi menghasilkan DR yang tinggi, yaitu: Salah Mengaplikasikan Prosedur Audit – Contoh kesalahan fatal, misalnya: anda menggunakan rasio untuk mengukur tingkat akurasi angka saldo, dan ternyata anda menggunakan rasio yang salah. Salah Menginterpretasikan Hasil Audit – Contoh (lanjutan yang tadi): mungkin sudah menggunakan rasio yang benar, namun anda salah dalam menginterpretasikan hasil perhitungan (misal: anda menyatakan inventory sudah disajikan dengan semestinya padahal sebenarnya mengandung salahsaji bersifat material). Salah Memilih Metod Uji – Setiap saldo akun yang disajikan pada Laporan Keuangan seharusnya diuji dengan menggunakan metode yang paling sesuai dengan nature nya masing-masing. Anda ingin memastikan apakah suatu penjualan memang seharusnya diakui (atau tidak diakui), maka anda mengujinya dengan melihat tanggal transaksi yang kemudian disandingkan dengan periodisasi pelaporan (bukan dengan menguji hitungan matematisnya) Pengujian CR Yang Kurang Intensive – DR juga meningkat bila pengujian terhadap DR kurang intensif (beberapa wilayah pengendalian lemah namun lolos dari pengujian karena anda tidak tahu wilayah tersebut ternyata lemah), sehingga ada salahsaji atau fraud yang tidak terdeteksi selama proses pengujian anda jalankan.
MENENTUKAN Risiko Model Risiko Audit (audit risk) yang paling lumrah digunakan (dan diajarkan) adalah: AR = IR x CR x DR Dimana: AR = Audit Risk IR = Inherent Risk CR = Control Risk DR = Detection Risk Model Risiko Audit ini bisa diterapkan dengan 3 langkah berikut ini: Pertama, Kantor Akuntan Publik (KAP) biasanya sudah mematok besaran angka persentase Audit Risk (AR) yang bisa diterima (biasanya tak boleh lebih dari 10%). Kedua, menentukan IR dan CR. Inherent risk (IR) diukur dengan mempertimbangkan faktor eksternal dan internal. Sedangkan CR diukur dengan menilai desain dan implementasi sistim pengendalian internal yang dimiliki oleh auditee Ketiga, menentukan DR dengan menggunakan persamaan di atas, sehingga menjadi: DR = AR/(IR x CR) Besaran DR inilah yang nantinya akan dijadikan sebagai bahan pertimbangan dalam merancang prosedur audit, substantive test dan rencana audit secara keseluruhan.
Misalnya (a) tim SPI tergolong baru; (b) Anggota SPI terdiri dari orang-orang yang tidak berlatarbelakang akuntansi dan keuangan Sehinga kemungkinanya tidak melakukan tugas pengawasan yang prudent terhadap proses pencatatan dan pelaporan transkasi keuangan. Control Risk (CR) Pendapatan PNBP 30%, maka sudah bisa ditentukan berapa besarnya angka DR yang harus diantisipasi oleh auditor, dengan menggunakan persamaan di atas: AR = IR x CR x DR 10% = 30% x 30% x DR 0.10 = 0.30 x 0.30 x DR 0.10 = 0.09 x DR DR = 0.10/0.09 DR = 1,11 (dibulatkan) DR = 1% DR = 1 % inilah yang harus diantisipasi dengan prosedur pemeriksaan yang dirancang sedemikian rupa oleh auditor, sehingga bisa ditekan ke tingkatan yang paling minimal.
PKPT = Presisi 10% no PKPT Posisi Risiko Netral Posisi Risiko Rill (Pengalaman) Hasil Ranking 1 Audit 100% 50% 40% 2 Reviu 60% 28% 3 Evaluasi 70% 20% 4 Pemantauan 75% 18% 5 Pendampingan +TL 55% 33% 6 Pengawasan Lainnya 80% 17%
TERIMA KASIH