Internal Audit Midterm

Pendahuluan
Sejarah audit internal
1.
Mesopotamia 4000SM-1000SM
Sumaria: Pencatatan dan Verifikasi dg huruf paku, matematika basis 60
Agadea: Pembagian Tugas penghitung dan pencatat
Babilonia: Kalender Lunar
2.
Cina 2200SM-500SM:
Pencatatan, Verifikasi, dan Pembagian Tugas
3.
Yunani 1000SM-100SM:
Pemeriksaan catatan kekayaan pejabat
4.
Arab 500M-1500M:
Pencatatan dg bukti2 dan 2 orang Saksi
5.
Masa Perdagangan Eropa (Merkantilisme, 1400-1500):
Benedetto Cotrugli, "Della Marcatia e del Mercate Perfetto" ,Venice1458: Pembukuan Double
Entryyang dilaksanakan dalam perdagangan di Eropa masa itu
Luca Pacioli, "Summa de Arithmetica, Geometria, Proportioni et Proportionalit" ,Venice1494:
Tractatus de Computis et Scriptorio (Sistem pembukuan berpasangan)
Pengembangan sistem Pembukuan Belanda (Continental Bookkeeping) dan sistem
Pembukuan Inggris dan Amerika Serikat (Anglo- Saxon Accounting)
6.
Masa Kapitalisme, Kolonialisme dan Imperialisme (1500-1800):
Dengan sistem pencatatan yang ada menimbulkan gairah menumpuk kekayaan
Penghancuran sejarah bangsa-bangsa Timur (karena konsep freedom yang dianutnya)
Penguasaan wilayah2 Timur (Asia-Afrika)
Pertumbuhan investasi di Amerika, auditor dikirim untuk memeriksa laporan keuangan para
manajer pabrik (bir,gula,cerutu,tekstil)
Audit dengan pendekatan analisa laporan keuangan
7.
Revolusi Industri (1800-1900):
Audit untuk mendeteksi penipuan dan memantau akurasi keuangan
8.
Tahun 1887 terbentuk AICPA
9.
Federal Trade Commission (1914):
Untuk mencegah manipulasi saham dan penyimpangan laporan keuangan dan kinerja
Audit untuk menguji ketaatan perusahaan terhadap perundang-undangan yang berlaku
Berkembangnya istilah "Laporan Auditor Independen" dan penggunaan metode sampling
10.
Government Accounting Office(GAO, 1921):
GAO dibentuk denganThe Budget and Accounting Act, mengambil alih tanggung jawab audit,
accounting dan penagihan dari Treasury Dept
GAO dibentuk karena menajemen keuangan negara tidak tertata akibat perang dunia I yang
menghasilkan peningkatan hutang
GAO berwenang menginvestigasi setiap pengeluaran pemerintah
1968 GAO mengenalkan Comprehensive Audit untuk menilai kehematan, efisiensi, dan
efektivitas kinerja pemerintah dalam mencapai tujuan negara
11.
Securities and Exchange Commission (SEC,1934):
SEC dibentuk guna mengawasi perdagangan saham agar bisa mencegah terjadinya kembali
kejatuhan nilai saham (1929) yang menyebabkan bencana ekonomi yang disebut sebagai
"great depression"
Menguatnya hubungan antara fungsi audit dan penegakan hukum
12.
Institute of Internal Audit (IIA, 1941):
Ekspansi usaha menimbulkan kesulitan mengendalikan dan menjaga efisiensi usaha
Berkembangnya tugas2 penjadwalan produksi, penyediaan bahan, tenaga kerja, dengan taat
pada peraturan perundang-undangan

13.

Financial Accounting Standart Board (FASB,1973):

Menggantikan Committee on Accounting Procedure (CAP)
Menerbitkan standar2 akuntansi yang diarahkan bagi perusahaan publik saat itu dalam
bentuk Generally Accepted Accounting Principles (GAAP)
Meningkatkan relevansi , reliabilitas, dan kualitas pembandingan dan konsistensi
14.
Cohen Commission (AICPA,1974):
Untuk mempelajari tanggungjawab auditor.
Merekomendasikan dibuatnya Laporan Manajemen yang mengungkapkan kondisi sistem
pengendalian internalnya
Rekomendasi audit atas laporan manajemen
15.
Foreign Corrupt Practices Act (1977):
Mencegah suap ke pejabat atau partai politik
Menyaratkan agar organisasi memelihara sistem internal control yang memadai dan catatan
keuangan yang lengkap dan akurat
16.
The International Professional Practices Framework (IIA,1978):
Sebagai Referensi utama penetapan peran dan fungsi internal auditor
17.
Minahan Committee (AICPA,1979):
Merupakan Special Advisory Committee on Internal Control yang memberikan panduan
evaluasi internal control
Mengisi kekosongan pedoman pengendalian internal
Committee of Sponsoring Organizations of the Treadway Commission(COSO) :
18.
1985 The National Commission on Fraudulent Financial Reporting (Treadway Committee)
dibentuk oleh 5 organisasi (AICPA, FEI,IIA, IMA dan AAA). Organisasi tersebut kemudian lebih
dikenal dengan COSO.Dilatarbelakangi berkembangnya praktek kecurangan (fraud) pada laporan
keuangan
19.
1987 Total 49 rekomendasi mencegah dan mendeteksi kecurangan. Menyarankan penerapan
pengendalian intern yang efektif, mengatur fungsi internal audit, dan pengawasan oleh Komite Audit
20.
1992 Menerbitkan Internal Control -Integrated Framework (COSO Framework I).
21.
2004 Menerbitkan Enterprise Risk Management-Integrated Framework (COSO Framework II)

Definisi Audit Internal

Ruchyat Kokasih, "Auditing Prinsip dan Prosedur" (1985): Pemeriksaan intern adalah serangkaian
proses dan teknik yang menjadi saluran untuk meyakinkan manajemen dengan observasi langsung
apakah pengendalian yang telah ditetapkan manajemen berjalan baik dan efektif, apakah pembukuan
dan laporan keuangan telah menunjukkan gambaran aktivitas yang sesungguhnya, teliti dan cepat
serta apakah setiap bagian/unit benar-benar melaksanakan kebijaksanaan, rencana dan prosedur
yang telah ditetapkan.
Institute of Internal Audit, 1999:
Internal auditing is an independent, objective assurance and consulting activity designed to add value
and improve an organization's operations. It helps an organization accomplish its objectives by
bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk
management, control, and governance processes.
Tujuan Internal Audit
add value, improve cost controls, and solve problems, catalyst for change.
Peran Internal Audit
Internal auditing activity is primarily directed at improving internal control, but management is
responsible for internal control.
Internal auditing professional standards require the function to monitor and evaluate the effectiveness
of the organization's Risk management processes.
Internal auditing activity as it relates to corporate governance is generally informal, accomplished
primarily through participation in meetings and discussions with members of the Board of Directors
Ruang lingkup internal audit
1.
the efficiency of operations,
2.
the reliability of financial reporting,

3.
deterring and investigating fraud,
4.
safeguarding assets, and
5.
compliance with laws and regulations. Internal auditing frequently involves measuring
compliance with the entity's policies and procedures.
Responsibilities:
Internal auditors are not responsible for the execution of company activities, they advise management
and the Board of Directors (or similar oversight body) regarding how to better execute their
responsibilities
Perbedaan Audit Internal dan Eksternal
Perbedaan Misi
Tanggung jawab utama auditor eksternal adalah memberikan opini atas kewajaran pelaporan
keuangan organisasi, terutama dalam penyajian posisi keuangan dan hasil operasi dalam suatu
periode
Sementara itu, tanggung jawab utama auditor internal tidak terbatas pada pengendalian internal
berkaitan dengan tujuan reliabilitas pelaporan keuangan saja, namun juga melakukan evaluasi desain
dan implementasi pengendalian internal, manajemen risiko, dan governance dalam pemastian
pencapaian tujuan organisasi.
Perbedaan organisasional
Auditor internal adalah bagian dalama struktur organisasi perusahaan, sedangkan audit eksternal
berasal dari pihak independen dari luar perusahaan
Perbedaan fokus dan orientasi
Auditor internal lebih berorientasi ke kejadian masa depan, auditor eksterna berorientasi pada
kejadian historis untuk menilai kewajaran lapkeu
Perbedaan kualifikasi
Auditor internal tidak harus seoarng akuntan, auditor eksternal harus

Governance
Definisi
Keseluruhan perangkat yang digunakan oleh organisasi untuk menjalankan kegiatan operasionalnya
secara efektif dan efisien disebut dengan corporate governance, yang secara umum disebut dengan
governance.
Governance dapat pula didefinisikan sebagai proses yang dijalankan oleh dewan komisaris untuk
mengotorisasi, mengarahkan, dan mengawasi manajemen dalam mencapai tujuan organisasi.
Menurut OECD: Corporate governance mencakup kerjasama antara manajemen, dewan komisaris,
pemegang saham, dan stakeholder lain (dalam upaya mencapai tujuan organisasi). Corporate
governance juga memberikan struktur terhadap perumusan tujuan organisasi, termasuk perangkat
untuk mencapai tujuan organisasi dan monitoring kinerja organisasi.
Elemen umum yang ada di hampir definisi governance: kebijakan, proses, dan struktur yang
digunakan oleh organisasi untuk mengarahkan dan mengendalikan aktivitas, untuk mencapai
tujuan, dan melindungi organisasi dari berbagai macam kepentingan kelompok stakeholder,
melalui cara-cara yang sesuai dengan standard etika yang tepat.
Konsep Governance

Governance dimulai dari dewan komisaris dan komite-komitenya. Dewan berfungsi sebagai
payung dari tanggungjawab governance (governance oversight) untuk keseluruhan organisasi.
Dewan memberikan arahan kepada manajemen, memberi otoritas untuk membuat keputusan dan
tindakan, dan mengawasi hasil dari kegiatan operasional.

Dewan harus memahami dan fokus pada kebutuhan stakeholder kunci. Stakeholders adalah
satu-satunya pihak yang berhak menerima pertanggungjawaban dewan.

Secara harian, governance dilaksanakan oleh manajemen. Manajer puncak sampai manajer
pelaksana memiliki peran penting dalam governance melalui aktivitas manajemen risiko.

Auditor internal dan auditor independen berperan untuk memberikan jaminan kepada
manajemen dan dewan komisaris tentang efektifitas dari aktivitas governance.

Stakeholder adalah semua fihak yang berkepentingan dengan aktivitas dan keluaran
(outcome) dari organisasi, baik langsung maupun tidak langsung.

o
o

Pengelompokan stakeholders:
Stakeholder langsung (direct stakeholders). Semua pihak yang terlibat langsung dalam
aktivitas organisasi.
Stakeholder tidak langsung (indirect stakeholders). Semua pihak yang tidak terlibat
langsung dalam organisasi tetapi terpengaruh oleh sukses dan outcome dari organisasi
Stakeholder berpengaruh (influencing stakeholders). Semua pihak yang tidak
terlibat langsung dalam organisasi dan terpengaruh oleh organisasi, tetapi berpengaruh terhadap
aspek-aspek bisnis serta sukses organisasi.
Contoh stakeholders

Pegawai

Pelanggan

Pemasok

Pemegang saham/investor

Regulatory agencies (lembaga-lembaga pembuat aturan), baik sebagaiindirect

stakeholders mupun sebagai influencing stakeholders, seperti: Bapepam, the Environmental
Protection Agency (EPA), dan seterusnya.

RISK MANAGEMENT
The Committee of Sponsoring Organizations of the Treadway Commission (COSO) : Risk: "the
possibility that an event will occur and adversely affect the achievement of an objective."
Risk Manajemen: "a process affected by an entity's board of directors, management and other
personnel, applied in strategy setting and across the enterprise, designed to identify potential events

that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives"
Risk Owner
Risk Owners adalah individu yang memiliki tanggung jawab sehari hari untuk memastikan bahwa
kegiatan manajemen risiko telah melakukan pengelolaan resiko secara efektif sesuai dengan level
risk Tolerance organisasi tersebut.
Tanggung Jawab Risk Owners meliputi :
1.
Mengevaluasi apakah manajemen senior telah melakukan kegiatan manajemen risiko yang
dirancang secara memadai untuk mengelola risiko yang terkait dalam tingkat toleransi.
2.
Menilai kemampuan berkelanjutan organisasi untuk melaksanakan kegiatan-kegiatan
manajemen risiko.
3.
Menentukan apakah kegiatan manajemen risiko yang saat ini beroperasi seperti yang
dirancang sebelumya.
4.
Melakukan kegiatan pemantauan sehari-hari untuk mengidentifikasi, pada waktu yang tepat,
apakah terdapat anomali atau penyimpangan dari hasil yang diharapkan terjadi.
5.
Memastikan bahwa informasi yang dibutuhkan oleh manajemen senior dan dewan akurat dan
tersedia, dan diberikan kepada manajemen senior secara tepat waktu.
Risk Appetite and Tolerance
Risk Appetite adalah Jumlah Resiko,dalam tingkatan yang luas, yang dapat diterima oleh organisasi
dalam rangka memenuhi tujuan organisasi.
Risk Tolerance adalah tingkat resiko yang dapat diterima, baik dari segi ukuran ataupun variasinya,
relatif sesuai dengan tujuan yang akan dicapai dan harus sejajar dengan Risk Appetiteorganisasi
tersebut
COSO Enterprise Risk Management Framework
Definisi Enterprise Risk management (ERM) oleh COSO:
" a process, effected by an entity's board of directors, management and other personnel, applied in
strategy setting and across the enterprise, designed to identify potential events that may affect the
entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the
achievement of entity objectives."
Enterprise Risk Management Integrated Framework
This COSO ERM framework defines essential components, suggests a common language, and
provides clear direction and guidance for enterprise risk management.
COSO ERM framework:
1.
A process that is ongoing and flows throughout an organization.
2.
Effected by people at every level of an organization.
3.
Applied when setting an organization's strategy.
4.
Applied across the organization, at every level and unit.
5.
Focused on taking an entity-level portfolio view of risk.
6.
Designed to identify potential events that, if they occur, will affect the organization.
7.
A means to enable the management of risks within an organization's risk appetite.
8.
Able to provide reasonable assurance to an organization's management and board of
directors.
9.
Geared toward achievement of objectives.

Entity objectives can be viewed in the context of four categories:

Strategic Objective

Operations Objective

Reporting Objective

Compliance Objective
Komponen ERM:
1.
Internal environment
COSO menyatakan bahwa Lingkungan Internal adalah dasar untuk semua komponen
lain dari ERM, menyediakan disiplin dan struktur. Hal ini
mempengaruhi bagaimana strategi dan tujuan yang ditetapkan, kegiatan bisnis struktur, dan risiko
diidentifikasi, dinilai dan ditindaklanjuti. Lingkungan internal dipengaruhi elemen berikut :
1.
Risk management philosophy
2.
Risk appetite
3.
Board of directors
4.
Integrity and ethical value
5.
Commitment to competence
6.
Organizational structure
7.
Assignmen of authority and responsibility
8.
Human resources standard
2.
Objective setting
Suatu tujuan ditetapkan pada tingkat strategis, membangun dasar untuk operasi, pelaporan dan
tujuan pemenuhan. Setiap entitas akan menghadapi berbagai risiko dari sumber eksternal dan
internal, dan prakondisi untuk identifikasi peristiwa yang efektif, penilaian dari resiko, dan respon
risiko adalah penetapan tujuan.

3.
Event identification
Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus
diidentifikasi, dan dibedakan antara risiko dan peluang terjadinya
Faktor eksternal:
1.
Kejadian Ekonomi
2.
Kejadian lingkungan alam,
3.
Kejadian sosial
4.
Kejadian teknologi
Faktor Internal:
5.
Faktor infrastruktur
6.
Faktor personal
7.
Faktor proses
8.
Faktor teknologi
4.
Risk assessment
Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact)
baik secara kuantitatif maupun kualitatif, sebagai dasar bagi penentuan bagaimana seharusnya risiko
tersebut dikelola.
Penilaian resiko meliputi: inherent risk dan residual risk.
5.
Risk response
bentuk respon risiko:
1.
Avoidance
2.
Reduction
3.
Sharing
4.
acceptance
6.
Control activities
Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu memastikan bahwa respon
atas manajemen risiko dilakukan. Contoh Control activities :
1.
Top level review
2.
Direct functional or activity management
3.
Information processing control
4.
Physical control
5.
Performance indicators
6.
Segregation of duties
7.
Information and communication
Informasi terkait diidentifikasi, ditangkap, dan dikomunikasikan dalam
kerangka bentuk dan waktu yang memungkinkan orang untuk
melaksanakan tanggung jawab mereka, mengelola resiko serta untuk pengambilan keputusan.
Kriteria informasi menurut COSO:
1.
Tepat dan pada tingkat yang tepat detail.
2.
Tepat waktu dan tersedia bila diperlukan.
3.
Saat ini, mencerminkan informasi keuangan atau operasional terbaru.
4.
Akurat dan dapat diandalkan.
5.
Diakses bagi mereka yang membutuhkannya.
8.
Monitoring
Efektivitas komponen ERM lainnya dipantau melalui:
1.
Kegiatan pemantauan berkelanjutan.
2.
evaluasi terpisah.
3.
Kombinasi dari keduanya.
ISO 31000:2009
merupakan standar tentang manajemen resiko pertama yang diakui secara global. ISO 31000
dikembangkan untuk memberikan cara yang bisa diterima dunia internasional dalam pengamatan

manajemen resiko
ISO 3100 Principles
Creates and protects value.

Is an integral part of all organizational processes.

Is part of decision making.

Explicitly addresses uncertainty.

Is systematic, structured, and timely.

Is based on the best available information.

Is tailored.

Takes human and cultural factors into account.

Is transparent and inclusive.

Is dynamic, iterative, and responsive to change.

Facilitates continual improvement of the organization.

ISO 3100 Framework

Mandate and commitment.
Design of framework for managing risks

Understanding the organization and its context

Establishing a risk management policy

Delegating accountability and authority

Integrating risk management into organizational processes

Allocating the necessary resource

Establishing internal and external communication and reporting mechanism

Implementing the risk management framework and process

Monitoring the framework

Continually improving the framework

ISO 3100 Process

Establish the context

Assess the risks

Treat the risks

Monitor risks

Establish a communication and consultation process

Peran fungsi audit internal dalam ERM
IIA Standard 2120:
The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk
management processes.
IIA IPPF Position Paper:
Internal auditing's core role with regard to ERM is to provide objective assurance to the board on the
effectiveness of an organization's ERM activities to help ensure key business risks are being
managed appropriately and that the system of internal control[s] is operating effectively
Jenis Risiko
Inherent Risk adalah kombinasi dari risiko internal dan eksternal risiko dalam keadaan tak terkendali
mereka, atau gross risk yang ada dengan asumsi tidak ada pengendalian internal.
Controllable risk adalah bagian dari inheren risk yang telah manajemen kurangi melalui operasional
harian dan aktivitas manajemen mereka.
Residual risk adalah bagian dari inheren risk yang tetap ada setelah manajemen menjalankan
penanganan risiko atas risiko tersebut (disebut juga sebagai net risk).
3 line of defense against risk
Three Lines of Defense Model merupakan teknik pengamanan berlapis yang dilakukan oleh suatu
organisasi untuk mendapatkan tingkat mitigasi risiko yang diharapkan

1st line of defensemerupakan aktivitas pengendalian internal yang dilakukan oleh setiap
individu dan manajemen.

2nd line of defensemerupakan aktivitas pengamanan lainnya yang lebih independen dan
objektif dibandingkan dengan 1st line of defense.

3rd line of defensemerupakan tindakan pengendalian yang paling independen dan objektif,
yaitu berupa audit internal.

BUSINESS PROCESS AND RISKS

Business process adalah "The set of connected activities linked with each other for the purpose of
achieving one or more business objectives"
Ada 3 tipe business activity:
1.
Operating processes
1.
Understand environment
2.
Develop strategy
3.
Design product or service
4.
Market & sell
5.
Produce product/deliver service
6.
Invoice and collect
2.
Management and support processes
1.
Manage HR
2.
Manage Fin Resources
3.
Manage IT Resources
4.
Manage physical resources
5.
Manage compliance with laws and regulations
6.
Manage external relationship
3.
Projects
1.
Project operate
2.
Project deliver
Dokumentasi Proses Bisnis
Dokumentasi proses efektif digunakan untuk :
Orienting new personel

Defining areas of responsibility

Evaluating the efficiency of processes

Determining areas of primary concern

Identifying key risks and controls

Metode yang paling sering digunakan dalam mendokumentasikan proses adalah process maps dan
process narratives
Risiko Bisnis
1.
Memahami risiko bisnisTahapan dalam memahami risiko bisnis :
1.
Brainstroming sessionMelakukan brainstorming dengan manajemen senior atau
auditor internal dan membuat model risiko
2.
Risk assessmentMenilai risiko berdasarkan akibat dan kemungkinan terjadinya
3.
Link identified risk to spesific objectivesMenghubungkan risiko yang teridentifikasi
dengan tujuan organisasi yang dipengaruhi oleh risiko tersebut
2.
Menentukan respon yang tepat terhadap risiko
3.
Evaluasi atas strategi menghadapi risiko
Business process outsourcing
The act of transferring some of an organization's business process to an
ouside provider to achieve cost reductions, operating effectiveness, or operating efficiency while
improving service quality
Pengendalian atas proses bisnis yang di outsourcekan
Document the outsourced process and indicate which key controls have been outsourced

Ensure there are means of monitoring the effectiveness of the outsourced process

Obtain assurance that the internal control embedded in the outsourced process are operating
effectively

Periodically reevaluate whether the business case for outsourcing the process remains valid

INTERNAL CONTROL
Definisi

COSO
Sebuah proses yang sedang berjalan

Mendukung pencapaian tujuan

Dipengaruhi oleh perilaku orang-orang

Memberikan jaminan yang layak

Mampu diadaptasikan dengan struktur organisasi

Tujuan pengendalian internal (COSO)

Tujuan Operasional efektivitas dan efisiensi operasi, mendukung pencapaian target.

Tujuan Pelaporan menghasilkan laporan keuangan yg sesuai standar.

Tujuan Ketaatan menjamin ketaatan terhadap hokum.

Komponen Pengendalian Internal (COSO)
Lingkungan pengendalian: arahan dari organisasi untuk mempengaruhi kesadaran
pengendalian anggotanya

Penelaahan risiko: bagaimana organisasi mngelola resiko?

Aktivitas pengendalian: kegiatan untuk menjamin bahwa arahan manajemen dilaksanakan
dengan baik.

Informasi dan komunikasi: memungkinkan setiap orang bekerja sesuai tanggung jawab.

Monitoring: menentukan kualitas kinerja pengendalian.

Prinsip Pengendalian Internal
1.
Lingkungan Pengendalian
1.
Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika
2.
Dewan komisaris menunjukkan independensi dari manajemen dan menjalankan
fungsi pengawasan terhadap perkembangan dan kinerja auditor internal
3.
Manajemen menetapkan, dengan pengawasan dari dewan komisaris, struktur, jalur
pelaporan, dan wewenang dan tanggung jawab dalam rangka pencapaian tujuan
4.
Organisasi menunjukkan komitmen untuk menarik, mengembangkan dan
mempertahankan kompetensi individual yang sesuai dengan tujuan organisasi
5.
Organisasi bertanggung jawab atas tanggung jawab pengendalian internal mereka
dalam rangka pencapaian tujuan
II. Penilaian Risiko
1.
Organisasi menentukan tujuan dengan jelas untuk memungkinkan identifikasi dan penilaian
atas risiko yang berhubungan dengan tujuan
2.
Organisasi mengidentifikasi risiko dalam rangka pencapaian tujuan di seluruh entitas dan
menganalisa risiko sebagai dasar untuk menentukan bagaimana risiko tersebut seharusnya dikelola
3.
Organisasi mempertimbangkan potensi terjadinya kecurangan dalam menilai risiko terkait
pencapaian tujuan
4.
Organisasi mengidentifikasi dan menilai perubahan yang secara signifikan dapat berdampak
pada sistem pengendalian internal
III. Kegiatan Pengendalian
1.
Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi kepada
mitigasi risiko dalam pencapaian tujuan organisasi
2.
Organisasi memilih dan mengembangkan kegiatan pengendalian secara umum atas
teknologi untuk membantu pencapaian tujuan organisasi
3.
Organisasi menyebarkan kegiatan pengendalian melalui kebijakan-kebijakan yang
menetapkan apa yang diharapkan dan prosedur yang membuat kebijakan tersebut dijalankan
IV. Informasi dan Komunikasi
1.
Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang berkualitas
dan relevan untuk membantu fungsi dari komponen lain dalam pengendalian internal
2.
Organisasi mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung
jawab pengendalian internal, diperlukan untuk mendukung fungsi komponen lain dari pengendalian
internal.
3.
Organisasi mengomunikasikan dengan pihak eksternal mengenai hal-hal yang
mempengaruhi fungsi pengendalian internal
V. Monitoring
1.
Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan dan / atau
terpisah untuk memastikan apakah komponen pengendalian internal telah ada dan berfungsi.
2.
Organisasi mengevaluasi dan mengomunikasikan kelemahan pengendalian internal pada
waktu yang tepat kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif,
termasuk manajemen senior dan dewan komisaris.
Peran dan tanggung jawaban dalam pegendalian internal
1. Manajemen
CEO memilikitanggung jawab utama untuk sistem pengendalian internal.
2. Dewan Komisaris (Board of Directors)
Dewan komisaris mengawasi manajemen, memberikan arahan mengenai pengendalian internal, dan
akhirnya memiliki tanggung jawab untuk mengawasi sistem pengendalian intern.
3. Auditor Internal
Internal auditor memiliki peran yang memastikan bahwa manajemen telah memenuhi tanggung

jawabnya.
4. Personel Lain
COSO telah secara jelas menyatakan bahwa setiap orang dalam organisasi memiliki tanggung jawab
dalam pengendalian internal.
Keterbatasan Pengendalian Internal
Kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk pengendalian internal.

Kenyataan bahwa penilaian manusia dalam pengambilan keputusan bisa saja salah dan bias.

Kerusakan yang dapat terjadi karena kegagalan manusia seperti kesalahan-kesalahan kecil.

Kemampuan manajemen untuk melakukan pengabaian sistem pengendalian internal.

Kemampuan manajemen, personel lain, dan pihak luar untuk mengalahkan sistem melalui
kolusi.

Kejadian eksternal di luar kemampuan pengendalian organisasi.

Jenis-jenis Pengendalian
Berdasarkan level control
1.
Entity Level Control
Adalah pengendalian yang beroperasi di seluruh entitas, dengan demikian, tidak terikat oleh, atau
berhubungan dengan, orang perseorangan.
2.
Process Level Control
Adalah aktivitas yang beroperasi dalam proses tertentu dalam rangka mencapai tujuan tingkat proses.
3.
Transaction Level Control
Adalah aktivitas yang mengurangi risiko yang berhubungan dengan kelompok atau berbagai tugas
level operasional atau transaksi dalam organisasi
Berdasarkan importance
1.
Key/primary control
Adalah desain aktivitas untuk mengurangi risiko berkaitan dengan tujuan penting sebuah bisnis.
2.
Secondary control
Adalah desain aktivitas untuk mengurangi risiko terkait tujuan bisnis yang tidak berkaitan langsung
dengan kesuksesan organisasi dan juga menyediakan backup atas key control.
3.
Compensating control
Adalah aktivitas yang jika key control tidak dapat berjalan dengan efektif, maka dapat membantu
mengurangi risiko terkait. Compensating control secara individu tidak dapat mengurangi risiko sampai
acceptable level.
Berdasarkan waktu
1.
Preventive control
Didesain untuk mencegah kejadian yang tidak diinginkan untuk terjadi pada kesempatan pertama.
2.
Detective control
Didesain untuk mengungkapkan kejadian tak diinginkan yang telah terjadi.
IT RISK AND CONTROL
IT Risk management
Risk Management : proses memanajemen ketidakpastian yang mempengaruhi kemampuan
organisasi mencapai tujuan
Berdasarkan komponen COSO ERM:
Internal environment : menjaga iklim sehat (tone at the top) dalam organisasi

Objective setting : mendefinisikan tujuan IT menentukan arah aktivitas IT

Identifikasi kejadian : mengidentifikasi potensi kejadian dari dalam dan luar organisasi

Penilaian risiko : analisis potensi kerugian dan penyebabnya

Respon risiko : risk acceptance, respon terhadap risiko IT yang tidak melampaui batas
toleransi organisasi

Kontrol aktivitas : penggunaan SOP dan peraturan agar kegiatan berjalan sebagaimana
mestinya

Informasi dan komunikasi : organisasi mendapatkan informasi yang reliabel dari sistem
informasi yang ada, segala risiko dan kejadian dikomunikasikan

Monitoring : manajemen bertanggungjawab memonitor manajemen risiko IT agar

operasional efektif dan efisien
IT Control

1.
IT Policies, Kebijakan IT berupa :
1.
Kebijakan keamanan dan kerahasiaan seluruh organisasi
2.
Penentuan klasifikasi informasi dan hak akses tiap level
3.
Definisi konsep data dan sistem kepemilikannya
4.
Kebijakan personal pada area sensitif
5.
Definisi kebutuhan untuk rencana bisnis yang berkelanjutan
2.
IT Standard : mendukung
kebijakan IT dengan menentukan apa yang dibutuhkan untuk mencapai tujuan organisasi, mencakup
1.
System dev process
2.
System software configuration
3.
Application control
4.
Data structure
5.
documentation
3.
Organisasi dan manajemen control; keyakinan adanya struktur yang jelas garis pelaporan
dan pertanggungjawaban dan sudah terimplementasi secara efektif, aspeknya meliputi:
1.
Segregation of duties
2.
Financial control
3.
Change management control
4.
Physical and environmental control; menjaga sumber daya sistem informasi dari kecelakaan,
kerusakan disengaja, salah guna, dan kehilangan
5.
System software control
6.
System development control
7.
Application based control
Implikasi IT kepada internal auditor
1.
Kemampuan IT dan Kebutuhan/Tuntutan Profesional
2.
Keterlibatan Jaminan Tanggung Jawab IT
3.
IT Outsourcing
4.
Audit Menyeluruh dan Berkesinambungan

RISK OF FRAUD AND ILLEGAL ACT

Definisi Fraud
Black's Authoritative Definition Of Fraud

Fraud adalah istilah generik, yang mencakup segala cara dimana kecerdikan manusia dapat
merancang, dan yang dilakukan oleh satu individu untuk mendapatkan keuntungan lebih dari yang
lain dengan saran palsu atau dengan menekan kebenaran, dan mencakup semua kejutan, trik, licik,
dissembling, dan cara yang tidak adil dimana ada pihak lain yang ditipu.
The Institute of Internal Auditors (IIA)

Fraud adalah setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau
pelanggaran kepercayaan. Penipuan dilakukan oleh partai dan organisasi untuk memperoleh uang,
properti, atau layanan; untuk menghindari hilangnya pembayaran jasa, atau untuk mengamankan
keuntungan pribadi atau bisnis.
The American Institute of Certified Public Accountants (AICPA)

Fraud adalah tindakan disengaja yang mengakibatkan salah saji material dalam laporan keuangan
yang tunduk pada audit. Salah saji timbul dari kecurangan pelaporan keuangan dan penyalahgunaan
aset.
Association of Certified Fraud Examiners (ACFE)
Penggunaan kedudukan seseorang untuk memperkaya diri melalui penyalahgunaan yang disengaja
atau penyalahgunaan sumber daya atau aset organisasi.
Prinsip pengelolaan risiko fraud
1.
Fraud risk governance
2.
Fraud risk assesment
3.
Fraud prevention
4.
Detection
5.
Fraud reporting, investigation and resolution
Penilaian Risiko Fraud
Ada 3 langkah :
1.
Identifikasi risiko inheren fraud
2.
Menilai akibat dan kemungkinan terjadinya
3.
Kembangkan respon yang tepat terhadap risiko yang akibatnya luas dan kemungkinan
terjadinya tinggi melebihi toleransi dari manajemen
Pencegahan Fraud
1. Background Investigation
2. Pelatihan Anti-Fraud
3. Evaluasi Kinerja dan Program Kompensasi
4. Interview Bagi Para Pegawai yang Mengundurkan Diri
5. Pembatasan Otoritas
6. Prosedur Tingkat Transaksi
Deteksi Fraud
Berikut ini merupakan beberapa metode deteksi:
1.
Whistleblower hotlines
2.
Process Control
3.
Proactive fraud detection procedures

ASSURANCE ENGAGEMENT
Assurance engagement adalah engagement yang dilakukan oleh praktisi untuk memberikan opini
mengenai pengukuran atas suatu objek dibandingkan dengan kriterianya. Opini praktisi ini dapat
meningkatkan keyakinan pengguna atas pengukuran yang dinilai berdasar kriteria tersebut.
Atau Penilaian objektif dari bukti bukti yang ada dengan tujuan menyediakan penilaian independen
atas tata kelola, manajemen risiko, dan proses pengendalian
Assurance engagement dapat berupa :

1.
Finansial
2.
Kinerja, kepatuhan
3.
Sistem keamanan
Assurance engagement planning activities
1.
Determine engagement objectives and scope; apa tujuan dari engagement dan yang
termasuk maupun tidak termasuk dalam ruang lingkupnya
2.
Understand the auditee; pemahan tujuan bisnis dan asersi auditee
3.
Identify and asses risk; berfokus pada inherent risk
4.
Identify key control; identifikasi pengendalian yang paling penting dalam mengurangi risiko
bisnis menjadi level yg dapat diterima dan memberi keyakinan bahwa tujuan tercapai
5.
Evaluate adequacy of control design; menetukan bahwa pengendalian utama yang
teridentifikasi berhasil mengurang risiko dan membuat asumsi bahwa pengendalian telah
diberlakukan dalam operasional dan berjalan sesuai yang diharapkan
6.
Create a test plan; menentukan sifat, waktu danluas dari prosedur yang dibutuhkan untuk
mengumpulkan bukti audit
7.
Develop a work program; secara spesifik menggambarkan garis besar dari prosedur audit
yang dibutuhkan untuk mencapai tujuan engagement
8.
Allocate resource to engagement; menentukan kebutuhan sdm, estimasi waktu yang
dibutuhkan dan menjadwalkan pekerjaan.
Assurance engagement performance activities
1.
Melakukan pengujian untuk mengumpulkan bukti audit
2.
Evaluasi bukti audit yang terkumpul dan mengambil kesimpulan
3.
Mengembangkan observasi dan memberi rekomendasi; arti observasi yaitu kriteria
komunikasi sebagai pernyataan fakta yang timbul dari proses membandingkan kriteria dengan
kondisi.
Assurance engagement communciation activities
1.
Perform observation and escalation process; setelah 1 atau lebih observasi diidentifikasi,
auditor internal harus menilai tiap observasi menggunakan proses evaluasi dan eskalasi untuk
menentukan implikasi dari observasi terhadap komunikasi mengenai proses yang sedang di review
2.
Conduct interim and preliminary engagement communications; Menjalankan komunikasi
mengenai engagment sebelum engagement selesai
3.
Develop final engagement communications; mencapai kesimpulan, dapat berupa negative
assurance (limited assurance) dan positive assurance(reasonable assurance)
4.
Distribute formal and informal final communications; mengkomunikasikan hasil final dari
engagement
5.
Perform monitoring and follow-up procedures; Chief Audit Executive harus melakukan
pengawasan atas reomendasi yang diberikan

CONSULTING ENGAGEMENT
Definisi
memberikan nasihat dengan hal-hal yang berhubungan dengan aktivitas klien, lingkupnya
berdasarkan persetujuan dengan klien, untuk menambah nilai dan meningkatkan tata kelola
organisasi, manajemen risiko, dan proses pengendalian tanpa mengambil alih tanggungjawab
manajemen.
Consulting engagement dapat berupa :
1.
Konseling
2.
Advice
3.
Facilitation
4.
Training
Tujuan
1.
memberikan nilai tambah dalam sistem pengendalian internal organisasi
2.
memberi pandangan ke depan daripada hanya menilai sesuatu yang sudah lewat
Jenis consulting engagement

1.
advisory ; Penilaian objektif dari bukti bukti yang ada dengan tujuan menyediakan penilaian
independen atas tata kelola, manajemen risiko, dan proses pengendalian
2.
educational; Berbagi pengalaman dan pemahaman yang spesifik mengenai peraturan, risk
assesment, mitigasi risiko, desain pengendalian, best practice, dsb
3.
facilitative; Fasilitasi mengharuskan fungsi internal audit lebih terlibat dalam aktivitas
organisasi daripada sekedar memberikan pengetahuan. Dapat berupa fasilitasi proses risk
assessment, fasilitasi CSA dari manajemen
Consulting engagement planning activities
1.
Determine engagement objectives and scope
2.
Obtain final approval of objectives and scope from engagement customer
3.
Understand the engagement environment and relevant business process
4.
Understand relevant risks, if appropriate
5.
Understand relevant controls, if appropriate
6.
Evaluate control design, if appropriate
7.
Determine engagement approach
8.
Allocate resources to the engagement
Constulting engagement performance activities
1.
Memahami isu-isu manajemen terkait area yang dilakukan review
2.
Mengumpulkan Informasi
3.
Review bermacam dokumentasi departemen, termasuk chart organisasi, alur proses dan
prosedur di departemen
4.
Menggunakan Teknik Audit Berbantuan Komputer
5.
Memahami resiko kunci
6.
Memahami kontrol dan menentukan kontrol mana yang harus dilakukan perbaikan
7.
Evaluasi efesiensi kontrol yang ada
Consulting engagement communciation activities
1.
Determine nature and form of communications with engagement customer
2.
Vet advice with engagement customer to ensure :
1.
Dimengerti oleh customer
2.
Mencapai tujuan dari consulting engagement
3.
Dapat di terapkan dan cost effective
3.
Conduct interim and preliminary engagement communications; Komunikasi dengan
engagement customer harus sering dilakukan selama pelaksanaan engagement.
4.
Develop final engagement communication; Bervariasi dalam format dan formalitas
5.
Distribute final engagement communications; Komunikasi final didistribusikan kepada pihak
yang menerima jasa consulting engagement
6.
Perform monitoring and follow-up, if appropriate
Perbedaan Assurance dan Consulting Engagement
Internal audit consulting engagements differ form assurance engagements in certain ways, including:
Sifat dan ruang lingkup assurance engagement ditentukan oleh fungsi audit internal,
sedangkan consulting engagment ditentukan berdasar persetujuan dengan engagement customer.
Consulting engagements lebih bersifat opsional daripada assurance engagement, consulting
services include "counsel, advice, facilitation, and training"