Anda di halaman 1dari 37

Chapter I

Introduction to Internal Auditing


Terdapat tiga komponen utama dari nilai internal auditor yang digambarkan oleh IIA:
1. Assurance = Governance, risiko dan kontrol
Internal audit menyediakan assurance dalamgovernance organisasi, manajemen risiko dan proses kontrol
untuk membantu pencapaian tujuan strategis, operasional keuangan dan compliance
2. Insight = Catalyst, Analyses dan Assessment
Internal auditor merupakan catalyst dalam upaya meningkatkan efektivitas dan efisiensi organisasi dengan
menyediakan insight (wawasan) dan rekomendasi berdasarkan analisis dan penilaian atas data dan proses
bisnis perusahaan
3. Objective = integritas, akuntabilitas dan independensi
Dengan komitmen atas integritas dan akuntabilitas, internal audit menyediakan nilai tambah bagi organisasi serta
manajemen senior sebagai salah satu sumber informasi yang lebih objective serta memberikan independent advice.
Definisi internal auditing menurut IIA pada tahun 1999 adalah:
Internal Auditing adalah aktivitas assurance dan konsulting yang independen dan objektif yang didesain untuk
memberikan nilai tambah dan meningkatkan operasi dari perusahaan. Hal tersebut akan membantuk dalam
pencapaian tujuan melalui pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektifitas
dari manajemen risiko, kontrol dan governance process.
Komponen kunci dari pengertian tersebut adalah:
Membantu dalam pencapaian tujuan perusahaan
Mengevaluasi dan meningkatkan efektifitas dari pengendalian risiko, kontrol dan governance process
Aktivitas consulting dan assurance yang didesain untuk memberikan nilai tambah dan meningkatkan operasi
Independen dan objektif
Pendekatan yang sistematis dan disiplin
Membantu dalam pencapaian tujuan organisasi
Tujuan organisasi menggambarkan apa yang ingin dicapai oleh organisasi. Pada level yang lebih tinggi pada
perusahaan, tujuan dari organisasi tersebut tertuang di dalam visi dan misi organisasi. Committee of Sponsoring
Organization of the Treadway Commission (COSO) pada tahun 2004 telah mengkategorisasikan Bussiness objective
suatu perusahaan, yaitu:
Strategic objectives, menyinggung tentang nilai yang dibuat oleh manajemen untuk tujuan stakeholder dari
organisasi. Tujuan ini menunjuk pada apa yang ingin dicapai oleh organisasi serta strategi apa yang
ditetapkan dalam mencapai tujuan tersebut.
Operations objectives, menyinggung tentang efektifitas dan efisiensi dari operasi organisasi, termasuk
diantaranya tindakan dalam mencapai tujuan keuntungan (profitabilitas) serta perlindungan atas sumber
daya dari kerugian.
Reporting objectives, berkaitan dengan reliabilitas dari pelaporan keuangan maupun non keuangan kepada
pihak internal mapun eksternal.
Compliance objectives, menyinggung tentang ketaatan terhadap peraturan yang berlaku serta regulasi.
Mengevaluasi dan meningkatkan efektifitas dari pengendalian risiko, kontrol dan governance process
Suatu organisasi tidak dapat mencapai tujuannya serta memperoleh kesuksesan tanpa manajemen risiko, kontrol dan
governance process yang efektif.
Governance didefinisikan sebagai suatu proses yang diselenggarakan oleh direksi (Board of Directors) dalam baik
secara langsung atau dikuasakan kepada manajemen dalam pencapaian tujuan organisasi.
Manajemen risiko juga saling terhubung dengan governance, merupakan suatu proses yang dilaksanakan oleh
manajemen dalam memahami dan mengelola suatu ketidakpastian (Risiko dan kesempatan) yang dapat terjadi pada
perusahaan dalam pencapaian tujuan.
Sedangkan kontrol tertanam di dalam manajemen risiko merupakan suatu proses yang dilaksanakan manajemen
dalam mitigasi risiko dalam sampai kedalam level yang dapat diterima.

Tiga hal tersebut di atas merupakan suatu proses yang focus dalam pencapaian tujuan perusahaan. Dimana Board of
Directors bertanggung jawab dalam melaksanakan governance process sedangkan manajemen bertanggung jawab
terhadap pelaksanaan manajemen risiko dan proses kontrol.
Aktivitas consulting dan assurance yang didesain untuk memberikan nilai tambah dan meningkatkan operasi
Pekerjaan dalam rangka aktivitas Assurance dan consulting dibedakan dalam tiga hal: yaitu tujuan utama dari
pekerjaan tersebut, siapa yang menentukan sifat dan lingkup dalam perjanjian tersebut dan kelompok yang terlibat.
Tujuan utama dari internal assurance adalah untuk menilai bukti apakah telah sesuai dengan subjek persoalan serta
memberikan kesimpulan mengenai subjek persoalan tersebut. Fungsi internal audit menentukan sifat dan lingkup dari
assurance atas perjanjian dimana secara umum terdapat tiga pihak yang terlibat, yaitu: auditee, internal auditor dan
user.
Independen dan objektif
Independen merupakan kondisi yang bebas dari gangguan atas objektifitas. Gangguan/ancaman atas objektifitas
tersebut harus dikelola pada tingkat individual auditor, fungsional dan setiap level dari organisasi.
Objektifitas merupakan sikap mental tidak bias (tidak memihak) yang memperkenankan auditor untuk melaksanakan
pekerjaannya dengan menghasilkan keputusan yang tidak memihak. Untuk meyakinkan objektifitasnya, seoramg
auditor tidak boleh terlibat dalam day to day operation, membuat keputusan manajemen serta berbagai berbagai
situasi yang dapat menyebabkan terjadi conflicts of interest.
Pendekatan yang sistematis dan disiplin
Dalam rangka memberika nilai tambah dan ntuk meningkatkan operasi, internal assurance dan konsultansi harus
dilaksanakan secara sistematis dan disiplin. Terdapat tiga fase fundamental dalam pekerjaan audit, yaitu perencanaan
pekerjaan, pelaksanaan pekerjaan dan mengkomunikasikan hasil pekerjaan. Perencanaan pekerjaan tersebut meliputi
beberapa aktivitas, yaitu:
Pemahaman atas auditee dan pelanggan
Setting tujuan pekerjaan
Menentukan bukti yang diperlukan
Memutuskan sifat, waktu dan luas tes audit
Pelaksanaan pekerjaan meliputi prosedur audit spesifik, misalnya melaksanakan penyelidikan, observasi atas kegiatan
operasi dan inspeksi dokumen. Mengkomunikasikan hasil audit merupakan komponen kritis dari seluruh pekerjaan
internal assurance dan kolsultansi. Komunikasi atas hasil pekerjaan harus akurat, objektif, clear, singkat, membangun,
lengkap dan tepat waktu.
Sifat dan lingkup internal audit modern
Secara umum tujuan dari internal audit adalah mencapai tujuan organisasi. Alhasil, target dari internal audit harus
termasuk di dalamnya:
Operasi yang efektif dan efisien atas bisnis proses
Reliabilitas atas sistem informasi dan kualitas atas pengambilan keputusan
Perlindungan asset dari kerugian termasuk kerugian dari kecurangan manajemen dan pegawai
Kepatuhan terhadap organization policies, kontrak, peraturan dan regulasi
Internal auditor harus melaksanakan berbagai macam prosedur untuk melakukan tes atas kecukupan desain dan
efektifitas operasi, manajemen risiko dan proses kontrol dengan melakukan prosedur sebagai berikut:
Penyelidikan/bertanya kepada manajer dan pegawai
Observasi atas aktivitas perusahaan
Inspeksi atas sumber daya dan dokumen
Reperforming atas aktivitas kontrol
Melaksanakan analisis trend an rasio
Melaksanakan teknik audit berbasis komputer
Mencari informasi dari pihak ketiga yang lebih independen
Melaksanakan tes atas transaksi
Internal auditor competency framework
(lihat table di buku halaman 1-17)

Pengenalan IIA
Struktur IIA
IIA berkantor di Altamonte Springs, Florida dan diakui di seluruh dunia sebagai organisasi profesi audit internal global,
penentu standar, dan sumber daya untuk pengembangan auditor profesional serta sertifikasi.
Manajemen eksekutif IIA dipimpin oleh presiden dan CEO, wakil presiden eksekutif dan CFO, dan wakil presiden.
Dewan komisaris yang berjumlah 38 orang bertugas mengawasi urusan IIA.
The Boards Executive Committee terdiri dari Chairman of the board, Senior Vice Chairman, empat Vice Chairmen,
bendahara, sekretaris, dan dua mantan Chairman of the board.
Professional Guidance
IIA menghasilkan professional guidance yang disebut International Professional Practises Framework (IPPF). IPPF
terdiri dari dua kategori pedoman yaitu Mandatory Guidance dan Strongly Recommended Guidance.
Mandatory Guidance berisi prinsip-prinsip yang diperlukan dan penting bagi pengembangan auditor professional.
Strongly Recommended Guidance berisi tiga prinsip yang penting yaitu Practice Advisories, Position Papers, dan
Practice Guides.
Professional Certifications
Sertifikasi utama yang diselenggarakan oleh IIA adalah Certified Internal Auditor (CIA). Test CIA terdiri dari tiga bagian :
Internal Auditing Basics, Internal Audit Practice, dan Internal Audit Knowledge Elements. Yang boleh mengikuti CIA
adalah yang sudah mempunyai pengalaman menjadi auditor internal minimal 2 tahun. Adapun sertifikat lain dari IIA
adalah Certification in Control Self-Assessment (CCSA), Certified Government Auditing Professional (CGAP), Certified
Financial Services Auditor (CFSA), dan Certification in Risk Management Assurance (CRMA).
Kompetensi yang dibutuhkan untuk Auditor Internal
Kompetensi yang dibutuhkan adalah kualitas pribadi yang melekat. Pengetahuan dan keahlian dapat dipelajari dan
dikembangkan.
Kualitas Pribadi yang melekat, antara lain:
- Integritas
- Kreatif
- Semangat
- Berinisiatif
- Etos Kerja
- Fleksibel
- Rasa ingin tahu
Seorang auditor internal harus memiliki pengetahuan, kemampuan, dan kompetensi lain yang dibutuhkan untuk
melaksanakan pekerjaannya (Standar 1210)
Jenjang Karier Auditor Internal
Beberapa orang menjadikan audit internal sebagai batu loncatan untuk posisi yang lebih baik. Banyak auditor internal
yang menggunakan kemampuan dan pengalamannya sbg auditor internal untuk naik jabatan menjadi manajer.
Namun ada juga orang yang bertahan menjadi auditor internal sebagai karir mereka. Pilihan-pilihan bagi orang seperti
ini adalah pertama, naik jabatan dari auditor fungsional menjadi structural. Kedua, tetap di audit internal namun
berpindah-pindah ke perusahaan yang lebih baik. Ketiga, mengembangkan perusahaan dengan menyediakan jasa
assurance dan consulting.
Jabatan tertinggi yang diincar orang yang berkarir menjadi auditor internal adalah Chief Audit Executive (CAE). CAE
adalah posisi senior di perusahaan yang bertanggung jawab atas audit perusahaan.

Chapter II
The International Professional Practises Framework: Authoritative Guidence for The Internal Audit
Internal audit professions authoritative guidancememungkinkan para profesionalauditor internaluntuk memberikan
layanan yang dapat memberikan nilai tambahuntukmemenuhi kebutuhanyang beragamdaristakeholder
A. Sejarah dariGuidance setting untuk profesi auditor internal
Perkembangan dari Guidance setting for the internal audit profession seiring dengan perkembangan organisasi
yang terus berkembang, baik dari ukuran maupun kompleksitas dan operasi dari organisasi yang semakin

menyebar dilihat dari segi geografi. Senior Management tidak lagi dapat mengawasi organisasi secara langsung
atau tidak lagi bisa berinteraksi secara langsung dengan orang-orang yang melapor kepadanya, yang mana
pengawasan tersebut merupakan tanggungjawab dari seorang senior management. Jarak atau gap inilah yang
menjadi salah satu latar belakang, yang kemudian mendorong terciptanya suatu kondisi dimana dibutuhkan
seseorang di organisasi untuk membantu senior management. Bantuan tersebut melalui pemeriksaan terhadap
operasi organisasi dan menyediakan laporan mengenai hasil dari pemeriksaan terebut kepada senior
management. Aktivitas yang dilakukan oleh orang orang ini disebut aktivitas Internal audit.
Perkembangan dari guidence untuk profesi auditor internal dimulai setelah terbentuknya IIA. Berikut ini adalah
penjelasan mengenai perkembangan tersebut:
1947
The Statement of the Responsibilities of the Menjelaskan mengenai tujuan dan ruang
Internal Auditor (Statement of Responsibilities)
lingkup dari audit internal. Primarily for financial
matter
1957
The Statement of the Responsibilities of the Ruang lingkup diperluas, tidak hanya berfokus
Internal Auditor (Statement of Responsibilities)
pada perihal keuangan saja akan tetapi
termasuk operasi dari Organisasi.
1968
Code of Ethics
Provide ethical guidance
1972
Common Body of Knowledge (CBOK)
Provide professional guidance on the necessary
competencies
1973
Certified Internal Auditor (CIA) Certification Provide professional guidance on the necessary
program
competencies
1978
Standards for the Professional Practises of Standards to answers how the internal audit
Internal Auditing
function should be managed and how audit
engagements should be performed?
2000
Code of Ethics
Revisi dari 1968s Code of Ethics
2002
International Standars for the Professional Mengakomodai:
Practise of Internal Auditing (Standards)
- Kejadian pada awal 1980s (beginning of riskbased auditing) and 1990s (internal audit
outsourcing)
- isu yang berkembang mengenai perubahan
paradigma jasa internal audit yang lebih
berfokus pada bagaimana meningkatkan
efisiensi dan efektivitas operasii organisasi.
B. The International Professional Practices Framework

IPPF merupakan satu-satunya guidanceuntuk profesi internal audit yang diakui secara global. Didalamnya
mengandung apa yang dianggap sebagai elemen penting dalam memberikan jasa audit internal. Elemen penting
tersebut terdiri dari:
1. Kualitas dari individu internal auditor;
2. Karakteristik dari fungsi yang menyediakan jasa internal audit;
3. Sifat dari akitivitas internal audit; .
4. Kriteria kinerja terkait

C.

Oleh karena itu, IPPF memberikan petunjuk kepada profesi internal auditor dan menetapkan harapan yang
diinginkan oleh para stake holder sehubungan dengan kinerja jasa internal audit.Komponen dari IPPF termasuk
didalamnya:
1. Mandatory Guidance, yang terdiri dari:
a. Definiton of Internal Auditing
b. The Code of Ethics
c. The Standards
2. Strongly Recommended Guidance, yang terdiri dari:
a. Practice Advisories
b. Position Papers
c. Practise Guides
IPPF memberikan dasar bagi fungsi internal audit untuk menunaikan peran mereka dan cara yang efektif
memenuhi tanggungjawab mereka.
Mandatory Guidance
1. The Definitions
IPPF mendefiniskan Internal Auditing sebagai berikut:
Internal auditing is an independent, objective assurance and consulting activity desaigned to add
value and improve an organizations operations. It helps an organization accomplish its objective by
bringing systematic, disciplined approach to evaluate and improve the effectiveness of risk
management, control and governance process.

The Value of Internal Auditing for Stakeholders

2. The Code of Ethics


Tujuan dari adanya kode etik adalah untuk mendorong budaya beretika di dalam profesi internal audit. Kode
etik terdiri dari dua komponen, yaitu:
1. The Principle;
The Principle menyatakan empat cita cita seorang auditor internal profesional yang harus terus dijaga
dalam melaksanakan perkerjaannya dan merepresentasikan core value yang harus dipegang teguh oleh
internal auditor untuk mendapatkan kepercayaan dari mereka yang bergantung pada jasa mereka.
2. The Rule of Conduct.
The Rule of Conduct mendeskripsikan 12 norma perilaku yang harus diikuti oleh internal auditor untuk
dapat mempraktikkan The Principle.
Berikut ini adalah 4 principle dan 12 role of conduct untuk internal auditor:
1. Integrity
Integritas dari seorang internal auditor membentuk kepercayaan dan kepercayaan memberikan dasar
bagi stake holder untuk bergantung pada judgement seorang internal auditor.
The Rules of Conduct yang diasosiasikan dengan prinsip integritas menyatakan bahwa internal auditor:
Harus melaksanakan pekerjaan mereka dengan jujur, ketelitian dan tanggungjawab
Harus menaati hukum dan membuat pengungkapan yang diinginkan oleh hukum dan profesi.
Harus tidak terlibat dalam aktivitas ilegal, atau terikat dalam aktivitas yang dapat mendiskreditkan
profesi internal auditor atau organisasi;
Harus menghormati danberkontribusi padatujuanyang sahdan etisdariorganisasi
2.

Objectivity
Auditor internal tidak dipengaruhi oleh kepentingan mereka sendiri atau oleh orang lain dalam
membentuk penilaian
Tidak boleh berpartisipasi dalam suatu aktivitas atau hubungan yang mungkin merusak atau
diasumsikan akan merusak penilaian auditor yang tidak berbias.
Tidak boleh menerima apapun yang dapat merusak atau diasumsikan merusak professional
judgement

Harus mengungkapkan semua fakta, yang sifatnya material dalam pengambilan keputusan, yang
mereka ketahui. Dimana jika fakta tersebut tidak diungkapkan maka akan mengubah hasil dari
review suatu aktifitas.

3.

Confidentiality
Auditor internaltidak mengungkapkaninformasi yang mereka terimatanpaotoritas yang tepatkecuali
adakewajiban hukumatau profesionaluntuk melakukannya
The Rules of Conduct yang diasosiasikan dengan prinsip Confidentiality menyatakan bahwa internal
auditor:
Harus berhati-hati dalam menggunakan dan melindungi informasi yang diperoleh saat pelaksanaan
tugas.
Tidak boleh menggunakan data untuk keuntungan pribadi atau kepentingan lainnya yang bisa
bertentangan dengan hukum atau yang dapat menganggu tujuan perusahaan.

4.

Competency
Auditor internal menerapkan pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam
pelaksanaan layanan audit internal
The Rules of Conduct yang diasosiasikan dengan prinsip Competency menyatakan bahwa internal
auditor:
Hanya boleh melakukan perikatan dengan klien atas jasa pelayanan dimana mereka memiliki
pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam pelaksanaan layanan audit
internal
Harus melaksanakan jasa internal audit yang sesuai dengan standar (International Standards for the
Professional Practise of Internal Auditing)
Harus selalu meningkatkan kecakapan, efektifitas dan kualitas jasa pelayanan internal audit.

3. The International Standards for the Professional Practise of Internal Auditing


Tujuan dari the Standards adalah:
Delineate basic principles that represent the practice of internal auditing
Provide a framework for performing and promoting a broad range of value-added internal auditing
Establish the basis for the evaluation of internal audit performances
Foster improved organizational processes and operations
Definisi dari the standards
Principles-focused, mandatory requirement consisting of Statements ans Interpretations. Yang terdiri dari:
Statement dari persyaratan minimum untuk professional practice dari internal audit dan untuk
mengevaluasi efektivitas dari kinerja para profesional yang berpraktik, dimana bisa diaplikasikan secara
international pada level individu dan organisasi.
Interpretasi, yangmenjelaskanistilahatau konsepdalamLaporan.
Three types of Standards
Attribute Standards address the attributes of organizations and individuals performing internal
auditing
Performances Standards describe the nature of internal auditing and provide quallity criteria againts
which the performance of these services can be measured
Implementation Standards ...expands upon the Attribute and Performances Standards by providing the
requirements applicable to assurances...or consulting...activities.
Assurance and Consulting Services
Assurances Services
An objective examination of evidence for the purpose of providing an independent assesment on
governance, risk management, and control processes for the organization. Example may include
financial, performance, compliance, system security and due diligence engagements.
Terjemahan bebasnya adalah sebagai berikut:

Pemeriksaan obyektif atas bukti dengan tujuan untuk memberikan assesment yang independen
terhadap tata kelola, manajemen risiko, dan proses pengendaliandi organisasi.
Consulting Services
Advisory and related [customer] service activities, the nature and scope of which are agreed with the
[customer], are intended to add value and improve an organizations governance, risk management, and
control processes without the internal auditor assuming management responsibility. Example include
counsel, advice, facilitation, and training.
Terjemahan bebasnya adalah sebagai berikut:
Jasa sebagai penasehat dan kegiatan pelayanan lainnya yang terkai pelanggan, sifat dan ruang lingkup
perikatan adalah yang disepakati dengan [pelanggan], jasa ini dimaksudkan untuk memberikan nilai
tambah dan meningkatkan tata kelola organisasi, manajemen risiko, dan proses pengendalian tanpa
auditor internal memikul tanggung jawab manajemen. Contoh termasuk nasihat, saran, fasilitasi, dan
pelatihan.

Perbedaan jelas dalam kedua jenis layanan adalah pada tujuan pemberian pelayanan. Perikatan jasa Assurance
dilakukan untuk memberikan assessment independen sedangkan perikatan terkait jasa konsultasi dilakukan
untuk memberikan layanan konsultasi, pelatihan, dan fasilitasi.
Struktur dari consulting engagements relatif sederhana. Mereka biasanya hanya melibatkandua pihak saja, yaitu:
pihakyang memintadan menerimasaran-pelanggan dan;
pihak yang memberikan nasihat (fungsi internal audit).
Fungsi audit internal bekerja secara langsung dengan pelanggan untuk menyesuaikan keterlibatan untuk
memenuhi kebutuhan pelanggan.
Sedangkan strukturdari assurance engagements lebih kompleks. Mereka biasanya melibatkan tiga pihak:
Pihak yang secara langsung bertanggung jawabuntuk proses tersebut, sistem, atautopik lain yangsedang
dinilai-auditee;
Pihak yang memberikan jasa assesment (fungsi internal audit);
Pihak yang menggunakan hasil assesment-the users.
Pengguna tidak secara langsung terlibat dalam engagements dan dalam beberapa kasus tidak teridentifikasi
secara eksplisit.
The Attribute Standards
1000-Purpose, Authority, and Responsibility
1100-Independence and Objectivity
1200-Proficiency and Due Professional Care
1300-Quality Assurance and Improvement Program
Purpose, Authority, and Responsibility
Fungsi audit internal harus memiliki charter yang secara jelas menyatakan tujuan fungsi ini, otoritas, dan
tanggungjawab dan menentukan sifat dari jasa assurance dan konsultasi. Charter tersebut juga harus
menyatakan tanggung jawab dari fungsi audit internal agar patuh terhadap Definisi Audit Internal, Kode Etik, dan
Standar.
Independence and Objectivity
Independence
Bebas dari kondisi yang mengancam kemampuan audit internal untuk melaksanakan tanggung jawab
audit internal dalam cara yang tidak bias.
Objectivity
Sebuah sikap mental tidak bias yang memungkinkan auditor internal untuk melakukan perikatan dengan
klien dalam sikap yang sedemikian rupa sehingga mereka percaya pada produk kerja dari internal
auditor dan bahwa tidak ada kompromi kualitas yang dibuat. Objektivitas mensyaratkan bahwa auditor
internal tidak menyerahkan penilaian mereka mengenai hal audit kepada orang lain.
Independence adalah atribut dari fungsi audit internal, objektivitasadalahatributdari auditor secara individual.
Independences Organisasi terhadap fungsi audit internal memfasilitasi objektivitas auditor individual.Conflict of
Interest atau Benturan kepentingan mengganggu independensi dan obyektivitas. Konflik kepentingan adalah

setiap hubungan yang, atau tampaknya, tidak dalam kepentingan terbaik organisasi. Ancaman yang terkait
pelaksanaan tugas yang berkaitan dengan independensi dan obyektivitas timbul dari sifat dari pekerjaan itu
sendiri. Impairment terhadap indepensi atau objektivitas, dalam fakta atau appearances, mungkin tidak dapat
dihindari dalam keadaan tertentu. Standard 1130: Impairment terhadap indepensi atau objektivitas, CAE harus
mengungkapkan rincian impairment kepada pihak yang tepat.
Proficiency and Due Professional Care
The standard mensyaratkan bahwa fungsi auditor internal dan auditor itu sendiri memiliki pengetahuan,
kemampuan dan kemampuan lainnya yang dibutuhkan untuk memenuhi tanggungjawab mereka dan
melaksanakannya dengan due professional care. The standars tidak memandatkan secara spesifik pengetahuan,
kemampuan dan kemampuan yang harus dimiliki. Salah satu kompetensi tertentu yang dibutuhkan oleh Standar
adalah pengetahuan tentang risiko penipuan.
Standards or guidance yang terkait:
Practice Advisory 1210-1: Kecakapan;
Standards 1210.A2 Internal Auditors must have sufficient knowledge to evaluate the risk of fraud and
the manner in which it is managed by the organizations;
Terjemahan bebasnya adalah:
Auditor internal harus memiliki pengetahuan yang cukup untuk mengevaluasi risiko dari kecurangan
terhadap hal yang dikelola oleh perusahaan...;
Standards 1210.A3 Internal Auditors must have sufficient knowledge of key information technology risk
and controls and available technology-based audit technique to perform their assigned work;
Terjemahan bebasnya adalah:
Auditor internal harus memiliki pengetahuan yang cukup risiko dan pengendalian terhadapa teknologi
informasi kunci dan teknik audit berbasis teknologi untuk melaksanakan perkerjaan yang ditugaskan
kepada mereka
Standard 1210.A1 Harus mendapatkan nasihat dan bantuan dari pihak yang kompeten.
Due Professional Care
The care and kemampuan yang diharapkan dari seorang auditor internal yang kompeten dan memiliki kehatihatian yang beralasan. Ini tidak berarti bahwa auditor internal tidak dapat membuat kesalahan atau penilaian
yang tidak sempurna, melainkan bahwa mereka akan menunjukkan tingkat kehati-hatian dan kompetensi yang
diharapkan dari seorang profesional. Due Careberarti bahwa merekaakan mengeluarkan usahanya, sebagai
professional auditor internal, pada tingkat usaha yang sama yang akan dilakukan oleh auditor internal lainnya
dalam situasi yang sama.
Related Standards or guidance:
Standard 1230: Pengembangan Profesi Berkelanjutan menyatakan bahwa"Auditor internal harus
meningkatkan pengetahuan, keterampilan, dan kompetensi lain melalui pengembangan profesional"
Quality assurance and improve programs.
Konsep dasar dari quality assurance for internal audit service adalah mirip dengan konsep quality assurance pada
perusahaan manufacture. Dimana Fungsi quality assurance bertugas meyakinkan bahwa produk yang dikeluarkan
memiliki fitur dan karakteristik yang sesuai dengan yang dibutuhkan. Sedangkan pada ranah fungsi audit internal,
quality assurance and improvement program dirancang untuk dapat dinilai kesesuaiannya dengan standard yang ada
pada standard Internal audit definition dan agar dapat dievaluasi keseuaiannya apakah sudah patuh pada kode etik
auditor internal.
Seorang chief audit executive harus mengembangkan dan memaintain sebuah quality assurance dan improvement
program yang meliputi semua aspek fungsi internal audit (standard 1300: quality assurance and improvement
programs). Seorang chief audit executive juga harus mengkomunikasikan hasil dari quality assurance dan program
pengembangan pada manajemen senior dan direksi (standard 1320: Reporting on the Quality Assurance and
Improvement program) dan bisa menyatakan bahwa internal audit (fungsi) sesuai dengan International Standards for
the Profesional practice of Internal Auditing kalau hasil dari quality assurance dan improvement programs
mendukung pernyataan tersebut (Standards 1321: Penggunaan pernyataan sesuai dengan International Standards
for the Profesional practice of Internal Auditing). Ketika terdapat ketidaksesuaian dengan definisi internal auditing,

atau kode etik auditor internal, atau standar yang mempengaruhi keseluruan cara kerja auditor internal, seorang Chief
Audit executive harus menyatakan ketidaksesuaian tersebut dan pengaruhnya kepada managemen senior dan dewan
direksi. (Standard 1322:Disclosure of Nonconformance)
Standard 1310 : Requirement of The quality assurance and improvement program menyatakan bahwa The quality
assurance and the improvement program harus menyertakan baik penilaian internal maupun eksternal. Penilaian
internal harus terdiri atas :
Monitoring kinerja secara terus menerus terhadap fungsi audit internal
Penilaian secara periodic oleh pihak lain di dalam organisasi yang memiliki keahlian di dalam praktik audit
internal
Penilaian eksternal harus dilaksanakan minimal 5 tahun sekali oleh pihak yang memenuhi syarat, penilai independen,
atau tim penilai dari luar organisasi. Chief Audit Executive harus mendiskusikan dengan dewan direksi untuk hal-hal
yang terkait dengan :
Bentuk dan frekuensi penilaian yang dilaksanakan
Kualifikasi dan independensi dari penilai ekternal atau tim penilai, termasuk potensi terjadinya conflict of
interest di dalam proses penilaian tersebut (Standard 1312:External Assesment)
The Performance Standards
The performance standards menjelaskan sifat-sifat dasar dari layanan internal audit, serta bagaimana penilaian kinerja
layanan tersebut. Performance Standard dibagi menjadi tujuh bagian utama, yaitu :
2100 Managing (mengelola) aktivitas internal audit
2100 Nature of work
2200 Engagement Planning
2300 performing engagement
2400 Communicating result
2500 Monitoring Progress
2600 Communicating the acceptance risk
Managing the internal audit activity. Standard 2000 menerangkan bahwa seorang Chief Audit Eecutive bertanggung
jawab untuk mengelola fungsi internal audit dan memastikan bahwa fungsi tersebut dapat memberikan nilai tambah
bagi organisasi. Meskipun bila organisasi mengoutsource fungsi audit internal tersebut, organisasi tetap harus
memiliki someone in house yang bertanggungjawab dalam menyetujui kontrak audit internal tersebut, mengawasi
kualitas pekerjaan penyedia jasa, menyusun jadwal pelaporan jasa assurance dan konsultasi manajemen kepada
manajemen senior dan dewan direksi dan menentukan hasil kesepakatan dengan penyedia jasa terebut. Pada banyak
kasus, fungsi-fungsi tersebut dilaksanakan oleh CAE. Bagaimanapun ketika orang tersebut memiliki conflicting
responsibilities/konflik pertanggungjawaban dengan fungsi outsourcerd tersebut, penyedia layanan audit internal
tersebut memiliki kewajiban untuk membuat organisasi tersebut waspada bahwa organisasi tersebut memiliki
tanggung jawab untuk mempertahankan audit internal yang efektif (Standard 2070: External service provider and
organizational Responsibility for internal auditing). Interpretasi dari standar tersebut dapat diartikan sebagai berikut :
Tanggung jawab tersebut ditunjukan melalui quality assurance dan improvement programs yang menilai kesesuaian
tanggung jawab tersebut dengan yang tertuang di dalam definisi internal auditing, kode etik dan standar yang ada.
Standard 2000 menyatakan bahwa Aktivitas internal audit telah dikelola dengan baik ketika :
Hasil dari aktivitas pekerjaan internal audit mencapai tujuan dan tanggung jawab yang tercantum di dalam
internal audit charter;
Aktivitas internal audit telah sesuai dengan definisi internal audit dan standard yang ada dan
Setiap individu yang menjadi bagian dari aktivitas internal audit menunjukan kesesuaian dengan kode etik dan
standar (interpretasi dari standard 2000: Managing internal audit activity);
Subsequent standard secara berkelanjutan harus menunjukan bahwa seorang CAE haruslah:
. Menyusun sebuah risk based plan untuk menentuan apakah prioritas dari aktivitas internal audit sudah
konsisten dengan tujuan organisasi (Standard 2010: planning)
. Mengkomunikasikan rencana aktivitas internal audit dan hal-hal yang dibutuhkan di dalam kegiatan audit
internal, terasuk perubahan perubahan signifikan kepada managemen senior dan dewan direksi sebagai bahan

review dan approval. Seorang CAE juga harus mengkomunikasikan pengaruh dari keterbatasan hal-hal yang
dibutuhkan tersebut (standard 2020; communication and approval)
memastikan bahwa kebutuhan internal audit sudah tepat, cukup, dan tersebar dengan baik untuk dapat
mencapai tujuan yang telah direncanakan (Standard 2030 : Resources Management)
Menyusun kebijakan dan prosedur sebagai arahan dalam kegiatan internal audit (Standard 2040: Policies
and procedures).
Membagi informasi dan berkoordinasi dengan penyedia jasa assurance and consulting, baik yang berasal dari
dalam maupun dari luar organisasi untuk memastikan pelaksanaan pekerjaan tidak tumpang tindih (standard
2050 : koordinasi)
secara periodic membuat laporan kepada manajemen senior dan dewan direksi terkait tujuan kegiatan
internal audit, kewenangan, tanggung jawab, dan hasil yang ingin dicapai dari rencana tersebut. Seorang CAE
juga harus melaporkan pengaruh risiko dan kegiatan pengendalian yang dapat mempengaruhi kegiatan internal
audit, termasuk risiko fraud, hal hal terkait dengan tata kelola (governance) dan hal-hal lainnya yang dapat
mempengaruhi atau diminta oleh senior manajemen dan dewan direksi (Standar 2060: Reporting to senior
management and board)

Nature of Works. Standard 2100. Nature of work (sifat pekerjaan) adalah konsisten dengan definisi internal auditing
yang telah didiskusikan di awal bab ini. Kegiatan internal audit harus mengevaluasi dan berkontribusi terhadap
peningkatan kualitas governance, manajemen risiko, dan proses pengendalian menggunakan pendekatan yang
disiplin dan sistematis.
Fungsi internal audit harus memperkirakan dan membuat rekomendasi yang tepat untuk meningkatkan kualitas
governance organisasi agar proses governance pada organisasi dapat mencapai tujuan berikut :
Mempromosikan etika dan nilai-nilai yang tepat bagi organiasasi
Memastikan efektifitas manajemen penilaian kinerja organiasasi dan akuntabilitas;
Mengkomunikasikan risiko dan pengendalian informasi pada area yang tepat dari organisasi
Mengkoordinasikan aktivitas tersebut dan menyampaikan informasi tersebut kepada dewan direksi, auditor
eksternal dan auditor internal, dan juga manajemen (Standard 2010 : Governance)
Fungsi audit internal juga harus mengevaluasi efektivitas dan meningkatkan proses manajemen risiko organisasi
(Standards 2120: Risk Managemen). Menentukan apakah fungsi proses manajemen risiko pada organisasi telah
berjalan efektif apabila hasil penilaian auditor internal meyatakan :
Tujuan organisasi telah mendukung dan sesuai dengan misi organisasi
Risiko-risiko yang siginifikan telah diidentifiasi dan ditelaah
Respon terhadap risiko telah ditetapkan dengan sesuai dan telah selaras dengan risk apetite organisasi dan
Informasi mengenai risiko yang relevan telah dicatat dan dikomunikasikan secara berkala.di pada berbagai
pihak di organisasi, termasuk staf, manajemen dan dewan direksi untuk menentukan tanggung jawab masingmasing pihak. (Interpretation to standard 2120 : Risk Managemen)
Fungsi audit internal juga harus membantu organisasi dalam mempertahankan efektivitas pengendalian dengan cara
mengevaluasi efetivitas dan efisisensi pengendalian dan mempromosikan pengembangan berkelanjutan. (standard
2130: Control)
Fungsi internal audit juga harus mengevaluasi kemungkinan terjadinya risiko tersebut, dan juga mengevaluasi
efektivitas dan efisiensi pengendalian melalui promosi continuous improvement.
Fungsi Internal Audit harus melaksanakan evaluasi terhadap risk exposure dan mengevaluai kecukupan dan efektivitas
operasional organisasi yag terkait dengan :
Pencapaian tujuan organisasi
Kecukupan dan integritas informasi keuangan dan operasional organisasi
Efektivitas dan efisiensi pelaksanaan dan program organisasi
Pengamanan asset
Kepatuhan terhadap aturan perundangan yang berlaku (standard 2120.A1 dan 2130 A.1)
The Engagement Process. Pelaksanaan kesepakatan terhadap pelaksanaan kegiatan audit internal baik berupa jasa
assurance maupun jasa consulting bisa dibagi menjadi 3 bagian. Standard pelaksanaan tersebut tercantum pada :
2200 Engagement planning

2300 - Performing the engagement


2400 communicating result
2500 monitoring progress
Standard 2200 : engagement planning menyatakan bahwa Auditor internal harus merancang dan
mendokumentasikan perencanaan kesepakatan audit internal yang didalamnya mencakup tujuan, skope, waktu
pelaksanaan dan hal-hal yang dibutuhkan di dalam pelaksanaan audit internal, dokumen tersebut harus
memperhatikan :
Tujuan dan aktivitas yang akan dievaluasi dan dinilai aktivitas pengendaliannya
Significant risk terhadap kegiatan tersebut, tujuan, sumber daya maupun operasional dari kegiatan tersebut
termasuk risiko-risiko yang bisa mengganggu proses pencapaian tujuannya.
Kecukupan dan efektivitas dari governance, manajemen risiko, dan aktivitas pengendalian tersebut apabila
dibandingkan dengan kriteria yang telah ditetapkan.
Kesempatan auditor internal untuk meningkatkan kualitas governance, manajemen risiko, dan aktivitas
pengendalian
Standard di bawah ini harus dilaksanakan di dalam merancang perjanjian/perikatan audit internal :
Tujuan audit harus dicantumkan dengan jelas (standard 2210 : tujuan perikatan)
Ruang lingkup yang ditetapkan harus memadai untuk mencapai tujuan dari perikatan tersebut.
Auditor internal harus menetapkan tingkat kebutuhan dalam pelaksanaan audit internal
Auditor internal harus mengembangkan dan mendokumentasikan dokumen-dokumen tersebut.
Ketika melasanakan perikatan tersebut, fungsi internal audit haruslah :
menyajikan informasi yang relevan, dapat dipercaya (reliable) dan cukup terkait dengan tujuan perikatan
tersebut (standard 2310 : identifying information).
Membuat perikatan dan kesimpulan berdasarkan analisis dan evaluasi yang memadai (standard 2320:
Analysis and evaluation)
.. mendokumentasikan informasi yang relevan untuk mendukung kesimpulan manajemen
memastikan bahwa perikatan yang dibuat telah disupervisi dengan memadai sehingga tujuan audit dapat
dicapai, kualitas audit telah dijamin, dan staf yang dibutuhkan telah ditetapkan dengan sesuai
Agar perikatan audit internal menjadi bernilai, outcome yng telah dicapai harus disampaikan secara berkala kepada
klien. Namun tidak cukup laporan saja yag disampaikan. Komunikasi yang dilakukan harus berdasarkan laporan yang
meminimalisasi disinterpretasi
Fungsi internal audit harus melaporkan bahwa perikatan yang dilaksanakan sudah sesuai dengan international
standards for the professional practice of internal auditing apabila perikatan yang dilaksanakan telah sesuai dengan
pernyataan tersebut (standar 2340 : Use of Conducter in Comformance with the internal auditing, the Code of Ethics
, or The standard impact a specific engagement communication harus menyajikan :
Prinsip atau keseuaian dengan aturan perilaku yang tidak sesuai
Alasan ketidaksesuaian
Dampak dari ketidaksesuaian dari perikatan dan mengkomunikasikan hasil perikatan tersebut.
Seorang CAE bertanggungjawab untuk mengkounikasikan hasil dari perikatan perjanjian tersebut kepada pihak-pihak
yang membutuhkan(standard 2440: Disseminating Result) dan menerbitkan opini mengenai kondisi governance, risk
management, maupun aktivitas lainnya. Ketika sebuah opini diberikan, CAE juga harus menyampaikan kepada senior
manajemen sebagai bahan pertimbangan apakah hendak menerima risiko tersebut ataukah tidak mengambil tindakan
(Standard 2500 A.1)
Communicating the acceptance risk.Standard 2600 : Communicating the acceptance risk addresses the issue of a level
of residual risk that may be unacceptable to the organization that may be unacceptable to the organization. .
STONGLY RECOMMENDED GUIDANCE
How the international Profesional Practice Framework is kept current
IPFF adalah sebuah bentuk pedoman yang bersifat dinamis. Senantiasa berkembang sesuai dengan kondisi lingkungan

IPFF dikoordinasikan,dikembangkan, diterbitkan oleh The Professional Guidance Advisory Council, yang terdiri dari The
global ethic comitee, The International audit standard board, the Professional Issue comitee, dan public sector
comitee.
Standard yang diterbitkan oleh organisasi lain
Profesi auditor internal juga perlu mengikuti standard selain yang ditetapkan oleh IIA semisal US Government
Accountability Office (GAO) Government Auditing Standard, Standard for professional Practice of environmental,
health and safety auditing, dan standard yang dikeluarkan oeleh International standard Organization (ISO). Di Negara
Amerika para praktisi internal audit biasanya menyandingkan standard dari IIA dan standard dari GAO untuk
menerbitkan piagam auditnya.
Terhadap dua standard berbeda yang dapat mengakibatkan terjadinya multiple standard, bagian paragraph
introduction pada Standard IIA memberikan ketentuan sebagai berikut :
apabila standard yang digunakan berhubungan dengan standard lainnya, maka fungsi internal audit harus mengutip
penggunaan standard yang digunakan tersebut dengan jelas. Namun apabila terjadi inkonsistensi antara standard dari
IIA dengan dari standard lainnya, fugsi internal audit harus menyelaraskan piagam auditnya dengan standard dari IIA,
namun apabila terdapat keterbatasan maka auditor bisa mengikuti standar lainnya.
Standard for Internal Auditing in Government
Biasa disebut dengan the yellow book, standard ini digunakan sebagai dasar pelaksanaan audit pada lembaga
pemerintahan. Standard ini lebih berfokus pada laporan keuangan dan audit kinerja.
Biasanya masing-masing Negara menerapkan standard sendiri untuk audit terhadap lembaga pemerintahan maupun
kontrak-kontrak di pemerintah. Namun standard yang digunakan biasanya bermodel kepada International
Organization of Supreme Audit Institution (INTOSAI)
Standard for Information Technology Audit
Tidak seperti standard Audit IT yang diterbitkan IIA, Standard audit IT yang diterbitkan oleh ISACA memberikan arahan
yang lebih mendetail. Standard IT Audit yang telah ditetapkan oleh IIA sendiri sudah selaras dengan standard yang
ditetapkan oleh ISACA. Meskipun begitu auditor yang banyak bekerja di bidang IT harus senantiasa aware terhadap
perkembangan standard yang dikembangkan oleh ISACA dan menggunakan arahan tersebut di dalam pelaksanaan
pekerjaan audit system informasi yang dilaksanakannya.
Standard for Financial Audit.
The US Public Company Accounting oversight board (PCAOB) dan American Institute of Certified Public Accountant
adalah lembaga yang menerbitkan standard pemeriksaan keuangan pada audit atas laporan keuangan di Amerika
Serikat. Standard ini menekankan pada independensi atas audit yang dilaksanakannya, termasuk juga mengatur
mengenai koordinasi antara auditor internal dengan auditor eksternal.
Other Relevance Guidance
1. The International Standards Organization (ISO)
2. Standards Australia yang menerbitkan standard terkait dengan proses manajemen risiko dan governance
3. The Commitees of Sponsoring Organization of the threadway Commision (COSO) yang menerbitkan kerangka
kerja terkait internal control dan manajemen risiko
4. The Society of Corporate Compliance and ethics yang menerbitkan standard terkait praktisi etika dan kepatuhan
5. The Helathcare Compliance Association, menerbitkan standard terkait dengan pemeriksaan industri kesehatan
6. The Basel Comitee on Banking Supervision yang menerbitkan standard mengenai audit internal sector perbankan
dan manajemen risikonya

Chapter 3 GOVERNANCE (argi hermansyah)


Dalam kebanyakan organisasi, Audit Internal dapat menjadi kunci dalam pencapaian tujuan. Meski struktur organisasi
sesungguhnya berbeda dengan organisasi yang satu dengan lainnya, setiap organisasi harus menetapkan struktur
governance secara keseluruhan untuk memastikan kebutuhan stakholder kunci bertemu. Struktur governance
memberikan arahan dalam peneran aktivitas sehari-hari dari mengelola risiko yang melekat pada perusahaan.
Governance
Risk Management

Internal Control

Gambar tersebut menunjukkan bahwa governance meliputi semua aktivitas pada organisasi. Dewan dan manajemen
dapat menetapkan struktur governance untuk memastikan kebutuhan stakeholder kunci bertemu dan organisasi telah
beroperasi pada batasan dan nilai yang ditetapkan oleh dewan dan manajer senior.
Lapisan selanjutnya adalah manajemen risiko. Manajemen risiko dimaksudkan untuk:
1. Mengidentifikasi dan mengelola risiko yang mungkin secara buruk dapat mempengaruhi tujuan perusahaan.
2. Menggali peluang yang dapat membantu pencapaian tujuan.
Pengendalian internal terletak pada bagian tengah/pusat karenansistem pengendalian internal merupakan subset,
tapi merupakan bagian integral, pada batas aktivitas manajemen risiko.
Anak panah menunjukkan aliran arus informasi yang melalui struktur governance. Anak panah tersebut
menggambarkan aliran dari arahan dan akuntabilitas dari lapisan satu ke lapisan berikutnya.
Governance adalah kombinasi dari proses dan struktur yang diterapkan oleh dewan untuk memberikan informasi,
mengarahkan, mengelola dan memonitor aktivitas organisasi untuk mencapai tujuannya.
Menurut OECD, Corporate Governance melibatkan hubungan antara manajer perusahaan, dewan, shareholder dan
stakeholder lainnya. Corporate governance juga memberikan struktur yang melalui di mana tujuan perusahaan
ditetapkan, sarana pencapaian tujuan, dan monitoring kinerja yang ditetapkan.
Dewan bertanggung jawab atas pemberian arahan strategi dan pedoman yang berhubungan dengan dengan
pembentukan tujuan kunci bisnis yang konsisten dengan model bisnis organisasi dan diselaraskan dengan prioritas
stakeholder. Direktur membawa pengalaman bisnis yang bervariasi dan beragam kepada dewan dan oleh karena itu
mereka berada pada posisi untuk memberikan informasi dan arahan yang akan membantu memastikan kesuksesan
organisasi.
Poin penting yang dapat diambil dari gambaran terhadap governance adalah :
Governance dimulai dari dewan of director dan para komite.
Dewan harus memahami dan fokus terhadap kebutuhan dari stakeholder kunci.
Sehari-hari governance dilaksanakan oleh manajemen dari organisasi.
Aktivitas internal dan eksternal memberikan manajemen dan dewan dengan jaminan mengenai effektivitas dari
aktivitas governance.
Stakeholder dapat memiliki satu atau lebih karakteristik dibawah ini:
Beberapa stakeholder secara langsung dilibatkan dalam operasi bisnis perusahaan.
Stakeholder lain tidak dilibatkan secara langsung, namun berkepentingan pada bisnis organisasi, oleh karena itu
mereka dipengaruhi oleh kesuksesan ataupun outcome lain dari bisnis.
Beberapa stakeholder tidak terlibat maupun berkepentingan pada keberhasilan bisnis organisasi namun
stakeholder ini mempengaruhi aspek dari bisnis organisasi dan sebagai hasilnya, keberhasilan organisasi.

Secara umum, stakeholder adalah sebagai berikut :


Employee yang bekerja untuk organisasi dan krena itu terlibat langsung dengan tingkah laku dari bisnis
organisasi.
Customer yang merupakan darah kehidupan dari bisnis organisasi dan otomatis terlibat secara langsung pada
keberhasilannya.
Vendors memberikan barang dan jasa yang dibutuhkan oleh sebuah organisasi untuk menjalankan bisnisnya dan
oleh karena itu terlibat langsung dalam bisnis.
Shareholders/investors tidak terlibat secara langsung dalam bisnis namum mempunyai kepentingan yang kuat
pada keberhasilan organisasi.
Regulatory agencies mewakili lembaga pemerintah yang mungkin mempunyai kepentingan maupun kemampuan
mempengaruhi keberhasilan bisnis.
Financial institution mempengaruhi struktur modal sebuah organisasi.
Karena keberagaman stakeholder mempunyai ekspektasi yang berbeda, hasil dari setiap jenis stakeholder yang
dianggap tidak dapat diterima akan beragam. Dewan butuh mempertimbangkan jenis outcome berikut :
Financial, contoh : earning per share, cash liquidity, credit rating, return on investment, capital availability, tax
exposure, material weaknesses, and disclosure transparency.
Compliance, contoh : proses pengadilan, pelanggaran kode etik, pelanggaran keamanan dan lingkungan,
perintah penahanan, investigasi pemerintah, peraturan denda dan hukuman, dakwaan, dan penangkapan.
Operation, contoh : pencapaian tujuan, penggunaan asset secara efisien, pengamanan aset, perlindungan SDM,
dan perlindungan masyarakat.
Strategic, contoh : reputasi, cocporate sustainability, moral pegawai, dan kepuasan pelanggan.
Dewan secara terbaik dapat melaksanakan tanggung jawab pengelolaannya dengan:
Membangun komite governance
Komite ini bisa menjadi komite baru atau perluasan tanggung jawab komite
Harus terdiri dari direktur independen
Komite harus memiliki tanggung jawab yang telah diuraikan di atas
Mengartikulasikan persyaratan untuk pelaporan dewan
Dewan harus mendelegasikan kepada manajemen kewenangan untuk mengoperasikan bisnis dalam batas
toleransi relatif dewan terhadap hasil yang tidak dapat diterima
Sebagai bagian dari peran pengawasan dewan juga harus menetapkan batas pelaporan untuk manajemen
yang mana hasil harus disetujui oleh dewan, melaporkan langsung ke papan, atau diringkas untuk forum
diskusi sebagai bagian dari pertemuan triwulanan
Mengevaluasi kembali ekspektasi governance secara berkala (biasanya pertahun)
Ekspektasi stakeholder dapat berkembang dan berubah. Oleh karena itu, dewan harus mengidentifikasi
perubahan-perubahan tersebut dan mengevaluasi kembali arah governance yang
Sebagai akibat dari perubahan-perubahan tersebut, tingkat toleransi dewan juga harus dievaluasi
Untuk melaksanakan tanggung jawab governance, manajemen senior bertanggung jawab untuk:
Memastikan bahwa seluruh lingkup arah dan wewenang dipahami dengan tepat
Mengidentifikasi proses dan kegiatan dalam organisasi yang merupakan bagian integral dalam melaksanakan
arah pemerintahan yang disediakan oleh dewan. Oleh karena itu, manajemen senior harus menentukan:
Di mana organisasi mengelola risiko tertentu yang dapat menimbulkan dampak yang tidak dapat diterima
Siapa yang akan bertanggung jawab untuk mengelola risiko tersebut
Bagaimana risiko tersebut akan dikelola
Mengevaluasi apa pertimbangan bisnis lain atau faktor-faktor yang mungkin membuat pembenaran untuk
mendelegasikan tingkat toleransi lebih rendah kepada pemilik risiko dari yang didelegasikan oleh dewan
Memastikan bahwa informasi yang memadai telah dikumpulkan dari pemilik risiko untuk mendukung kebutuhan
pelaporan kepada dewan
Manajemen senior dapat menjadi yang terbaik dalam melaksanakan tanggung jawab governance dengan:
Membangun sebuah komite risiko
Komite ini biasanya dipimpin oleh seorang eksekutif senior: Chef Risk Officer (CRO), jika ada, atau eksekutif
lainnya yang memiliki tanggung jawab pengawasan risiko yang luas
Ia bertanggung jawab untuk menentukan bahwa semua risiko kunci diidentifikasi, terkait dengan aktivitas
manajemen risiko, dan ditugaskan kepada pemilik risiko
Mengevaluasi risk appetite organisasi yang sedang berlangsung dan memastikan bahwa tingkat toleransi

didelegasikan kepada pemilik risiko konsisten dengan risk appetite


Mengartikulasikan persyaratan pelaporan
Pemilik risiko harus memahami sifat, format, dan waktu komunikasi mengenai efektivitas kegiatan
manajemen risiko
Pelaporan ini dapat terjadi melalui pertemuan komite risiko yang dijadwalkan secara rutin atau sebagai
bagian dari proses pengumpulan informasi untuk pelaporan ke dewan
Mengevaluasi kembali harapan governance secara berkala (biasanya pertahun)
Sebagai organisasi berkembang dan perubahan, manajemen senior harus menilai kembali arah governance
dan tingkat toleransi yang sesuai yang telah didelegasikan kepada pemilik risiko
Sebagai hasil dari perubahan-perubahan tersebut, tingkat toleransi manajemen senior juga harus dievaluasi
Hal ini juga memberikan kesempatan manajemen senior untuk mengevaluasi keefektifan program
manajemen risiko organisasi

Tanggung jawab pemilik risiko meliputi:


Mengevaluasi apakah kegiatan manajemen risiko dirancang secara memadai untuk mengelola risiko yang terkait
dalam tingkat toleransi yang ditentukan oleh manajemen senior
Menilai kemampuan yang berkelanjutan dari organisasi untuk melaksanakan kegiatan-kegiatan manajemen risiko
Menentukan apakah kegiatan manajemen risiko saat ini yang beroperasi sesuai dengan yang dirancang, yaitu,
apakah orang-orang dan sistem mengeksekusi proses konsisten dengan tujuan yang diinginkan
Melakukan kegiatan sehari-hari untuk mengidentifikasi pemantauan, pada waktu yang tepat, apakah anomali
atau divergensi dari hasil yang diharapkan telah terjadi
Memastikan bahwa informasi yang dibutuhkan oleh manajemen senior dan dewan tersebut akurat dan tersedia,
dan diberikan kepada manajemen senior secara tepat waktu
Risk owner dapat menjalankan tanggung jawab pemerintahan mereka secara terbaik dengan:
Menyajikan rekomendasi governance ke komite risiko
Memperhitungkan kembali kegiatan manajemen risiko secara berkala (minimal pertahun, dan lebih sering ketika
dibenarkan)

BAB 4 MANAJEMEN RISIKO


DEFINISI RISIKO
COSO : kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan
ISO : pengaruh ketidakpastian pada tujuan
Risiko bisnis
Risiko yang secara khusus terkait dengan organisasi didalam melakukan bisnis, berupa ketidakpastian mengenai
adanya ancaman terhadap pencapaian tujuan bisnis.

COSO ERM FRAMEWORK


Setelah kita tahu bahwa banyak sekali risiko yang dihadapi organisasi ketika mereka mencoba menjalankan strategi
dan mencapai tujuan mereka, maka terdapat kebutuhan yang sangat besar terhadap suatu hal yang dapat secara
efektif mengelola risiko di dalam organisasi. Dan kebutuhan ini terjawab dengan adanya Enterprise Risk Management
(ERM) yang pertama kali diperkenalkan COSO pada tahun 2004.
COSO mengidentifikasi adanya kebutuhan akan kerangka kerja yang kuat untuk membantu perusahaan secara efektif
mengidentifikasi, menilai, dan mengelola risiko. Kerangka kerja yang dihasilkan merupakan perluasan dari kerangka
kerja sebelumnya Internal Control Integrated Framework, menggabungkan semua aspek kunci dalam kerangka
kerja tersebut ke dalam kerangka kerja ERM yang lebih luas.
Pengertian ERM secara singkat proses yang dilakukan oleh manajemen untuk memahami dan mengatasi
ketidakpastian yang dapat mempengaruhi kemampuan organisasi untuk mencapai tujuannya
Definisi ERM menurut COSO suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen dan pegawai lainnya,
diterapkan dalam penyusunan strategi dan di segenap perusahaan, dirancang untuk mengidentifikasi peristiwaperistiwa potensial yang dapat mempengaruhi entitas, dan untuk mengelola risiko sampai dalam batas hasrat risiko
entitas, untuk menyajikan keyakinan memadai sehubungan dengan pencapaian tujuan entitas
Definisi ini mencerminkan konsep-konsep fundamental tertentu. ERM adalah:

sebuah proses yang berlangsung terus menerus.


dilakukan oleh setiap orang di dalam organisasi pada tingkatan/jenjang organisasi.
diterapkan dalam penyusunan strategi.
diterapkan di segenap perusahaan, pada setiap tingkat dan satuan.
Berfokus pada pengambilan pandangan portofolio tingkat entitas mengenai risiko.
Dirancang untuk mengidentifikasi peristiwa-peristiwa yang secara potensial mempengaruhi entitas.
Sarana bagi manajemen dalam mengelola risiko dalam batas hasrat risiko entitas.
Menyajikan keyakinan memadai kepada manajemen dan dewan entitas
Dijalankan untuk mencapai tujuan-tujuan baik dalam satu atau dua kategori terpisah maupun secara
bersama-sama.

Kerangka kerja ERM digambarkan dalam kubus tiga dimensi yang mencerminkan hubungan antara jenis tujuan,
komponen ERM, dan struktur bisnis perusahaan.
Jenis Tujuan
Di dalam konteks penetapan visi atau misi, manajemen menetapkan tujuan stratejik, memilih strategi dan
menetapkan tujuan-tujuan lain secara menurun ke segenap perusahaan dan diselaraskan dengan serta dihubungkan
kepada strategi. Kerangka ini memandang tujuan-tujuan entitas dalam konteks empat kategori:

Stratejik berhubungan dengan sasaran tingkat tinggi, diselaraskan dengan dan mendukung misi entitas.
Operasional berhubungan dengan penggunaan sumberdaya entitas secara efektif dan efisien.
Pelaporan berhubungan dengan keandalan pelaporan entitas.
Ketaatan berhubungan dengan ketaatan entitas kepada hukum dan peraturan yang berlaku

Komponen ERM

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Komponen-komponen ini diperoleh
dari cara manajemen menjalankan suatu bisnis, dan dipadukan dengan proses manajemen. Komponen-komponen
tersebut adalah:
1.

Internal Environment (Lingkungan Internal)

manajemen menentukan suatu filosofi sehubungan dengan risiko dan menetapkan suatu hasrat risiko. Lingkungan
internal menentukan fondasi tentang bagaimana risiko dan pengendalian dipandang oleh orang-orang dalam suatu
entitas. Inti dari bisnis apapun adalan orang-orang atribut individual mereka, termasuk integritas, nilai etika dan
kompetensi dan lingkungan di mana mereka beroperasi. Mereka adalah mesin yang mendorong entitas dan fondasi
dari setiap komponen lainnya
Lingkungan intern entitas merupakan fondasi bagi seluruh komponen lain dari manajemen risiko perusahaan, yang
menyajikan disiplin dan struktur. Lingkungan intern mempengaruhi bagaimana strategi dan tujuan-tujuan ditetapkan,
aktivitas bisnis distrukturkan, dan risiko-risiko diidentifikasi, ditaksir dan diperlakukan. Lingkungan intern
mempengaruhi rancangan dan pelaksanaan aktivitas pengendalian intern, sistem informasi dan komunikasi, dan
aktivitas pemantauan.
Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Yang terdiri dari banyak unsur antara lain:

2.

Risk management philosopy.


Risk appetite.
Board of directors.
Integrity and ethical values
Commitment to competence
Organizational stucture
Assignment of authority and responsibility
Human resource standards
Objective Setting (Penentuan Tujuan)

Tujuan ditetapkan pada tingkat strategis, meletakkan dasar untuk operasi, pelaporan, dan tujuan kepatuhan. Setiap
entitas menghadapi berbagai risiko dari sumber eksternal dan internal, dan sebuah prasyarat yang efektif untuk untuk
identifikasi peristiwa, penilaian risiko, dan penanganan risiko adalah pemantapan tujuan.

3.

Event Identification (Identifikasi Peristiwa)

Manajemen harus mengidentifikisasi peristiwa potensial yang akan berdampak pada perusahaan, baik dalam arti
positif maupun negatif. Peristiwa yang berdampak buruk dan menghambat tujuan organisasi di sebut sebagai risiko
dimana manajemen harus melakukan penilaian dan penanganan. Sedangkan peristiwa yang berdampak positif pada
organisasi disebut sebagai peluang dimana manajemen harus memanfaatkannya didalam proses perumusan strategi
dan penentuan tujuan. Ketika mengidentifikasi risiko, manajemen harus mempertimbangkan berbagai faktor internal
maupun eksternal yang dapat menjadi risiko ataupun peluang pada perusahaan.
COSO merumuskan beberapa eksternal faktor antara lain:

Economic events, seperti pergeseran harga, ketersediaan modal, dan persaingan usaha yang ketat.
Natural environment events, seperti banjir, kebakaran, gempa bumi maupun peristiwa alam lainnya.
Political events, seperti pemilihan umum terhadap pemimpin negara dengan agenda politik yang baru
maupun pemberlakukan hukum dan regulasi yang baru.
Social events, seperti perubahan demografi, adat istiadat, struktur keluarga maupun prioritas
hidup/pekerjaan.
Technological events, seperti penggunaan sarana baru didalam perdagangan, penyimpanan dan pemrosesan

COSO juga merumuskan beberapa internal faktor antara lain:

Infrastructure factors, seperti meningkatkan alokasi modal untuk pemeliharaan preventif atau dukungan call
center.
Personnel factors, seperti kecelakaan kerja, kegiatan penipuan, atau kontrak kerja yang kadaluwarsa,
Process factors, seperti perubahan proses/cara kerja, kesalahan didalam proses pekerjaan, atau keputusan
menggunakan outsorcing


4.

Technology factors, seperti meningkatkan sumber daya untuk menangani volatilitas volume, pelanggaran
keamanan, atau penghentian sistem.
Risk assessment (Penilaian Risiko)

Penilaian risiko mengharuskan manajemen untuk mempertimbangkan sejauh mana peristiwa potensial yang dapat
menghambat tujuan perusahaan. Manajemen harus menilai risiko dari dua perspektif yaitu kemungkinan dan
dampaknya. Dengan dua kombinasi itu manajemen menilai risiko mana yang berdampak sangat besar pada tujuan
perusahaan maupun yang berdampak kecil.

5.

Risk Response (Penanganan Risiko)

Setelah mengetahui risiko mana saja yang berdampak pada perusahaan, manajemen harus menentukan penanganan
risiko yang cocok terhadap risiko-risiko tersebut. Ada empat macan penanganan risiko menurut COSO

6.

Avoidance, yaitu menghindari risiko


Reduction, yaitu mengurangi risiko baik dari kemungkinan terjadinhya maupun dampaknya
Sharing, yaitu membagi risiko atau melimpahkan risiko kepada pihak lain (asuransi)
Acceptance, yaitu menerima risiko
Control Activities (Kegiatan Pengendalian)

Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu untuk meyakinkan manajemen bahwa risiko
telah ditangani dengan baik. Beberapa contoh kegiatan pengendalian manajemen antara lain:

7.

Top-level reviews
Direct functional or activity management
Information processing controls
Physical controls
Performance indicators
segregation
Information and Communication

Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait manajemen risiko yang berasal dari internal
maupun eksternal menjadi informasi yang berguna bagi manajemen didalam mengambil keputusan. Kemudian hal itu
dikomunikasikan kepada setiap orang/personnel agar mereka melakukan tanggungjawabnya sesuai fungsi masingmasing. COSO mendefinisikan sebuah informasi harus:

tepat dan rinci pada setiap tingkatan yang berbeda


tepat waktu dan tersedia pada saat dibutuhkan
mencerminkan kondisi yang sekarang baik (update) terutama pada informasi keuangan dan operasi
akurat dan terpercaya
dapat diakses oleh siapapun yang membutuhkan
8.
Monitoring

ERM harus selalu dimonitoring, untuk menjamin keberadaan dan fungsi setiap komponen berjalan dengan baik setiap
waktu. Auditor internal biasanya banyak berperan didalam hal ini karena mereka melakukan penilaian apakah
kegiatan manajemen risiko perusahaan telah dilaksanakan dengan efektif.
Peran dan Tanggung Jawab dalam ERM
Dewan Komisaris, pihak manajemen, pegawai bidang pengelolaan risiko, pegawai bidang keuangan, auditor internal,
dan tentu saja, seluruh pihak yang ada di dalam organisasi memiliki peran untuk mewujudkan ERM yang efektif. Peran
dan tanggung jawab dari masing-masing pihak tersebut sebagaimana telah dijelaskan pada Bab.3 tentang Tata
Kelola.

Dewan Komisaris. Pihak dewan komisaris mengawasi dan memberikan arahan kepada pihak manajemen
organisasi. Dewan komisaris berperan dalam menentukan strategi organisasi, merumuskan tujuan stratejik,
mengalokasikan sumber-sumber daya organisasi dalam lingkup yang luas, dan mencontohkan/mewujudkan
perilaku etis di lingkungan organisasi. Terkait dengan pengelolaan ERM, COSO menyebutkan bahwa dewan
komisaris melakukan pemantauan melalui:

Pemahaman terkait sampai sejauh mana pihak manajemen telah mengelola ERM dengan efektif.
Mengetahui dan menyepakati selera risiko organisasi.
Meninjau portofolio risiko organisasi dan menyesuaikannya dengan selera risiko organisasi.
Menerima info terkait risiko organisasi yang paling signifikan dan apakah pihak manajemen telah menangani
risiko tersebut secara memadai.

Manajemen. Pihak manajemen bertanggung jawab atas segala aktivitas yang ada di organisasi, termasuk
kegiatan ERM. Tanggung jawab pihak manajemen sangat beragam, tergantung tingkatannya dan karakteristiknya
dalam organisasi.
CEO memiliki tanggung jawab puncak atas efektifitas dan kesuksesan program ERM. Salah satu aspek penting
terkait dengan tanggung jawab CEO adalah memastikan keberadaan lingkungan internal yang positif. CEO
memberikan contoh, mempengaruhi susunan dan perilaku dewan pimpinan, memimpin dan mengarahkan
manajer senior, dan memonitor kegiatan pengelolaan organisasi dalam kaitannya dengan penentuan selera
risiko dan kriterianya, seperti kapasitas risiko dan tingkat toleransi risiko. Keadaan terus mengalami perubahan,
pemunculan risiko yang berbeda, perlu penerapan strategi, tindakan yang mengantisipasi kemungkinan yang
tidak berkesusaian dengan kriteria risiko, maka CEO akan mengambil suatu tindakan agar organisasi tidak
keluar-jalur.
Manajer senior yang memimpin berbagai jenis unit di organisasi, memiliki tanggung jawab pengelolaan risiko
terkait dengan tujuan dari masing-masing unit yang dipimpinnya. Pihak manajer senior mengejawantahkan
strategi organisasi yang bersifat umum menjadi berbagai kegiatan operasi, identifikasi kejadian risiko yang
mungkin terjadi, mengukur risiko-risiko yang terkait, dan menerapkan penanganan yang memadai atas risikorisiko tersebut. Pihak manajer membimbing kegiatan ERM organisasi sesuai dengan lingkup bidang tanggung
jawabnya, memastikan bahwa penerapan komponen-komponen ERM tersebut sesuai dengan toleransi risiko
yang telah ditetapkan. Mereka bertanggung jawab atas prosedur khusus ERM yang diperuntukan bagi para
manajer fungsional. Dapat disimpulkan bahwa para manajer lebih berperan aktif dalam menggunakan dan
melaksanakan prosedur khusus penanganan risiko yang terkait dengan tujuan suatu unit tertentu di organisasi,
seperti teknik pengidentifikasian dan pengukuran risiko dan penentuan penanganan khusus risiko ( yang adalah
strategi manajemen risiko, sebagai contoh kebijakan pengembangan dan prosedur pembelian barang atau
melayani pelanggan baru
Staf fungsional, seperti bidang akuntansi, SDM, kepatuhan, atau hukum juga memiliki peran yang penting dalam
mewujudkan perancangan dan pelaksanaan praktik-praktik ERM yang efektif. Fungsi-fungsi ini dimungkinkan
untuk merancang dan menerapkan suatu program yang dapat mendukung pengelolaan risiko lintas unit dalam
organisasi.

Petugas pengelola risiko. Beberapa organisasi telah memiliki dan menunjuk seseorang untuk menempati posisi
manajer senior yang bertugas/berperan sebagai pusat koordinasi dalam pengelolaan ERM. Seorang petugas
pengelola risiko--biasanya disebut Chief Risk Officer (CRO)-- umumnya beroperasi dalam lingkup staff
fungsional, bekerja bersama dengan pihak manajer lain dalam mewujudkan ERM pada unitnya masing-masing,
Petugas pengelola risiko memiliki sumber daya untuk mempengaruhi pengelolaan ERM lintas anak perusahaan,
proses bisnis, departemen, fungsi dan kegiatan. Mereka bertanggung jawab atas pemantauan kemajuan
pengelolaan risiko dan mendampingi manajer lain melaporkan informasi yang relevan dengan risiko dalam
organisasi.
Pedoman COSO menyebutkan tanggung jawab CRO secara khusus, yaitu:
Menyusun kebijakan ERM, meliputi definisi peran dan tanggung jawab, dan berpartisipasi dalam menentukan
tujuan penerapan.
Membuat kerangka kewenangan dan pertanggungjawaban ERM di unit-unit bisnis.
Meningkatkan kompetensi ERM di seluruh entitas, meliputi memfasilitasi pengembangan ahli teknik ERM dan
membantu pihak manajer menangani risiko sesuai dengan toleransi risiko entitas dan mengembangkan
pengendalian yang memadai.
Memandu pengintegrasian ERM dengan perencanaan bisnis lainnya dan aktivitas manajemen.
Menyusun suatu istilah yang umum dalam pengelolaan risiko meliputi pengukuran atas keterjadian dan
dampak risiko, dan kategori risiko yang umum.

Memfasilitasi pengembangan protokol pelaporan dari pihak manajemen, meliputi batasan kualitatif dan
kuantitatif, dan pemantauan proses pelaporan.
Pelaporan kepada pihak pimpinan terhadap kemajuan dan pelaksanaan dan rekomendasi tindakan yang
diperlukan.
Financial Executive. Pimpinan bagian akuntansi dan keuangan beserta para staffnya bertanggung jawab hampir
atas seluruh kegiatan yang ada di organisasi, karena pada dasarnya hampir seluruh kegiatan tersebut melibatkan
peran serta bagian akuntansi dan keuangan. Mereka berperan penting dalam mencegah dan mendeteksi
pelaporan fraud, dan mempengaruhi kerangka, penerapan, dan pengawasan pengendalian internal organisasi
yang terkait dengan pelaporan keuangan dan sistem pendukung lainnya.
Auditor Internal. Auditor Internal berperan penting dalam mengevaluasi efektifitastermasuk
merekomendasikan perbaikanERM.
Pihak-pihak lain dalam organisasi. Kenyataannya ERM adalah tanggung jawab seluruh pihak yang ada dalam
organisasi. Mungkin beberapa dari mereka bukanlah pemilik risikonya (risk owner), namun bagaimanapun juga
peran merekamulai dari mengidentifikasi risiko hingga penerapan strategi penanganan risikoturut
berpengaruh dalam mewujudkan ERM yang efektif.
Auditor Eksternal. Pihak auditor eksternal dapat memberikan informasi kepada Dewan Direksi maupun
manajemen suatu pandangan pengelolaan risiko organisasi secara objektif dan independen, yang akan berguna
menghasilkan laporan keuangan untuk pihak eksternal dan tujuan-tujuan lainnya.
Para pembuat aturan. Pihak pembuat aturan dapat mempengaruhi penerapan ERM dalam organisasi melalui
berbagai persyaratan untuk melaksanakan ERM atau sistem pengendalian internal atau melalui pemeriksaan
terhadap entitas khusus.
Pihak-pihak di luar perusahaan. Pelanggan, vendor, mitra bisnis, dan siapapun itu yang terlibat secara bisnis
dengan organisasi berperan dalam menyediakan informasi risiko, sebagai sumber/bahan ERM. Pihak kreditor
dapat memberikan suatu pengawasan atau arahan yang berpengaruh terhadap pencapaian tujuan organisasi.
Analis keuangan, lembaga pemberi peringkat, media massa, dan pihak-pihak eksternal lainnya dapat
mempengaruhi ERM. Hasil investigasi mereka, memberikan gambaran secara mendalam bagaimana persepsi
orang luar terhadap kinerja organisasi, risiko industri dan ekonomi, proses operasi yang inovatif dan strategi
keuangan, serta gambaran tren industri saat itu. Penyedia jasa menjadi semakin lazim bagi organisasi dalam
menjalankan operasi hariannya terutama untuk menjalankan fungsi-fungsi yang bukan proses bisnis utama
organisasi. Dengan adanya kerja sama dengan pihak luar tersebut maka kemungkinan akan ada pengembangan
pengelolaan risiko terutama yang terkait dengan kerja sama tersebut.

COSO mengidentifikasi prinsip-prinsip dalam pengelolaan ERM yang dapat menjadi faktor pendorong:
Menyesuaikan selera risiko dan strategi
Meningkatkan pengambilan keputusan untuk merespon risiko
Mengurangi kemungkinan-kemungkinan buruk dalam proses operasi
Mengidentifikasi dan mengelola risiko antar-usaha
Menyiapkan respon terpadu atas berbagai risiko
Menangkap peluang
Meningkatkan penempatan modal
ISO 31000:2009 MANAJEMEN RISIKOPEDOMAN DAN PRINSIP
Prinsip ISO 31000:
Menciptakan dan memelihara nilai
Bagian integral dari proses organisasi
Bagian dari pengambilan keputusan
Secara tegas menyampaikan ketidakpastian
Sistematis, terstruktur, dan tepat waktu
Berdasarkan pada informasi terbaik
Dirancang secara khusus
Mempertimbangkan faktor manusia dan budaya
Transparan dan melibatkan banyak pihak
Dinamis, berulang, dan responsif terhadap perubahan
Memfasilitasi perbaikan-perbaikan dalam organisasi
Kerangka ISO 31000

Mandat dan komitmen dari atasan


Merancang kerangka pengelolaan risiko, yang meliputi:
Pemahaman terhadap konteks organisasi
Menyusun kebijakan manajemen risiko

Pendelegasian tanggung jawab dan kewenangan


Mengintegrasikan pengelolaan risiko pada proses bisnis organisasi
Pengalokasian sumber daya
Menentukan komunikasi internal dan eksternal serta mekanisme pelaporannya
Menerapkan kerangka dan proses pengelolaan risiko
Pemantauan atas kerangka
Secara berkala, meningkatkan kerangka

Proses ISO 31000

Menyusun konteks. Berfokus pada pemahaman dan persetujuan atas faktor-faktor internal dan eksternal
yang dapat mempengaruhi pengelolaan risiko.
Menilai risiko, yang meliputi kegiatan pengidentifikasian risiko, menganalisa risiko dan penyebabnya, sumber,
dan tipe hasil yang diharapkan, dan mengevaluasi risiko untuk memperoleh informasi dalam
memprioritaskan penanganan risiko.
Penanganan risiko, meliputi kegiatan pengambilan keputusan atas informasi risiko yang ada.
Memonitor risiko, mengidentifikasi kejadian risiko di lapangan dan mengevaluasi apakah penanganan risiko
telah sesuai dengan tujuan.
Membangun proses komunikasi dan konsultasi.

Peran Auditor Internal dalam ERM


Pengelolaan Enterprise Risk Management membutuhkan peran akuntan perusahaan baik peran dari akuntan
manajemen maupun peran Auditor Internal. Adapun Auditor Internal bertugas meneliti dan mengevaluasi
berfungsinya sistem akuntansi di samping menilai seberapa jauh kebijakan dan program kerja manajemen dijalankan
memiliki peran yang penting dalam perusahaan, termasuk pengelolaan risiko.
Dalam Position Paper berjudul The Role Internal Auditing in Enterprise-Wide Risk Management yang dikeluarkan oleh
IIA, dikemukakan bahwa terdapat beberapa aktivitas yang dapat diperankan oleh internal auditor. Internal auditor
diharuskan untuk memelihara objektivitas dan indepedensi yang diwajibkan oleh kode etik profesi dan standar profesi
auditor internal. Saat internal auditor tidak memiliki kompetensi dan kemahiran yang memadai atas area manajemen
risiko maka menurut IIA auditor internal harus menolak penugasan. Berikut ini aktivitas utama yang dapat diperankan
oleh internal auditor:

Memberikan jaminan kepada proses manajemen


Memberikan jaminan apakah risiko telah di evaluasi
Mengevaluasi proses manajemen risiko
Mengevaluasi pelaporan kunci risiko
Meninjau ulang kunci manajemen risiko

Aktivitas yang tidak dapat diperankan oleh internal audit antara lain :
Setting risk apatite
Imposing risk management process
Management assurance on risk
Taking decisions on risk responses
Implementing risk responses on managements behalf
Accountability for risk management.
Dari gambaran di atas terlihat bahwa banyak aktivitas yang dapat diperankan oleh internal auditor dengan berpegang
pada standar profesi audit internal untuk mendorong efektivitas ERM danmanajemen tetap bertanggung jawab untuk
manajemen risiko.
COSO menyatakan bahwa Enterprise Risk Management ditetapkan untuk membantu manajemen dalam hal
menyelaraskan selera risiko (risk appatite) dengan strategi perusahaan, meningkatkan keputusan respon risiko,
menekankan atau mengurangi lonjakan atau kerugian akibat operasional, mengidentifikasi dan mengelola cross
enterprise risk, menyiapkan respon atas berbagai risiko secara terintegrasi, serta meraih kesempatan dan
mengembangkan pemodalan.
Penerapan Enterprise Risk Management dalam organisasi dapat mendorong terciptanya Good Corporate Governance.
Enterprise Risk Management memiliki fokus pada pengelolaan risiko yang timbul dari setiap aktivitas organisasi untuk
kemudian organisasi tersebut akan diarahkan dan dikendalikan sesuai dengan prinsip-prinsip Good Corporate
Governance untuk dapat mencapai tujuan organisasi yang ditetapkan.

DAMPAK DARI ERM ATAS JASA ASSURANCE YANG DIJALANKAN OLEH INTERNAL AUDIT
Mengaitkan antara perencanaan audit dan pengelolaan atas risiko:
Sebelum mengembangkan rencana audit internal, menurut CAE akan sangat membantu apabila pertamatama membangun dan meng-update audit universe.
Audit universe bisa terdiri dari beberapa komponen yang ada pada strategi perusahaan.
Penyiapan rencana audit internal berdasarkan audit universe tersebut.
Audit universe terkait dengan rencana audit yang sudah update menggambarkan perubahan-perubahan yang
telah terjadi.
Perencanaan audit, didasarkan, bersama dengan faktor-faktor lainnya, penilaian atas risiko.

CHAPTER 5 : BUSINESS PROCESSES AND RISKS


Terdapat 3 (Tiga) tipe dari business activity :
1. Operating Processes
Operating Processes pada sebagian besar organisasi merupakan suatu proses inti yang dilalui untuk mencapai
tujuan utamanya. Melalui proses ini organisasi menciptakan nilai dan menyampaikannya secara langsung kepada
konsumen.
2. Management and Support Processes
Management and Support Processes merupakan kegiatan yang mengawasi dan mendukung proses penciptaan
nilai inti dari perusahaan (organizations core value-creation process)
3. Projects
Projects merupakan suatu metode yang digunakan untuk menyelenggarakan kegiatan yang menghasilkan nilai
(value-creating activities). Projects digunakan ketika terjadi kegiatan selama jangka waktu tertentu, memerlukan
proses pengerjaan yang rumit, dan relatif unik di mana memerlukan kegiatan spesifik yang tidak dilakukan secara
berkesinambungan. Projects juga sering digunakan pada sebagian besar organisasi untuk membentuk kegiatan
nonrutin untuk menciptakan aset untuk kepentingan organisasi.

(Gambar 5-1 : Ilustrasi Business Processes)


Understanding Business Processes
Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai dan meningkatkan kinerja
operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi, Misi, nilai serta Tujuan Tahunan) dan
bagaimana struktur proses bisnisnya dapat mencapai tujuan tersebut (Strategi tingkat pimpinan dan tingkat Taktis).
Model bisnis tersebut biasanya merupakan bagian dokumen internal yang tersedia untuk audior internal.
Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu organisasi dapat tersedia.
Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategi organisasi. Sementara Visi,
misi, nilai serta tujuan perusahaan relatif sama dari tahun ke tahun, fungsi internal audit harus di-update secara
periodik mengenai pemahamannya tentang strategi organisasi.
Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses bisnis dan perannya dalam
bisnis model:
1. Top dowm approach
Dimulai pada penetapan tujuan di level organisasi, dan kemudian diidentifikasi proses-proses kunci yang kritikal
terhadap keberhasilan pencapaian setiap tujuan tersebut.
2. Bottom up approach
Dimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang yang bertanggung jawab
terhadap kegiatan aktualnya.
Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya adalah menentukan tujuan
kunci (key objectives) dari proses yang dilakukan. Auditor Internal perlu untuk mengetahui pemilik proses (process
owner) untuk memahami tujuan proses (proecess objectives) Ketika tujuan proses sudah dipahami, langkah
selanjutnya adalah memahami proses masukan, kegiatan spesifik yang diperlukan untuk mencapai tujuan proses dan
output proses.
Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut memerlukan pemahaman
tentang bagaimana manajemen dan pemilik proses mengetahui bahwa proses berjalan sesuai yang dikehendaki.
Pemilik proses seharusnya memiliki KPI (Key performance Indicator), yang merupakan suatu metrik ataupun dalam
bentuk lain untuk mengukur apakah suatu proses ataupun tugas individu telah dilakukan sesuai toleransi yang
ditetapkan.
Documenting Business Processes

Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan Process Narative. Process Map
merupakan gambaran yang merepresentasikan dari inout, langkah-langkah, workflows, dan output.Tidak ada standar
yang absolut mengenai format dan simbol dari Process Mapping, namun harus konsisten penggunaannya. Process
Map biasanya digambarkan berupa urutan dari suatu kegiatan dari kanan ke kiri.
Business Risk
Ketika internal auditor sudah memahami tujuan organisasi dan proses kunci yang digunakan untuk mencapai tujuan
tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat menghalangi pencapaian tujuan tersebut.
Bagi organisasi yang telah menerapkan Enterprise Risk Management (ERM), umumnya manajemen telah
mengembagkan suatu risk profile. Dalam kasus tersebut maka fungsi internal audit dapat membangun penilaian
risikonya dari risk profile tersebut. Bila risk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil
sebagai titik awal untuk perencanaan audit tahunan.
Pendekatan umum yang dapt dilakukan untuk mengembangkan risk profile adalah dengan melakukan sesi
brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota fungsi internal audit. Potensi
risiko dibagi ke dalam 4 (empat) kategori sesuai dengan ERM COSO yaitu Strategic Risks, Compliance Risks, Reporting
Risks, dan Operations Risks. (Lihat Chapter 4 Risk Management)
Risiko yang beraneka ragam tersebut kemudian dinilai dampak dan keterjadiannya seperti gambar di bawah ini.

(Gambar 5-2 : Risk Assessment Model)


Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk Model ke dalam Matriks Risk
Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan tujuan spesifiknya. Hal tersebut akan
membantu untuk memastikan bahwa semua risiko kunci, dan dampak yang dihasilkan telah diidentifikasi
Memetakan Resiko Pada Proses Bisnis
Next Step.(A, B, C dst)
A. Membangun Respon yang Sesuai untuk Masing-masing Risiko
Respon yang bisa diberikan oleh organisasi terhadap risiko (perspektif ERM):
1) Avoidance/Penghindaran (contoh: tidak meluaskan pangsa pasar, menjual sebuah divisi)
2) Reduction/Pengurangan yaitu mengurangi dampak, keterjadian atau keduanya (contoh: mengimplementasikan
control)
3) Sharing/Membagi dengan mentransfer atau membagi porsi risiko, (contoh: asuransi, hedging, outsource activity)
4) Acceptance/Penerimaan organisasi memilih menerima risiko dengan level tertentu daripada menggunakan
sumber daya untuk merespon dengan cara lainnya.
IIA Standard 2010 bilang:
Planning explicity requires CAE to establish a risk-based plan to determine the priorities of the internal audit activity,
consistent with the organizations goals

Atau
Perencanaan secara eksplisit membutuhkan CAE untuk 'menetapkan rencana berbasis risiko untuk menentukan
prioritas kegiatan audit internal, yang konsisten dengan tujuan organisasi
_______Mohon Tengok Exhibit 5-11 RISK BY PROCESS MATRIX Hal. 5-16___________
B. Menganalisis Proses untuk menentukan adanya hubungan antara proses dan risiko
C. Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan mana yang kunci atau
bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko. Hubungan
sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk memanaje risiko.
RBPM pada exhibit 5-11 di atas digunakan internal auditor untuk memutuskan bagian mana yang harus dimasukkan
kedalam rencana audit fungsional tahunan. Langkahnya menghitung jumlah link key dan secondary untuk setiap
proses. Hal ini karena link tersebut akan mempengaruhi tipe audit yang akan dilakukan.
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko adalah dengan
membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses (risk factor approach).
Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess masing2 proses. Biasanya ada 2 jenis factor,
external risk factor dan internal risk factor.
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin pencapaian tujuan, kinerja
orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat perubahan dalam proses dan
lingkungan di mana bisnis beroperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model diimplementasikan:
1. Menentukan skala untuk tiap factor yang di assess
2. Menentukan pembobotan untuk tiap factor
3. Menentukan bagaimana tiap factor dikombinasikan
_______Mohon Tengok Exhibit 5-12 RISK FACTOR APPROACH Hal. 5-18___________
Proses Bisnis dan Risiko dalam Assurance Engagement
Assurance engagement ialah pemeriksaan obyektif pada bukti-bukti dengan tujuan memberikan penilaian independen
terhadap tata kelola, manajemen risiko dan proses kontrol untuk organisasi.
_______Mohon Tengok Exhibit 5-14 RISK/CONTROL MATRIX FOR PROCESS Hal. 5-14___________
_______Mohon Tengok Exhibit 5-15 RISK MAP PARTIALLY COMPLETED Hal. 5-15___________
Business Process Outsorcing
Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis organisasi ke penyedia luar guna
mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus meningkatkan kualitas
pelayanan.
Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT. Sekarang berkembang menjadi HRD, engineering,
CS, keuangan dan akuntansi.
Karena outsorce ini, beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan. Beberapa hal yang
harus diperhatikan dalam IC pada bisnis proses outsorcing:
a. mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di outsorce
b. memastikan ada cara memantau efektivitas proses outsorce
c. memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses outsorce beroperasi secara
efektif, baik melalui audit internal kontrol atau tinjauan eksternal kontrol
d. mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku
PELUANG UNTUK MEMBERIKAN WAWASAN
Kemampuan dari auditor internal dalam menganalisis proses bisnis dan risiko terkait penyediaan fungsi audit internal
member kesempatan untuk menambah nilai yang signifikan bagi organisasi melalui wawasan mereka terkait pekerjaan
yang dilakukan yang dapat diberikan kepada manajemen di tingkat operasional dan eksekutif. Kesempatan untuk
menerapkan keterampilan ini mungkin datang sebagai akibat dari pekerjaan yang dilakukan untuk memberikan
keyakinan pada manajemen risiko dan pengendalian internal dalam rangka keterlibatan jaminan tradisional seperti
inisiatif rekayasa ulang proses bisnis, ulasan dalam merger dan akuisisi, atau review sebelum impelementasi sistem.
Chapter 7 IT Risk and Control

IT berubah dengan cepatnya dan memberi tantangan baru bagi seluruh organisasi, sekalipun dia tidak
menginginkannya. Sosial media mengandung risiko pencitraan buruk terhadap organisasi yang dengan gampang
diposting, risiko ini harus diantisipasi.
Penggunaan sosial media memiliki peluang dan risiko. Peluang yang diberikan antara lain:
Increase revenue
Meningkatkan kepuasan dan loyalitas pelanggan
Merekrut talenta terbaik
Meningkatkan pengembangan dan inovasi produk
Meningkatkan brand awareness dan persepsi pelanggan
Pada saat yang sama sosial media mengandung risiko, yaitu:
Kurangnya corporate governance seputar penggunaan socmed
Kurangnya kesadaran kebutuhan regulasi
Gagal melakukan pengukuran socmed
Gagal melakukan kebijakan socmed yang efektif
Karena perkembangan teknologi, banyak perusahaan yang menerapkan BYOD (bawa devicemu sendiri). Pegawai
mengakses data perusahaan melalui gadget mereka. Ini meningkatkan risiko ketidakamanan informasi.
Seluruh organisasi berinvestasi besar-besaran pada IT untuk mencapai tujuan bisnisnya. IT membantu organisasi
dalam hal: mengenable strategi bisnis, meningkatkan performance operasi, dan memfasilitasi pengambilan keputusan.
Contoh: perusahaan yang ingin expansi ke penjualan online, tidak akan bisa berbuat apa2 jika ga punya teknologi ecommerce.
IT pada strategi organisasi mempengaruhi profesi internal audit. Hal ini mengubah kompetensi yang dibutuhkan
internal audit dan bagaimana mereka melaksanakan tugas consulting dan assurance. IA harus memahami IT risk dan
control serta dapat mengaplikasikan teknik audit berbasis teknologi. IT Auditor/IS auditor harus punya pengetahuan
mendalam tentang IT, namun seluruh internal auditor harus memiliki pengetahuan memadai terkait dengan: sistem
informasi organisasinya, IT risk yang mengancam, IT governance organisasinya, risk management dan control
prosesnya.
Komponen utama Sistem Informasi Modern:
1. Hardware Komputer: komponen fisik dari sistem informasi., yaitu; server, CPU, workstation, terminal, I/O
device.
2. Network: Jaringan komputer yang terhubung dua atau lebih komputer sehingga dapat berbagi
informasi/beban kerja. Tipe-tipenya antara lain:
a. Client-server: menghubungkan satu/lebih komputer dengan server
b. LAN: jaringan kecil dalam gedung
c. WAN: LAN yang saling terhubung (national, global)
d. Intranet: jaringan privat organisasi
e. Extranet: dapat diakses oleh pihak ketiga terpilih
f. Value added network (VAN): jaringan third-party yang menghubungkan organisasi dengan trading
partners
g. Internet: jaring internet besar global
h. Peer-to-peer: hubungan mesra antar device tanpa perantara jaringan
3. Computer Software: termasuk OS, utility software, database management system (DBMS) software, aplikasi
dan firewall.
4. Database: tempat penyimpanan data yang besar. Biasanya file-file yang saling terhubung dan disimpan agar
dapat diretrieve dengan mudah.
5. Information: informasi adalah sumber daya utama organisasi, mulai dari penciptaan sampai penghancuran,
teknologi dapat berperan. Sistem informasi mengumpulkan dan menyimpan data serta mengubahnya
menjadi informasi yang berguna.
6. People: Peran dalam sistem informasi secara spesifik membutuhkan CIO, database administrator, system
developer, data processing personel dan end user.
Peluang dan risiko IT
Peluang dan risiko dari IT memiliki porsi yang significan sehingga organisasi perlumengerti dan memanage dengan
efektif.
Peluang yang ditimbulkan IT:

1.

ERP system: enterprise resource planning, mengintegrasikan seluruh bisnis proses dalam satu database.
Keuntungannya a.l online realtime processing, interaksi dan sharing informasi antar fungsi
lancar,meningkatkan kinerja proses, eliminasi/kurangi data berulang dan eror, pengambilan keputusan lebih
cepat.
2. EDI: electronic data interchange, pertukaran dokumen computer-to-computer antara organisasi dengan
partner bisnis. Proses transaksi lebih efisien dan lebih sedikit data eror. EDI harus dua arah, organisasi dan
partner harus sama2 punya EDI yang bagus.
Risiko IT:
Seluruh komponen sistem informasi punya risiko potensial, contoh: hardware komputer kehilangan daya sehingga
memutus transaksi, jaringan bisa disadap atau dicuri, software yang tidak valid.
Beberapa tipe IT risk:
1. Selection risk: pemilihan IT solution yang tidak sesuai dengan strategic objective.
2. Development&deployement risk: saat pengembangan ataupun penerapan, dapat terjadi delay yang tak bisa
diperkirakan, biaya yang overrun, bahkan proyek yang ditinggalkan/dilepas.
3. Availability risk: ketiadaan sistem saat dibutuhkan dapat memperlambat pengambilan keputusan
4. Hardware/sftware risk: kegagalan hard/software untuk berjalan dengan baik dapan menginterupsi bisnis
secara temporari atau permanen dan merusak data.
5. Access risk: risiko akses fisik maupun logik oleh pihak yang tak berkepentingan dapat menyebabkan,
modifikasi sofware yang membahayakan, pencurian, penyalahgunaan dan penghancuran data.
6. Risiko Reliabilitas sistem dan integritas informasi: eror yang terjadi bisa sistematik, sehingga informasi
menjadi tidak reliable.
7. Confidentially dan privacy risk: pengungkapan tanpa ijin atas informasi partner bisnis, personal data individu,
dapat hancurkan bisnis ata dituntut hukum
8. Risiko Fraud dan tindakan jahat: pencurian suamber daya IT, penyalahgunaan sumberdaya IT atau
pengacauan/pengrusakan data dapat menimbulkan financial loss/misstated information.
IT Governance:
IT dapat digunakan untuk mengeksekusi strategi bisnis dan membantu pencapaian tujuan perusahaan. Dalam
merespon pengaruh IT terhadap strategi bisnis dan operasinya, organisasi menentukan IT governance. IT governance
terdiri dari kepemimpinan, struktur dan proses pengawasan yang meyakinkan IT organisasi menopang dan menyuport
strategi dan tujuan organisasi.
IT risk management
Adalah proses yang dilaksanakan oleh manajemen untuk mengerti dan menangani risiko IT dan peluang yang daat
mempengaruhi kemampuan perusahaan mencapai tujuan. Hal ini dilakukan untuk 1) mengidentifikasi dan mitigasi
risiko yang mengancam organisasi, 2) identifikasi dan memanfaatkan peluang yang membawa kesuksesan organisasi.
IT risk management berdasarkan COSO ERM:
1. Internal environment: tone of the top, board menetapkan IT risk appetite dan tollerance.
2. Objective setting: IT governance menetukan tujuan IT yang menetapkan arah aktivitas IT. Strategic operation
dari IT managemen harus selaras dengan strategic managemen perusahaan keseluruhan.
3. Event identification: kejadian yang berpotensi muncul baik diluar maupun didalam organisasi yang dapat
mempengaruhi eksekusi strategi organisasi dan pencapaian tujuan harus diidentifikasi.
4. Risk assesment: IT risk event yang teridentifikasi harus di assess dalam dampak bawaan dan keterjadiannya.
5. Risk response: respon terhadap risiko yang layak harus diformulasikan terhadap event yang teridentifikasi.
6. Control activities: Kebijakan respon terhadap risiko dan prosedur respon harus dedesain secara memadai dan
dioperasikan efektif.
7. Information and communication: informasi penting terkait identifikasi, respon, dan assess harus
dikomunikasikan dengan baik.
8. Monitoring: manajemen bertanggungjawab memonitor proses manajemen risiko IT, termasuk prose
pengendalian IT dari waktu ke waktu untuk memastikan proses berjalan seiring perubahan-perubahan yang
terjadi.

CHAPTER 8
RISK OF FRAUD AND ILLEGAL ACTS
RISIKO FRAUD DAN TINDAKAN ILEGAL

LEARNING OBJECTIVES :
1. Memahami prevalensi tindakan ilegal dan penipuan di dunia saat ini.
2. Membandingkan dan membedakan berbagai definisi tindakan illegal/ fraud.
3. Menjelaskan fraud triangle dan mengapa ketiga unsur tersebut muncul ketika terjadi fraud.
4. Menentukan jenis fraud dan faktor-faktor fraud risk.
5. Mendefinisikan tata kelola, manajemen risiko, dan pengendalian dalam konteks fraud.
6. Menjelaskan pencegahan fraud, penghindaran, dan teknik deteksi.
7. Memahami aspek perilaku fraud.
8. Menjelaskan aspek perilaku dari fraudsters.
9. Menjelaskan kepatuhan auditor internal dihubungkan dengan tanggung jawab terkait terkait untuk melindungi
organisasi dari pelanggaran peraturan.
10. Memahami perkembangan tanggung jawab fungsi audit internal, termasuk keterlibatan akuntan forensik dan
spesialis pemeriksaan fraud.
Salah satu risiko paling signifikan yang dihadapi organisasi kontemporer adalah risiko fraud/kecurangan. Ketika fraud
muncul, apakah dilakukan oleh indibidual karyawan, kolusi diantara banyak karyawan, atau pihak ketiga diluar
perusahaan yang merugiikan perusahaan bisa menyebabkan kerugian tidak hnaya kerugian finansial tetapi juga
rusaknya reputasi yang serius. Dalam banyak kasus, terjadinya fraud pada perusahaan publik dengan cepat
menyebabkan penurunan pada harga saham dan kapitalisasi pasar, dan dapat menjadi indikator awal dari financial
distress/ kesulitan keuangan.
Mengingat konsekuensi ekonomi yang serius dari fraud, manajemen senior dan governing boards semakin
menekankan program anti fraud dan kontrol untuk menangani bisnis utama, kepatuhan terhadap peraturan, dan
driver pasar. Pembaruan fokus global pada tata kelola perusahaan berasal dari kesadaran bahwa kecurangan
pelaporan keuangan dengan mudah dapat menyebabkan kegagalan organisasi.
Tindakan llegal adalah kegiatan yang melanggar hukum dan peraturan yurisdiksi tertentu di mana perusahaan
beroperasi. Auditor internal di perusahaan besar sering mengambil peran untuk memastikan kepatuhan terhadap
peraturan. Langkah pertama biasanya termasuk penyelesaian penilaian risiko fraud. Telah terjadi peningkatan dalam
penerapan peran baru dalam banyak organisasi, seperti direktur kepatuhan (CCO) dan pejabat risiko kepala (CRO).
OVERVIEW OF FRAUD IN TODAY'S BUSINESS WORLD
Fraud tidak terbatas hanya pada negara atau industri tertentu. Fraud dapat timbul dalam organisasi hampir setiap
saat. Pada awal abad kedua puluh satu, skandal akuntansi besar di AS (misalnya, Enron dan World Com) adalah berita
utama di seluruh dunia. Skandal perusahaan tersebut tidak hanya merugikan investor miliaran dolar AS, kejadian
tersebut juga mengakibatkan hilangnya kepercayaan pasar modal AS.
Association of Certified Fraud Examiners (ACFE) melakukan survei dua tahunan kepada anggotanya dan menyiapkan A
Report To The Nation On Occupational Fraud And Abuse (Report To Nation).. Akhir tahun 2012 Laporan mencakup
94 negara dan dengan demikian memberikan wawasan tentang fraud di seluruh dunia. Laporan tahun 2012
didasarkan pada data yang dikumpulkan dari 1.388 kasus penipuan dari berbagai industri yang diteliti pada tahun
2010 dan 2011. Fraud terus menjadi perhatian utama bagi organisasi di seluruh dunia, dengan lebih dari seperlima
dari insiden fraud yang menyebabkan kerugian sebesar $ 1 juta pada 2011.
Informasi dari kasus-kasus tersebut dilaporkan oleh certified fraud examiners (CFEs) yang menyelidiki kasus-kasus
tersebut . Berikut rangkuman dari beberapa temuan selama tahun 2012 :
Peserta dalam survei memperkirakan bahwa organisasi kehilangan 5 persen dari pendapatan tahunan
mereka dari fraud, sedikit menurun dari 6 persen diperkirakan (untuk AS saja) pada tahun 2010 laporan
kepada bangsa.
Skema penipuan kerja cenderung sangat mahal.
Skema penipuan Kerja sering berlanjut selama bertahun-tahun sebelum mereka terdeteksi.
Skema penipuan yang paling umum adalah penyalahgunaan aset, yang terjadi pada 87 persen dari semua

kasus, dan mengakibatkan kerugian rata-rata $ 120.000.


Penipuan kerja jauh lebih mungkin untuk dideteksi dengan tip(petunjuk/informasi) daripada audit, kontrol,
atau cara lain.
Corruption and billing schemes menimbulkan risiko terbesar bagi organisasi di seluruh dunia.
Semakin lama pelaku fraud telah bekerja untuk sebuah organisasi, kerugian akan fraud cenderung semakin
tinggi.
Fraud dapat terjadi dalam setiap jenis organisasi, industri yang paling sering menjadi korban adalah
perbankan dan jasa keuangan, pemerintah dan administrasi publik, dan manufaktur.
Occupational frauds yang paling sering dilakukan oleh individu yang bekerja di salah satu dari enam
departemen: akuntansi, operasional, penjualan, eksekutif / manajemen atas, layanan pelanggan, dan
pembelian.
Occupational fraudsters umumnya merupakan pelanggar pertama kali.
Fraud perpetrators / Pelaku penipuan sering menampilkan ciri-ciri perilaku yang mengindikasikan
kemungkinan perilaku ilegal; ini tercatat dalam 81 persen dari kasus yang dilaporkan.
Poin kunci di sini adalah bahwa tidak ada organisasi yang kebal terhadap fraud. Hal ini dapat terjadi di organisasi
besar dan kecil, dan di negara atau industri. Selama manusia, dengan kelemahan yang melekat pada mereka, yang
terlibat dalam organisasi, risiko fraud adalah nyata.
DEFINITIONS OF FRAUD
Black's Authoritative Definition Of Fraud
Fraud adalah istilah generik, yang mencakup segala cara dimana kecerdikan manusia dapat merancang, dan yang
dilakukan oleh satu individu untuk mendapatkan keuntungan lebih dari yang lain dengan saran palsu atau dengan
menekan kebenaran, dan mencakup semua kejutan, trik, licik, dissembling, dan cara yang tidak adil dimana ada
pihak lain yang ditipu.
The Institute of Internal Auditors (IIA)
(From the Glossary to its Standards in the International Professional Practices Framework)
Fraud adalah setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau pelanggaran
kepercayaan. Penipuan dilakukan oleh partai dan organisasi untuk memperoleh uang, properti, atau layanan;
untuk menghindari hilangnya pembayaran jasa, atau untuk mengamankan keuntungan pribadi atau bisnis.
The American Institute of Certified Public Accountants (AICPA)
(From Statement on Auditing Standard No. 99)
Fraud adalah tindakan disengaja yang mengakibatkan salah saji material dalam laporan keuangan yang tunduk
pada audit. Salah saji timbul dari kecurangan pelaporan keuangan dan penyalahgunaan aset.
Association of Certified Fraud Examiners (ACFE)
(From the 2008 Report to the Nation on Occupational Fraud)
Penggunaan kedudukan seseorang untuk memperkaya diri melalui penyalahgunaan yang disengaja atau
penyalahgunaan sumber daya atau aset organisasi.
The ACFE's Occupational Fraud and Abuse Classification System menjelaskan tiga jenis utama fraud: pernyataan palsu,
yang umumnya melibatkan pemalsuan laporan keuangan suatu organisasi (misalnya, melebih-lebihkan pendapatan
dan mengecilkan kewajiban dan beban); penyalahgunaan aset, yang melibatkan pencurian atau penyalahgunaan aset
organisasi (misalnya, menggelapkan pendapatan, mencuri persediaan, atau penipuan gaji); dan korupsi, di mana
pelaku fraud menggunakan pengaruh mereka dalam sebuah transaksi bisnis untuk mendapatkan manfaat bagi diri
sendiri atau orang lain, bertentangan dengan kewajiban mereka kepada atasan mereka atau hak-hak dari pihak lain.
EXHIBIT 8-6
OUTLINE OF THE ACFE'S OCCUPATIONAL FRAUD AND ABUSE CLASSIFICATION SYSTEM
1. Manipulasi secara sengaja terhadap laporan keuangan, yang dapat menyebabkan:
a. Tidak tepatnya pelaporan pendapatan.
b. Tidak tepatnya pelaporan biaya.
c. Tidak tepatnya penggambaran jumlah neraca, termasuk cadangan.
d. Tidak tepatnya peningkatan dan / atau pengungkapan yang tidak transparan.
e. Menyembunyikan penyalahgunaan aset.
f. Menyembunyikan penerimaan dan pengeluaran yang tidak sah.

2.

3.

g. Menyembunyikan akuisisi tidak sah, disposisi, dan penggunaan aset.


Penyelewengan atas:
a. Aset berwujud oleh:
i.
Karyawan
ii.
Pelanggan
iii.
Vendors.
iv.
Mantan karyawan dan lain-lain di luar organisasi
b. Aset tak berwujud.
c. Peluang bisnis yang dimilik.
Korupsi, termasuk:
a. Penyuapan dan Bribery and gratifikasi untuk:
i.
Perusahaan
ii.
Individu
iii.
Pejabat publik
b. Penerimaan suap, kickbacks dan gratifikasi
c. Membantu dan bersekongkol penipuan oleh pihak lain (misalnya, pelanggan, vendor)

THE FRAUD TRIANGLE


Sebuah kerangka konseptual penting dalam memahami fraud adalah konsep fraud triangle yang terdiri dari
kesempatan (opportunity), kebutuhan/tekanan (need/pressure) dan rasionalisasi (rationalization).

Opportunity biasanya muncul sebagai akibat lemahnya pengendalian inernal di organisasi tersebut. Terbukanya
kesempatan ini juga dapat menggoda individu atau kelompok yang sebelumnya tidak memiliki motif untuk
melakukan fraud.
Pressure atau motivasi pada sesorang atau individu akan membuat mereka mencari kesempatan melakukan fraud,
beberapa contoh pressure dapat timbul karena masalah keuangan pribadi, Sifat-sifat buruk seperti berjudi, narkoba,
berhutang berlebihan dan tenggat waktu dan target kerja yang tidak realistis.
Rationalization terjadi karena seseorang mencari pembenaran atas aktivitasnya yang mengandung fraud. Pada
umumnya para pelaku fraud meyakini atau merasa bahwa tindakannya bukan merupakan suatu kecurangan tetapi
adalah suatu yang memang merupakan haknya, bahkan kadang pelaku merasa telah berjasa karena telah berbuat
banyak untuk organisasi. Dalam beberapa kasus lainnya terdapat pula kondisi dimana pelaku tergoda untuk
melakukan fraud karena merasa rekan kerjanya juga melakukan hal yang sama dan tidak menerima sanksi atas
tindakan fraud tersebut.
KEY PRINCIPLES FOR MANAGING FRAUD RISK
The Fraud Guide menekankan betapa pentingnya bagi entitas untuk menetapkan upaya ketat dan berkelanjutan
untuk melindungi diri dari tindakan penipuan. Ada lima prinsip inti yang perlu diikuti oleh organisasi:
Prinsip 1: Fraud Risk Governance
Sebuah entitas perlu membangun struktur tata kelola yang kuat untuk mengawasi manajemen risiko dan aktivitas
lainnya yang berada di tempat untuk membantu memastikan pencapaian tujuan bisnis, terutama untuk
mengidentifikasi dan mengelola risiko fraud.
Prinsip 2: Fraud Risk Assessment
Entitas harus terlebih dahulu mengidentifikasi kejadian fraud yang potensial atau scenario yang mungkin rentan.
Prinsip 3 dan 4: Fraud Prevention and Detection
Program manajemen risiko fraud harus memiliki keseimbangan pencegahan dan deteksi kontrol yang tepat.
Kontrol Pencegahan dapat dirancang untuk menghentikan penipuan dari yang terjadi.

Sementara organisasi biasanya lebih memilih untuk mencegah penipuan, yang tidak selalu efektif, adalah penting
untuk merancang dan menerapkan kontrol deteksi yang efektif juga.
Prinsip 5: Fraud Reporting, Investigation and Resolution
Penting bagi suatu organisasi untuk membangun sistem pelaporan untuk memfasilitasi dan mendorong pelaporan
insiden penipuan potensial.
GOVERNANCE OVER THE FRAUD RISK MANAGEMENT PROGRAM
Pada organisasi yang telah mengembangkan budaya perusahaan yang mencakup praktik tatakelola dewan sampai
dengan operasional di level manajemen, termasuk:
Arus informasi dan agenda Dewan Komisaris
Akses ke berbagai level manajemen dan pengendalian efektif dari jalur whistleblower
Proses nominasi yang independen
Tim Manajemen Senior yang efektif evaluasi, manajemen kinerja, kompensasi dan rencana suksesi
Pedoman perilaku yang spesifik bagi manajemen senior, sebagai tambahan pedoman perilaku organisasi
Penekanan yang kuat pada efektivitas independen BoC dan proses melalui evaluasi BoC, sesi pimpinan dan
partisipasi aktif dalam upaya pengawasan strategis dan mitigasi risiko.
ROLES AND RESPONSIBILITIES
Peran dan TanggungJawab dalam program manajemen risiko fraud harus dilakukan secara formal dan
dikomunikasikan. Kebijakan dan prosedur, job description, piagam dan delegasi dari pihak berwenang penting dalam
mendefinisikan beragam peran dan tanggungjawab program tersebut.
1. Board of Directors
Board of Director melakukan praktik governace seperti yang dijelaskan di atas. Board of Director menjalankan peran
oversight termasuk dalam program manajemen risiko perusahaan
2. Manajemen
Manajemen senior selain harus memberikan contoh atau tone of the top juga berperan dalam membangun sistem
monitoring dan pelaporan yang memungkinkan evaluasi apakah manajemen risiko fraud berjalan secara efektif.
3. Pegawai
Pelaksanaan program manajemen risiko fraud, khususnya kontrol yang dirancang untuk mencegah dan mendeteksi
kecurangan, harus melibatkan setiap orang dalam organisasi. Seluruh pegawai dilibatkan dalam pelaksanaan program
manajemen risiko fraud melalui internalisasi budaya perusahaan dan dibekali pemahaman untuk membangun fraud
awareness
4. Unit Audit Internal
Sebagai unit yang memiliki peran assurance dalam perusahaan memegang peran penting dalam tatakelola dan
program manajemen risiko kecurangan di perusahaan.
Components of a Fraud Risk Management Program
Meskipun tidak ada "satu ukuran cocok untuk semua" pendekatan untuk merancang program manajemen risiko fraud,
ada komponen tertentu yang umum umumnya efekti. Biasanya, program-program yang terintegrasi sukses memiliki
komponen kunci tertentu, yaitu:
1. Komitmen board dan senior manajemen
2. Fraud awareness yang membantu karyawan dalam memahami tujuan, persyaratan, dan tanggung jawab
program.
3. Affirmation proses/ penegasan berkala kepada karyawan agar karyawan memahami dan mematuhi kebijakan
dan prosedur.
4. A conflict disclosure protocol/ prosedur pengungkapan konflik
5. Assesment atas risiko fraud yang membantu untuk mengidentifikasi semua skenario penipuan
6. Prosedur pelaporan dan perlidungan terhadap whistleblower
7. Proses investigasi yang menjamin semua hal dilaksanakan tepat waktu dan penyelidikan yang menyeluruh.
8. Tindakan disipliner dan / atau perbaikan yang mengatasi ketidakpatuhan dengan menetapkan kebijakan dan
membantu mencegah perilaku fraud.
9. Prose evaluasi dan perbaikan untuk memberikan jaminan kualitas bahwa program ini akan berlanjut untuk
mencapai tujuan.
10. Pemantauan terus-menerus untuk memastikan program secara konsisten beroperasi aeperti yang dirancang.

FRAUD RISK ASSESMENT


Proses Fraud Risk Assesment mirip dengan tahapan pelaksanaan pengukuran risiko perusahaan secara keseluruhan.
Terdapat tiga langkah kunci sbb:
1. Mengidentifikasi Risiko Fraud yang melekat (inherent)
2. Mengukur dampak dan keterjadian (impact & likelihood) dari risiko yang diidentifikasi
3. Mengembangkan respon atas risiko yang memiliki dampak dan keterjadian tinggi pada kejadian diluar
toleransi manajemen
Dalam melakukan pengukuran risiko fraud, penting untuk melibatkan individu dengan beragam pengetahuan,
kemampuan dan perspektif. Umumnya terdiri atas personel sebagai berikut:
Personel Akuntansi dan Keuangan
membantu mengidentifikasi skenario kecurangan pelaporan keuangan maupun pencurian aset perusahaan
Personel Unit Bisnis Non-Keuangan
meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggan dan vendor,
serta skenario kecurangan terkait industri lainnya
Personel Bidang Hukum dan Kepatuhan (Legal & Compliance Officer)
meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggan dan vendor,
serta skenario kecurangan terkait industri lainnya
Personel Manajemen Risiko
membantu mengidentifikasi skenario kecurangan pasar dan asuransi dan memastikan bahwa fraud risk
assesment terintegrasi dengan risk assesment perusahaan secara keseluruhan
Auditor Internal
sebagai pihak yang memiliki pemahaman luas tentang skenario risiko kecurangan dan pengendalian
Serta Pihak lain dari intern maupun ekstern yang dapat menyediakan tambahan keahlian
Proses Fraud Risk Assesment mirip dengan proses risk assesment dalam tahapan manajemen risiko perusahaan
(enterprise Risk Management) yang di Garuda dijalankan oleh fungsi VP Risk Management, yaitu menilai dampak dan
keterjadian (impact & likelihood) fraud pada perusahaan. Metode yang dilakukan antara lain melalui (1) Wawancara ;
(2) Survei, dan (3) Rapat fasilitasi (facilitated meeting) dengan pihak terkait.
FRAUD RISK IDENTIFICATION
Identifikasi Fraud Risk yang dilakukan harus dapat mengidentifikasi hal-hal sebagai berikut:
Insentif, Tekanan dan Kesempatan
Risiko Pelanggaran Pengendalian dari manajemen
Populasi Fraud Risk
Kecurangan Pelaporan Keuangan
Penyalahgunaan Aset
Korupsi
Risiko Kecurangan Lainnya
Penilaian dampak dan kemungkinan risiko Fraud
Menentukan potential impact dan likelihood dari tiap scenario fraud merupakan proses yang subjektif. Berikut adalah
beberapa poin yang harus dipertimbangkan ketika melakukan assessment resiko fraud
Impact
Penting untuk mempertimbangkan impact yang tidak hanya terkait laporan keuangan maupun dampak
moneter. Karena impact yang lain bisa jadi mempunyai kemungkinan dampak negative yang lebih besar
terhadap laporan keuangan maupun dampak moneter. Contohnya, legal impact, reputational impact,
operational impact, dll
Likelihood
Response to Fraud Risk
Berikut merupakan COSO ERM Integrated Framework dalam merespon resiko fraud
Jika resiko tidak dapat ditoleransi untuk terjadi pada perusahaan, bahkan dalam skala kecil, manajemen
dapat mempertimbangkan untuk menghindari resiko tersebut

Jika organisasi tidak mempunyai toleransi terhadap resiko, tetapi tidak dapat menghindarinya tanpa
mengganggu tujuan organisasi, pengendalian harus didesign untuk mengurangi kemungkinan terjadinya
insiden/resiko.
jika suatu organisasi menginginkan untuk mengurangi dampak atau kemungkinan risiko, tetapi tidak yakin
memiliki keterampilan atau pengalaman untuk melakukannya secara efektif dan efisien, organisasi dapat
membagi pengoperasian kontrol preventif dan detektif dengan organisasi yang lebih siap untuk
melaksanakan kontrol tersebut
jika terjadinya risiko dapat ditoleransi, manajemen dapat memutuskan untuk menerima risiko sebagaimana
level saat ini dan tidak membuat upaya khusus untuk mengelola risiko
Illegal Act and Response
IIA mendefinisikan fraud sebagai setiap tindakan ilegal dengan karakteristik tipu daya, menyembunyikan, atau
pelanggaran terhadap kepercayaan. Beberapa topik seputar Foreign Corrupt Practices Act (FCPA) yang relevan untuk
auditor internal yang berfokus pada upaya kepatuhan adalah:
Ketentuan anti-penyuapan dan masalah terkait kepatuhan.
pencatatan dan ketentuan pengendalian akuntansi internal.
melakukan due diligence dan menetapkan langkah-langkah terhadap kepatuhan.
penyelidikan internal, kewajiban keterbukaan, dan monitor
bisnis terkait, kontrak, dan masalah ketenagakerjaan.
tindakan untuk tetap menghindari pelanggaran terhadap FCPA dan tindakan penegakan hukum preemptif
Fraud Prevention
Sebagai tambahan terhadap pelaksanaan lingkungan tata kelola yang kuat, panduan fraud menguraikan unsur-unsur
umum yang dapat memainkan peran penting dalam mencegah penipuan:
Melakukan investigasi latar belakang
memberikan pelatihan anti-fraud
mengevaluasi kinerja dan program kompensasi
melakukan wawancara ketika pegawai keluar
Pembatasan otoritas
Prosedur transaksi yang berlapis
Fraud Prevention
Berikut ini merupakan beberapa metode deteksi:
Whistleblower hotlines
Process Control
Pengendalian yang umum dilakukan adalah melalui proses yang dilakukan sehari-hari.
Proactive fraud detection procedures
Proactive procedure yang umum dilakukan termasuk diantaranya data analysis, auditing berkelanjutan, dan
penggunaan tools lainnya yang dapat mendeteksi anomaly, maupun tren yang tidak wajar.
Fraud investigation and corrective action
Menerima Tuduhan/laporan
The investigation and response system should include a process for:
Mengkategorikan permasalahan
Mengkonfirmasi validitas laporan/aduan
Mendefinisikan tingkat keparahan laporan/aduan
Menyelidiki permasalahan disaat yang tepat
Mengacu pada isu isu permasalahan di luar lingkup program
Melakukan investigasi dan pencarian fakta
Menjaga permasalahan yang dikategorikan confidential
Mendefinisikan bagaimana investigasi akan didokumentasikan
Mengelola dan mempertahankan, menjaga keamanan dokumen dan informasi
Mengevaluasi laporan/aduan
Menentukan apakah laporan ini memerlukan investigasi formal atau informasi sudah didapatkan secara
cukup untuk menarik kesimpulan
Siapa yang harus memimpin investigasi?
Apakah diperlukan keahlian atau tools khusus untuk investigasi?
Siapa yang perlu diwaspadai, dan kapan?

Menentukan prosedur formal


Establishing investigation protocols
Time sensitivity
Notification
Confidentiality
Legal previleges
Compliance
Securing evidence
Objectivity
Goals
UNDERSTANDING FRAUDSTERS
Selain harus memiliki pengetahuan mengenai karakteristik fraud, teknik-teknik yang digunakan dalam melakukan
fraud, dan jenis-jenis fraud yang mungkin terjadi pada berbagai proses bisnis, Auditor internal harus mampu
memahami pola pikir dan perilaku para pelaku fraud serta memiliki rasa professional skepticism yang tinggi dan tidak
berasumsi bahwa orang akan "melakukan hal yang benar." Auditor internal harus "berpikir seperti seorang penjahat
untuk menangkap penjahat." Mereka harus mencoba untuk memahami mengapa seorang individu yang dinyatakan
jujur akan melakukan tindakan yang tidak jujur. Dengan pemahaman ini maka akan meningkatkan kemungkinan
bahwa internal auditor dapat mendeteksi, dan dalam beberapa kasus bahkan mencegah, seorang individu dari
melakukan fraud.
Behavioral science/ Ilmu perilaku sejauh ini belum mampu mengidentifikasi satu karakteristik psikologis atau
seperangkat karakteristik yang dapat berfungsi sebagai penanda yang andal atas kecenderungan seseorang untuk
melakukan fraud. Salah satu forensic accountant and fraud examiner berpengalaman, Thomas Golden, percaya bahwa
pelaku fraud pelaporan keuangan akan sesuai dengan salah satu dari dua profil berikut ini, yaitu: "greater good
oriented" or "scheming, self-centered" types. Mereka yang cocok dengan profil greater good oriented adalah "individu
tidak jujur yang menggambarkan angka dengan rasionalisasi bahwa apa yang mereka lakukan yang terbaik bagi
perusahaan. Scheming, self-centered adalah "individu yang menunjukkan pengabaian atas kebenaran, sangat
menyadari apa yang mereka lakukan, dan mencoba untuk mencapai tujuan dengan tidak jujur.
Dengan mendapatkan wawasan atas red flag potensial yang mensinyalkan individu yang lebih rentan terhadap
melakukan fraud akan membantu auditor internal memahami kapan risiko penipuan akan meningkat.
Red flags tersebut adalah termasuk orang-orang yang:
Menunjukkan gaya hidup yang tampaknya di luar kemampuan mereka saat ini.
Apakah mengalami masalah keuangan yang ekstrim dan / atau memiliki utang pribadi yang luar biasa.
Memiliki kecenderungan yang tidak biasa untuk menghabiskan uang.
Apakah menderita depresi atau masalah emosional lainnya.
Memiliki obsesi perjudian.
Memiliki kebutuhan atau keinginan atas status, dan percaya bahwa uang bisa membeli status.
Auditor internal tidak diharapkan untuk menjadi behavioral psychologists or criminologists/ psikolog perilaku atau
kriminolog. Namun, dengan mendapatkan wawasan yang mendalam tentang apa yang memotivasi pelaku fraud dapat
membantu auditor internal "menjaga antena mereka" di tempat kerja dan mengantisipasi individu yang dapat
menimbulkan risiko fraud yang lebih besar.
IMPLICATIONS FOR INTERNAL AUDITORS AND OTHERS
Seharusnya sudah jelas bahwa auditor internal memainkan peran kunci dalam program manajemen risiko fraud.
Standar memberikan petunjuk khusus untuk auditor internal. Sebagai contoh:
Standar 1210.A2 - Auditor internal harus memiliki pengetahuan yang cukup untuk mengevaluasi risiko fraud
dan cara yang dikelola oleh organisasi, tetapi tidak diharapkan memiliki keahlian seseorang yang tanggung
jawab utamanya adalah mendeteksi dan menyelidiki fraud.
Standar 1220.A1 - Auditor internal harus bekerja secara profesional dengan mempertimbangkan ...
kemungkinan kesalahan yang signifikan, fraud, atau ketidakpatuhan.
Standar 2060 - Kepala eksekutif audit (CAE) harus melaporkan secara berkala kepada manajemen senior dan
dewan pada ... risiko fraud ...
Standar 2120.A2 - audit internal [fungsi] harus mengevaluasi potensi terjadinya fraud dan bagaimana

organisasi mengelola risiko fraud.


Sebagai "mata dan telinga, lengan dan kaki dari komite audit," auditor internal perlu mempertimbangkan pertanyaanpertanyaan berikut:
Risiko fraud apa yang sedang dipantau oleh manajemen secara periodik atau berkala? Apakah risiko kritis
fraud yang berulang dan bahkan terus menerus, monitoring?
Apa prosedur khusus yang sedang dilakukan oleh fungsi audit internal untuk mengatasi pengesampingan
manajemen atas kontrol internal?
Apakah sesuatu telah terjadi yang mengarahkan fungsi audit internal untuk mengubah penilaian risiko atas
pengesampingan manajemen atas kontrol internal?
Kompetensi dan keterampilan apa yang auditor internal butuhkan untuk mengatasi risiko fraud dalam
organisasi? Kapan mereka harus memakai/mendapatkan layanan dari spesialis dari luar untuk menangani
masalah yang sangat kompleks?
Sebagai tambahan untuk membagun jalur langsung pelaporan kepada komite audit, bagaimana status
organisasi independen dari fungsi audit internal bisa diperkuat? Apakah mereka diandalkan sebagai
profesional yang kompeten dan obyektif dalam menangani risiko dan pengendalian masalah fraud?
Bagaimana seharusnya fungsi audit internal mencurahkan perhatiannya pada pencegahan, penghindaran,
detektif, dan aspek investigasi fraud?
Bagaimana audit internal menambahkan perangkat lunak analisis data untuk memberikan deteksi dini?
Professional Skepticism, Professional Judgment, And Forensic Technology
Pelaksanaan professional judgment terletak di kegiatan assurance dan konsultasi fungsi audit internal. Ketika menilai
risiko fraud, auditor internal harus menunjukkan tingkat professional skepticism yang tinggi, yaitu, kemampuan secara
kritis mengevaluasi bukti dan informasi yang tersedia. Hal ini khususnya terjadi karena pelaku fraud yang biasanya
"menutupi jejak mereka". Sebagai contoh, diperlukan ketekunan yang kuat oleh 2004 Time magazine's Person of the
Year, Cynthia Cooper dan tim audit internal nya di WorldCom, untuk menggali fraud besar-besaran yang dilakukan
oleh manajemen WorldCom.
Dengan menggunakan teknologi komunikasi, investigasi forensik dan pemeriksaan fraud di masa depan akan sangat
bergantung pada forensik komputer, pencitraan data komputer, penemuan bukti elektronik, dan analisis data
terstruktur dan tidak terstruktur. Dengan kata lain, penggunaan teknologi tidak akan terbatas pada analisis data
(setelah data terstruktur telah dikumpulkan); sebaliknya, penggalian dan pelestarian bukti elektronik biasanya dalam
bentuk tekstual, data tidak terstruktur yang membutuhkan pencarian kata kunci. Dalam konteks seperti itu, akan
sangat penting bagi pemeriksa fraud untuk memiliki pemahaman dan penguasaan yang baik atas alat dan teknik
digital teknologi forensik.
Use of Fraud Specialists
Fungsi audit internal dapat memainkan berbagai peran untuk memerangi fraud dalam suatu organisasi, termasuk
melakukan training kesadaran fraud, menilai rancangan program antifraud dan kontrol, menguji efektivitas operasi
pengendalian tersebut, menyelidiki kejanggalan dan keluhan whistleblower, dan melakukan investigasi penuh dengan
matang atas perintah komite audit. Namun, fungsi audit internal mungkin tidak memiliki pengalaman dan
keterampilan untuk melakukan semua peran ini. Akibatnya, adalah umum bagi CAE untuk mencari bantuan spesialis
fraud untuk melengkapi keterampilan mereka dalam fungsi tersebut.
Ada banyak keuntungan untuk menggunakan outside fraud specialists, ditambah lagi independensi yang mereka bawa
dalam pekerjaan. Sebagai contoh, mereka memiliki pengalaman yang luas dalam mengidentifikasi dan menyelidiki
berbagai skema fraud yang berbeda. Oleh karena itu, mereka dapat membantu dalam mengidentifikasi dan menilai
"usual suspect (tersangka biasa)" dan merekomendasikan metode optimal penyelidikan. Selain itu, dengan pernah
bekerja bersama penasihat independen, penasihat umum, pengacara negara, regulator, aparat penegak hukum,
akuntan dan auditor lain, dan jaksa, mereka memiliki pemahaman yang baik tentang isu-isu seperti:
Cara terbaik untuk menyelidiki jenis tertentu skema fraud.
Menilai kualitas dan kuantitas bukti yang dibutuhkan.
Mengevaluasi diterimanya bukti berkonsultasi dengan pengacara luar.
Melestarikan bukti dan chain of custody.
Kebutuhan, serta potensi untuk bertindak sebagai, saksi fakta atau sebagai ahli.

Communicating Fraud Audit Outcomes


Auditor internal merangkum hasil temuan mereka dan mengkomunikasikannya secara sistematis, terorganisir untuk
meningkatkan kejelasan dan pemahaman, yang biasanya meliputi:
Sebuah pernyataan yang singkat dan jelas tentang masalah.
Sebuah kutipan dari kebijakan yang relevan, peraturan, standar, hukum, dan peraturan yang mungkin berlaku
untuk kasus yang ditangani.
Analisis atas bukti yang terkumpul untuk membentuk pendapat profesional.
Kesimpulan; yaitu temuan dan rekomendasi.
Ini akan membantu membuat komunikasi yang jelas dan berguna, terutama jika sedang diandalkan oleh penasihat
umum (general counsel) atau pengacara luar melakukan penyelidikan, yang mungkin ingin membuat bagian
komunikasi bagian dari komunikasi mereka. Pada setiap waktu, komunikasi yang dikeluarkan oleh auditor internal
harus berisi fakta-fakta saja, dan setiap upaya harus dilakukan untuk menjauhkan diri dari pendapat pribadi atau
segala jenis bias atau spekulasi yang berpotensi masuk ke analisis.
Dalam hal apapun, mereka tidak harus berusaha untuk memperbaiki kesalahan pada karyawan tertentu, tetapi hanya
harus menyatakan bahwa bukti yang dikumpulkan muncul untuk mendukung kesimpulan bahwa fraud mungkin telah
dilakukan. Menentukan kesalahan adalah fungsi dari pengadilan (hakim dan juri), dan biasanya di luar lingkup
tanggung jawab auditor internal.
OPPORTUNITIES TO PROVIDE INSIGHT
Auditor internal dapat memberikan pemahaman kepada manajemen senior mengenai pencegahan dan deteksi fraud
dan tindakan ilegal dalam beberapa cara. Sepuluh peluang utama bagi auditor internal untuk memberikan
pemahaman diuraikan dalam exhibit 8-13.
EXHIBIT 8-13
10 oppotunities fungsi auditor internal untuk menyediakan wawasan tentang risiko fraud dan tindakan ilegal
1. Membantu organisasi dalam pengembangan penilaian risiko fraud yang komprehensif.
2. Mengembangkan proses untuk deteksi dini fraud.
3. Mengembangkan alat analisis data yang dapat digunakan untuk mendeteksi fraud pada tahap awal.
4. Membantu dengan pengembangan prosedur hotline call.
5. Memberikan pelatihan kesadaran akan fraud di seluruh organisasi.
6. Bertindak tegas pada peristiwa fraud yang signifikan.
7. Membantu dalam analisis postmortem ketika fraud terjadi.
8. Menginformasikan kepada manajemen dari tindakan hukum potensial yang berisiko untuk organisasi.
9. Membantu manajemen dalam mengembangkan budaya perilaku etis dan toleransi rendah terhadap fraud.
10. Tetap mengikuti dan menginformasikan pengelolaan atas masalah-masalah yang muncul dan isu-isu yang
berkembang terkait dengan kepatuhan dan peraturan.

Anda mungkin juga menyukai