Anda di halaman 1dari 17

CHAPTER 1 an pencegahan fraud dlm segala pencegahan dan pendeteksian

FOUNDATIONS OF INTERNAL AUDITING kecuranga bentuknya / perluasan dalam fraud secara umum, tp akan
B. Auditor Internal vs Auditor Eksternal n (fraud) aktivitas yg ditelaah memberikan perhatian lbh bila
URAIAN AUDITOR INTERNAL AUDITOR EKSTERNAL fraud tsb akan mempengaruhi
Tugas Melayani kebutuhan Melayani pihak ketiga yang
laporan keuangan secara material
organisasi meskipun memerlukan informasi keuangan
fngsinya harus dikelola oleh yang dapt diandalkan C. Definisi Internal Audit
perusahaan Menurut (Institute of Internal Auditors) IIA :
Staff Merupakan karyawan Merupakan orang independent di
Audit internal atau pemeriksaan internal adalah suatu fungsi penilaian yang
(tenaga perusahaan / entitas luar perusahaan
independen dalam suatu organisasi untuk menguji dan mengevaluasi
auditor) independen
Independe Independen terhadap Independen terhadap manajer dan kegiatan organisasi yang dilaksanakan.

nsi aktivitas yg diaudit, tp siap dewan direksi, baik dalam


sedia untuk menggapai kenyataan maupun mental D. Fungsi Internal Audit

kebutuhan manajemen 1. Membahas dan menilai ketepatan pelaksanaan pengendalian akuntansi,


Fokus Kejadian di masa depan Ketepatan dan kemudahan keuangan serta operasi.
dengan mengevaluasi pemahaman dari kejadian- 2. Meyakinkan apakah pelaksanaan sesuai dengan kebijaksanaan, rencana dan
pengendalian yg dirancang kejadian di masa lalu yg prosedur yang ditetapkan.
untuk meyakinkan dinyatakan dalam laporan 3. Menyakinkan apakah kekayaan perusahaan/organisasi
pencapaian tujuan organisasi keuangan dipertanggungjawabkan dengan baik dan dijaga dengan aman terhadap
Frekuensi Menelaah aktivitas secara Menelaah catatan-catatan yg
segala kemungkinan resiko kerugian.
terus menerus mendukung laporan keuangan
4. Menyakinkan tingkat kepercayaan akuntansi dan cara lainnya yang
secara periodic (biaanya setahun
dikembangkan dalam organisasi.
sekali)
5. Menilai kwalitas pelaksanaan tugas dan tanggung jawab yang telah
Kecurang Sangat memperhatikan Tidak terlalu memperhatikan
dibebankan.
an pemborosan & kecurangan kecurangan / pemborosan yang
(Fraud) darimanapun sumbernya dan tidak memiliki dampak
E. Tujuan Internal Audit
sekecil apapun jumlahnya signifikan / tidak material
1. Membantu manajemen untuk mendapatkan administrasi perusahaan yang
terhadap laporan keuangan
Pencegah Langsung berkaitan dengan Sekali-sekali memperhatikan paling efisien dengan memuat kebijaksanaan operasi kerja perusahaan.
2. Menentukan kebenaran dari data keuangan yang dibuat dan kefektifan dari 1. Mengawasi kegiatan yang tidak dapat diawasi sendiri oleh manajemen
prosedur intern. puncak
3. Memberikan dan memperbaiki kerja yang tidak efisien. 2. Mengidentifikasi dan meminimalkan resiko
4. Membuat rekomendasi perubahan yang diperlukan dalam beberapa fase 3. Memvalidasi laporan ke manajemen senior
kerja. 4. Membantu manajemen pada bidang-bidang teknis
5. Menentukan sejauh mana perlindungan pencatatan dan pengamanan harta 5. Membantu proses pengambilan keputusan
kekayaan perusahaan terhadap penyelewengan. 6. Menganalisa masa depan, bukan hanya untuk masa lalu
6. Menetukan tingkat koordinasi dan kerja sama dari kebijaksanaan 7. Membantu manajer untuk mengelola masalah POAC perusahaan
manajemen.
H. Independensi Internal Auditor dalam program Audit
F. Sertifikasi Profesi Internal Audit Secara ideal, internal auditor dikatakan independen apabila dapat
- Pendidikan profesi melaksanakan tugasnya secara bebas dan obyektif.
- Pengalaman magang 1. Sebagai karyawan/pekerja, internal auditor mendapatkan penghasilan dari
- Pengalaman 2 tahun kerja organisasi di mana dia bekerja, hal ini berarti internal auditor sangat
- Sertifikat CIA bergantung kepada organisasinya sebagai pemberi kerja.
Petimbangan 2. Banyaknya pihak yang berkepentingan di dalam sebuah organisasi bisnis.
1. Gelar akademis di atas Sarjana Muda dianggap sama dengan satu tahun 3. Kedudukan internal audit dalam struktur organisasi,
pengalaman kerja. harus ditetapkan sedemikian rupa sehingga mampu mengungkapkan
2. Pengalaman kerja sebagai akuntan publik dianggap setara dengan pandangan dan pemikirannya tanpa pengaruh ataupun tekanan dari
pengalaman kerja di audit internal. manajemen ataupun pihak lain yang terkait dengan organisasi.
3. Pengajar penuh waktu di universitas pada materi yang diujikan dianggap 4. Pemimpin internal audit memiliki akses langsung dan tidak terbatasi dengan
sama dengan pengalaman kerja, yakni dua tahun pengalaman mengajar sama manajemen senior dan komisaris untuk melaporkan hasil auditnya
dengan satu tahun pengalaman kerja di bidang audit internal. 5. Adanya kepentingan pemegang saham dan stakeholder sangat mendukung
keberadaan internal audit yang benar-benar independen yang memiliki akses
komunikasi langsung dan pelaporan kepada komite audit, komisaris dan
komisaris
G. Cara Auditor Internal Melayani Kebutuhan Manajemen
6. Kedudukan internal audit dalam struktur organisasi harus didukung dengan
CBOK
pernyataan mengenai kewenangannya, disebut dengan Internal Audit
Standar Profesi Audit Internal (SPAI) dan best practice
Charter.
7. Kebebasan dan sikap mental internal auditor ini akan tercermin dari laporan
internal audit yang lengkap, obyektif serta berdasarkan analisa yang cermat
dan tidak memihak.
Wawasan Umum Manajemen dan Praktiknya
Aplikasi dan Praktik
8. Untuk mendukung independensi dan sikap mental obyektif ini, 2 hal utama
yang perlu dilaksanakan adalah rotasi secara berkala penugasan pekerjaan
internal audit dan review secara cermat terhadap laporan hasil internal audit
serta prosesnya.

CHAPTER 2
INTERNAL AUDITS COMMON BODY OF KNOWLEDGE Komponen studi CBOK memberikan gambaran yang kaya informasi tentang
bagaimana profesi berkembang dan bagaimana itu sedang dipraktekkan dan dilihat
A. Definisi CBOK di seluruh dunia. Proyek studi CBOK dapat mengungkapkan:
Adalah tingkat minimum kemampuan yang dibutuhkan untuk kinerja yang Kepatuhan terhadap dan kecukupan IPPF.
efektif dalam profesi tersebut. Status aktivitas audit internal dalam organisasi.
CBOK berfokus pada pengetahuan minimal yang dibutuhkan oleh setiap Kegiatan dan jenis audit yang sedang dilakukan.
profesi dalam disiplin ilmunya agar berkinerja secara efektif. Alat dan teknik yang digunakan oleh auditor internal.
Untuk auditor internal, CBOK akan mencakup berbagai bidang praktek Keterampilan dan pengetahuan yang dimiliki oleh auditor internal
internal audit khusus tetapi harus dikaitkan dengan pengetahuan manajemen
umum dan praktek disiplin serta area aplikasi pengetahuan. BAB 8
Internal Auditor merupakan suatu profesi dalam ilmu pengetahuan STANDART PRAKTEK PROFESIONAL PADA AUDIT INTERNAL

Standar adalah prinsip, berupa kerangka kerja untuk pelaksanaan audit internal.
Terdiri dari pernyataan (persyaratan minimum bagi praktik audit internal untuk
mengevaluasi efektivitas kinerjanya) dan interpretasi (menjelaskan lebih lanjut
istilah dalam pernyataan).
Standar umum IA = IIA Perubahan yang signifikan yaitu mengganti kata sebaiknya (should) menjadi
International Professional Standards for the Practice of Internal Auditors kata arus (must). Sebuah perubahan kecil namun berdampak sangat besar.
Tujuan :
- Prinsip dasar untuk praktek internal audit D Isi Standar IIA
- Kerangka kerja untuk melakukan dan mempromosikan berbagai nilai tambah A Standar Atribut Internal
kegiatan audit internal Standar Atribut yaitu Standar yang berkaitan dengan karakteristik organisasi
- Dasar pengukuran kinerja audit internal dan pihak-pihak yang melakukan kegiatan audit internal. Standar Kinerja
- Peningkatkan proses organisasi dan operasi. Audit Internal
A Latar Belakang Standar IIA Standar Kinerja, yaitu Standar yang menjelaskan sifat dari kegiatan audit
Organisasi profesi, Institute of Internal Auditors, pertama kali dikeluarkan internal dan sebagai kriteria evaluasi kinerja.
disebut dengan Standar untuk Praktek Profesional Audit Internal pada tahun
1978 dengan tujuan untuk melayani seluruh profesi di semua jenis bisnis, di E Kode Etik
berbagai tingkat pemerintahan, dan di perusahaan lain di mana auditor internal Kode etik IIA:
ditemukan. Sebelum tahun 1978 standar ini disebut dengan Pernyataan a Integritas. Internal Auditor:
Tanggung Jawab Audit Internal, dan kemudian direvisi sampai standar yang 1 Harus melakukan pekerjaan mereka dengan kejujuran, ketekunan, dan
berlaku saat ini. Standar tersebut dikembangkan oleh Komite Standar tanggungjawab.
Profesional IIA berdasarkan keahlian profesional serta komentar yang diterima 2 Harus mentaati hukum dan membuat pengungkapan yang diharuskan oleh
dari anggota IIA dan pihak lain yang berkepentingan. Semua auditor sebagai ketentuan perundang-undangan dan profesi.
anggota IIA, diharapkan untuk mengikuti standar ini. 3 Sadar tidak boleh terlibat dalam aktivitas ilegal apapun atau terlibat dalam
tindakan yang memalukan untuk profesi audit internal ataupun organisasi.
B Apa yang berubah dari Standar IIA 4 Harus menghormati dan berkontribusi pada tujuan yang sah dan etis dari
Standar IIA diperbaharui secara berkala untuk memenuhi kebutuhan saat ini organisasi.
dengan bisnis dan praktisi profesional audit internal. 5 Objektivitas.

C 2009 Standar Audit Internal Baru b Auditor internal:

Pada bulan Januari 2008, IIA merevisi standar IIA. Rancangan perubahan ini 1 Tidak berpartisipasi dalam kegiatan atau hubungan apapun yang dapat

telah melalui sebuah draft periode paparan dan dirilis pada Januari 2009. menggangu penilaian mereka, hubungan yang bertentangan dengan
kepentingan orgaisasi.
2 Tidak akan menerima apapun yang dapat menggangu profesionalitas 6 Memberikan informasi sesuai hasil pekerjaan yang dilakukan serta
penilaian mereka. mengungkapkan semua fakta yang signifikan kepada mereka.
3 Harus mengungkapkan semua fakta material yang mereka ketahui, jika tidak 7 Mendukung pendidikan profesional dalam meningkatkan pemahaman
diungkapkan dapat menggangu pelaporan kegiatan yang sedang diperiksa. mereka tentang keamanan sistem informasi dan kontrol.
c Kerahasiaan Auditor internal:
1 Harus berhati-hati dalam peggunaan dan perlindungan informasi yang BAB 12
diperoleh dalam tugas mereka. PIAGAM AUDIT INTERNAL DAN PEMBANGUNAN FUNGSI AUDIT
2 Tidak akan mengungkapkan informasi untuk keuntungan pribadi. INTERNAL
d Kompetensi Auditor internal: Membangun Fungsi Audit Internal
1 Hanya akan memberikan layanan sepanjang mereka memiliki pengetahuan, Sox dan pemerintah mensyaratkan fungsi audit internal.
ketrampilan, dan pengalaman yang diperlukan. Pimpinan IA = Ketua Eksekutif Audit (CAE)
2 Harus melakukan audit internal sesuai standar Internasional Praktik CAE harus:
Profesinal Audit Internal. 1 Paham kebutuhan keseluruhan organisasi
3 Akan terus meningkatkan kemampuan dan efektivitas serta kualitas layanan 2 Mengendalikan risiko potensial
mereka. 3 Mengendalikan kontribusi potensial dari IA
e Anggota dan pemegang sertifikat ISACA wajib: 4 Mendapat dukungan dari KOMITE AUDIT dan MANAJEMEN SENIOR
1 Mendukung pelaksanaan dan mendorong kepatuhan, standar, prosedur dan 5 Mempertimbangkan segala urusan strategis (manfaat IA dalam
kontrol untuk sistem informasi . pengembangan proyek ) dan taktis (menanamkan perubahan, agar IA dapat
2 Melaksanakan tugas dengan objektivitas, profesional, serta sesuai dengan dipahami dan diterima di organisasi) dalam mengembangkan metodologi
standar profesional dan praktik terbaik. audit
3 Sajikan dalam kepentingan stakeholders dengan cara yang sah dan jujur, Piagam Audit
serta mempertahankan standar perilaku dan karakter, dan tidak terlibat
Internal Audit Charter adalah dokumen formal, disetujui oleh dewan komite
dalam tindakan tidak terhormat untuk profesi.
audit, berisi:
4 Menjaga privasi dan kerahasiaan informasi yang diperoleh selama tugas
Misi
mereka kecuali pengungkapan diperlukan oleh otoritas hukum. Informasi
Independensi
tersebut tidak boleh digunakan untuk kepentingan pribadi.
Obyektivitas
5 Menjaga kompetensi di bidangnya masing-masing dan setuju untuk
melakukan pekerjaan secara profesional Ruanglingkup
Tanggungjawab e Spesialis Auditor Internal Lainnya

Wewenang Ada spesialis lain, tapi bergantung pada ukuran perusahaan dan sifat
keseluruhan kegiatan IA yang ditetapkan di dalam piagam.
Standar fungsi audit internal

Pendekatan Organisasi Departemen Audit Internal


Struktur Staf Audit Internal
Desentralisasi audit dengan tim local terdekat, karena perusahaannya punya banyak
a CAE
cabang. Tapi CAE sulit mengatur fungsi audit keseluruhan karena markas IA
- Memimpin IA dengan efektif
terpisah dengan CAE.
- Memberikan jasa IA perusahaan
- Orang kunci yang mewakili IA
Prosedur Audit Internal
- Kalo IA dari eksternal, CAE bertanggung jawab:
1 Ada kebijakan dan prosedur sebagai pedoman untuk staf audit, berisi :
a Mengawasi kontrak
- Piagam audit internal dan audit internal dokumen dasar otorisasi lainnya
b Memastikan kuallitas kegiatan
- Etika perusahaan dan aturan kode etik
c Melapor ke manajemen senior dan dewan
- Aturan departemen audit internal dan prosedur
d Tindak lanjut penugasan
- Standar audit internal
b Manajemen Audit Internal
2 Standar kertas kerja pemeriksaan, komunikasi terkait, dan kebijakan retensi.
- Perencanaan jangka pendek
- Monitoring
Cara membangun Fungsi Audit Internal yang Kuat
- Mengawasi staf audit lapangan yang sedang melakukan audit internal.
1 Komite audit menyetujui piagam
- Berkomunikasi dan memahami masalah keuangan dan akuntansi dengan
2 CAE membangun struktur IA yang melayani seluruh aspek perusahaan
manajemen perusahaan dan staf audit internal
3 Audit internal adalah unik dan istimewa karena:
c Staf Audit Internal
a Satu-satunya unit yang melapor langsung kepada komite audit.
- Perencanaan
b Memiliki hak dan kewajiban untuk menilai risiko, jadwal review di setiap
- Pengembangan
tempat operasi dan kemudian keduanya melaporkan hasil ulasan mereka dan
- Melakukan, pelaporan, dan menindaklanjuti tugas audit internal yang
meminta tindakan korektif jika diperlukan.
spesifik seperti yang diarahkan.
d Spesialis Audit Sistem Informasi
Keterampilan spesialis SI di perusahaan berbeda tergantung dari fungsi TI di
perusahaan.
BAB 23 Pi itu baik jika
DEWAN KOMITE AUDIT DAN KOMUNIKASI KOMITE AUDIT 1. Misi selesai dengan etis
2. Data akurat dan andal
Komite audit memiliki tanggung jawab untuk mengatur keseluruhan arah untuk 3. Sesuai dengan hukum dan kebijakan perusahaan
internal audit. 4. Terjadinya efisien sumber daya
IA harus paham CBOK (peran dan tanggung jawab komite audit) 5. Asset aman
Komite audit berada di bawah direksi dengan tanggung jawab terhadap PI dan LK, Standar PI
jadi anggotanya ga boleh ada hubungan dengan manajamen perusahaan. (a) PI
Foreign Corrupt Practices Act(FCPA), menetapkan bahwa manajemen
Peran Komite Audit (dewan direksi dan komite audit) yang bertanggungjawab terhadap sistem PI
1 Memberikan otorisasi dan persetujuan melalui sertifikat audit formal yang memadai untuk menjamin bahwa transaksi telah diotorisasi dan
2 Persetujuan untuk rencana IA dibukukan sesuai dengan GAAP.
3 Mengelola fungsi IA dalam memberikan penilaian pengendalian internal dan (b) Akibat FCPA
permasalahan lain di perusahaan Perusahaan mulai menggunakan upaya terbaik untuk memenuhi syarat
4 Menerima lalporan dari IA tentang penilaian PI (pengendalian internal), efisiensi dokumentasi PI.
operasi, dan kepatuhan terhadap peraturan hukum. FCPA adalah langkah penting untuk membantu perusahaan berpikir tentang
5 Dilayani oleh seluruh IA bukan hanya CAE kebutuhan kontrol internal yang efektif.
Peristiwa Terbentuknya Komisi Treadway
BAB 3 FCPA meminta perusahaan untuk mendokumentasikan PI, tapi auditor eksternal
KERANGKA PENGENDALIAN INTERNAL: THE COSO STANDARD ga pernah minta perusahaan untuk menunjukkan dokumen tersebut. Jadi, pada
tahun 1974, AICPA dibentuk dan dikenal sebagai komisi Cohen, yang
Definisi Internal Control Menurut COSO direkomendasikan pada tahun 1978 bahwa pernyataan tentang kondisi PI harus
adalah suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk ada di LK.
membuat reasonable assurance mengenai: FEI (Financial Executive International) mewakili perusahaan keuangan senior,
- Efektifitas dan efisiensi operasional menyetujui rekomendasi dari komisi cohen. Dan perusahaan mulai memikirkan
- Reliabilitas pelaporan keuangan tentang hadirnya PI dalam LK.
- Kepatuhan atas hukum dan peraturan yang berlaku a Standart AICPA : SAS No. 55
AICPA bertanggung jawab membuat standar audit eksternal SASs Kebijakan dari dewan dan komite audit sangat berpengaruh terhadap
Salah satunya menjelaskan mengenai adanya pelaporan PI didalam LK lingkungan.
SAS No 55 menyatakan bahwa pendekatan berbeda untuk mengartikan (iv) Filosofi Manajemen dan Gaya Operasional
kontrol internal yang digunakan di masa lalu. Gaya kepemimpinan manajemen senior memiliki pengaruh.
b Organisasi profesional yang ditunjuk komisi nasional (v) Struktur Organisasi
IIA, AICPA, FEI, AAA (American Accounting Association) dan IMA Adalah cara kerja individu untuk melaksanakan tugas dengan baik dan terbaik
(Institute of Management Accountants untuk mencapai tujuan secara keseluruhan
c Level PI (vi) PenugasanWewenang danTanggung Jawab
1 Lingkungan pengendalian Lingkungan pengendalian sangat dipengaruhi oleh sejauh mana seorang
2 Penilaian risiko individu memahami pertanggungjawabannya.
3 Aktivitas pengendalian (vii) Kebijakan dan Praktik Sumber Daya Manusia
4 Informasi dan komunikasi SDM meliputi perekrutan, orientasi, pelatihan, evaluasi, konseling, promosi,
5 Monitoring kompensasi.
Fungsi SDM : membuat kebijakan sebagai bahan bimbingan kepada
Penjelasan Lingkungan Pengendalian karyawan mengenai kepatuhan, perilaku etis, dan kompetensi
(i) Integritas dan Nilai Etika (viii) Lingkungan Pengendalian dalam perspektif COSO
Kodeetikmenjelaskan aturanuntukperilaku etis. Manajemen harus Lingkungan pengendalian merupakan dasar yang kuat dalam membangun
menyampaikannya ke seluruh perusahaan untuk menghidari : pengendalian internal yang kuat. Jadi IA harus memahami konsep ini ketika
Kontrol yang tidak efektif, seperti menyembunyikan kinerja buruk dan menilai PI
mencuri.
Desentralisasi tinggi menyebabkan manajemen tidak menyadari Penjelasan Penilaian Risiko (Risk Assesment)

tindakan yang terjadi di perusahaan yang lebih rendah.


Berkaitan dengan tujuan nonfinancial, seperti target kinerja dan market
IA lemah, baik dalam mendeteksi dan melaporkan.
share, pengamanan sumber daya, dan kepatuhan peraturan.
Hukuman yang tidak signifikan, jadi ga bisa mencegah perilaku buruk
(ii) Komitmen terhadap kompetensi Cara
Tetapkan tingkat kebutuhan kompetensi untuk berbagai tugas dan
menerjemahkannya ke tingkat pengetahuan dan keterampilan yang diperlukan. 1. Identifikasi risiko internal yang signifikan.
(iii) Direksi dan Komite Audit 2. Identifikasi risiko eksternal yang signifikan.
3. Mempersiapkan analisis risiko. Penjelasan Informasi Dan Komunikasi
4. Pengaturan dari risiko relevan. Memberikan informasi dan mengomunikasikannya kepada seluruh organisasi
untuk melaksanakan tugas dan tanggung jawab mereka demi tercapainya tujuan
perusahaan
Sistem informasi yang relevan dalam pelaporan keuangan meliputi sistem
Penjelasan Prosedur Pengendalian (Control Activities)
akuntansi yang berisi metode untuk mengidentifikasikan, menggabungkan,
Adalah prosedur yang membantu memastikan bahwa perintah menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi serta menjaga
manajemen telah dilaksanakan. akuntabilitas asset dan kewajiban.
Komunikasi meliputi deskripsi tugas individu dan tanggung jawab berkaitan
Prosedur pengendalian ditetapkan untuk menstandarisasi proses kerja sehingga dengan struktur pengendalian intern dalam pelaporan keuangan. Auditor harus
menjamin tercapainya tujuan perusahaan dan mencegah atau mendeteksi terjadinya memperoleh pengetahuan memadai tentang sistem informasi yang relevan
ketidakberesan dan kesalahan. dengan pelaporan keuangan untuk memahami :
(i) Tingkatan Proses Pengendalian - Golongan transaksi dalam operasi entitas yang signifikan bagi LK
Tergantung kompleksitas perusahaan (hubungan positif). Terdiri dari - Bagaimana transaksi tersebut dimulai
1. First-order feedback control process or system
hasil akhir yang diinginkan dari suatu pengendalian. Penjelasan Pemantauan / Monitoring
2. Second-order feedback control system
Pemantauan adalah proses yang menentukan kualitas kinerja PI
Yaitu penyesuaian yang dibutuhkan karenaperubahan lingkungan
Berupa respon dari pihak berkepentingan yang dapat memberikan petunjuk
pengendalian.
tentang masalah atau bidang yang memerlukan perbaikan.
3. Third-order feedback control system
Komponen ini harus dipertimbangkan dalam hubungannya dengan ukuran
Yaitu prediksi atas kondisi yang akan terjadi dimasa datang.
entitas, karakteristik kepemilikan dan organisasi entitas, sifat bisnis entitas,
(ii) Hubungan Risiko Dan Pengendalian Internal
keberagaman dan kompleksitas operasi entitas, metode yang digunakan oleh
Prosedur pengendalian ditetapkan untuk menstandarisasi proses kerja sehingga
entitas untuk mengirimkan, mengolah, memelihara, dan mengakses informasi,
menjamin tercapainya tujuan perusahaan dan mencegah atau mendeteksi
serta penerapan persyaratan hukum dan peraturan.
terjadinya kesalahan. Prosedur pengendalian meliputi hal-hal sebagai berikut:
Fokus Internal Coso:
- Personil yang kompeten, mutasi tugas dan cuti wajib.
1. Fokus Pengguna Utama adalah manajemen.
- Pemberiandan pemisahan tanggung jawab untuk kegiatan terkait.
2. Sudut pandang atas PI adalah kesatuan beberapa
- Pemisahan fungsi akuntansi, penyimpanan aset dan operasional.
proses secara umum.
3. Tujuan PI adalah operasional sistem yang efektif Manajemen tingkat atas, baik di korporasi maupun unit bisnis, harus
dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian mengeidentifikasi risiko signifikan yang dapat memengaruhi setiap operasi
dengan peraturan yang berlaku. dalam jangka waktu yang wajar.
4. Komponen yang dituju adalah pengendalian atas b. Key Risk Assessment
lingkungan, manajemen resiko, pengawasan serta pengendalian atas Setelah mengidentifikasi risiko yang signifikan, langkah berikutnya adalah
aktivitas informasi dan komunikasi. untuk menilai kemungkinan mereka dan signifikansi relatif.
5. Fokus pengendalian dari ESAC adalah keseluruhan (i) Probabililty and Uncertainty
entitas. Ketika sejumlah besar risiko telah diidentifikasi, risiko dirubah dalam dua
6. Evaluasi atas internal control ditujukan atas digit probabilitas berkisar dari 0,01 sampai 0,99.
seberapa efektif pengendalian tersebut diterapkan dalam poin waktu (ii) Risk Interdependencies
tertentu. Independensi risiko harus selalu dipertimbangkan dan dievaluasi seluruh
7. Pertanggungjawaban atas sistem pengendalian dari struktur organisasi. Meskipun suatu entitas harus peduli tentang risiko di
Esac ditujukan kepada manajemen. semua tingkat organisasi, mereka hanya memiliki kontrol atas risiko dalam
BAB 6 lingkup sendiri
MANAJEMEN RESIKO : COSO ERM (iii) Risk Ranking
Untuk mengambil makna dan kemungkinan perkiraan yang ditetapkan,
Perusahaan perlu mengidentifikasi semua risiko usaha yang mereka hadapi- antara menghitung peringkat risiko & mengidentifikasi risiko yang paling
lain resiko keuangan dan operasional serta sosial, etika, dan lingkungan dan untuk signifikan di seluruh entitas
mengelolarisiko ke tingkat yang lebih diterima. c. analisa risiko kuantitatif
Auditor internal harus membuat COSO ERM sebagai persyaratan audit CBOK dan (i) Hasil yang diinginkan dan respon rencana
harus melakukan audit internal sesuai dengan proses ERM. Terdapat sedikit hasil dalam mengidentifikasi resiko signifikan kecuali
Dasar-dasar Manajemen Risiko sebuah perusahaan memiliki beberapa rencana preliminary untuk tindakan
Manajemen risiko adalah konsep dimana individu atau perusahaan menggunakan yang dibutuhkan apabila terdapat salah satu resiko.
mekanisme penjaminan untuk memberikan perlindungan dari risiko-risiko tersebut. (ii) Pemantauan risiko
Empat langkah proses manajemen risiko ini harus dilaksanakan pada semua tingkat Perusahaan perlu untuk memantau dan membuat penyesuaian yang sedang
perusahaan dan dengan partisipasi dari banyak orang yang berbeda. berlangsung yang diperlukan. Pemantauan risiko ini dapat dilakukan oleh
a. Identifikasi Resiko pemilik proses atau oleh reviewer independen.
COSO ERM: Enterprise Risk Management 5. ERM menyediakan assurance yang wajar tapi tidak positif pada pencapaian
adalah suatu kerangka kerja untuk membantu perusahaan memiliki definisi yang objektif
konsisten dari risiko mereka. 6. ERM dirancang untuk membantu mencapai tujuan
ERM adalah proses yang dipengaruhi oleh direksi, manjemen, dan personil lain
untuk identifikasi kejadian potensial yang memengaruhi entitas, mengelola Elemen Kunci COSO ERM

risiko, memberikan keyakinan memadai ttg pencapaian entitas, dan diterapkan COSO framework pengendalian internal telah menjadi model di seluruh dunia untuk

dalam pengaturan strategi perusahaan menggambarkan dan mendefinisikan pengendalian internal dan telah menjadi dasar

Tujuan: memberikan model bagi perusahaan untuk mempertimbangkan dan untuk menetapkan bagian SOx 404 kepatuhan.

memahami kegiatan yang berhubungan dengan risiko di semua tingkat sebagai


dinding bagaimana komponen risiko ini berdampak satu sama lain.
Poin kunci yang mendukung definisi COSO framework ERM termasuk:
1. ERM adalah sebuah proses
Idenya di sini adalah bahwa proses bukan prosedur statis.
2. Prosesrisk
ERMmanagement
dilaksanakan oleh orang-orang dalam perusahaan
objectives
Proses manajemen risiko harus dikelola oleh orang-orang yang cukup dekat
dengan situasi risiko untuk memahami berbagai faktor yang mengelilingi
risiko, termasuk implikasinya.
3. ERM diterapkan melalui pengaturan strategi lintas perusahaan secara
keseluruhan
Risk
Sebuah proses set ERM components
yang efektif harus memainkan peran utama dalam
membantu membangun strategi-strategi alternatif. Karena banyak
perusahaan besar dengan banyak unit operasi yang berbeda, ERM harus
diterapkan di
seluruh jenis portofolio seluruh perusahaan yang
Entityyang
menggunakan pendekatan andmemadukan
unit-level campuran
components
aktivitas tinggi dan
berisiko rendah.
4. Konsep risk appetite harus dipertimbangkan
risk appetite adalah risiko yang dapat diterima oleh manajemen dan dewan
Kerangka konseptual COSO ERM 6.5
- Empat kolom vertikal mewakili tujuan strategis risiko perusahaan. b. Menetapkan Tujuan
- Delapan baris atau komponen risiko horisontal. Pembuatan misi, dengan tujuan :
- Beberapa tingkatan untuk menggambarkan setiap perusahaan, dari "markas" 1 mendefinisikan tujuan yang terkait
tingkat entitas kepada anak perusahaan masing-masing. Tergantung pada ukuran 2 menetapkan strategi untuk mencapai tujuan
organisasi, akan ada banyak potongan model di sini. 3 mengembangkan sasaran strategis
Komponen risiko 4 mendefinisikan risiko untuk menyelesaikan strategi
a. lingkungan internal c. Identifikasi Peristiwa
filosofi manajemen risiko Banyak perusahaan memiliki perangkat monitoring kinerja yang kuat
Risk appetite (tingkat kewajaran yang dapat diterima) untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan
Sikap Direksi dalam membimbing dan mengawasi lingkungan risiko sejenisnya.

Integritas dan nilai-nilai etika Proses pemantauan harus mencakup: (1) Peristiwa ekonomi eksternal,

Untuk membangun budaya kuat dan membantu membuat keputusan alam, dan politik, (2) faktor social, (3) peristiwa infrastruktur internal,

berbasis risiko (4) proses internal, (5) teknologi internal maupun eksternal,
d. Penilaian Risiko
mempertimbangkan apa efek peristiwa terkait risiko potensial tersebut
Komitmen untuk kompetensi terhadap prestasi perusahaan terhadap tujuannya.

Kompetensi menyebabkan manajemen harus mengambil langkah untuk - Risiko Inheren, dipengruhi oleh ukuran dari anggaran, kekuatan dan

mencapai tujuan yang dijanjikan, dan mengacu pada pengetahuan dan kecanggihan manajemen, dan sifat kegiatan.

keterampilan untuk melakukan tugas yang diberikan. - Risiko Residual. Risiko yang tersisa setelah melakukan manajemen

Struktur Organisasi risiko

Perusahaan harus mengembangkan struktur organisasi dengan garis e. Respon Risiko

wewenang, tanggung jawab, dan pelaporan yang tepat. 1 Penghindaran.

Tugas wewenang dan tanggung jawab Menghindari penggunaan kegiatan tsb karena terlalu berisiko untuk
mendapatkan tujuan perusahaan.
Sejauh mana wewenang dan tanggung jawab yang ditugaskan atau
2 Pengurangan.
didelegasikan.
Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko
Standar sumber daya manusia
tertentu.
Contoh: perekrutan karyawan, pelatihan, kompensasi, promosi, disiplin,
3 Berbagi
Perjanjian usaha perusahaan dapat membagi risiko e Indikator kinerja
4 Penerimaan f Pemisahan tugas.
Kadangkala risiko pada tingkat tertentu masih dapat diterima oleh g. Informasi dan Komunikasi
perusahaan. Segmen informasi dan komunikasi dari komponen ERM biasanya
f. Kegiatan Pengendalian digunakan dalam strategi teknologi informasi dan sistem informasi
adalah kebijakan dan prosedur yang diperlukan untuk memastikan tindakan operasional
dalam merespon risiko. h. Pemantauan
1 Memahami secara penuh ttg risiko dan menetapkan prosedur Memastikan bahwa semua komponen ERM telah bekerja secara efektif.
pengendalian untuk memantau - Proses pelaporan terkait risiko periodic, harus memantau aspek
2 Buat jenis prosedur pengujian fire-drill untuk menentukan apakah penting dari criteria risiko yang telah ditetapkan termasuk tingkat
pengendalian risiko terkait berjalan secara efektif. kesalahan yang diterima.
3 Melakukan pengujian proses pemantauan risiko untuk menentukan - Pelaporan status saat ini dan periodic dari temuan terkait risiko dan
apakah telah berjalan efektif dan seperti yang diharapkan. rekomendasi dari laporan auditor internal dan eksternal.
4 Membuat penyesuaian atau perbaikan yang diperlukan untuk - Informasi terbaru dari risiko yang bersumber dari aturan revisi
mengembangkan proses pemantauan risiko. pemerintah, tren industry, dan berita ekonomi secara umum.

Contoh kegiatan PI Tujuan Risiko Perusahaan


- Pemisahan tugas Tujuan Manajemen Risiko Operasional
- Jalan audit Pentingnya manajemen COSO ERM dan risiko operasi harus dikomunikasikan
proses harus diatur sehingga hasil akhirnya dapat ditelusuri kembali kepada semua tingkat area perusahaan.Auditor internal harus bertindak sebagai
- Keamanan dan integritas mata dan telinga dan melaporkan semua risiko operasinonal yang diamatinya.
hanya orang berwenang yang dapat meninjau dan memodifikasi. Tujuan Manajemen Risiko Pelaporan
- Dokumentasi keandalan laporan sebuah perusahaan untuk data keuangan internal dan eksternal
a Meninjau level atas serta data non-keuangan.
Manajer harus memahami kegiatan dan status identifikasi risiko Tujuan Risiko Peraturan dan Hukum
b Fungsi langsung atas aktivitas pemantauan Risiko yang terkait dengan kepatuhan dipertimbangkan untuk masing masing
c Pengolahan informasi komponen kerangka risiko.
d Kontrol fisik Risiko Tingkat Entitas
COSO ERM berusaha mengatasi risiko di semua tingkatan - Memahami kerangka PI
a Risiko Keseluruhan Organisasi Kekonsistenan dari seluruh anggota dalam melaksanakan review
b Risiko Tingkat Unit Bisnis Persiapan Audit Internal
Diidentifikasi di tingkat yang memiliki hubungan langsung 1 Harus dilaksanakan sesuai rencana audit tahunan yang sudah ditetapkan
Proses COSO ERM Tapi boleh kalo mau audit hal urgent diluar rencana audit tahunan, tapi tetep
Audit internal harus meninjau luas ERM perusahaan dengan : harus direncanakan sebelumnya dalam high level, dokumen untuk
Proses diagram alur : bagaiman manajemen risiko beroperasi disuatu pelaksanaan audit yang mendesak yang disiapkan oleh manajer IA.
perusahaan.
Peninjauan tentang risiko dan bahan pengendali Menjalankan Audit Internal
Benchmarking : proses melihat fungsi dari lingkungan lain untuk menilai dan Fungsi yang akan diaudit harus mendapat informasi dari IA berupa surat penunjukan

mengembangkan operasinya. (engagement letter). Diserahkan kepada manajer yang bertanggung jawab langsung

Kuisioner : metode untuk mengumpulkan informasi tentang efektifitas ERM dari terhadap unit yang akan diaudit. Berisi:

berbagai orang. - Tujuan


- Tanggal dimulai dan berakhirnya proses audit
- Jangka waktu yang direncanakan
- Laporan khusus dan dokumentasi yang diperlukan

BAB 7 - Personil yang akan diwawancarai

MELAKSANAKAN INTERNAL AUDIT SECARA EFEKTIF Auditor harus membantu manajemen mengidentifikasi suatu permasalahan, meminta
laporan operasi dan Salinan surat keterlibatan. Hal ini perlu agar proses audit tidak

Pengorganisasian dan Perencanaan Internal Audit mengganggu proses operasional sehari-hari

Diperlukanketerlibatan yang cukup dari berbagai disiplin ilmu dan keahlian yang Survei Lapangan Audit Internal

saling melengkapi, antara lain: 1 Menentukan arah, ruang lingkup dan sejauh mana upaya audit.

Rencana organisasi dan internal audit charter 2 Membiasakan auditor dengan proses di tempat dan mengevaluasi struktur
pengendalian dan menilai risiko
Rencana audit jangka panjang dan tahunan
3 Menyusun informasi penting berupa strktur organisasi, sallinan kebijakan yang
Standar dan pendekatan-pendekatan audit terbaik untuk :
berlaku, manual procedure, laporan manajemen, observasi pribadi, diskusi
- Evaluasi bukti audit
dengan orang penting (untuk menentukan masalah apapun yang diketahuinya).
- Pelaporan hasil audit yang efektif
Mendokumentasikan Survei Lapangan
ringkasan dari data yang dikumpulkan melalui survei lapangan harus Melakukan Audit Internal
didokumentasikan di workpapers audit. 1 Mengumumkan rencana audit, tujuan, periode waktu, dan ruang lingkup, yang
akan ditugaskan kepada tim audit. Dengan membuat surat penunjukan tunggal
Kesimpulan Survei Lapangan 2 Jika ada survey lapangan terpisah, hasil tersebbut harus ditinjau ulang
Tujuan dari survei lapangan adalah untuk mengkonfirmasi asumsi yang diperoleh Proses
dari perencanaan audit awal, dalam rangka mengembangkan pemahaman tentang 1 Prosedur Penelitian Lapangan Awal
sistem dan proses kunci. 2 Bantuan Audit Teknis Penelitian lapangan
3 Manajemen Audit Pemantauan Penelitian lapangan
Mengembangkan Program Audit 4 Potensi Temuan Audit
audit program sebagai panduan untuk melaksanakan prosedur audit, digunakan Setiap kali internal auditor menemukan kekurangan audit yang potensial,
untuk: ringkasan singkat dari kondisi yang ditemukan dan temuan potensial dan
- melihat keefektifan IA rekomendasi harus disiapkan, disebut audit pendahuluan lembar temuan. Berisi:
- apakah langkah-langkah dalam audit program tersebut sudah - Identifikasi dari temuan ini hanya sebuah nomor identifikasi untuk audit
dilaksanakanseluruhnya dan deskripsi temuan potensial.
- memikirkan resiko dari setiap kegiatan operasional perusahaan - Deskripsi harus singkat tapi cukup untuk memberikan pemahaman
manajemen lokal tentang kondisi yang ditemukan.
Format Program Audit - Referensi untuk pekerjaan audit yang didokumentasikan
Program audit dibuat setelah melakukan survey lapangan dan sebelum melakukan - Rekomendasi awal Auditor.
audit yang sebenarnya. Program ini harus mengidentifikasi area yang diperiksa dan 5 Program Audit dan Jadwal Modifikasi
daerah sensitive yang memerlukan pemeriksaan. Jika ada perubahan perencanaan Program audit adalah panduan keseluruhan untuk melaksanakan audit internal .
dari hasil survey, harus ada persetujuan dari manajer audit. 6 Pelaporan Temuan Audit Awal Manajemen
(1) satu setproseduraudit umum,
(2) prosedur auditdenganpetunjuk rinci untukauditor, atau
(3) checklistuntuk tinjauan kepatuhan.
Jenis Bukti Audit DARI CATATAN

Bukti audit adalah semua informasi yang terkait dengan pemeriksaan dan evaluasi COSO: Merupakan organisasi yang betugas mengidentifikasi penyebab

audit kecurangan dan memberikan rekomendasi


Komite audit melakukan pengawasan tidak langsung secara komprehensif. tinggi maka audit frekuensinya lebih banyak. Ada prosedur yang efektif
Anggotanya harus memiliki syarat: untuk membuat dan melaksankaan program audit.
- Memahami keuangan dan akuntansi Kode etik internal audit:
- Memahami hukum 1 integrity
Yang memimpin komite audit adalah komisaris independen 2 Objektivitas

Tugas utama komite audit itu untuk memastikan pengendalian internal yang 3 Confidential

dinilai untuk internal audit. 4 Competence

Pengendalian internal: proses yang dilakukan manajemen untuk mendapat Langkah-langkah internal audit:

reasonable assurance atau jaminan yang memadai tiap perusahaan berbeda- 1 Perencanaan jangka panjang dan pendek

beda sesuai dengan resiko perusahaan masing-masing. 2 Perencanaan individual audit

Management letter: auditor memberi temuan tentang kelemahan 3 Preliminary audit memeriksa dokumen

pengendalian internal. 4 Membuat audit program untuk survey yang lebih mendlaam

Hasil dari COSO:


1 Internal control
2 Enterprise Risk Management

Tugas internal audit itu untuk memeriksa dan mengevaluasi lalu


Langkah-langkah dalam perencanaan:
memberikan rekomendasi atas internal control. Internal audit juga
1 Mengidentifikasi are audit berdasarkan unit bisnis, corporate, atau
bertanggung jawab kepada CEO namun hasil auditnya digunakan oleh
perusahaan untuk mengidentifikasi risiko di masing-masing area.
komite audit, senior management (CEO), dan karyawan.
Kumpulan audit area atau proyek audit adalah audit universe.
Internal Audit akan efektif jika:
2 Membuat daftar ranking resiko
1. Internal audit charter sudah disetujui oleh komite audit, komite audit
3 Menyusun perencanaan audit berdasarkan tingkat risiko tersebutdan
juga sudah disetujui oleh komisaris.
menyusun rencana kertas kerja manajemen.
2. Annual plan harus disetujui oleh komite audit dan harus memastikan
4 Mengkomunikasikan dengan BOD mengenai plan audit dan
annual plan dapat mengcover internal control.
anggarannya, untuk memastikan bahwa rencana sudah tercover dalam
3. Auditor membuat peta resiko yang terdiri dari individual risk dalam tiap
audit plan.
bagian perusahaan, mulai unit bisnis sampai divisi. Untuk resiko yang
5 Mengkomunikasikan dengan komite audit untuk menyetujui plan audit Limit of the audit: audit plan harus dikerjakan tepat waktu agar manajemen
dan anggarannya. Bagi komite audit, memastikan audit plan sudah dapat melakukan perbaikan berdasarkan rekomendasi auditor internal.
mewakili kepentingan komite audit.