- Relationship with Management POJK 56 - Relationship with External Auditors & Other POJK29 stakeholders - Internal Audit Charter Fraud Detection & Prevention - Understanding & recognizing Fraud - Red Flag - Public accountings Role in Fraud Detection - Fraud Invetigations for Internal Auditors - Information Technology Fraud Prevention Process
1. Peraturan OJK No. 56/POJK.04/2015 tentang Pembentukan dan Pedoman
Hubungan auditor internal dengan board of audit committee menjadi tantangan
tersendiri bagi tim auditor internal. Auditor internal bertanggung jawab memberikan laporan audit internal kepada komite audit yang kemudian rencana aktivitas keseluruhan akan disetujui dan direview oleh komite audit. Auditor internal dan komite audit tidak setiap hari melakukan kontak, namun auditor internal harus menyadari bahwa komite audit merupakan pihak dimana internal auditor dapat melaporkan masalah dan kemudian komite audit mencari resolusinya. CAE internal auditlah yang sering melakukan kontak dengan komite audit dan seringkali mendidik dan memberi saran mengenai issue internal audit.
Peran Komite Audit
Agar dapat melaksanakan rencana audit, fungsi internal audit harus mendapat otorisasi dan persetujuan dari komite audit melalui piagam audit. Komite audit merupakan komite yang berbeda dari komite lainnya, yang merupakan outside director dan harus independen terhadap manajemen, memiliki pemahaman, dapat memonitor, mengkoordinasi, menginterpretasikan internal control dan menghubungkan aktivitas keuangan terkait untuk seluruh board. Bagi perusahaan non profit dan swasta, internal audit tidak diatur dalam Sox dan SEC dan audit internal dapat dilakukan oleh fungsi internal auditor dan seluruh manajemen perusahaan. Internal audit memiliki peran yang lebih besar dibanding eksternal audit yang hanya bertanggung jawab pada keakuratan dan kewajaran laporan keuangan. Internal audit bertugas menilai internal control atas kehandalan pelaporan keuangan, efektivitas dan efisiensi operasi, serta kepatuhan perusahaan terhadap hukum dan regulasi. Pada kasus jatuhnya Enron adalah satu contoh kegagalan yang dikarenakan oleh komite audit dan board yang memiliki tata kelola perusahaan yang kurang independen. Dengan adanya SOx, komite audit dan internal audit memiliki tanggung jawab yang lebih besar, dimana intenal audit bertanggung jawab memberikan pelayanan kepada komite audit meskipun yang lebih sering melakukan kontak dengan komite audit adalah CAE. Sebelumnya, rekomendasi dalam meningkatkan independensi dan efektivitas komite audit pada tahun 1999 dari Blue Ribbon Committee, standard eksternal auditor dari AICPA, dan standar independen direktur komite audit dari stock exchange belum cukup mampu menjadi solusi dari masalah seperti Enron. Organisasi dan Piagam Komite Audit Komite audit merupakan komponen operasi dari BOD yang bertanggung jawab terhadap internal control dan pengawasan pelaporan keuangan. Tidak ada batasan untuk ukuran komite audit, namun dalam 12-16 board biasanya terdiri dari 5-6 anggota komite audit. Pihak manajemen atau pihak luar yang diundang dalam rapat komite audit tidak dapat menjadi anggota dengan hak voting penuh. Komite-komite perusahaan termasuk komite audit di dirikan dengan sebuah ketetapan atau putusan (resolution) dari board. Putusan ini di dokumentasikan dalam catatan board dan pada umumnya tidak direvisi kecuali dibutuhkan perubahan dalam keadaan tertentu. Dalam putusan board, BOD membuat peraturan. Exhibit 23.1 memberikan contoh putusan yang mengotorisasi komite audit dan juga contoh dimana tata kelola perusahaan membuat aturan bagi perusahaan. Fungsi internal audit perusahaan beroperasi melalui piagam audit internal, sebuah dokumen yang disetujui komite audit untuk menguraikan peran dan tanggung jawab internal audit mengenai: Identifikasi, menilai, dan mengelola risiko keuangan dan ketidakpastian. Perbaikan sistem keuangan yang berkelanjutan. Integritas laporan keuangan dan pengungkapan keuangan. Kepatuhan terhadap persyaratan dan peraturan hukum Kualifikasi, independensi, dan kinerja dari auditor luar independen Kapabilitas, sumber dan kinerja dari departemen audit internal Komunikasi penuh dan terbuka dengan dan antara akuntan independen, manajemen, auditor internal, counsel, karyawan, komite audit, dan board Piagam audit internal mencakup aktivitas dari fungsi audit internal tetapi tidak mencakup aktivitas board komite audit perusahaan. SOx kini telah mewajibkan masing-masing board komite audit mengembangkan piagam audit formal untuk dipublish sebagai bagian dari annual proxy statement. Piagam tersebut tidak memiliki standar atau format khusus namun NYSE telah mempublish model untuk digunakan perusahaan. Piagam komite audit merupakan komitmen untuk memastikan integritas laporan keuangan dan untuk mengawasi fungsi internal dan eksternal auditor. Piagam komite audit pada umumnya mencakup: Tujuan dan wewenang komite audit Komposisi komite audit Jadwal rapat Prosedur komite audit Aktivitas utama komite audit Aktivitas diskresioner (aktivitas bernilai tambah) Keterbatasan komite audit Pada Exhibit 23.2 berisi tentang Piagam Komite Audit Perusahaan Microsoft tahun 2007 yang dipublikasikan melalui website Microsoft yang menjelaskan tentang aktivitas utama komite audit. Dalam piagam komite audit Microsoft ini menjelaskan tentang: Peran: Komite audit membantu BOD memenuhi tanggungjawabnya untuk mengawasi kualitas dan integritas akuntansi, pengauditan, dan praktik pelaporan perusahaan. Keanggotaan: Anggota komite paling sedikit 3 direktur, masing-masing harus independen. Operasi: Komite harus melakukan rapat paling sedikit 6 kali dalam setahun. Komunikasi: Komite diharapkan dapat bebas dan secara terbuka berkomunikasi dengan auditor independen, auditor internal dan manajemen. Pendidikan: Perusahaan bertanggung jawab memberikan sumber pendidikan terkait prinsip akuntansi dan prosedur dan lainnya terkait hal yang diperlukan komite. Otoritas: Komite memiliki otoritas untuk mempertahankan atau mengakhiri hubungan dengan outside counsel, para ahli atau konsultan lain. Tanggung jawab: Tanggung jawab utama komite dalam pengawasan masuk ke dalam Kalender Tanggung Jawab Komite Audit yang berisi tentang perubahan regulatory, requirements, authoritative guidance dan praktik pengawasan. Perusahaan yang lebih kecil biasanya tidak mempunyai sumber dan kebutuhan untuk merilis piagam komite audit di website perusahaan. CAE pada perusahaan yang lebih kecil harus mereview bahan yang dipublish IIA, AICPA, atau Information System and Control Association, dan bekerjasama dengan internal auditor dari perusahaan yang lebih kecil juga untuk mengembangkan ide yang lebih baik.
Ahli Keuangan Komite Audit dan Audit Internal
SOx mewajibkan setidaknya 1 dari direktur komite audit independen harus menjadi ahli keuangan. Ahli keuangan ini akan menjadi awal bagi CAE untuk lebih mengikat internal audit dengan komite audit. Dalam banyak situasi, CAE dan internal audit dapat menjadi pengaruh bagi keberlanjutan corporate governance, dan internal audit dapat membantu komite audit melalui 3 langkah pendekatan ini: 1. Internal auditor memberikan laporan dan presentasi, memberikan ringkasan detail dari proses audit internal untuk penilaian risiko, perencanaan, dan melaksanakan audit, serta melaporkan hasilnya melalui laporan audit. 2. Bekerjasama dengan orang lain dan sumber lainnya, menunjukkan rencana kepada komite audit. 3. Mengembangkan rencana detail untuk mereview dan menilai internal control perusahaan. Pada langkah pertama internal audit harus menjelaskan proses dan prosedur kepada komite audit, seluruh board, serta manajemen. Sebelum melakukan presentasi, internal audit harus melakukan pengecekan untuk menilai praktik audit internal yang sekarang dijalankan. Dari sini auditor internal dapat melakukan perbaikan. Tanggung Jawab Komite Audit dalam Internal Audit Komite audit memiliki tanggung jawab utama untuk suatu perusahaan dalam fungsi audit internal. Sebelum SOx, konsep audit internal dilaporkan kepada komite audit kemudian dilaporkan ke direktur keuangan (CFO) atau corporate officer senior lainnya. Fungsi audit internal modern saat harus memiliki piagam internal audit, dan harus berhubungan dengan komite audit perusahaan. Piagam ini memiliki hubungan khusus dengan audit internal dan biasanya memerlukan audit komite untuk: Mereview sumber daya, rencana, kegiatan, staf, dan struktur organisasi audit internal. Review janji, kinerja, dan penggantian CAE. Review seluruh laporan audit yang disiapkan oleh auditor internal bersama-sama dengan manajemen. Review dengan manajemen, CAE, dan akuntan independen dalam hal pelaporan keuangan dan sistem pengendalian internal. Ulasan ini harus mencakup ruang lingkup dan hasil dari program audit internal dan kerjasama yang diberikan atau keterbatasan, jika ada, harus diungkap oleh manajemen pada perilaku yang berada di Program audit internal. Titik-titik ini telah menjadi bagian dari hubungan antara audit internal dan komite audit untuk beberapa waktu, tapi piagam komite audit diterbitkan dalam hal meresmikan pengaturan ini. CAE harus bekerja sama dengan komite audit untuk memastikan bahwa komunikasi berjalan secara efektif. Internal audit telah mengembangkan kebiasaan, dari waktu ke waktu, dan menyediakan komite audit mereka dengan hanya melaporkan ringkasan temuan audit internal atau hanya menyampaikan laporan tentang temuan audit yang signifikan. SOx menempatkan ini dalam perspektif atau pandangan yang baru. Auditor internal seharusnya tidak hanya mengirimkan laporan kepada komite audit apa yang dianggapnya perlu untuk dilihat. Sebaliknya, SOx mengamanatkan bahwa auditor internal harus menyediakan komite audit semua laporan audit dan tanggapan manajemen serta pendukungnya. Bahkan ketika audit internal menghasilkan sejumlah laporan audit yang besar, seperti untuk perusahaan ritel dengan audit dari banyak unit toko kecil yang sering memiliki beberapa temuan yang signifikan, komite audit harus menerima informasi rinci tentang semua audit yang dilakukan. Ringkasan laporan dapat diberikan, namun laporan lengkap untuk semua audit harus disediakan juga. a) Pengangkatan Kepala Eksekutif Audit Kepala Internal audit biasanya secara administratif melaporkan kepada manajemen perusahaan, tetapi Komite audit bertanggung jawab atas perekrutan dan pemberhentian kepala audit internal ini. Komite audit juga mungkin terlibat ketika kepala internal audit ditunjuk sebagai pegawai dari perusahaan. Tujuannya yaitu melayani kebutuhan gabungan manajemen perusahaan dan komite audit. Sebaliknya, pentingnya partisipasi komite audit adalah untuk memastikan independensi fungsi audit internal ketika ada kebutuhan untuk berbicara mengenai isu-isu dalam ulasan dan penilaian pengendalian internal dan kegiatan usaha lainnya. Manajemen mungkin menyarankan promosi seseorang dari dalam perusahaan atau mungkin merekrut orang luar untuk menjabat kepala internal audit, tetapi komite audit memiliki keputusan akhir. Komite audit biasanya tidak terlibat dalam hal administrasi sehari-hari mengenai CAE dan seluruh fungsi audit internal tetapi harus memastikan berkelanjutan kualitas fungsi audit internal. Komite Audit umumnya tidak di tempat setiap hari untuk memberikan pengawasan audit internal dan harus bergantung pada manajemen untuk beberapa dukungan. b) Persetujuan Piagam Internal Audit Piagam audit internal berfungsi sebagai dasar atau otorisasi untuk setiap program audit internal yang efektif. Sebuah piagam yang memadai sangat penting untuk menentukan peran dan tanggung jawab audit internal dan tanggung jawab untuk melayani komite audit dengan benar. Di sinilah misi audit internal harus jelas memberikan pelayanan kepada komite audit serta manajemen senior. Piagam audit internal adalah dokumen yang luas tapi umum yang mendefinisikan tanggung jawab dari audit internal dalam perusahaan, menjelaskan standar diikuti, dan mendefinisikan hubungan antara komite audit dan audit internal. Komite audit bertanggung jawab untuk menyetujui piagam audit internal, hanya sebagai full board bertanggung jawab untuk menyetujui piagam komite audit. Siapa yang bertanggung jawab penyusunan ini piagam audit internal? Secara teori, mungkin, komite audit mungkin menyusun dokumen ini sebagai kegiatan komite dewan. Pada kenyataannya, CAE biasanya akan memimpin dalam penyusunan piagam ini dan/atau akan menyarankan update yang tepat untuk suatu piagam yang ada ke ketua komite audit. CAE biasanya bekerja sama dengan ketua komite audit untuk menyusun persyaratan ini. Selain piagam, sifat khusus dan lingkup tanggung jawab layanan audit internal terhadap komite audit harus diformalkan dan diuraikan. Tanggung jawab ini dapat mencakup periodik ditulis laporan status audit, pertemuan yang dijadwalkan secara rutin dengan komite audit, dan baik hak dan kewajiban akses audit internal yang langsung ke komite audit. Pernyataan piagam ini hubungan audit internal terhadap komite audit adalah sangat penting karena audit internal juga memiliki hubungan sehari-hari kerja dengan manajemen perusahaan. c) Persetujuan Rencana dan Anggaran Internal Audit Idealnya, komite audit harus telah mengembangkan pemahaman keseluruhan audit internal atas kebutuhan dari perusahaan. Penilaian tingkat tinggi ini meliputi berbagai kontrol khusus dan masalah pelaporan keuangan, yang memungkinkan komite audit untuk menentukan porsi audit atau penilaian risiko perlu dilakukan oleh baik audit internal maupun penyedia lain. Sebagai bagian dari peran ini, komite audit bertanggung jawab untuk meninjau dan menyetujui rencana semua tingkat audit internal yang lebih tinggi dan anggaran. Tanggung jawab ini konsisten dengan peran komite audit sebagai koordinator utama dari upaya pemeriksaan keseluruhan. Manajemen perusahaan dan CAE mungkin memiliki ide-ide mereka sendiri tentang apa yang perlu dilakukan, tetapi tindakan ini adalah tanggung jawab komite audit. Tanggung jawab audit yang baru sejak diperkenalkannya SOx telah mengubah peran bahwa semua pihak yang berkepentingan harus memahami sifat dari rencana audit keseluruhan. Manajemen perusahaan, auditor internal, dan audit eksternal yang sama kemudian akan tahu apa yang diharapkan dari dewan komisaris. Komite audit harus mengasumsikan peran koordinasi tingkat tinggi. Meskipun ada keterbatasan praktis bagaimana aktif komite audit dapat terlibat dalam perencanaan rinci proses, beberapa keterlibatan menunjukkan nilai yang tinggi. Manajemen dan komite mungkin menyarankan daerah potensial audit internal review, dan audit internal harus mengembangkan rencana dalam batasan anggaran dan keterbatasan sumber daya. Jika komite audit telah menyarankan review beberapa daerah khusus tetapi audit internal tidak dapat melakukan audit yang direncanakan karena beberapa kendala diketahui, CAE harus secara jelas mengkomunikasikan kekurangan kepada komite audit. d) Review Komite Audit dan Temuan Audit Signifikan Tanggung jawab komite audit yang paling penting adalah untuk meninjau dan mengambil tindakan atas temuan audit yang signifikan atas laporan yang diberikan oleh auditor internal dan eksternal, manajemen, dan lain-lain. Auditor internal secara rutin melaporkan temuan audit yang signifikan serta status dan disposisi dari temuan tersebut. Auditor internal harus bertindak agresif tidak hanya dalam melaporkan temuan yang signifikan tetapi melakukan tindakan pemantauan untuk menilai koreksi yang tepat dan tindakan yang diambil.
Komite Audit dan Auditor Eksternal
Komite audit memiliki tanggung jawab utama untuk menyewa perusahaan audit eksternal, menyetujui anggaran dan Audit rencana yang diusulkan, dan mengumumkan laporan keuangan yang diaudit. SOx telah membuat beberapa perubahan signifikan di sini. Auditor eksternal tidak lagi dapat menyetujui penilaian pengendalian internal mereka, dan tidak diperbolehkan berkonsultasi dengan kantor akuntan publik untuk menerapkan aplikasi keuangan yang akan dijadikan review oleh auditor eksternal. Perusahaan-perusahaan akuntan publik besar tidak lagi memiliki divisi konsultasi, dan kantor akuntan publik dilarang memberikan jasa audit internal untuk perusahaan yang mereka audit. Komite Audit harus menyadari dan peka terhadap perubahan ini. SOx mensyaratkan bahwa komite audit menyetujui semua jasa audit eksternal, termasuk surat kenyamanan, serta layanan nonaudit yang disediakan oleh eksternal auditor. Auditor eksternal masih diperbolehkan untuk menyediakan layanan pajak, tetapi mereka dilarang memberikan ini layanan nonaudit serentak dengan audit laporan keuangan klien seperti: Pembukuan dan jasa lainnya yang terkait dengan catatan akuntansi atau keuangan laporan audit klien. Desain dan pelaksanaan teknologi informasi keuangan. Appraisal atau penilaian jasa, pendapat kewajaran. Jasa outsourcing audit internal. Fungsi manajemen atau dukungan sumber daya manusia. Broker atau agen, penasihat investasi, atau investment banking services. Jasa hukum dan layanan ahli lain yang tidak terkait dengan audit. Layanan lain yang tidak diizinkan.
Program Whistleblower dan Kode Etik
Aturan SOx menyatakan komite audit harus menetapkan prosedur untuk penerimaan, retensi, dan penanganan keluhan mengenai akuntansi, pengendalian internal akuntansi, atau masalah audit, termasuk prosedur masalah kerahasiaan. Audit internal harus menawarkan layanan untuk komite audit (ahli) untuk membangun dokumentasi keuangan dan prosedur komunikasi didalam: Documentation logging whistleblower calls. Sox mengamanatkan bahwa komite audit membuat program whistleblower formal dimana karyawan dapat meningkatkan fokus mereka mengenai pemeriksaan yang tidak tepat dan mengendalikan hal-hal tanpa takut retribusi. Sebuah perusahaan yang lebih besar mungkin sudah memiliki fungsi etika. Ketika perusahaan kecil tidak memiliki sumber daya seperti itu, audit internal harus menawarkan fasilitas untuk login komunikasi whistleblower tersebut, merekam tanggal, waktu, dan nama pemanggil untuk penyelidikan dan disposisi. Dalam semua kasus, SOx memberikan komite audit tanggung jawab untuk membuat dan mengelola whistleblower seperti Program. Disposisi dari hal-hal whistleblower. Bahkan lebih penting daripada loggin dalam panggilan whistleblower awal, dokumentasi harus dijaga untuk merekam sifat dari setiap investigasi tindak lanjut dan disposisi terkait. Meskipun Program whistleblower SOx mandat tidak memiliki program hadiah uang tunai, dokumentasi yang meliputi tindakan lengkap diambil serta penghematan bersih harus dipertahankan. Sekali lagi, dengan tradisi menangani hal yang bersifat rahasia, audit internal harus menawarkan untuk memberikan aman, layanan rahasia di sini. Hal ini dapat menjadi kegiatan yang sangat penting. Pelaporan karyawan dapat melakukan tindakan hukum terhadap korporasi jika informasi yang mereka laporkan sangat rahasia. Kode etik. SOx membuat komite audit bertanggung jawab untuk melaksanakan kode etik atau perilaku kepada dewan senior korporasi (CEO dan CFO). Komite audit harus dapat merangkum seperangkat aturan untuk perilaku yang tepat dan memiliki dewan senior ini mengakui bahwa mereka telah membaca dan memahami dan menyetujui untuk mematuhinya. Audit internal harus memainkan peran utama dalam membantu komite audit untuk melaksanakan program-program ini, bukan hanya untuk satu set terbatas pada dewan tetapi untuk seluruh perusahaan.
Peran Lain Komite Audit
Komite audit mungkin sering menerima pertanyaan tentang akuntansi dan audit. Audit internal dapat menawarkan diri untuk bertindak sebagai pembantu komite audit dalam mendokumentasikan dan penanganan masalah ini. CEO atau staf pendukung administrasi CFO biasanya menangani banyak tugas administratif untuk anggota dewan, aturan SOx mengharuskan Komite Audit harus bertindak secara independen. Audit internal dapat memberikan bantuan yang diperlukan. Di bawah SOx, komite audit mengambil peran penting, untuk membantu memfasilitasi. SOx telah berubah banyak, dan auditor internal modern harus menyadari tingkat komite audit diperluas. Auditor Internal harus baik memahami masalah kebutuhan layanan dan aktif melayani dan bekerja dengan komite audit sebagai bagian dari keseluruhan tujuan untuk memberikan pelayanan yang maksimal kepada perusahaan.