Internal Audit & Enterprise Governance b BM/Ch 23

- Relationship with Audit Committee SG1/Ch 5

- Relationship with Management POJK 56
- Relationship with External Auditors & Other POJK29
stakeholders
- Internal Audit Charter
Fraud Detection & Prevention
- Understanding & recognizing Fraud
- Red Flag
- Public accountings Role in Fraud Detection
- Fraud Invetigations for Internal Auditors
- Information Technology Fraud Prevention
Process

1. Peraturan OJK No. 56/POJK.04/2015 tentang Pembentukan dan Pedoman

Penyusunan Piagam Internal Audit (POJK 56)
2. Peraturan OJK No. 29/POJK.04/2016 tentang Laporan Tahunan (POJK 29)

RINGKASAN CHAPTER 23 (BRINKS): BOARD AUDIT COMMITTEE

COMMUNICATIONS

Hubungan auditor internal dengan board of audit committee menjadi tantangan

tersendiri bagi tim auditor internal. Auditor internal bertanggung jawab memberikan laporan
audit internal kepada komite audit yang kemudian rencana aktivitas keseluruhan akan
disetujui dan direview oleh komite audit. Auditor internal dan komite audit tidak setiap hari
melakukan kontak, namun auditor internal harus menyadari bahwa komite audit merupakan
pihak dimana internal auditor dapat melaporkan masalah dan kemudian komite audit mencari
resolusinya. CAE internal auditlah yang sering melakukan kontak dengan komite audit dan
seringkali mendidik dan memberi saran mengenai issue internal audit.

Peran Komite Audit

Agar dapat melaksanakan rencana audit, fungsi internal audit harus mendapat
otorisasi dan persetujuan dari komite audit melalui piagam audit. Komite audit merupakan
komite yang berbeda dari komite lainnya, yang merupakan outside director dan harus
independen terhadap manajemen, memiliki pemahaman, dapat memonitor, mengkoordinasi,
menginterpretasikan internal control dan menghubungkan aktivitas keuangan terkait untuk
seluruh board. Bagi perusahaan non profit dan swasta, internal audit tidak diatur dalam Sox
dan SEC dan audit internal dapat dilakukan oleh fungsi internal auditor dan seluruh
manajemen perusahaan.
Internal audit memiliki peran yang lebih besar dibanding eksternal audit yang hanya
bertanggung jawab pada keakuratan dan kewajaran laporan keuangan. Internal audit bertugas
menilai internal control atas kehandalan pelaporan keuangan, efektivitas dan efisiensi operasi,
serta kepatuhan perusahaan terhadap hukum dan regulasi. Pada kasus jatuhnya Enron adalah
satu contoh kegagalan yang dikarenakan oleh komite audit dan board yang memiliki tata
kelola perusahaan yang kurang independen. Dengan adanya SOx, komite audit dan internal
audit memiliki tanggung jawab yang lebih besar, dimana intenal audit bertanggung jawab
memberikan pelayanan kepada komite audit meskipun yang lebih sering melakukan kontak
dengan komite audit adalah CAE. Sebelumnya, rekomendasi dalam meningkatkan
independensi dan efektivitas komite audit pada tahun 1999 dari Blue Ribbon Committee,
standard eksternal auditor dari AICPA, dan standar independen direktur komite audit dari
stock exchange belum cukup mampu menjadi solusi dari masalah seperti Enron.
Organisasi dan Piagam Komite Audit
Komite audit merupakan komponen operasi dari BOD yang bertanggung jawab
terhadap internal control dan pengawasan pelaporan keuangan. Tidak ada batasan untuk
ukuran komite audit, namun dalam 12-16 board biasanya terdiri dari 5-6 anggota komite
audit. Pihak manajemen atau pihak luar yang diundang dalam rapat komite audit tidak dapat
menjadi anggota dengan hak voting penuh.
Komite-komite perusahaan termasuk komite audit di dirikan dengan sebuah ketetapan
atau putusan (resolution) dari board. Putusan ini di dokumentasikan dalam catatan board dan
pada umumnya tidak direvisi kecuali dibutuhkan perubahan dalam keadaan tertentu. Dalam
putusan board, BOD membuat peraturan. Exhibit 23.1 memberikan contoh putusan yang
mengotorisasi komite audit dan juga contoh dimana tata kelola perusahaan membuat aturan
bagi perusahaan.
Fungsi internal audit perusahaan beroperasi melalui piagam audit internal, sebuah
dokumen yang disetujui komite audit untuk menguraikan peran dan tanggung jawab internal
audit mengenai:
Identifikasi, menilai, dan mengelola risiko keuangan dan ketidakpastian.
Perbaikan sistem keuangan yang berkelanjutan.
Integritas laporan keuangan dan pengungkapan keuangan.
Kepatuhan terhadap persyaratan dan peraturan hukum
Kualifikasi, independensi, dan kinerja dari auditor luar independen
Kapabilitas, sumber dan kinerja dari departemen audit internal
Komunikasi penuh dan terbuka dengan dan antara akuntan independen,
manajemen, auditor internal, counsel, karyawan, komite audit, dan board
Piagam audit internal mencakup aktivitas dari fungsi audit internal tetapi tidak mencakup
aktivitas board komite audit perusahaan. SOx kini telah mewajibkan masing-masing board
komite audit mengembangkan piagam audit formal untuk dipublish sebagai bagian dari
annual proxy statement. Piagam tersebut tidak memiliki standar atau format khusus namun
NYSE telah mempublish model untuk digunakan perusahaan. Piagam komite audit
merupakan komitmen untuk memastikan integritas laporan keuangan dan untuk mengawasi
fungsi internal dan eksternal auditor. Piagam komite audit pada umumnya mencakup:
Tujuan dan wewenang komite audit
Komposisi komite audit
Jadwal rapat
Prosedur komite audit
Aktivitas utama komite audit
Aktivitas diskresioner (aktivitas bernilai tambah)
Keterbatasan komite audit
Pada Exhibit 23.2 berisi tentang Piagam Komite Audit Perusahaan Microsoft tahun 2007
yang dipublikasikan melalui website Microsoft yang menjelaskan tentang aktivitas utama
komite audit. Dalam piagam komite audit Microsoft ini menjelaskan tentang:
Peran: Komite audit membantu BOD memenuhi tanggungjawabnya untuk mengawasi
kualitas dan integritas akuntansi, pengauditan, dan praktik pelaporan perusahaan.
Keanggotaan: Anggota komite paling sedikit 3 direktur, masing-masing
harus independen.
Operasi: Komite harus melakukan rapat paling sedikit 6 kali dalam setahun.
Komunikasi: Komite diharapkan dapat bebas dan secara terbuka berkomunikasi
dengan auditor independen, auditor internal dan manajemen.
Pendidikan: Perusahaan bertanggung jawab memberikan sumber pendidikan terkait
prinsip akuntansi dan prosedur dan lainnya terkait hal yang diperlukan komite.
 Otoritas: Komite memiliki otoritas untuk mempertahankan atau mengakhiri hubungan
dengan outside counsel, para ahli atau konsultan lain.
Tanggung jawab: Tanggung jawab utama komite dalam pengawasan masuk ke dalam
Kalender Tanggung Jawab Komite Audit yang berisi tentang perubahan regulatory,
requirements, authoritative guidance dan praktik pengawasan.
Perusahaan yang lebih kecil biasanya tidak mempunyai sumber dan kebutuhan untuk merilis
piagam komite audit di website perusahaan. CAE pada perusahaan yang lebih kecil harus
mereview bahan yang dipublish IIA, AICPA, atau Information System and Control
Association, dan bekerjasama dengan internal auditor dari perusahaan yang lebih kecil juga
untuk mengembangkan ide yang lebih baik.

Ahli Keuangan Komite Audit dan Audit Internal

SOx mewajibkan setidaknya 1 dari direktur komite audit independen harus menjadi ahli
keuangan. Ahli keuangan ini akan menjadi awal bagi CAE untuk lebih mengikat internal
audit dengan komite audit. Dalam banyak situasi, CAE dan internal audit dapat menjadi
pengaruh bagi keberlanjutan corporate governance, dan internal audit dapat membantu
komite audit melalui 3 langkah pendekatan ini:
1. Internal auditor memberikan laporan dan presentasi, memberikan ringkasan detail dari
proses audit internal untuk penilaian risiko, perencanaan, dan melaksanakan audit,
serta melaporkan hasilnya melalui laporan audit.
2. Bekerjasama dengan orang lain dan sumber lainnya, menunjukkan rencana kepada
komite audit.
3. Mengembangkan rencana detail untuk mereview dan menilai internal
control perusahaan.
Pada langkah pertama internal audit harus menjelaskan proses dan prosedur kepada komite
audit, seluruh board, serta manajemen. Sebelum melakukan presentasi, internal audit harus
melakukan pengecekan untuk menilai praktik audit internal yang sekarang dijalankan. Dari
sini auditor internal dapat melakukan perbaikan.
Tanggung Jawab Komite Audit dalam Internal Audit
Komite audit memiliki tanggung jawab utama untuk suatu perusahaan dalam fungsi audit
internal. Sebelum
SOx, konsep audit internal dilaporkan kepada komite audit kemudian dilaporkan ke
direktur keuangan (CFO) atau corporate officer senior lainnya. Fungsi audit internal modern
saat harus memiliki piagam internal audit, dan harus berhubungan dengan komite audit
perusahaan. Piagam ini memiliki hubungan khusus dengan audit internal dan biasanya
memerlukan audit komite untuk:
Mereview sumber daya, rencana, kegiatan, staf, dan struktur organisasi audit internal.
Review janji, kinerja, dan penggantian CAE.
Review seluruh laporan audit yang disiapkan oleh auditor internal bersama-sama
dengan manajemen.
Review dengan manajemen, CAE, dan akuntan independen dalam hal pelaporan
keuangan dan sistem pengendalian internal. Ulasan ini harus mencakup ruang lingkup
dan hasil dari program audit internal dan kerjasama yang diberikan atau keterbatasan,
jika ada, harus diungkap oleh manajemen pada perilaku yang berada di Program audit
internal.
Titik-titik ini telah menjadi bagian dari hubungan antara audit internal dan komite audit untuk
beberapa waktu, tapi piagam komite audit diterbitkan dalam hal meresmikan pengaturan ini.
CAE harus bekerja sama dengan komite audit untuk memastikan bahwa komunikasi berjalan
secara efektif. Internal audit telah mengembangkan kebiasaan, dari waktu ke waktu, dan
menyediakan komite audit mereka dengan hanya melaporkan ringkasan temuan audit internal
atau hanya menyampaikan laporan tentang temuan audit yang signifikan. SOx menempatkan
ini dalam perspektif atau pandangan yang baru. Auditor internal seharusnya tidak hanya
mengirimkan laporan kepada komite audit apa yang dianggapnya perlu untuk dilihat.
Sebaliknya, SOx mengamanatkan bahwa auditor internal harus menyediakan komite audit
semua laporan audit dan tanggapan manajemen serta pendukungnya. Bahkan ketika audit
internal menghasilkan sejumlah laporan audit yang besar, seperti untuk perusahaan ritel
dengan audit dari banyak unit toko kecil yang sering memiliki beberapa temuan yang
signifikan, komite audit harus menerima informasi rinci tentang semua audit yang dilakukan.
Ringkasan laporan dapat diberikan, namun laporan lengkap untuk semua audit harus
disediakan juga.
a) Pengangkatan Kepala Eksekutif Audit
Kepala Internal audit biasanya secara administratif melaporkan kepada manajemen
perusahaan, tetapi Komite audit bertanggung jawab atas perekrutan dan
pemberhentian kepala audit internal ini. Komite audit juga mungkin terlibat ketika
kepala internal audit ditunjuk sebagai pegawai dari perusahaan. Tujuannya yaitu
melayani kebutuhan gabungan manajemen perusahaan dan komite audit. Sebaliknya,
pentingnya partisipasi komite audit adalah untuk memastikan independensi fungsi
audit internal ketika ada kebutuhan untuk berbicara mengenai isu-isu dalam ulasan
dan penilaian pengendalian internal dan kegiatan usaha lainnya. Manajemen mungkin
menyarankan promosi seseorang dari dalam perusahaan atau mungkin merekrut orang
luar untuk menjabat kepala internal audit, tetapi komite audit memiliki keputusan
akhir. Komite audit biasanya tidak terlibat dalam hal administrasi sehari-hari
mengenai CAE dan seluruh fungsi audit internal tetapi harus memastikan
berkelanjutan kualitas fungsi audit internal. Komite Audit umumnya tidak di tempat
setiap hari untuk memberikan pengawasan audit internal dan harus bergantung pada
manajemen untuk beberapa dukungan.
b) Persetujuan Piagam Internal Audit
Piagam audit internal berfungsi sebagai dasar atau otorisasi untuk setiap program
audit internal yang efektif. Sebuah piagam yang memadai sangat penting untuk
menentukan peran dan tanggung jawab audit internal dan tanggung jawab untuk
melayani komite audit dengan benar. Di sinilah misi audit internal harus jelas
memberikan pelayanan kepada komite audit serta manajemen senior. Piagam audit
internal adalah dokumen yang luas tapi umum yang mendefinisikan tanggung jawab
dari audit internal dalam perusahaan, menjelaskan standar diikuti, dan mendefinisikan
hubungan antara komite audit dan audit internal. Komite audit bertanggung jawab
untuk menyetujui piagam audit internal, hanya sebagai full board bertanggung jawab
untuk menyetujui piagam komite audit. Siapa yang bertanggung jawab penyusunan
ini piagam audit internal? Secara teori, mungkin, komite audit mungkin menyusun
dokumen ini sebagai kegiatan komite dewan. Pada kenyataannya, CAE biasanya akan
memimpin dalam penyusunan piagam ini dan/atau akan menyarankan update yang
tepat untuk suatu piagam yang ada ke ketua komite audit. CAE biasanya bekerja sama
dengan ketua komite audit untuk menyusun persyaratan ini. Selain piagam, sifat
khusus dan lingkup tanggung jawab layanan audit internal terhadap komite audit
harus diformalkan dan diuraikan. Tanggung jawab ini dapat mencakup periodik
ditulis laporan status audit, pertemuan yang dijadwalkan secara rutin dengan komite
audit, dan baik hak dan kewajiban akses audit internal yang langsung ke komite audit.
Pernyataan piagam ini hubungan audit internal terhadap komite audit adalah sangat
penting karena audit internal juga memiliki hubungan sehari-hari kerja dengan
manajemen perusahaan.
 c) Persetujuan Rencana dan Anggaran Internal Audit
Idealnya, komite audit harus telah mengembangkan pemahaman keseluruhan audit
internal atas kebutuhan dari perusahaan. Penilaian tingkat tinggi ini meliputi berbagai
kontrol khusus dan masalah pelaporan keuangan, yang memungkinkan komite audit
untuk menentukan porsi audit atau penilaian risiko perlu dilakukan oleh baik audit
internal maupun penyedia lain. Sebagai bagian dari peran ini, komite audit
bertanggung jawab untuk meninjau dan menyetujui rencana semua tingkat audit
internal yang lebih tinggi dan anggaran. Tanggung jawab ini konsisten dengan peran
komite audit sebagai koordinator utama dari upaya pemeriksaan keseluruhan.
Manajemen perusahaan dan CAE mungkin memiliki ide-ide mereka sendiri tentang
apa yang perlu dilakukan, tetapi tindakan ini adalah tanggung jawab komite audit.
Tanggung jawab audit yang baru sejak diperkenalkannya SOx telah mengubah peran
bahwa semua pihak yang berkepentingan harus memahami sifat dari rencana audit
keseluruhan. Manajemen perusahaan, auditor internal, dan audit eksternal yang sama
kemudian akan tahu apa yang diharapkan dari dewan komisaris. Komite audit harus
mengasumsikan peran koordinasi tingkat tinggi. Meskipun ada keterbatasan praktis
bagaimana aktif komite audit dapat terlibat dalam perencanaan rinci proses, beberapa
keterlibatan menunjukkan nilai yang tinggi. Manajemen dan komite mungkin
menyarankan daerah potensial audit internal review, dan audit internal harus
mengembangkan rencana dalam batasan anggaran dan keterbatasan sumber daya. Jika
komite audit telah menyarankan review beberapa daerah khusus tetapi audit internal
tidak dapat melakukan audit yang direncanakan karena beberapa kendala diketahui,
CAE harus secara jelas mengkomunikasikan kekurangan kepada komite audit.
d) Review Komite Audit dan Temuan Audit Signifikan
Tanggung jawab komite audit yang paling penting adalah untuk meninjau dan
mengambil tindakan atas temuan audit yang signifikan atas laporan yang diberikan
oleh auditor internal dan eksternal, manajemen, dan lain-lain. Auditor internal secara
rutin melaporkan temuan audit yang signifikan serta status dan disposisi dari temuan
tersebut. Auditor internal harus bertindak agresif tidak hanya dalam melaporkan
temuan yang signifikan tetapi melakukan tindakan pemantauan untuk menilai koreksi
yang tepat dan tindakan yang diambil.

Komite Audit dan Auditor Eksternal

Komite audit memiliki tanggung jawab utama untuk menyewa perusahaan audit
eksternal, menyetujui anggaran dan Audit rencana yang diusulkan, dan mengumumkan
laporan keuangan yang diaudit. SOx telah membuat beberapa perubahan signifikan di sini.
Auditor eksternal tidak lagi dapat menyetujui penilaian pengendalian internal mereka, dan
tidak diperbolehkan berkonsultasi dengan kantor akuntan publik untuk menerapkan aplikasi
keuangan yang akan dijadikan review oleh auditor eksternal. Perusahaan-perusahaan akuntan
publik besar tidak lagi memiliki divisi konsultasi, dan kantor akuntan publik dilarang
memberikan jasa audit internal untuk perusahaan yang mereka audit. Komite Audit harus
menyadari dan peka terhadap perubahan ini. SOx mensyaratkan bahwa komite audit
menyetujui semua jasa audit eksternal, termasuk surat kenyamanan, serta layanan nonaudit
yang disediakan oleh eksternal auditor. Auditor eksternal masih diperbolehkan untuk
menyediakan layanan pajak, tetapi mereka dilarang memberikan ini layanan nonaudit
serentak dengan audit laporan keuangan klien seperti:
Pembukuan dan jasa lainnya yang terkait dengan catatan akuntansi atau keuangan
laporan audit klien.
Desain dan pelaksanaan teknologi informasi keuangan.
Appraisal atau penilaian jasa, pendapat kewajaran.
 Jasa outsourcing audit internal.
Fungsi manajemen atau dukungan sumber daya manusia.
Broker atau agen, penasihat investasi, atau investment banking services.
Jasa hukum dan layanan ahli lain yang tidak terkait dengan audit.
Layanan lain yang tidak diizinkan.

Program Whistleblower dan Kode Etik

Aturan SOx menyatakan komite audit harus menetapkan prosedur untuk penerimaan,
retensi, dan penanganan keluhan mengenai akuntansi, pengendalian internal akuntansi, atau
masalah audit, termasuk prosedur masalah kerahasiaan. Audit internal harus menawarkan
layanan untuk komite audit (ahli) untuk membangun dokumentasi keuangan dan prosedur
komunikasi didalam:
Documentation logging whistleblower calls.
Sox mengamanatkan bahwa komite audit membuat program whistleblower formal
dimana karyawan dapat meningkatkan fokus mereka mengenai pemeriksaan yang
tidak tepat dan mengendalikan hal-hal tanpa takut retribusi. Sebuah perusahaan yang
lebih besar mungkin sudah memiliki fungsi etika. Ketika perusahaan kecil tidak
memiliki sumber daya seperti itu, audit internal harus menawarkan fasilitas untuk
login komunikasi whistleblower tersebut, merekam tanggal, waktu, dan nama
pemanggil untuk penyelidikan dan disposisi. Dalam semua kasus, SOx memberikan
komite audit tanggung jawab untuk membuat dan mengelola whistleblower seperti
Program.
Disposisi dari hal-hal whistleblower.
Bahkan lebih penting daripada loggin dalam panggilan whistleblower awal,
dokumentasi harus dijaga untuk merekam sifat dari setiap investigasi tindak lanjut dan
disposisi terkait. Meskipun Program whistleblower SOx mandat tidak memiliki
program hadiah uang tunai, dokumentasi yang meliputi tindakan lengkap diambil
serta penghematan bersih harus dipertahankan. Sekali lagi, dengan tradisi menangani
hal yang bersifat rahasia, audit internal harus menawarkan untuk memberikan aman,
layanan rahasia di sini. Hal ini dapat menjadi kegiatan yang sangat penting. Pelaporan
karyawan dapat melakukan tindakan hukum terhadap korporasi jika informasi yang
mereka laporkan sangat rahasia.
Kode etik.
SOx membuat komite audit bertanggung jawab untuk melaksanakan kode etik atau
perilaku kepada dewan senior korporasi (CEO dan CFO). Komite audit harus dapat
merangkum seperangkat aturan untuk perilaku yang tepat dan memiliki dewan senior
ini mengakui bahwa mereka telah membaca dan memahami dan menyetujui untuk
mematuhinya. Audit internal harus memainkan peran utama dalam membantu komite
audit untuk melaksanakan program-program ini, bukan hanya untuk satu set terbatas
pada dewan tetapi untuk seluruh perusahaan.

Peran Lain Komite Audit

Komite audit mungkin sering menerima pertanyaan tentang akuntansi dan audit.
Audit internal dapat menawarkan diri untuk bertindak sebagai pembantu komite audit dalam
mendokumentasikan dan penanganan masalah ini. CEO atau staf pendukung administrasi
CFO biasanya menangani banyak tugas administratif untuk anggota dewan, aturan SOx
mengharuskan Komite Audit harus bertindak secara independen. Audit internal dapat
memberikan bantuan yang diperlukan. Di bawah SOx, komite audit mengambil peran
penting, untuk membantu memfasilitasi. SOx telah berubah banyak, dan auditor internal
modern harus menyadari tingkat komite audit diperluas. Auditor Internal harus baik
memahami masalah kebutuhan layanan dan aktif melayani dan bekerja dengan komite audit
sebagai bagian dari keseluruhan tujuan untuk memberikan pelayanan yang maksimal kepada
perusahaan.