Dengan komitmen atas integritas dan akuntabilitas, internal audit menyediakan nilai tambah bagi
organisasi serta manajemen senior sebagai salah satu sumber informasi yang lebih objective serta
memberikan independent advice.
Internal Auditing adalah aktivitas assurance dan konsulting yang independen dan objektif yang didesain
untuk memberikan nilai tambah dan meningkatkan operasi dari perusahaan. Hal tersebut akan
membantuk dalam pencapaian tujuan melalui pendekatan yang sistematis dan disiplin untuk
mengevaluasi dan meningkatkan efektifitas dari manajemen risiko, kontrol dan governance process.
Tujuan organisasi menggambarkan apa yang ingin dicapai oleh organisasi. Pada level yang lebih tinggi
pada perusahaan, tujuan dari organisasi tersebut tertuang di dalam visi dan misi organisasi. Committee
of Sponsoring Organization of the Treadway Commission (COSO) pada tahun 2004 telah
mengkategorisasikan Bussiness objective suatu perusahaan, yaitu:
Page 1 of 58
Strategic objectives, menyinggung tentang nilai yang dibuat oleh manajemen untuk tujuan
stakeholder dari organisasi. Tujuan ini menunjuk pada apa yang ingin dicapai oleh organisasi
serta strategi apa yang ditetapkan dalam mencapai tujuan tersebut.
Operations objectives, menyinggung tentang efektifitas dan efisiensi dari operasi organisasi,
termasuk diantaranya tindakan dalam mencapai tujuan keuntungan (profitabilitas) serta
perlindungan atas sumber daya dari kerugian.
Reporting objectives, berkaitan dengan reliabilitas dari pelaporan keuangan maupun non
keuangan kepada pihak internal mapun eksternal.
Compliance objectives, menyinggung tentang ketaatan terhadap peraturan yang berlaku serta
regulasi.
Mengevaluasi dan meningkatkan efektifitas dari pengendalian risiko, kontrol dan governance process
Suatu organisasi tidak dapat mencapai tujuannya serta memperoleh kesuksesan tanpa manajemen
risiko, kontrol dan governance process yang efektif.
Governance didefinisikan sebagai suatu proses yang diselenggarakan oleh direksi (Board of Directors)
dalam baik secara langsung atau dikuasakan kepada manajemen dalam pencapaian tujuan organisasi.
Manajemen risiko juga saling terhubung dengan governance, merupakan suatu proses yang
dilaksanakan oleh manajemen dalam memahami dan mengelola suatu ketidakpastian (Risiko dan
kesempatan) yang dapat terjadi pada perusahaan dalam pencapaian tujuan.
Sedangkan kontrol tertanam di dalam manajemen risiko merupakan suatu proses yang dilaksanakan
manajemen dalam mitigasi risiko dalam sampai kedalam level yang dapat diterima.
Tiga hal tersebut di atas merupakan suatu proses yang focus dalam pencapaian tujuan perusahaan.
Dimana Board of Directors bertanggung jawab dalam melaksanakan governance process sedangkan
manajemen bertanggung jawab terhadap pelaksanaan manajemen risiko dan proses kontrol.
Aktivitas consulting dan assurance yang didesain untuk memberikan nilai tambah dan meningkatkan
operasi
Pekerjaan dalam rangka aktivitas Assurance dan consulting dibedakan dalam tiga hal: yaitu tujuan utama
dari pekerjaan tersebut, siapa yang menentukan sifat dan lingkup dalam perjanjian tersebut dan
kelompok yang terlibat.
Tujuan utama dari internal assurance adalah untuk menilai bukti apakah telah sesuai dengan subjek
persoalan serta memberikan kesimpulan mengenai subjek persoalan tersebut. Fungsi internal audit
menentukan sifat dan lingkup dari assurance atas perjanjian dimana secara umum terdapat tiga pihak
yang terlibat, yaitu: auditee, internal auditor dan user.
Page 2 of 58
Independen merupakan kondisi yang bebas dari gangguan atas objektifitas. Gangguan/ancaman atas
objektifitas tersebut harus dikelola pada tingkat individual auditor, fungsional dan setiap level dari
organisasi.
Objektifitas merupakan sikap mental tidak bias (tidak memihak) yang memperkenankan auditor untuk
melaksanakan pekerjaannya dengan menghasilkan keputusan yang tidak memihak. Untuk meyakinkan
objektifitasnya, seoramg auditor tidak boleh terlibat dalam day to day operation, membuat keputusan
manajemen serta berbagai berbagai situasi yang dapat menyebabkan terjadi conflicts of interest.
Dalam rangka memberika nilai tambah dan ntuk meningkatkan operasi, internal assurance dan
konsultansi harus dilaksanakan secara sistematis dan disiplin. Terdapat tiga fase fundamental dalam
pekerjaan audit, yaitu perencanaan pekerjaan, pelaksanaan pekerjaan dan mengkomunikasikan hasil
pekerjaan. Perencanaan pekerjaan tersebut meliputi beberapa aktivitas, yaitu:
Pelaksanaan pekerjaan meliputi prosedur audit spesifik, misalnya melaksanakan penyelidikan, observasi
atas kegiatan operasi dan inspeksi dokumen. Mengkomunikasikan hasil audit merupakan komponen
kritis dari seluruh pekerjaan internal assurance dan kolsultansi. Komunikasi atas hasil pekerjaan harus
akurat, objektif, clear, singkat, membangun, lengkap dan tepat waktu.
Secara umum tujuan dari internal audit adalah mencapai tujuan organisasi. Alhasil, target dari internal
audit harus termasuk di dalamnya:
Internal auditor harus melaksanakan berbagai macam prosedur untuk melakukan tes atas kecukupan
desain dan efektifitas operasi, manajemen risiko dan proses kontrol dengan melakukan prosedur
sebagai berikut:
Page 3 of 58
Melaksanakan teknik audit berbasis komputer
Mencari informasi dari pihak ketiga yang lebih independen
Melaksanakan tes atas transaksi
Page 4 of 58
Chapter II
The International Professional Practises Framework: Authoritative
Guidence for The Internal Audit
Internal audit profession’s authoritative guidance memungkinkan para profesional auditor internal
untuk memberikan layanan yang dapat memberikan nilai tambah untuk memenuhi kebutuhan yang
beragam dari stakeholder
Perkembangan dari Guidance setting for the internal audit profession seiring dengan
perkembangan organisasi yang terus berkembang, baik dari ukuran maupun kompleksitas dan
operasi dari organisasi yang semakin menyebar dilihat dari segi geografi. Senior Management
tidak lagi dapat mengawasi organisasi secara langsung atau tidak lagi bisa berinteraksi secara
langsung dengan orang-orang yang melapor kepadanya, yang mana pengawasan tersebut
merupakan tanggungjawab dari seorang senior management. Jarak atau gap inilah yang menjadi
salah satu latar belakang, yang kemudian mendorong terciptanya suatu kondisi dimana
dibutuhkan seseorang di organisasi untuk membantu senior management. Bantuan tersebut
melalui pemeriksaan terhadap operasi organisasi dan menyediakan laporan mengenai hasil dari
pemeriksaan terebut kepada senior management. Aktivitas yang dilakukan oleh orang orang ini
disebut aktivitas Internal audit.
Perkembangan dari guidence untuk profesi auditor internal dimulai setelah terbentuknya IIA.
Berikut ini adalah penjelasan mengenai perkembangan tersebut:
1947 The Statement of the Responsibilities of the Menjelaskan mengenai tujuan dan ruang
Internal Auditor (Statement of lingkup dari audit internal. Primarily for
Responsibilities) financial matter
1957 The Statement of the Responsibilities of the Ruang lingkup diperluas, tidak hanya
Internal Auditor (Statement of berfokus pada perihal keuangan saja akan
Responsibilities) tetapi termasuk operasi dari Organisasi.
1968 Code of Ethics Provide ethical guidance
1972 Common Body of Knowledge (CBOK) Provide professional guidance on the
necessary competencies
1973 Certified Internal Auditor (CIA) Certification Provide professional guidance on the
program necessary competencies
1978 Standards for the Professional Practises of Standards to answers “how the internal
Internal Auditing audit function should be managed and how
audit engagements should be performed?”
2000 Code of Ethics Revisi dari 1968’s Code of Ethics
2002 International Standars for the Professional Mengakomodai:
Practise of Internal Auditing (Standards) - Kejadian pada awal 1980s (beginning of
risk-based auditing) and 1990s (internal
audit outsourcing)
- isu yang berkembang mengenai
perubahan paradigma jasa internal audit
yang lebih berfokus pada bagaimana
meningkatkan efisiensi dan efektivitas
operasii organisasi.
Page 5 of 58
B. The International Professional Practices Framework
IPPF merupakan satu-satunya guidance untuk profesi internal audit yang diakui secara global.
Didalamnya mengandung apa yang dianggap sebagai elemen penting dalam memberikan jasa
audit internal. Elemen penting tersebut terdiri dari:
1. Kualitas dari individu internal auditor;
2. Karakteristik dari fungsi yang menyediakan jasa internal audit;
3. Sifat dari akitivitas internal audit; .
4. Kriteria kinerja terkait
Oleh karena itu, IPPF memberikan petunjuk kepada profesi internal auditor dan menetapkan
harapan yang diinginkan oleh para stake holder sehubungan dengan kinerja jasa internal audit.
Komponen dari IPPF termasuk didalamnya:
1. Mandatory Guidance, yang terdiri dari:
a. Definiton of Internal Auditing
b. The Code of Ethics
c. The Standards
2. Strongly Recommended Guidance, yang terdiri dari:
a. Practice Advisories
b. Position Papers
c. Practise Guides
IPPF memberikan dasar bagi fungsi internal audit untuk menunaikan peran mereka dan cara yang
efektif memenuhi tanggungjawab mereka.
C. Mandatory Guidance
1. The Definitions
IPPF mendefiniskan Internal Auditing sebagai berikut:
“Internal auditing is an independent, objective assurance and consulting activity
desaigned to add value and improve an organization’s operations. It helps an
organization accomplish its objective by bringing systematic, disciplined approach to
evaluate and improve the effectiveness of risk management, control and governance
process.”
Page 6 of 58
The Value of Internal Auditing for Stakeholders
Page 7 of 58
harus dipegang teguh oleh internal auditor untuk mendapatkan kepercayaan dari mereka
yang bergantung pada jasa mereka.
2. The Rule of Conduct.
The Rule of Conduct mendeskripsikan 12 norma perilaku yang harus diikuti oleh internal
auditor untuk dapat mempraktikkan The Principle.
Berikut ini adalah 4 principle dan 12 role of conduct untuk internal auditor:
1. Integrity
Integritas dari seorang internal auditor membentuk kepercayaan dan kepercayaan
memberikan dasar bagi stake holder untuk bergantung pada judgement seorang internal
auditor.
The Rules of Conduct yang diasosiasikan dengan prinsip integritas menyatakan bahwa
internal auditor:
Harus melaksanakan pekerjaan mereka dengan jujur, ketelitian dan tanggungjawab
Harus menaati hukum dan membuat pengungkapan yang diinginkan oleh hukum
dan profesi.
Harus tidak terlibat dalam aktivitas ilegal, atau terikat dalam aktivitas yang dapat
mendiskreditkan profesi internal auditor atau organisasi;
Harus menghormati dan berkontribusi pada tujuan yang sah dan etis dari organisasi
2. Objectivity
Auditor internal tidak dipengaruhi oleh kepentingan mereka sendiri atau oleh orang lain
dalam membentuk penilaian
Tidak boleh berpartisipasi dalam suatu aktivitas atau hubungan yang mungkin
merusak atau diasumsikan akan merusak penilaian auditor yang tidak berbias.
Tidak boleh menerima apapun yang dapat merusak atau diasumsikan merusak
professional judgement
Harus mengungkapkan semua fakta, yang sifatnya material dalam pengambilan
keputusan, yang mereka ketahui. Dimana jika fakta tersebut tidak diungkapkan
maka akan mengubah hasil dari review suatu aktifitas.
3. Confidentiality
Auditor internal tidak mengungkapkan informasi yang mereka terima tanpa otoritas yang
tepat kecuali ada kewajiban hukum atau profesional untuk melakukannya
The Rules of Conduct yang diasosiasikan dengan prinsip Confidentiality menyatakan
bahwa internal auditor:
Harus berhati-hati dalam menggunakan dan melindungi informasi yang diperoleh
saat pelaksanaan tugas.
Tidak boleh menggunakan data untuk keuntungan pribadi atau kepentingan lainnya
yang bisa bertentangan dengan hukum atau yang dapat menganggu tujuan
perusahaan.
4. Competency
Auditor internal menerapkan pengetahuan, keterampilan, dan pengalaman yang
diperlukan dalam pelaksanaan layanan audit internal
The Rules of Conduct yang diasosiasikan dengan prinsip Competency menyatakan bahwa
internal auditor:
Page 8 of 58
Hanya boleh melakukan perikatan dengan klien atas jasa pelayanan dimana mereka
memiliki pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam
pelaksanaan layanan audit internal
Harus melaksanakan jasa internal audit yang sesuai dengan standar (International
Standards for the Professional Practise of Internal Auditing)
Harus selalu meningkatkan kecakapan, efektifitas dan kualitas jasa pelayanan internal
audit.
Page 9 of 58
assuming management responsibility. Example include counsel, advice, facilitation, and
training.”
Perbedaan jelas dalam kedua jenis layanan adalah pada tujuan pemberian pelayanan. Perikatan
jasa Assurance dilakukan untuk memberikan assesment independen sedangkan perikatan terkait
jasa konsultasi dilakukan untuk memberikan layanan konsultasi, pelatihan, dan fasilitasi.
Struktur dari consulting engagements relatif sederhana. Mereka biasanya hanya melibatkan dua
pihak saja, yaitu:
pihak yang meminta dan menerima saran-pelanggan dan;
pihak yang memberikan nasihat (fungsi internal audit).
Fungsi audit internal bekerja secara langsung dengan pelanggan untuk menyesuaikan
keterlibatan untuk memenuhi kebutuhan pelanggan.
Sedangkan struktur dari assurance engagements lebih kompleks. Mereka biasanya melibatkan
tiga pihak:
Pihak yang secara langsung bertanggung jawab untuk proses tersebut, sistem, atau topik
lain yang sedang dinilai-auditee;
Pihak yang memberikan jasa assesment (fungsi internal audit);
Pihak yang menggunakan hasil assesment-the users.
Pengguna tidak secara langsung terlibat dalam engagements dan dalam beberapa kasus tidak
teridentifikasi secara eksplisit.
Page 10 of 58
Objectivity
Sebuah sikap mental tidak bias yang memungkinkan auditor internal untuk melakukan
perikatan dengan klien dalam sikap yang sedemikian rupa sehingga mereka percaya pada
produk kerja dari internal auditor dan bahwa tidak ada kompromi kualitas yang dibuat.
Objektivitas mensyaratkan bahwa auditor internal tidak menyerahkan penilaian mereka
mengenai hal audit kepada orang lain.
Independence adalah atribut dari fungsi audit internal, objektivitas adalah atribut dari auditor
secara individual. Independences Organisasi terhadap fungsi audit internal memfasilitasi
objektivitas auditor individual. Conflict of Interest atau Benturan kepentingan mengganggu
independensi dan obyektivitas. Konflik kepentingan adalah setiap hubungan yang, atau
tampaknya, tidak dalam kepentingan terbaik organisasi. Ancaman yang terkait pelaksanaan tugas
yang berkaitan dengan independensi dan obyektivitas timbul dari sifat dari pekerjaan itu sendiri.
Impairment terhadap indepensi atau objektivitas, dalam fakta atau appearances, mungkin tidak
dapat dihindari dalam keadaan tertentu. Standard 1130: Impairment terhadap indepensi atau
objektivitas, CAE harus mengungkapkan rincian impairment kepada pihak yang tepat.
Page 11 of 58
internal, pada tingkat usaha yang sama yang akan dilakukan oleh auditor internal lainnya dalam
situasi yang sama.
Related Standards or guidance:
Standard 1230: Pengembangan Profesi Berkelanjutan menyatakan bahwa "Auditor
internal harus meningkatkan pengetahuan, keterampilan, dan kompetensi lain melalui
pengembangan profesional"
Konsep dasar dari quality assurance for internal audit service adalah mirip dengan konsep quality
assurance pada perusahaan manufacture. Dimana Fungsi quality assurance bertugas meyakinkan
bahwa produk yang dikeluarkan memiliki fitur dan karakteristik yang sesuai dengan yang dibutuhkan.
Sedangkan pada ranah fungsi audit internal, quality assurance and improvement program “dirancang
untuk dapat dinilai kesesuaiannya dengan standard yang ada pada standard Internal audit definition
dan agar dapat dievaluasi keseuaiannya apakah sudah patuh pada kode etik auditor internal”.
“Seorang chief audit executive harus mengembangkan dan memaintain sebuah quality assurance dan
improvement program yang meliputi semua aspek fungsi internal audit” (standard 1300: quality
assurance and improvement programs). Seorang chief audit executive juga “harus
mengkomunikasikan hasil dari quality assurance dan program pengembangan pada manajemen
senior dan direksi (standard 1320: Reporting on the Quality Assurance and Improvement program)
dan bisa menyatakan bahwa internal audit (fungsi) sesuai dengan International Standards for the
Profesional practice of Internal Auditing… kalau hasil dari quality assurance dan improvement
programs mendukung pernyataan tersebut (Standards 1321: Penggunaan pernyataan “sesuai dengan
International Standards for the Profesional practice of Internal Auditing). Ketika terdapat
ketidaksesuaian dengan definisi internal auditing, atau kode etik auditor internal, atau standar yang
mempengaruhi keseluruan cara kerja auditor internal, seorang Chief Audit executive harus
menyatakan ketidaksesuaian tersebut dan pengaruhnya kepada managemen senior dan dewan
direksi. (Standard 1322:Disclosure of Nonconformance)
Standard 1310 : Requirement of The quality assurance and improvement program menyatakan bahwa
“The quality assurance and the improvement program harus menyertakan baik penilaian internal
maupun eksternal. Penilaian internal harus terdiri atas :
Penilaian eksternal harus dilaksanakan minimal 5 tahun sekali oleh pihak yang memenuhi syarat,
penilai independen, atau tim penilai dari luar organisasi. Chief Audit Executive harus mendiskusikan
dengan dewan direksi untuk hal-hal yang terkait dengan :
The performance standards menjelaskan sifat-sifat dasar dari layanan internal audit, serta bagaimana
penilaian kinerja layanan tersebut. Performance Standard dibagi menjadi tujuh bagian utama, yaitu :
Page 12 of 58
2100 – Managing (mengelola) aktivitas internal audit
Managing the internal audit activity. Standard 2000 menerangkan bahwa seorang Chief Audit
Eecutive bertanggung jawab untuk mengelola fungsi internal audit dan memastikan bahwa fungsi
tersebut dapat memberikan nilai tambah bagi organisasi. Meskipun bila organisasi mengoutsource
fungsi audit internal tersebut, organisasi tetap harus memiliki “someone in house” yang
bertanggungjawab dalam menyetujui kontrak audit internal tersebut, mengawasi kualitas pekerjaan
penyedia jasa, menyusun jadwal pelaporan jasa assurance dan konsultasi manajemen kepada
manajemen senior dan dewan direksi dan menentukan hasil kesepakatan dengan penyedia jasa
terebut. Pada banyak kasus, fungsi-fungsi tersebut dilaksanakan oleh CAE. Bagaimanapun ketika orang
tersebut memiliki conflicting responsibilities/konflik pertanggungjawaban dengan fungsi outsourcerd
tersebut, penyedia layanan audit internal tersebut memiliki kewajiban untuk membuat “organisasi
tersebut waspada bahwa organisasi tersebut memiliki tanggung jawab untuk mempertahankan audit
internal yang efektif” (Standard 2070: External service provider and organizational Responsibility for
internal auditing). Interpretasi dari standar tersebut dapat diartikan sebagai berikut :
“Tanggung jawab tersebut ditunjukan melalui quality assurance dan improvement programs yang
menilai kesesuaian tanggung jawab tersebut dengan yang tertuang di dalam definisi internal auditing,
kode etik dan standar yang ada”.
Standard 2000 menyatakan bahwa “Aktivitas internal audit telah dikelola dengan baik ketika :
Hasil dari aktivitas pekerjaan internal audit mencapai tujuan dan tanggung jawab yang tercantum
di dalam internal audit charter;
Aktivitas internal audit telah sesuai dengan definisi internal audit dan standard yang ada dan
Setiap individu yang menjadi bagian dari aktivitas internal audit menunjukan kesesuaian dengan
kode etik dan standar (interpretasi dari standard 2000: Managing internal audit activity);
Subsequent standard secara berkelanjutan harus menunjukan bahwa seorang CAE haruslah:
“…. Menyusun sebuah risk based plan untuk menentuan apakah prioritas dari aktivitas internal
audit sudah konsisten dengan tujuan organisasi (Standard 2010: planning)
“…. Mengkomunikasikan rencana aktivitas internal audit dan hal-hal yang dibutuhkan di dalam
kegiatan audit internal, terasuk perubahan perubahan signifikan kepada managemen senior dan
dewan direksi sebagai bahan review dan approval.” Seorang CAE ”juga harus
mengkomunikasikan pengaruh dari keterbatasan hal-hal yang dibutuhkan tersebut” (standard
2020; communication and approval)
“…memastikan bahwa kebutuhan internal audit sudah tepat, cukup, dan tersebar dengan baik
untuk dapat mencapai tujuan yang telah direncanakan” (Standard 2030 : ‘Resources
Management)
“… Menyusun kebijakan dan prosedur sebagai arahan dalam kegiatan internal audit” (Standard
2040: Policies and procedures).
Page 13 of 58
“… Membagi informasi dan berkoordinasi dengan penyedia jasa assurance and consulting, baik
yang berasal dari dalam maupun dari luar organisasi untuk memastikan pelaksanaan pekerjaan
tidak tumpang tindih” (standard 2050 : koordinasi)
“… secara periodic membuat laporan kepada manajemen senior dan dewan direksi terkait tujuan
kegiatan internal audit, kewenangan, tanggung jawab, dan hasil yang ingin dicapai dari rencana
tersebut.” Seorang CAE juga harus melaporkan pengaruh risiko dan kegiatan pengendalian yang
dapat mempengaruhi kegiatan internal audit, termasuk risiko fraud, hal hal terkait dengan tata
kelola (governance) dan hal-hal lainnya yang dapat mempengaruhi atau diminta oleh senior
manajemen dan dewan direksi” (Standar 2060: Reporting to senior management and board)
Nature of Works. Standard 2100. Nature of work (sifat pekerjaan) adalah konsisten dengan definisi
internal auditing yang telah didiskusikan di awal bab ini. “Kegiatan internal audit harus mengevaluasi
dan berkontribusi terhadap peningkatan kualitas governance, manajemen risiko, dan proses
pengendalian menggunakan pendekatan yang disiplin dan sistematis.
Fungsi internal audit harus memperkirakan dan membuat rekomendasi yang tepat untuk
meningkatkan kualitas governance organisasi agar proses governance pada organisasi dapat
mencapai tujuan berikut :
Fungsi audit internal juga harus mengevaluasi efektivitas dan meningkatkan proses manajemen risiko
organisasi (Standards 2120: Risk Managemen). Menentukan apakah fungsi proses manajemen risiko
pada organisasi telah berjalan efektif apabila hasil penilaian auditor internal meyatakan :
Fungsi audit internal juga harus membantu organisasi dalam “mempertahankan efektivitas
pengendalian dengan cara mengevaluasi efetivitas dan efisisensi pengendalian dan mempromosikan
pengembangan berkelanjutan. (standard 2130: Control)
Fungsi internal audit juga harus mengevaluasi kemungkinan terjadinya risiko tersebut, dan juga
mengevaluasi efektivitas dan efisiensi pengendalian melalui promosi continuous improvement.
Fungsi Internal Audit harus melaksanakan evaluasi terhadap risk exposure dan mengevaluai
kecukupan dan efektivitas operasional organisasi yag terkait dengan :
Page 14 of 58
Kecukupan dan integritas informasi keuangan dan operasional organisasi
Efektivitas dan efisiensi pelaksanaan dan program organisasi
Pengamanan asset
Kepatuhan terhadap aturan perundangan yang berlaku (standard 2120.A1 dan 2130 A.1)
The Engagement Process. Pelaksanaan kesepakatan terhadap pelaksanaan kegiatan audit internal
baik berupa jasa assurance maupun jasa consulting bisa dibagi menjadi 3 bagian. Standard
pelaksanaan tersebut tercantum pada :
Standard 2200 : engagement planning menyatakan bahwa “ Auditor internal harus merancang dan
mendokumentasikan perencanaan kesepakatan audit internal yang didalamnya mencakup tujuan,
skope, waktu pelaksanaan dan hal-hal yang dibutuhkan di dalam pelaksanaan audit internal”,
dokumen tersebut harus memperhatikan :
Tujuan dan aktivitas yang akan dievaluasi dan dinilai aktivitas pengendaliannya
Significant risk terhadap kegiatan tersebut, tujuan, sumber daya maupun operasional dari
kegiatan tersebut termasuk risiko-risiko yang bisa mengganggu proses pencapaian tujuannya.
Kecukupan dan efektivitas dari governance, manajemen risiko, dan aktivitas pengendalian
tersebut apabila dibandingkan dengan kriteria yang telah ditetapkan.
Kesempatan auditor internal untuk meningkatkan kualitas governance, manajemen risiko,
dan aktivitas pengendalian
Standard di bawah ini harus dilaksanakan di dalam merancang perjanjian/perikatan audit internal :
Tujuan audit harus dicantumkan dengan jelas (standard 2210 : tujuan perikatan)
Ruang lingkup yang ditetapkan harus memadai untuk mencapai tujuan dari perikatan
tersebut.
Auditor internal harus menetapkan tingkat kebutuhan dalam pelaksanaan audit internal
Auditor internal harus mengembangkan dan mendokumentasikan dokumen-dokumen
tersebut.
“… menyajikan informasi yang relevan, dapat dipercaya (reliable) dan cukup terkait dengan
tujuan perikatan tersebut” (standard 2310 : identifying information).
“…Membuat perikatan dan kesimpulan berdasarkan analisis dan evaluasi yang memadai”
(standard 2320: Analysis and evaluation)
“.. mendokumentasikan informasi yang relevan untuk mendukung kesimpulan manajemen”
“… memastikan bahwa perikatan yang dibuat telah disupervisi dengan memadai sehingga
tujuan audit dapat dicapai, kualitas audit telah dijamin, dan staf yang dibutuhkan telah
ditetapkan dengan sesuai”
Page 15 of 58
Agar perikatan audit internal menjadi bernilai, outcome yng telah dicapai harus disampaikan secara
berkala kepada klien. Namun tidak cukup laporan saja yag disampaikan. Komunikasi yang dilakukan
harus berdasarkan laporan yang meminimalisasi disinterpretasi
Fungsi internal audit harus “melaporkan bahwa perikatan yang dilaksanakan sudah sesuai dengan
international standards for the professional practice of internal auditing apabila perikatan yang
dilaksanakan telah sesuai dengan pernyataan tersebut (standar 2340 : Use of “Conducter in
Comformance with the internal auditing, the Code of Ethics , or The standard impact a specific
engagement communication harus menyajikan :
Seorang CAE bertanggungjawab untuk mengkounikasikan hasil dari perikatan perjanjian tersebut
kepada pihak-pihak yang membutuhkan(standard 2440: Disseminating Result) dan menerbitkan opini
mengenai kondisi governance, risk management, maupun aktivitas lainnya. Ketika sebuah opini
diberikan, CAE juga harus menyampaikan kepada senior manajemen sebagai bahan pertimbangan
apakah hendak menerima risiko tersebut ataukah tidak mengambil tindakan (Standard 2500 A.1)
Communicating the acceptance risk.Standard 2600 : Communicating the acceptance risk addresses
the issue of a level of residual risk that may be unacceptable to the organization that may be
unacceptable to the organization. .
IPFF adalah sebuah bentuk pedoman yang bersifat dinamis. Senantiasa berkembang sesuai dengan
kondisi lingkungan
Profesi auditor internal juga perlu mengikuti standard selain yang ditetapkan oleh IIA semisal US
Government Accountability Office (GAO) Government Auditing Standard, Standard for professional
Practice of environmental, health and safety auditing, dan standard yang dikeluarkan oeleh
International standard Organization (ISO). Di Negara Amerika para praktisi internal audit biasanya
menyandingkan standard dari IIA dan standard dari GAO untuk menerbitkan piagam auditnya.
Terhadap dua standard berbeda yang dapat mengakibatkan terjadinya multiple standard, bagian
paragraph introduction pada Standard IIA memberikan ketentuan sebagai berikut :
“apabila standard yang digunakan berhubungan dengan standard lainnya, maka fungsi internal audit
harus mengutip penggunaan standard yang digunakan tersebut dengan jelas. Namun apabila terjadi
inkonsistensi antara standard dari IIA dengan dari standard lainnya, fugsi internal audit harus
menyelaraskan piagam auditnya dengan standard dari IIA, namun apabila terdapat keterbatasan maka
auditor bisa mengikuti standar lainnya.
Page 16 of 58
Standard for Internal Auditing in Government
Biasa disebut dengan the yellow book, standard ini digunakan sebagai dasar pelaksanaan audit pada
lembaga pemerintahan. Standard ini lebih berfokus pada laporan keuangan dan audit kinerja.
Biasanya masing-masing Negara menerapkan standard sendiri untuk audit terhadap lembaga
pemerintahan maupun kontrak-kontrak di pemerintah. Namun standard yang digunakan biasanya
bermodel kepada International Organization of Supreme Audit Institution (INTOSAI)
Tidak seperti standard Audit IT yang diterbitkan IIA, Standard audit IT yang diterbitkan oleh ISACA
memberikan arahan yang lebih mendetail. Standard IT Audit yang telah ditetapkan oleh IIA sendiri
sudah selaras dengan standard yang ditetapkan oleh ISACA. Meskipun begitu auditor yang banyak
bekerja di bidang IT harus senantiasa aware terhadap perkembangan standard yang dikembangkan
oleh ISACA dan menggunakan arahan tersebut di dalam pelaksanaan pekerjaan audit system informasi
yang dilaksanakannya.
The US Public Company Accounting oversight board (PCAOB) dan American Institute of Certified Public
Accountant adalah lembaga yang menerbitkan standard pemeriksaan keuangan pada audit atas
laporan keuangan di Amerika Serikat. Standard ini menekankan pada independensi atas audit yang
dilaksanakannya, termasuk juga mengatur mengenai koordinasi antara auditor internal dengan
auditor eksternal.
Page 17 of 58
Chapter 3 GOVERNANCE (argi hermansyah)
Dalam kebanyakan organisasi, Audit Internal dapat menjadi kunci dalam pencapaian tujuan.
Meski struktur organisasi sesungguhnya berbeda dengan organisasi yang satu dengan lainnya,
setiap organisasi harus menetapkan struktur governance secara keseluruhan untuk memastikan
kebutuhan stakholder kunci bertemu. Struktur governance memberikan arahan dalam peneran
aktivitas sehari-hari dari mengelola risiko yang melekat pada perusahaan.
Governance
Risk Management
Internal Control
Gambar tersebut menunjukkan bahwa governance meliputi semua aktivitas pada organisasi.
Dewan dan manajemen dapat menetapkan struktur governance untuk memastikan kebutuhan
stakeholder kunci bertemu dan organisasi telah beroperasi pada batasan dan nilai yang ditetapkan
oleh dewan dan manajer senior.
Lapisan selanjutnya adalah manajemen risiko. Manajemen risiko dimaksudkan untuk:
1. Mengidentifikasi dan mengelola risiko yang mungkin secara buruk dapat mempengaruhi tujuan
perusahaan.
2. Menggali peluang yang dapat membantu pencapaian tujuan.
Pengendalian internal terletak pada bagian tengah/pusat karenansistem pengendalian internal
merupakan subset, tapi merupakan bagian integral, pada batas aktivitas manajemen risiko.
Anak panah menunjukkan aliran arus informasi yang melalui struktur governance. Anak panah
tersebut menggambarkan aliran dari arahan dan akuntabilitas dari lapisan satu ke lapisan
berikutnya.
Governance adalah kombinasi dari proses dan struktur yang diterapkan oleh dewan untuk
memberikan informasi, mengarahkan, mengelola dan memonitor aktivitas organisasi untuk
mencapai tujuannya.
Menurut OECD, Corporate Governance melibatkan hubungan antara manajer perusahaan, dewan,
shareholder dan stakeholder lainnya. Corporate governance juga memberikan struktur yang
melalui di mana tujuan perusahaan ditetapkan, sarana pencapaian tujuan, dan monitoring kinerja
yang ditetapkan.
Dewan bertanggung jawab atas pemberian arahan strategi dan pedoman yang berhubungan dengan
Page 18 of 58
dengan pembentukan tujuan kunci bisnis yang konsisten dengan model bisnis organisasi dan
diselaraskan dengan prioritas stakeholder. Direktur membawa pengalaman bisnis yang bervariasi
dan beragam kepada dewan dan oleh karena itu mereka berada pada posisi untuk memberikan
informasi dan arahan yang akan membantu memastikan kesuksesan organisasi.
Poin penting yang dapat diambil dari gambaran terhadap governance adalah :
Governance dimulai dari dewan of director dan para komite.
Dewan harus memahami dan fokus terhadap kebutuhan dari stakeholder kunci.
Sehari-hari governance dilaksanakan oleh manajemen dari organisasi.
Aktivitas internal dan eksternal memberikan manajemen dan dewan dengan jaminan
mengenai effektivitas dari aktivitas governance.
Stakeholder dapat memiliki satu atau lebih karakteristik dibawah ini:
Beberapa stakeholder secara langsung dilibatkan dalam operasi bisnis perusahaan.
Stakeholder lain tidak dilibatkan secara langsung, namun berkepentingan pada bisnis
organisasi, oleh karena itu mereka dipengaruhi oleh kesuksesan ataupun outcome lain dari
bisnis.
Beberapa stakeholder tidak terlibat maupun berkepentingan pada keberhasilan bisnis
organisasi namun stakeholder ini mempengaruhi aspek dari bisnis organisasi dan sebagai
hasilnya, keberhasilan organisasi.
Secara umum, stakeholder adalah sebagai berikut :
Employee yang bekerja untuk organisasi dan krena itu terlibat langsung dengan tingkah laku
dari bisnis organisasi.
Customer yang merupakan darah kehidupan dari bisnis organisasi dan otomatis terlibat
secara langsung pada keberhasilannya.
Vendors memberikan barang dan jasa yang dibutuhkan oleh sebuah organisasi untuk
menjalankan bisnisnya dan oleh karena itu terlibat langsung dalam bisnis.
Shareholders/investors tidak terlibat secara langsung dalam bisnis namum mempunyai
kepentingan yang kuat pada keberhasilan organisasi.
Regulatory agencies mewakili lembaga pemerintah yang mungkin mempunyai kepentingan
maupun kemampuan mempengaruhi keberhasilan bisnis.
Financial institution mempengaruhi struktur modal sebuah organisasi.
Karena keberagaman stakeholder mempunyai ekspektasi yang berbeda, hasil dari setiap jenis
stakeholder yang dianggap tidak dapat diterima akan beragam. Dewan butuh mempertimbangkan
jenis outcome berikut :
Financial, contoh : earning per share, cash liquidity, credit rating, return on investment,
capital availability, tax exposure, material weaknesses, and disclosure transparency.
Compliance, contoh : proses pengadilan, pelanggaran kode etik, pelanggaran keamanan dan
lingkungan, perintah penahanan, investigasi pemerintah, peraturan denda dan hukuman,
dakwaan, dan penangkapan.
Operation, contoh : pencapaian tujuan, penggunaan asset secara efisien, pengamanan aset,
perlindungan SDM, dan perlindungan masyarakat.
Strategic, contoh : reputasi, cocporate sustainability, moral pegawai, dan kepuasan
pelanggan.
Dewan secara terbaik dapat melaksanakan tanggung jawab pengelolaannya dengan:
Membangun komite governance
Page 19 of 58
Komite ini bisa menjadi komite baru atau perluasan tanggung jawab komite
Harus terdiri dari direktur independen
Komite harus memiliki tanggung jawab yang telah diuraikan di atas
Mengartikulasikan persyaratan untuk pelaporan dewan
Dewan harus mendelegasikan kepada manajemen kewenangan untuk mengoperasikan
bisnis dalam batas toleransi relatif dewan terhadap hasil yang tidak dapat diterima
Sebagai bagian dari peran pengawasan dewan juga harus menetapkan batas pelaporan
untuk manajemen yang mana hasil harus disetujui oleh dewan, melaporkan langsung ke
papan, atau diringkas untuk forum diskusi sebagai bagian dari pertemuan triwulanan
Mengevaluasi kembali ekspektasi governance secara berkala (biasanya pertahun)
Ekspektasi stakeholder dapat berkembang dan berubah. Oleh karena itu, dewan harus
mengidentifikasi perubahan-perubahan tersebut dan mengevaluasi kembali arah
governance yang
Sebagai akibat dari perubahan-perubahan tersebut, tingkat toleransi dewan juga harus
dievaluasi
Untuk melaksanakan tanggung jawab governance, manajemen senior bertanggung jawab untuk:
Memastikan bahwa seluruh lingkup arah dan wewenang dipahami dengan tepat
Mengidentifikasi proses dan kegiatan dalam organisasi yang merupakan bagian integral
dalam melaksanakan arah pemerintahan yang disediakan oleh dewan. Oleh karena itu,
manajemen senior harus menentukan:
Di mana organisasi mengelola risiko tertentu yang dapat menimbulkan dampak yang
tidak dapat diterima
Siapa yang akan bertanggung jawab untuk mengelola risiko tersebut
Bagaimana risiko tersebut akan dikelola
Mengevaluasi apa pertimbangan bisnis lain atau faktor-faktor yang mungkin membuat
pembenaran untuk mendelegasikan tingkat toleransi lebih rendah kepada pemilik risiko dari
yang didelegasikan oleh dewan
Memastikan bahwa informasi yang memadai telah dikumpulkan dari pemilik risiko untuk
mendukung kebutuhan pelaporan kepada dewan
Manajemen senior dapat menjadi yang terbaik dalam melaksanakan tanggung jawab governance
dengan:
Membangun sebuah komite risiko
Komite ini biasanya dipimpin oleh seorang eksekutif senior: Chef Risk Officer (CRO),
jika ada, atau eksekutif lainnya yang memiliki tanggung jawab pengawasan risiko yang
luas
Ia bertanggung jawab untuk menentukan bahwa semua risiko kunci diidentifikasi, terkait
dengan aktivitas manajemen risiko, dan ditugaskan kepada pemilik risiko
Mengevaluasi risk appetite organisasi yang sedang berlangsung dan memastikan bahwa
tingkat toleransi didelegasikan kepada pemilik risiko konsisten dengan risk appetite
Mengartikulasikan persyaratan pelaporan
Pemilik risiko harus memahami sifat, format, dan waktu komunikasi mengenai
efektivitas kegiatan manajemen risiko
Pelaporan ini dapat terjadi melalui pertemuan komite risiko yang dijadwalkan secara
rutin atau sebagai bagian dari proses pengumpulan informasi untuk pelaporan ke dewan
Page 20 of 58
Mengevaluasi kembali harapan governance secara berkala (biasanya pertahun)
Sebagai organisasi berkembang dan perubahan, manajemen senior harus menilai kembali
arah governance dan tingkat toleransi yang sesuai yang telah didelegasikan kepada
pemilik risiko
Sebagai hasil dari perubahan-perubahan tersebut, tingkat toleransi manajemen senior
juga harus dievaluasi
Hal ini juga memberikan kesempatan manajemen senior untuk mengevaluasi keefektifan
program manajemen risiko organisasi
Page 21 of 58
BAB 4 MANAJEMEN RISIKO
DEFINISI RISIKO
COSO : kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan
Risiko bisnis
Risiko yang secara khusus terkait dengan organisasi didalam melakukan bisnis, berupa
ketidakpastian mengenai adanya ancaman terhadap pencapaian tujuan bisnis.
Setelah kita tahu bahwa banyak sekali risiko yang dihadapi organisasi ketika mereka mencoba
menjalankan strategi dan mencapai tujuan mereka, maka terdapat kebutuhan yang sangat besar
terhadap suatu hal yang dapat secara efektif mengelola risiko di dalam organisasi. Dan kebutuhan ini
terjawab dengan adanya Enterprise Risk Management (ERM) yang pertama kali diperkenalkan COSO
pada tahun 2004.
COSO mengidentifikasi adanya kebutuhan akan kerangka kerja yang kuat untuk membantu
perusahaan secara efektif mengidentifikasi, menilai, dan mengelola risiko. Kerangka kerja yang
dihasilkan merupakan perluasan dari kerangka kerja sebelumnya “Internal Control – Integrated
Framework”, menggabungkan semua aspek kunci dalam kerangka kerja tersebut ke dalam kerangka
kerja ERM yang lebih luas.
Pengertian ERM secara singkat “proses yang dilakukan oleh manajemen untuk memahami dan
mengatasi ketidakpastian yang dapat mempengaruhi kemampuan organisasi untuk mencapai
tujuannya”
Definisi ERM menurut COSO “suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen dan
pegawai lainnya, diterapkan dalam penyusunan strategi dan di segenap perusahaan, dirancang
untuk mengidentifikasi peristiwa-peristiwa potensial yang dapat mempengaruhi entitas, dan untuk
mengelola risiko sampai dalam batas hasrat risiko entitas, untuk menyajikan keyakinan memadai
sehubungan dengan pencapaian tujuan entitas“
Page 22 of 58
− sebuah proses yang berlangsung terus menerus.
− dilakukan oleh setiap orang di dalam organisasi pada tingkatan/jenjang organisasi.
− diterapkan dalam penyusunan strategi.
− diterapkan di segenap perusahaan, pada setiap tingkat dan satuan.
− Berfokus pada pengambilan pandangan portofolio tingkat entitas mengenai risiko.
− Dirancang untuk mengidentifikasi peristiwa-peristiwa yang secara potensial mempengaruhi
entitas.
− Sarana bagi manajemen dalam mengelola risiko dalam batas hasrat risiko entitas.
− Menyajikan keyakinan memadai kepada manajemen dan dewan entitas
− Dijalankan untuk mencapai tujuan-tujuan baik dalam satu atau dua kategori terpisah
maupun secara bersama-sama.
Kerangka kerja ERM digambarkan dalam kubus tiga dimensi yang mencerminkan hubungan antara
jenis tujuan, komponen ERM, dan struktur bisnis perusahaan.
Jenis Tujuan
Di dalam konteks penetapan visi atau misi, manajemen menetapkan tujuan stratejik, memilih
strategi dan menetapkan tujuan-tujuan lain secara menurun ke segenap perusahaan dan
diselaraskan dengan serta dihubungkan kepada strategi. Kerangka ini memandang tujuan-tujuan
entitas dalam konteks empat kategori:
− Stratejik – berhubungan dengan sasaran tingkat tinggi, diselaraskan dengan dan mendukung
misi entitas.
− Operasional – berhubungan dengan penggunaan sumberdaya entitas secara efektif dan
efisien.
− Pelaporan – berhubungan dengan keandalan pelaporan entitas.
− Ketaatan – berhubungan dengan ketaatan entitas kepada hukum dan peraturan yang
berlaku
Komponen ERM
Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Komponen-
komponen ini diperoleh dari cara manajemen menjalankan suatu bisnis, dan dipadukan dengan
proses manajemen. Komponen-komponen tersebut adalah:
“manajemen menentukan suatu filosofi sehubungan dengan risiko dan menetapkan suatu hasrat
risiko. Lingkungan internal menentukan fondasi tentang bagaimana risiko dan pengendalian
Page 23 of 58
dipandang oleh orang-orang dalam suatu entitas. Inti dari bisnis apapun adalan orang-orang –
atribut individual mereka, termasuk integritas, nilai etika dan kompetensi – dan lingkungan di mana
mereka beroperasi. Mereka adalah mesin yang mendorong entitas dan fondasi dari setiap
komponen lainnya“
Lingkungan intern entitas merupakan fondasi bagi seluruh komponen lain dari manajemen risiko
perusahaan, yang menyajikan disiplin dan struktur. Lingkungan intern mempengaruhi bagaimana
strategi dan tujuan-tujuan ditetapkan, aktivitas bisnis distrukturkan, dan risiko-risiko diidentifikasi,
ditaksir dan diperlakukan. Lingkungan intern mempengaruhi rancangan dan pelaksanaan aktivitas
pengendalian intern, sistem informasi dan komunikasi, dan aktivitas pemantauan.
Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Yang terdiri dari banyak unsur
antara lain:
Tujuan ditetapkan pada tingkat strategis, meletakkan dasar untuk operasi, pelaporan, dan tujuan
kepatuhan. Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal, dan
sebuah prasyarat yang efektif untuk untuk identifikasi peristiwa, penilaian risiko, dan penanganan
risiko adalah pemantapan tujuan.
Manajemen harus mengidentifikisasi peristiwa potensial yang akan berdampak pada perusahaan,
baik dalam arti positif maupun negatif. Peristiwa yang berdampak buruk dan menghambat tujuan
organisasi di sebut sebagai risiko dimana manajemen harus melakukan penilaian dan penanganan.
Sedangkan peristiwa yang berdampak positif pada organisasi disebut sebagai peluang dimana
manajemen harus memanfaatkannya didalam proses perumusan strategi dan penentuan tujuan.
Page 24 of 58
Ketika mengidentifikasi risiko, manajemen harus mempertimbangkan berbagai faktor internal
maupun eksternal yang dapat menjadi risiko ataupun peluang pada perusahaan.
− Economic events, seperti pergeseran harga, ketersediaan modal, dan persaingan usaha yang
ketat.
− Natural environment events, seperti banjir, kebakaran, gempa bumi maupun peristiwa alam
lainnya.
− Political events, seperti pemilihan umum terhadap pemimpin negara dengan agenda politik
yang baru maupun pemberlakukan hukum dan regulasi yang baru.
− Social events, seperti perubahan demografi, adat istiadat, struktur keluarga maupun
prioritas hidup/pekerjaan.
− Technological events, seperti penggunaan sarana baru didalam perdagangan, penyimpanan
dan pemrosesan
COSO juga merumuskan beberapa internal faktor antara lain:
Page 25 of 58
Setelah mengetahui risiko mana saja yang berdampak pada perusahaan, manajemen harus
menentukan penanganan risiko yang cocok terhadap risiko-risiko tersebut. Ada empat macan
penanganan risiko menurut COSO
Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu untuk meyakinkan
manajemen bahwa risiko telah ditangani dengan baik. Beberapa contoh kegiatan pengendalian
manajemen antara lain:
− Top-level reviews
− Direct functional or activity management
− Information processing controls
− Physical controls
− Performance indicators
− segregation
7. Information and Communication
Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait manajemen risiko yang
berasal dari internal maupun eksternal menjadi informasi yang berguna bagi manajemen didalam
mengambil keputusan. Kemudian hal itu dikomunikasikan kepada setiap orang/personnel agar
mereka melakukan tanggungjawabnya sesuai fungsi masing-masing. COSO mendefinisikan sebuah
informasi harus:
Page 26 of 58
melakukan penilaian apakah kegiatan manajemen risiko perusahaan telah dilaksanakan dengan
efektif.
Dewan Komisaris, pihak manajemen, pegawai bidang pengelolaan risiko, pegawai bidang keuangan,
auditor internal, dan tentu saja, seluruh pihak yang ada di dalam organisasi memiliki peran untuk
mewujudkan ERM yang efektif. Peran dan tanggung jawab dari masing-masing pihak tersebut
sebagaimana telah dijelaskan pada Bab.3 tentang “Tata Kelola”.
● Dewan Komisaris. Pihak dewan komisaris mengawasi dan memberikan arahan kepada pihak
manajemen organisasi. Dewan komisaris berperan dalam menentukan strategi organisasi,
merumuskan tujuan stratejik, mengalokasikan sumber-sumber daya organisasi dalam lingkup
yang luas, dan mencontohkan/mewujudkan perilaku etis di lingkungan organisasi. Terkait
dengan pengelolaan ERM, COSO menyebutkan bahwa dewan komisaris melakukan
pemantauan melalui:
− Pemahaman terkait sampai sejauh mana pihak manajemen telah mengelola ERM
dengan efektif.
− Mengetahui dan menyepakati selera risiko organisasi.
− Meninjau portofolio risiko organisasi dan menyesuaikannya dengan selera risiko
organisasi.
− Menerima info terkait risiko organisasi yang paling signifikan dan apakah pihak
manajemen telah menangani risiko tersebut secara memadai.
● Manajemen. Pihak manajemen bertanggung jawab atas segala aktivitas yang ada di organisasi,
termasuk kegiatan ERM. Tanggung jawab pihak manajemen sangat beragam, tergantung
tingkatannya dan karakteristiknya dalam organisasi.
CEO memiliki tanggung jawab puncak atas efektifitas dan kesuksesan program ERM. Salah satu
aspek penting terkait dengan tanggung jawab CEO adalah memastikan keberadaan lingkungan
internal yang positif. CEO memberikan contoh, mempengaruhi susunan dan perilaku dewan
pimpinan, memimpin dan mengarahkan manajer senior, dan memonitor kegiatan pengelolaan
organisasi dalam kaitannya dengan penentuan selera risiko dan kriterianya, seperti kapasitas
risiko dan tingkat toleransi risiko. Keadaan terus mengalami perubahan, pemunculan risiko yang
berbeda, perlu penerapan strategi, tindakan yang mengantisipasi kemungkinan yang tidak
Page 27 of 58
berkesusaian dengan kriteria risiko, maka CEO akan mengambil suatu tindakan agar organisasi
tidak “keluar-jalur”.
Manajer senior yang memimpin berbagai jenis unit di organisasi, memiliki tanggung jawab
pengelolaan risiko terkait dengan tujuan dari masing-masing unit yang dipimpinnya. Pihak
manajer senior mengejawantahkan strategi organisasi yang bersifat umum menjadi berbagai
kegiatan operasi, identifikasi kejadian risiko yang mungkin terjadi, mengukur risiko-risiko yang
terkait, dan menerapkan penanganan yang memadai atas risiko-risiko tersebut. Pihak manajer
membimbing kegiatan ERM organisasi sesuai dengan lingkup bidang tanggung jawabnya,
memastikan bahwa penerapan komponen-komponen ERM tersebut sesuai dengan toleransi
risiko yang telah ditetapkan. Mereka bertanggung jawab atas prosedur khusus ERM yang
diperuntukan bagi para manajer fungsional. Dapat disimpulkan bahwa para manajer lebih
berperan aktif dalam menggunakan dan melaksanakan prosedur khusus penanganan risiko
yang terkait dengan tujuan suatu unit tertentu di organisasi, seperti teknik pengidentifikasian
dan pengukuran risiko dan penentuan penanganan khusus risiko ( yang adalah strategi
manajemen risiko, sebagai contoh kebijakan pengembangan dan prosedur pembelian barang
atau melayani pelanggan baru
Staf fungsional, seperti bidang akuntansi, SDM, kepatuhan, atau hukum juga memiliki peran
yang penting dalam mewujudkan perancangan dan pelaksanaan praktik-praktik ERM yang
efektif. Fungsi-fungsi ini dimungkinkan untuk merancang dan menerapkan suatu program yang
dapat mendukung pengelolaan risiko lintas unit dalam organisasi.
● Petugas pengelola risiko. Beberapa organisasi telah memiliki dan menunjuk seseorang untuk
menempati posisi manajer senior yang bertugas/berperan sebagai pusat koordinasi dalam
pengelolaan ERM. Seorang petugas pengelola risiko--biasanya disebut Chief Risk Officer (CRO)--
umumnya beroperasi dalam lingkup staff fungsional, bekerja bersama dengan pihak manajer
lain dalam mewujudkan ERM pada unitnya masing-masing, Petugas pengelola risiko memiliki
sumber daya untuk mempengaruhi pengelolaan ERM lintas anak perusahaan, proses bisnis,
departemen, fungsi dan kegiatan. Mereka bertanggung jawab atas pemantauan kemajuan
pengelolaan risiko dan mendampingi manajer lain melaporkan informasi yang relevan dengan
risiko dalam organisasi.
Page 28 of 58
− Menyusun kebijakan ERM, meliputi definisi peran dan tanggung jawab, dan
berpartisipasi dalam menentukan tujuan penerapan.
− Membuat kerangka kewenangan dan pertanggungjawaban ERM di unit-unit bisnis.
− Meningkatkan kompetensi ERM di seluruh entitas, meliputi memfasilitasi
pengembangan ahli teknik ERM dan membantu pihak manajer menangani risiko sesuai
dengan toleransi risiko entitas dan mengembangkan pengendalian yang memadai.
− Memandu pengintegrasian ERM dengan perencanaan bisnis lainnya dan aktivitas
manajemen.
− Menyusun suatu istilah yang umum dalam pengelolaan risiko meliputi pengukuran atas
keterjadian dan dampak risiko, dan kategori risiko yang umum.
− Memfasilitasi pengembangan protokol pelaporan dari pihak manajemen, meliputi
batasan kualitatif dan kuantitatif, dan pemantauan proses pelaporan.
− Pelaporan kepada pihak pimpinan terhadap kemajuan dan pelaksanaan dan
rekomendasi tindakan yang diperlukan.
● Financial Executive. Pimpinan bagian akuntansi dan keuangan beserta para staffnya
bertanggung jawab hampir atas seluruh kegiatan yang ada di organisasi, karena pada dasarnya
hampir seluruh kegiatan tersebut melibatkan peran serta bagian akuntansi dan keuangan.
Mereka berperan penting dalam mencegah dan mendeteksi pelaporan fraud, dan
mempengaruhi kerangka, penerapan, dan pengawasan pengendalian internal organisasi yang
terkait dengan pelaporan keuangan dan sistem pendukung lainnya.
● Auditor Internal. Auditor Internal berperan penting dalam mengevaluasi efektifitas—termasuk
merekomendasikan perbaikan—ERM.
● Pihak-pihak lain dalam organisasi. Kenyataannya ERM adalah tanggung jawab seluruh pihak
yang ada dalam organisasi. Mungkin beberapa dari mereka bukanlah pemilik risikonya (risk
owner), namun bagaimanapun juga peran mereka—mulai dari mengidentifikasi risiko hingga
penerapan strategi penanganan risiko—turut berpengaruh dalam mewujudkan ERM yang
efektif.
● Auditor Eksternal. Pihak auditor eksternal dapat memberikan informasi kepada Dewan Direksi
maupun manajemen suatu pandangan pengelolaan risiko organisasi secara objektif dan
independen, yang akan berguna menghasilkan laporan keuangan untuk pihak eksternal dan
tujuan-tujuan lainnya.
● Para pembuat aturan. Pihak pembuat aturan dapat mempengaruhi penerapan ERM dalam
organisasi melalui berbagai persyaratan untuk melaksanakan ERM atau sistem pengendalian
internal atau melalui pemeriksaan terhadap entitas khusus.
Page 29 of 58
● Pihak-pihak di luar perusahaan. Pelanggan, vendor, mitra bisnis, dan siapapun itu yang terlibat
secara bisnis dengan organisasi berperan dalam menyediakan informasi risiko, sebagai
sumber/bahan ERM. Pihak kreditor dapat memberikan suatu pengawasan atau arahan yang
berpengaruh terhadap pencapaian tujuan organisasi. Analis keuangan, lembaga pemberi
peringkat, media massa, dan pihak-pihak eksternal lainnya dapat mempengaruhi ERM. Hasil
investigasi mereka, memberikan gambaran secara mendalam bagaimana persepsi orang luar
terhadap kinerja organisasi, risiko industri dan ekonomi, proses operasi yang inovatif dan
strategi keuangan, serta gambaran tren industri saat itu. Penyedia jasa menjadi semakin lazim
bagi organisasi dalam menjalankan operasi hariannya terutama untuk menjalankan fungsi-
fungsi yang bukan proses bisnis utama organisasi. Dengan adanya kerja sama dengan pihak luar
tersebut maka kemungkinan akan ada pengembangan pengelolaan risiko terutama yang terkait
dengan kerja sama tersebut.
COSO mengidentifikasi prinsip-prinsip dalam pengelolaan ERM yang dapat menjadi faktor
pendorong:
− Menyesuaikan selera risiko dan strategi
− Meningkatkan pengambilan keputusan untuk merespon risiko
− Mengurangi kemungkinan-kemungkinan buruk dalam proses operasi
− Mengidentifikasi dan mengelola risiko antar-usaha
− Menyiapkan respon terpadu atas berbagai risiko
− Menangkap peluang
− Meningkatkan penempatan modal
ISO 31000:2009 MANAJEMEN RISIKO—PEDOMAN DAN PRINSIP
Prinsip ISO 31000:
− Menciptakan dan memelihara nilai
− Bagian integral dari proses organisasi
− Bagian dari pengambilan keputusan
− Secara tegas menyampaikan ketidakpastian
− Sistematis, terstruktur, dan tepat waktu
− Berdasarkan pada informasi terbaik
− Dirancang secara khusus
− Mempertimbangkan faktor manusia dan budaya
− Transparan dan melibatkan banyak pihak
− Dinamis, berulang, dan responsif terhadap perubahan
Page 30 of 58
− Memfasilitasi perbaikan-perbaikan dalam organisasi
Kerangka ISO 31000
− Menyusun konteks. Berfokus pada pemahaman dan persetujuan atas faktor-faktor internal
dan eksternal yang dapat mempengaruhi pengelolaan risiko.
− Menilai risiko, yang meliputi kegiatan pengidentifikasian risiko, menganalisa risiko dan
penyebabnya, sumber, dan tipe hasil yang diharapkan, dan mengevaluasi risiko untuk
memperoleh informasi dalam memprioritaskan penanganan risiko.
− Penanganan risiko, meliputi kegiatan pengambilan keputusan atas informasi risiko yang ada.
− Memonitor risiko, mengidentifikasi kejadian risiko di lapangan dan mengevaluasi apakah
penanganan risiko telah sesuai dengan tujuan.
− Membangun proses komunikasi dan konsultasi.
Peran Auditor Internal dalam ERM
Pengelolaan Enterprise Risk Management membutuhkan peran akuntan perusahaan baik peran dari
akuntan manajemen maupun peran Auditor Internal. Adapun Auditor Internal bertugas meneliti dan
mengevaluasi berfungsinya sistem akuntansi di samping menilai seberapa jauh kebijakan dan
program kerja manajemen dijalankan memiliki peran yang penting dalam perusahaan, termasuk
pengelolaan risiko.
Dalam Position Paper berjudul The Role Internal Auditing in Enterprise-Wide Risk Management yang
dikeluarkan oleh IIA, dikemukakan bahwa terdapat beberapa aktivitas yang dapat diperankan oleh
internal auditor. Internal auditor diharuskan untuk memelihara objektivitas dan indepedensi yang
Page 31 of 58
diwajibkan oleh kode etik profesi dan standar profesi auditor internal. Saat internal auditor tidak
memiliki kompetensi dan kemahiran yang memadai atas area manajemen risiko maka menurut IIA
auditor internal harus menolak penugasan. Berikut ini aktivitas utama yang dapat diperankan oleh
internal auditor:
Dari gambaran di atas terlihat bahwa banyak aktivitas yang dapat diperankan oleh internal auditor
dengan berpegang pada standar profesi audit internal untuk mendorong efektivitas ERM
danmanajemen tetap bertanggung jawab untuk manajemen risiko.
COSO menyatakan bahwa Enterprise Risk Management ditetapkan untuk membantu manajemen
dalam hal menyelaraskan selera risiko (risk appatite) dengan strategi perusahaan, meningkatkan
keputusan respon risiko, menekankan atau mengurangi lonjakan atau kerugian akibat operasional,
mengidentifikasi dan mengelola cross enterprise risk, menyiapkan respon atas berbagai risiko secara
terintegrasi, serta meraih kesempatan dan mengembangkan pemodalan.
Penerapan Enterprise Risk Management dalam organisasi dapat mendorong terciptanya Good
Corporate Governance. Enterprise Risk Management memiliki fokus pada pengelolaan risiko yang
timbul dari setiap aktivitas organisasi untuk kemudian organisasi tersebut akan diarahkan dan
dikendalikan sesuai dengan prinsip-prinsip Good Corporate Governance untuk dapat mencapai
tujuan organisasi yang ditetapkan.
DAMPAK DARI ERM ATAS JASA ASSURANCE YANG DIJALANKAN OLEH INTERNAL AUDIT
Mengaitkan antara perencanaan audit dan pengelolaan atas risiko:
Page 32 of 58
− Sebelum mengembangkan rencana audit internal, menurut CAE akan sangat membantu
apabila pertama-tama membangun dan meng-update audit universe.
− Audit universe bisa terdiri dari beberapa komponen yang ada pada strategi perusahaan.
− Penyiapan rencana audit internal berdasarkan audit universe tersebut.
− Audit universe terkait dengan rencana audit yang sudah update menggambarkan
perubahan-perubahan yang telah terjadi.
− Perencanaan audit, didasarkan, bersama dengan faktor-faktor lainnya, penilaian atas risiko.
Page 33 of 58
CHAPTER 5 : BUSINESS PROCESSES AND RISKS
Terdapat 3 (Tiga) tipe dari business activity :
1. Operating Processes
Operating Processes pada sebagian besar organisasi merupakan suatu proses inti yang dilalui untuk
mencapai tujuan utamanya. Melalui proses ini organisasi menciptakan nilai dan menyampaikannya
secara langsung kepada konsumen.
2. Management and Support Processes
Management and Support Processes merupakan kegiatan yang mengawasi dan mendukung proses
penciptaan nilai inti dari perusahaan (organization’s core value-creation process)
3. Projects
Projects merupakan suatu metode yang digunakan untuk menyelenggarakan kegiatan yang
menghasilkan nilai (value-creating activities). Projects digunakan ketika terjadi kegiatan selama
jangka waktu tertentu, memerlukan proses pengerjaan yang rumit, dan relatif unik di mana
memerlukan kegiatan spesifik yang tidak dilakukan secara berkesinambungan. Projects juga sering
digunakan pada sebagian besar organisasi untuk membentuk kegiatan nonrutin untuk menciptakan
aset untuk kepentingan organisasi.
Page 34 of 58
Understanding Business Processes
Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai dan
meningkatkan kinerja operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi, Misi, nilai
serta Tujuan Tahunan) dan bagaimana struktur proses bisnisnya dapat mencapai tujuan tersebut
(Strategi tingkat pimpinan dan tingkat Taktis). Model bisnis tersebut biasanya merupakan bagian
dokumen internal yang tersedia untuk audior internal.
Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu organisasi dapat
tersedia. Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategi
organisasi. Sementara Visi, misi, nilai serta tujuan perusahaan relatif sama dari tahun ke tahun, fungsi
internal audit harus di-update secara periodik mengenai pemahamannya tentang strategi organisasi.
Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses bisnis dan
perannya dalam bisnis model:
2. Bottom up approach
Dimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang yang
bertanggung jawab terhadap kegiatan aktualnya.
Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya adalah
menentukan tujuan kunci (key objectives) dari proses yang dilakukan. Auditor Internal perlu untuk
mengetahui pemilik proses (process owner) untuk memahami tujuan proses (proecess objectives) Ketika
tujuan proses sudah dipahami, langkah selanjutnya adalah memahami proses masukan, kegiatan spesifik
yang diperlukan untuk mencapai tujuan proses dan output proses.
Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut memerlukan
pemahaman tentang bagaimana manajemen dan pemilik proses mengetahui bahwa proses berjalan
sesuai yang dikehendaki. Pemilik proses seharusnya memiliki KPI (Key performance Indicator), yang
merupakan suatu metrik ataupun dalam bentuk lain untuk mengukur apakah suatu proses ataupun
tugas individu telah dilakukan sesuai toleransi yang ditetapkan.
Page 35 of 58
Business Risk
Ketika internal auditor sudah memahami tujuan organisasi dan proses kunci yang digunakan untuk
mencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat
menghalangi pencapaian tujuan tersebut. Bagi organisasi yang telah menerapkan Enterprise Risk
Management (ERM), umumnya manajemen telah mengembagkan suatu risk profile. Dalam kasus
tersebut maka fungsi internal audit dapat membangun penilaian risikonya dari risk profile tersebut. Bila
risk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil sebagai titik awal untuk
perencanaan audit tahunan.
Pendekatan umum yang dapt dilakukan untuk mengembangkan risk profile adalah dengan melakukan
sesi brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota fungsi
internal audit. Potensi risiko dibagi ke dalam 4 (empat) kategori sesuai dengan ERM COSO yaitu Strategic
Risks, Compliance Risks, Reporting Risks, dan Operations Risks. (Lihat Chapter 4 “Risk Management”)
Risiko yang beraneka ragam tersebut kemudian dinilai dampak dan keterjadiannya seperti gambar di
bawah ini.
Page 36 of 58
Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk Model ke dalam
Matriks Risk Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan tujuan
spesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua risiko kunci, dan dampak
yang dihasilkan telah diidentifikasi
Respon yang bisa diberikan oleh organisasi terhadap risiko (perspektif ERM):
“Planning explicity requires CAE to ‘establish a risk-based plan to determine the priorities of the internal
audit activity, consistent with the organization’s goals’”
Atau
Perencanaan secara eksplisit membutuhkan CAE untuk 'menetapkan rencana berbasis risiko untuk
menentukan prioritas kegiatan audit internal, yang konsisten dengan tujuan organisasi’”
B. Menganalisis Proses untuk menentukan adanya hubungan antara proses dan risiko
C. Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan mana
yang kunci atau bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko.
Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk
memanaje risiko.
RBPM pada exhibit 5-11 di atas digunakan internal auditor untuk memutuskan bagian mana yang harus
dimasukkan kedalam rencana audit fungsional tahunan. Langkahnya menghitung jumlah link key dan
secondary untuk setiap proses. Hal ini karena link tersebut akan mempengaruhi tipe audit yang akan
dilakukan.
Page 37 of 58
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko adalah
dengan membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses (risk
factor approach). Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess masing2
proses. Biasanya ada 2 jenis factor, external risk factor dan internal risk factor.
Assurance engagement ialah pemeriksaan obyektif pada bukti-bukti dengan tujuan memberikan
penilaian independen terhadap tata kelola, manajemen risiko dan proses kontrol untuk organisasi.
_______Mohon Tengok Exhibit 5-14 RISK/CONTROL MATRIX FOR PROCESS… Hal. 5-14___________
_______Mohon Tengok Exhibit 5-15 RISK MAP PARTIALLY COMPLETED … Hal. 5-15___________
Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis organisasi ke penyedia
luar guna mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus
meningkatkan kualitas pelayanan.
Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT. Sekarang berkembang menjadi HRD,
engineering, CS, keuangan dan akuntansi.
Karena outsorce ini, beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan.
Beberapa hal yang harus diperhatikan dalam IC pada bisnis proses outsorcing:
a. mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di outsorce
b. memastikan ada cara memantau efektivitas proses outsorce
c. memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses outsorce
beroperasi secara efektif, baik melalui audit internal kontrol atau tinjauan eksternal kontrol
d. mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku
Page 38 of 58
PELUANG UNTUK MEMBERIKAN WAWASAN
Kemampuan dari auditor internal dalam menganalisis proses bisnis dan risiko terkait penyediaan fungsi
audit internal member kesempatan untuk menambah nilai yang signifikan bagi organisasi melalui
wawasan mereka terkait pekerjaan yang dilakukan yang dapat diberikan kepada manajemen di tingkat
operasional dan eksekutif. Kesempatan untuk menerapkan keterampilan ini mungkin datang sebagai
akibat dari pekerjaan yang dilakukan untuk memberikan keyakinan pada manajemen risiko dan
pengendalian internal dalam rangka keterlibatan jaminan tradisional seperti inisiatif rekayasa ulang
proses bisnis, ulasan dalam merger dan akuisisi, atau review sebelum impelementasi sistem.
Page 39 of 58
Chapter 7 IT Risk and Control
IT berubah dengan cepatnya dan memberi tantangan baru bagi seluruh organisasi, sekalipun dia tidak
menginginkannya. Sosial media mengandung risiko pencitraan buruk terhadap organisasi yang dengan
gampang diposting, risiko ini harus diantisipasi.
Penggunaan sosial media memiliki peluang dan risiko. Peluang yang diberikan antara lain:
Increase revenue
Meningkatkan kepuasan dan loyalitas pelanggan
Merekrut talenta terbaik
Meningkatkan pengembangan dan inovasi produk
Meningkatkan brand awareness dan persepsi pelanggan
Karena perkembangan teknologi, banyak perusahaan yang menerapkan BYOD (bawa devicemu
sendiri). Pegawai mengakses data perusahaan melalui gadget mereka. Ini meningkatkan risiko
ketidakamanan informasi.
Seluruh organisasi berinvestasi besar-besaran pada IT untuk mencapai tujuan bisnisnya. IT membantu
organisasi dalam hal: mengenable strategi bisnis, meningkatkan performance operasi, dan
memfasilitasi pengambilan keputusan.
Contoh: perusahaan yang ingin expansi ke penjualan online, tidak akan bisa berbuat apa2 jika ga punya
teknologi e-commerce.
IT pada strategi organisasi mempengaruhi profesi internal audit. Hal ini mengubah kompetensi yang
dibutuhkan internal audit dan bagaimana mereka melaksanakan tugas consulting dan assurance. IA
harus memahami IT risk dan control serta dapat mengaplikasikan teknik audit berbasis teknologi. IT
Auditor/IS auditor harus punya pengetahuan mendalam tentang IT, namun seluruh internal auditor
harus memiliki pengetahuan memadai terkait dengan: sistem informasi organisasinya, IT risk yang
mengancam, IT governance organisasinya, risk management dan control prosesnya.
Page 40 of 58
Komponen utama Sistem Informasi Modern:
1. Hardware Komputer: komponen fisik dari sistem informasi., yaitu; server, CPU, workstation,
terminal, I/O device.
2. Network: Jaringan komputer yang terhubung dua atau lebih komputer sehingga dapat berbagi
informasi/beban kerja. Tipe-tipenya antara lain:
a. Client-server: menghubungkan satu/lebih komputer dengan server
b. LAN: jaringan kecil dalam gedung
c. WAN: LAN yang saling terhubung (national, global)
d. Intranet: jaringan privat organisasi
e. Extranet: dapat diakses oleh pihak ketiga terpilih
f. Value added network (VAN): jaringan third-party yang menghubungkan organisasi
dengan trading partners
g. Internet: jaring internet besar global
h. Peer-to-peer: hubungan mesra antar device tanpa perantara jaringan
3. Computer Software: termasuk OS, utility software, database management system (DBMS)
software, aplikasi dan firewall.
4. Database: tempat penyimpanan data yang besar. Biasanya file-file yang saling terhubung dan
disimpan agar dapat diretrieve dengan mudah.
5. Information: informasi adalah sumber daya utama organisasi, mulai dari penciptaan sampai
penghancuran, teknologi dapat berperan. Sistem informasi mengumpulkan dan menyimpan
data serta mengubahnya menjadi informasi yang berguna.
6. People: Peran dalam sistem informasi secara spesifik membutuhkan CIO, database
administrator, system developer, data processing personel dan end user.
Peluang dan risiko dari IT memiliki porsi yang significan sehingga organisasi perlumengerti dan
memanage dengan efektif.
1. ERP system: enterprise resource planning, mengintegrasikan seluruh bisnis proses dalam satu
database. Keuntungannya a.l online realtime processing, interaksi dan sharing informasi antar
fungsi lancar,meningkatkan kinerja proses, eliminasi/kurangi data berulang dan eror,
pengambilan keputusan lebih cepat.
Page 41 of 58
2. EDI: electronic data interchange, pertukaran dokumen computer-to-computer antara
organisasi dengan partner bisnis. Proses transaksi lebih efisien dan lebih sedikit data eror. EDI
harus dua arah, organisasi dan partner harus sama2 punya EDI yang bagus.
Risiko IT:
Seluruh komponen sistem informasi punya risiko potensial, contoh: hardware komputer kehilangan
daya sehingga memutus transaksi, jaringan bisa disadap atau dicuri, software yang tidak valid.
1. Selection risk: pemilihan IT solution yang tidak sesuai dengan strategic objective.
2. Development&deployement risk: saat pengembangan ataupun penerapan, dapat terjadi
delay yang tak bisa diperkirakan, biaya yang overrun, bahkan proyek yang
ditinggalkan/dilepas.
3. Availability risk: ketiadaan sistem saat dibutuhkan dapat memperlambat pengambilan
keputusan
4. Hardware/sftware risk: kegagalan hard/software untuk berjalan dengan baik dapan
menginterupsi bisnis secara temporari atau permanen dan merusak data.
5. Access risk: risiko akses fisik maupun logik oleh pihak yang tak berkepentingan dapat
menyebabkan, modifikasi sofware yang membahayakan, pencurian, penyalahgunaan dan
penghancuran data.
6. Risiko Reliabilitas sistem dan integritas informasi: eror yang terjadi bisa sistematik, sehingga
informasi menjadi tidak reliable.
7. Confidentially dan privacy risk: pengungkapan tanpa ijin atas informasi partner bisnis,
personal data individu, dapat hancurkan bisnis ata dituntut hukum
8. Risiko Fraud dan tindakan jahat: pencurian suamber daya IT, penyalahgunaan sumberdaya IT
atau pengacauan/pengrusakan data dapat menimbulkan financial loss/misstated information.
IT Governance:
IT dapat digunakan untuk mengeksekusi strategi bisnis dan membantu pencapaian tujuan perusahaan.
Dalam merespon pengaruh IT terhadap strategi bisnis dan operasinya, organisasi menentukan IT
governance. IT governance terdiri dari kepemimpinan, struktur dan proses pengawasan yang
meyakinkan IT organisasi menopang dan menyuport strategi dan tujuan organisasi.
IT risk management
Page 42 of 58
Adalah proses yang dilaksanakan oleh manajemen untuk mengerti dan menangani risiko IT dan
peluang yang daat mempengaruhi kemampuan perusahaan mencapai tujuan. Hal ini dilakukan untuk
1) mengidentifikasi dan mitigasi risiko yang mengancam organisasi, 2) identifikasi dan memanfaatkan
peluang yang membawa kesuksesan organisasi.
1. Internal environment: tone of the top, board menetapkan IT risk appetite dan tollerance.
2. Objective setting: IT governance menetukan tujuan IT yang menetapkan arah aktivitas IT.
Strategic operation dari IT managemen harus selaras dengan strategic managemen
perusahaan keseluruhan.
3. Event identification: kejadian yang berpotensi muncul baik diluar maupun didalam organisasi
yang dapat mempengaruhi eksekusi strategi organisasi dan pencapaian tujuan harus
diidentifikasi.
4. Risk assesment: IT risk event yang teridentifikasi harus di assess dalam dampak bawaan dan
keterjadiannya.
5. Risk response: respon terhadap risiko yang layak harus diformulasikan terhadap event yang
teridentifikasi.
6. Control activities: Kebijakan respon terhadap risiko dan prosedur respon harus dedesain
secara memadai dan dioperasikan efektif.
7. Information and communication: informasi penting terkait identifikasi, respon, dan assess
harus dikomunikasikan dengan baik.
8. Monitoring: manajemen bertanggungjawab memonitor proses manajemen risiko IT,
termasuk prose pengendalian IT dari waktu ke waktu untuk memastikan proses berjalan
seiring perubahan-perubahan yang terjadi.
Page 43 of 58
CHAPTER 8
LEARNING OBJECTIVES :
3. Menjelaskan fraud triangle dan mengapa ketiga unsur tersebut muncul ketika terjadi fraud.
5. Mendefinisikan tata kelola, manajemen risiko, dan pengendalian dalam konteks fraud.
9. Menjelaskan kepatuhan auditor internal dihubungkan dengan tanggung jawab terkait terkait untuk
melindungi organisasi dari pelanggaran peraturan.
10. Memahami perkembangan tanggung jawab fungsi audit internal, termasuk keterlibatan akuntan
forensik dan spesialis pemeriksaan fraud.
Salah satu risiko paling signifikan yang dihadapi organisasi kontemporer adalah risiko fraud/kecurangan.
Ketika fraud muncul, apakah dilakukan oleh indibidual karyawan, kolusi diantara banyak karyawan, atau
pihak ketiga diluar perusahaan yang merugiikan perusahaan bisa menyebabkan kerugian tidak hnaya
kerugian finansial tetapi juga rusaknya reputasi yang serius. Dalam banyak kasus, terjadinya fraud pada
perusahaan publik dengan cepat menyebabkan penurunan pada harga saham dan kapitalisasi pasar, dan
dapat menjadi indikator awal dari financial distress/ kesulitan keuangan.
Mengingat konsekuensi ekonomi yang serius dari fraud, manajemen senior dan governing boards
semakin menekankan program anti fraud dan kontrol untuk menangani bisnis utama, kepatuhan
terhadap peraturan, dan driver pasar. Pembaruan fokus global pada tata kelola perusahaan berasal dari
kesadaran bahwa kecurangan pelaporan keuangan dengan mudah dapat menyebabkan kegagalan
organisasi.
Tindakan llegal adalah kegiatan yang melanggar hukum dan peraturan yurisdiksi tertentu di mana
perusahaan beroperasi. Auditor internal di perusahaan besar sering mengambil peran untuk
Page 44 of 58
memastikan kepatuhan terhadap peraturan. Langkah pertama biasanya termasuk penyelesaian
penilaian risiko fraud. Telah terjadi peningkatan dalam penerapan peran baru dalam banyak organisasi,
seperti direktur kepatuhan (CCO) dan pejabat risiko kepala (CRO).
Fraud tidak terbatas hanya pada negara atau industri tertentu. Fraud dapat timbul dalam organisasi
hampir setiap saat. Pada awal abad kedua puluh satu, skandal akuntansi besar di AS (misalnya, Enron
dan World Com) adalah berita utama di seluruh dunia. Skandal perusahaan tersebut tidak hanya
merugikan investor miliaran dolar AS, kejadian tersebut juga mengakibatkan hilangnya kepercayaan
pasar modal AS.
Association of Certified Fraud Examiners (ACFE) melakukan survei dua tahunan kepada anggotanya dan
menyiapkan A Report To The Nation On Occupational Fraud And Abuse (Report To Nation).. Akhir
tahun 2012 Laporan mencakup 94 negara dan dengan demikian memberikan wawasan tentang fraud di
seluruh dunia. Laporan tahun 2012 didasarkan pada data yang dikumpulkan dari 1.388 kasus penipuan
dari berbagai industri yang diteliti pada tahun 2010 dan 2011. Fraud terus menjadi perhatian utama bagi
organisasi di seluruh dunia, dengan lebih dari seperlima dari insiden fraud yang menyebabkan kerugian
sebesar $ 1 juta pada 2011.
Informasi dari kasus-kasus tersebut dilaporkan oleh certified fraud examiners (CFEs) yang menyelidiki
kasus-kasus tersebut . Berikut rangkuman dari beberapa temuan selama tahun 2012 :
Peserta dalam survei memperkirakan bahwa organisasi kehilangan 5 persen dari pendapatan
tahunan mereka dari fraud, sedikit menurun dari 6 persen diperkirakan (untuk AS saja) pada
tahun 2010 laporan kepada bangsa.
Skema penipuan Kerja sering berlanjut selama bertahun-tahun sebelum mereka terdeteksi.
Skema penipuan yang paling umum adalah penyalahgunaan aset, yang terjadi pada 87 persen
dari semua kasus, dan mengakibatkan kerugian rata-rata $ 120.000.
Penipuan kerja jauh lebih mungkin untuk dideteksi dengan tip(petunjuk/informasi) daripada
audit, kontrol, atau cara lain.
Corruption and billing schemes menimbulkan risiko terbesar bagi organisasi di seluruh dunia.
Semakin lama pelaku fraud telah bekerja untuk sebuah organisasi, kerugian akan fraud
cenderung semakin tinggi.
Fraud dapat terjadi dalam setiap jenis organisasi, industri yang paling sering menjadi korban
adalah perbankan dan jasa keuangan, pemerintah dan administrasi publik, dan manufaktur.
Occupational frauds yang paling sering dilakukan oleh individu yang bekerja di salah satu dari
enam departemen: akuntansi, operasional, penjualan, eksekutif / manajemen atas, layanan
pelanggan, dan pembelian.
Page 45 of 58
Occupational fraudsters umumnya merupakan pelanggar pertama kali.
Poin kunci di sini adalah bahwa tidak ada organisasi yang kebal terhadap fraud. Hal ini dapat terjadi di
organisasi besar dan kecil, dan di negara atau industri. Selama manusia, dengan kelemahan yang
melekat pada mereka, yang terlibat dalam organisasi, risiko fraud adalah nyata.
DEFINITIONS OF FRAUD
Fraud adalah istilah generik, yang mencakup segala cara dimana kecerdikan manusia dapat
merancang, dan yang dilakukan oleh satu individu untuk mendapatkan keuntungan lebih dari yang
lain dengan saran palsu atau dengan menekan kebenaran, dan mencakup semua kejutan, trik, licik,
dissembling, dan cara yang tidak adil dimana ada pihak lain yang ditipu.
(From the Glossary to its Standards in the International Professional Practices Framework)
Fraud adalah setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau
pelanggaran kepercayaan. Penipuan dilakukan oleh partai dan organisasi untuk memperoleh uang,
properti, atau layanan; untuk menghindari hilangnya pembayaran jasa, atau untuk mengamankan
keuntungan pribadi atau bisnis.
Fraud adalah tindakan disengaja yang mengakibatkan salah saji material dalam laporan keuangan
yang tunduk pada audit. Salah saji timbul dari kecurangan pelaporan keuangan dan penyalahgunaan
aset.
Penggunaan kedudukan seseorang untuk memperkaya diri melalui penyalahgunaan yang disengaja
atau penyalahgunaan sumber daya atau aset organisasi.
The ACFE's Occupational Fraud and Abuse Classification System menjelaskan tiga jenis utama fraud:
pernyataan palsu, yang umumnya melibatkan pemalsuan laporan keuangan suatu organisasi (misalnya,
melebih-lebihkan pendapatan dan mengecilkan kewajiban dan beban); penyalahgunaan aset, yang
melibatkan pencurian atau penyalahgunaan aset organisasi (misalnya, menggelapkan pendapatan,
mencuri persediaan, atau penipuan gaji); dan korupsi, di mana pelaku fraud menggunakan pengaruh
Page 46 of 58
mereka dalam sebuah transaksi bisnis untuk mendapatkan manfaat bagi diri sendiri atau orang lain,
bertentangan dengan kewajiban mereka kepada atasan mereka atau hak-hak dari pihak lain.
EXHIBIT 8-6
2. Penyelewengan atas:
i. Karyawan
ii. Pelanggan
iii. Vendors.
3. Korupsi, termasuk:
i. Perusahaan
ii. Individu
c. Membantu dan bersekongkol penipuan oleh pihak lain (misalnya, pelanggan, vendor)
Page 47 of 58
THE FRAUD TRIANGLE
Sebuah kerangka konseptual penting dalam memahami fraud adalah konsep fraud triangle yang terdiri
dari kesempatan (opportunity), kebutuhan/tekanan (need/pressure) dan rasionalisasi (rationalization).
Opportunity biasanya muncul sebagai akibat lemahnya pengendalian inernal di organisasi tersebut.
Terbukanya kesempatan ini juga dapat menggoda individu atau kelompok yang sebelumnya tidak
memiliki motif untuk melakukan fraud.
Pressure atau motivasi pada sesorang atau individu akan membuat mereka mencari kesempatan
melakukan fraud, beberapa contoh pressure dapat timbul karena masalah keuangan pribadi, Sifat-sifat
buruk seperti berjudi, narkoba, berhutang berlebihan dan tenggat waktu dan target kerja yang tidak
realistis.
Page 48 of 58
KEY PRINCIPLES FOR MANAGING FRAUD RISK
The Fraud Guide menekankan betapa pentingnya bagi entitas untuk menetapkan upaya ketat dan
berkelanjutan untuk melindungi diri dari tindakan penipuan. Ada lima prinsip inti yang perlu diikuti oleh
organisasi:
Sebuah entitas perlu membangun struktur tata kelola yang kuat untuk mengawasi manajemen risiko
dan aktivitas lainnya yang berada di tempat untuk membantu memastikan pencapaian tujuan bisnis,
terutama untuk mengidentifikasi dan mengelola risiko fraud.
Entitas harus terlebih dahulu mengidentifikasi kejadian fraud yang potensial atau scenario yang
mungkin rentan.
Program manajemen risiko fraud harus memiliki keseimbangan pencegahan dan deteksi kontrol
yang tepat. Kontrol Pencegahan dapat dirancang untuk menghentikan penipuan dari yang terjadi.
Sementara organisasi biasanya lebih memilih untuk mencegah penipuan, yang tidak selalu efektif,
adalah penting untuk merancang dan menerapkan kontrol deteksi yang efektif juga.
Penting bagi suatu organisasi untuk membangun sistem pelaporan untuk memfasilitasi dan
mendorong pelaporan insiden penipuan potensial.
Pada organisasi yang telah mengembangkan budaya perusahaan yang mencakup praktik tatakelola
dewan sampai dengan operasional di level manajemen, termasuk:
- Akses ke berbagai level manajemen dan pengendalian efektif dari jalur whistleblower
- Tim Manajemen Senior yang efektif evaluasi, manajemen kinerja, kompensasi dan rencana
suksesi
Page 49 of 58
- Pedoman perilaku yang spesifik bagi manajemen senior, sebagai tambahan pedoman perilaku
organisasi
- Penekanan yang kuat pada efektivitas independen BoC dan proses melalui evaluasi BoC, sesi
pimpinan dan partisipasi aktif dalam upaya pengawasan strategis dan mitigasi risiko.
Peran dan TanggungJawab dalam program manajemen risiko fraud harus dilakukan secara formal dan
dikomunikasikan. Kebijakan dan prosedur, job description, piagam dan delegasi dari pihak berwenang
penting dalam mendefinisikan beragam peran dan tanggungjawab program tersebut.
1. Board of Directors
Board of Director melakukan praktik governace seperti yang dijelaskan di atas. Board of Director
menjalankan peran oversight termasuk dalam program manajemen risiko perusahaan
2. Manajemen
Manajemen senior selain harus memberikan contoh atau “tone of the top” juga berperan dalam
membangun sistem monitoring dan pelaporan yang memungkinkan evaluasi apakah manajemen risiko
fraud berjalan secara efektif.
3. Pegawai
Pelaksanaan program manajemen risiko fraud, khususnya kontrol yang dirancang untuk mencegah dan
mendeteksi kecurangan, harus melibatkan setiap orang dalam organisasi. Seluruh pegawai dilibatkan
dalam pelaksanaan program manajemen risiko fraud melalui internalisasi budaya perusahaan dan
dibekali pemahaman untuk membangun fraud awareness
Sebagai unit yang memiliki peran assurance dalam perusahaan memegang peran penting dalam
tatakelola dan program manajemen risiko kecurangan di perusahaan.
Meskipun tidak ada "satu ukuran cocok untuk semua" pendekatan untuk merancang program
manajemen risiko fraud, ada komponen tertentu yang umum umumnya efekti. Biasanya, program-
program yang terintegrasi sukses memiliki komponen kunci tertentu, yaitu:
2. Fraud awareness yang membantu karyawan dalam memahami tujuan, persyaratan, dan
tanggung jawab program.
3. Affirmation proses/ penegasan berkala kepada karyawan agar karyawan memahami dan
mematuhi kebijakan dan prosedur.
Page 50 of 58
4. A conflict disclosure protocol/ prosedur pengungkapan konflik
5. Assesment atas risiko fraud yang membantu untuk mengidentifikasi semua skenario penipuan
7. Proses investigasi yang menjamin semua hal dilaksanakan tepat waktu dan penyelidikan yang
menyeluruh.
8. Tindakan disipliner dan / atau perbaikan yang mengatasi ketidakpatuhan dengan menetapkan
kebijakan dan membantu mencegah perilaku fraud.
9. Prose evaluasi dan perbaikan untuk memberikan jaminan kualitas bahwa program ini akan
berlanjut untuk mencapai tujuan.
10. Pemantauan terus-menerus untuk memastikan program secara konsisten beroperasi aeperti
yang dirancang.
Proses Fraud Risk Assesment mirip dengan tahapan pelaksanaan pengukuran risiko perusahaan secara
keseluruhan. Terdapat tiga langkah kunci sbb:
2. Mengukur dampak dan keterjadian (impact & likelihood) dari risiko yang diidentifikasi
3. Mengembangkan respon atas risiko yang memiliki dampak dan keterjadian tinggi pada kejadian
diluar toleransi manajemen
Dalam melakukan pengukuran risiko fraud, penting untuk melibatkan individu dengan beragam
pengetahuan, kemampuan dan perspektif. Umumnya terdiri atas personel sebagai berikut:
meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggan
dan vendor, serta skenario kecurangan terkait industri lainnya
meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggan
dan vendor, serta skenario kecurangan terkait industri lainnya
membantu mengidentifikasi skenario kecurangan pasar dan asuransi dan memastikan bahwa
Page 51 of 58
fraud risk assesment terintegrasi dengan risk assesment perusahaan secara keseluruhan
Auditor Internal
sebagai pihak yang memiliki pemahaman luas tentang skenario risiko kecurangan dan
pengendalian
Serta Pihak lain dari intern maupun ekstern yang dapat menyediakan tambahan keahlian
Proses Fraud Risk Assesment mirip dengan proses risk assesment dalam tahapan manajemen risiko
perusahaan (enterprise Risk Management) yang di Garuda dijalankan oleh fungsi VP Risk Management,
yaitu menilai dampak dan keterjadian (impact & likelihood) fraud pada perusahaan. Metode yang
dilakukan antara lain melalui (1) Wawancara ; (2) Survei, dan (3) Rapat fasilitasi (facilitated meeting)
dengan pihak terkait.
Identifikasi Fraud Risk yang dilakukan harus dapat mengidentifikasi hal-hal sebagai berikut:
Penyalahgunaan Aset
Korupsi
Menentukan potential impact dan likelihood dari tiap scenario fraud merupakan proses yang subjektif.
Berikut adalah beberapa poin yang harus dipertimbangkan ketika melakukan assessment resiko fraud
- Impact
Penting untuk mempertimbangkan impact yang tidak hanya terkait laporan keuangan maupun
dampak moneter. Karena impact yang lain bisa jadi mempunyai kemungkinan dampak negative
yang lebih besar terhadap laporan keuangan maupun dampak moneter. Contohnya, legal
impact, reputational impact, operational impact, dll
- Likelihood
Page 52 of 58
Response to Fraud Risk
Berikut merupakan COSO ERM – Integrated Framework dalam merespon resiko fraud
- Jika resiko tidak dapat ditoleransi untuk terjadi pada perusahaan, bahkan dalam skala kecil,
manajemen dapat mempertimbangkan untuk menghindari resiko tersebut
- Jika organisasi tidak mempunyai toleransi terhadap resiko, tetapi tidak dapat menghindarinya
tanpa mengganggu tujuan organisasi, pengendalian harus didesign untuk mengurangi
kemungkinan terjadinya insiden/resiko.
- jika suatu organisasi menginginkan untuk mengurangi dampak atau kemungkinan risiko, tetapi
tidak yakin memiliki keterampilan atau pengalaman untuk melakukannya secara efektif dan
efisien, organisasi dapat membagi pengoperasian kontrol preventif dan detektif dengan
organisasi yang lebih siap untuk melaksanakan kontrol tersebut
- jika terjadinya risiko dapat ditoleransi, manajemen dapat memutuskan untuk menerima risiko
sebagaimana level saat ini dan tidak membuat upaya khusus untuk mengelola risiko
IIA mendefinisikan fraud sebagai “setiap tindakan ilegal dengan karakteristik tipu daya,
menyembunyikan, atau pelanggaran terhadap kepercayaan”. Beberapa topik seputar Foreign Corrupt
Practices Act (FCPA) yang relevan untuk auditor internal yang berfokus pada upaya kepatuhan adalah:
Fraud Prevention
Sebagai tambahan terhadap pelaksanaan lingkungan tata kelola yang kuat, panduan fraud menguraikan
unsur-unsur umum yang dapat memainkan peran penting dalam mencegah penipuan:
Fraud Prevention
- Whistleblower hotlines
Page 53 of 58
- Process Control
Pengendalian yang umum dilakukan adalah melalui proses yang dilakukan sehari-hari.
- Proactive fraud detection procedures
Proactive procedure yang umum dilakukan termasuk diantaranya data analysis, auditing
berkelanjutan, dan penggunaan tools lainnya yang dapat mendeteksi anomaly, maupun tren
yang tidak wajar.
Menerima Tuduhan/laporan
- Mengkategorikan permasalahan
- Mengkonfirmasi validitas laporan/aduan
- Mendefinisikan tingkat keparahan laporan/aduan
- Menyelidiki permasalahan disaat yang tepat
- Mengacu pada isu isu permasalahan di luar lingkup program
- Melakukan investigasi dan pencarian fakta
- Menjaga permasalahan yang dikategorikan confidential
- Mendefinisikan bagaimana investigasi akan didokumentasikan
- Mengelola dan mempertahankan, menjaga keamanan dokumen dan informasi
Mengevaluasi laporan/aduan
- Menentukan apakah laporan ini memerlukan investigasi formal atau informasi sudah didapatkan
secara cukup untuk menarik kesimpulan
- Siapa yang harus memimpin investigasi?
- Apakah diperlukan keahlian atau tools khusus untuk investigasi?
- Siapa yang perlu diwaspadai, dan kapan?
- Menentukan prosedur formal
- Time sensitivity
- Notification
- Confidentiality
- Legal previleges
- Compliance
- Securing evidence
- Objectivity
- Goals
Page 54 of 58
UNDERSTANDING FRAUDSTERS
Selain harus memiliki pengetahuan mengenai karakteristik fraud, teknik-teknik yang digunakan dalam
melakukan fraud, dan jenis-jenis fraud yang mungkin terjadi pada berbagai proses bisnis, Auditor
internal harus mampu memahami pola pikir dan perilaku para pelaku fraud serta memiliki rasa
professional skepticism yang tinggi dan tidak berasumsi bahwa orang akan "melakukan hal yang benar."
Auditor internal harus "berpikir seperti seorang penjahat untuk menangkap penjahat." Mereka harus
mencoba untuk memahami mengapa seorang individu yang dinyatakan jujur akan melakukan tindakan
yang tidak jujur. Dengan pemahaman ini maka akan meningkatkan kemungkinan bahwa internal auditor
dapat mendeteksi, dan dalam beberapa kasus bahkan mencegah, seorang individu dari melakukan
fraud.
Behavioral science/ Ilmu perilaku sejauh ini belum mampu mengidentifikasi satu karakteristik psikologis
atau seperangkat karakteristik yang dapat berfungsi sebagai penanda yang andal atas kecenderungan
seseorang untuk melakukan fraud. Salah satu forensic accountant and fraud examiner berpengalaman,
Thomas Golden, percaya bahwa pelaku fraud pelaporan keuangan akan sesuai dengan salah satu dari
dua profil berikut ini, yaitu: "greater good oriented" or "scheming, self-centered" types. Mereka yang
cocok dengan profil greater good oriented adalah "individu tidak jujur yang menggambarkan angka
dengan rasionalisasi bahwa apa yang mereka lakukan yang terbaik bagi perusahaan. Scheming, self-
centered adalah "individu yang menunjukkan pengabaian atas kebenaran, sangat menyadari apa yang
mereka lakukan, dan mencoba untuk mencapai tujuan dengan tidak jujur.
Dengan mendapatkan wawasan atas red flag potensial yang mensinyalkan individu yang lebih rentan
terhadap melakukan fraud akan membantu auditor internal memahami kapan risiko penipuan akan
meningkat.
Red flags tersebut adalah termasuk orang-orang yang:
Menunjukkan gaya hidup yang tampaknya di luar kemampuan mereka saat ini.
Apakah mengalami masalah keuangan yang ekstrim dan / atau memiliki utang pribadi yang luar
biasa.
Memiliki kecenderungan yang tidak biasa untuk menghabiskan uang.
Apakah menderita depresi atau masalah emosional lainnya.
Memiliki obsesi perjudian.
Memiliki kebutuhan atau keinginan atas status, dan percaya bahwa uang bisa membeli status.
Auditor internal tidak diharapkan untuk menjadi behavioral psychologists or criminologists/ psikolog
perilaku atau kriminolog. Namun, dengan mendapatkan wawasan yang mendalam tentang apa yang
memotivasi pelaku fraud dapat membantu auditor internal "menjaga antena mereka" di tempat kerja
dan mengantisipasi individu yang dapat menimbulkan risiko fraud yang lebih besar.
Seharusnya sudah jelas bahwa auditor internal memainkan peran kunci dalam program manajemen
risiko fraud. Standar memberikan petunjuk khusus untuk auditor internal. Sebagai contoh:
Standar 1210.A2 - Auditor internal harus memiliki pengetahuan yang cukup untuk mengevaluasi
risiko fraud dan cara yang dikelola oleh organisasi, tetapi tidak diharapkan memiliki keahlian
seseorang yang tanggung jawab utamanya adalah mendeteksi dan menyelidiki fraud.
Page 55 of 58
Standar 1220.A1 - Auditor internal harus bekerja secara profesional dengan mempertimbangkan
... kemungkinan kesalahan yang signifikan, fraud, atau ketidakpatuhan.
Standar 2060 - Kepala eksekutif audit (CAE) harus melaporkan secara berkala kepada
manajemen senior dan dewan pada ... risiko fraud ...
Standar 2120.A2 - audit internal [fungsi] harus mengevaluasi potensi terjadinya fraud dan
bagaimana organisasi mengelola risiko fraud.
Sebagai "mata dan telinga, lengan dan kaki dari komite audit," auditor internal perlu
mempertimbangkan pertanyaan-pertanyaan berikut:
Risiko fraud apa yang sedang dipantau oleh manajemen secara periodik atau berkala? Apakah
risiko kritis fraud yang berulang dan bahkan terus menerus, monitoring?
Apa prosedur khusus yang sedang dilakukan oleh fungsi audit internal untuk mengatasi
pengesampingan manajemen atas kontrol internal?
Apakah sesuatu telah terjadi yang mengarahkan fungsi audit internal untuk mengubah penilaian
risiko atas pengesampingan manajemen atas kontrol internal?
Kompetensi dan keterampilan apa yang auditor internal butuhkan untuk mengatasi risiko fraud
dalam organisasi? Kapan mereka harus memakai/mendapatkan layanan dari spesialis dari luar
untuk menangani masalah yang sangat kompleks?
Sebagai tambahan untuk membagun jalur langsung pelaporan kepada komite audit, bagaimana
status organisasi independen dari fungsi audit internal bisa diperkuat? Apakah mereka
diandalkan sebagai profesional yang kompeten dan obyektif dalam menangani risiko dan
pengendalian masalah fraud?
Bagaimana seharusnya fungsi audit internal mencurahkan perhatiannya pada pencegahan,
penghindaran, detektif, dan aspek investigasi fraud?
Bagaimana audit internal menambahkan perangkat lunak analisis data untuk memberikan
deteksi dini?
Pelaksanaan professional judgment terletak di kegiatan assurance dan konsultasi fungsi audit internal.
Ketika menilai risiko fraud, auditor internal harus menunjukkan tingkat professional skepticism yang
tinggi, yaitu, kemampuan secara kritis mengevaluasi bukti dan informasi yang tersedia. Hal ini khususnya
terjadi karena pelaku fraud yang biasanya "menutupi jejak mereka". Sebagai contoh, diperlukan
ketekunan yang kuat oleh 2004 Time magazine's Person of the Year, Cynthia Cooper dan tim audit
internal nya di WorldCom, untuk menggali fraud besar-besaran yang dilakukan oleh manajemen
WorldCom.
Dengan menggunakan teknologi komunikasi, investigasi forensik dan pemeriksaan fraud di masa depan
akan sangat bergantung pada forensik komputer, pencitraan data komputer, penemuan bukti
elektronik, dan analisis data terstruktur dan tidak terstruktur. Dengan kata lain, penggunaan teknologi
tidak akan terbatas pada analisis data (setelah data terstruktur telah dikumpulkan); sebaliknya,
penggalian dan pelestarian bukti elektronik biasanya dalam bentuk tekstual, data tidak terstruktur yang
membutuhkan pencarian kata kunci. Dalam konteks seperti itu, akan sangat penting bagi pemeriksa
fraud untuk memiliki pemahaman dan penguasaan yang baik atas alat dan teknik digital teknologi
forensik.
Page 56 of 58
Use of Fraud Specialists
Fungsi audit internal dapat memainkan berbagai peran untuk memerangi fraud dalam suatu organisasi,
termasuk melakukan training kesadaran fraud, menilai rancangan program antifraud dan kontrol,
menguji efektivitas operasi pengendalian tersebut, menyelidiki kejanggalan dan keluhan whistleblower,
dan melakukan investigasi penuh dengan matang atas perintah komite audit. Namun, fungsi audit
internal mungkin tidak memiliki pengalaman dan keterampilan untuk melakukan semua peran ini.
Akibatnya, adalah umum bagi CAE untuk mencari bantuan spesialis fraud untuk melengkapi
keterampilan mereka dalam fungsi tersebut.
Ada banyak keuntungan untuk menggunakan outside fraud specialists, ditambah lagi independensi yang
mereka bawa dalam pekerjaan. Sebagai contoh, mereka memiliki pengalaman yang luas dalam
mengidentifikasi dan menyelidiki berbagai skema fraud yang berbeda. Oleh karena itu, mereka dapat
membantu dalam mengidentifikasi dan menilai "usual suspect (tersangka biasa)" dan
merekomendasikan metode optimal penyelidikan. Selain itu, dengan pernah bekerja bersama penasihat
independen, penasihat umum, pengacara negara, regulator, aparat penegak hukum, akuntan dan
auditor lain, dan jaksa, mereka memiliki pemahaman yang baik tentang isu-isu seperti:
Cara terbaik untuk menyelidiki jenis tertentu skema fraud.
Menilai kualitas dan kuantitas bukti yang dibutuhkan.
Mengevaluasi diterimanya bukti berkonsultasi dengan pengacara luar.
Melestarikan bukti dan chain of custody.
Kebutuhan, serta potensi untuk bertindak sebagai, saksi fakta atau sebagai ahli.
Auditor internal merangkum hasil temuan mereka dan mengkomunikasikannya secara sistematis,
terorganisir untuk meningkatkan kejelasan dan pemahaman, yang biasanya meliputi:
Ini akan membantu membuat komunikasi yang jelas dan berguna, terutama jika sedang diandalkan oleh
penasihat umum (general counsel) atau pengacara luar melakukan penyelidikan, yang mungkin ingin
membuat bagian komunikasi bagian dari komunikasi mereka. Pada setiap waktu, komunikasi yang
dikeluarkan oleh auditor internal harus berisi fakta-fakta saja, dan setiap upaya harus dilakukan untuk
menjauhkan diri dari pendapat pribadi atau segala jenis bias atau spekulasi yang berpotensi masuk ke
analisis.
Dalam hal apapun, mereka tidak harus berusaha untuk memperbaiki kesalahan pada karyawan tertentu,
tetapi hanya harus menyatakan bahwa bukti yang dikumpulkan muncul untuk mendukung kesimpulan
bahwa fraud mungkin telah dilakukan. Menentukan kesalahan adalah fungsi dari pengadilan (hakim dan
juri), dan biasanya di luar lingkup tanggung jawab auditor internal.
Auditor internal dapat memberikan pemahaman kepada manajemen senior mengenai pencegahan dan
Page 57 of 58
deteksi fraud dan tindakan ilegal dalam beberapa cara. Sepuluh peluang utama bagi auditor internal
untuk memberikan pemahaman diuraikan dalam exhibit 8-13.
EXHIBIT 8-13
10 oppotunities fungsi auditor internal untuk menyediakan wawasan tentang risiko fraud dan tindakan
ilegal
Page 58 of 58