BAB I

PENDAHULUAN

1. 1 Latar Belakang
Sebagian besar orang masih menganggap bahwa Internal Auditor (IA) sama saja seperti
anjing penjaga (watchdog) yang menjadi mata-mata pemilik perusahaan. Tugasnya
melaporkan jika terjadi ketidakberesan di dalam perusahan, termasuk di dalamnya
penyimpangan dan ketidak sependapatan. Salah satu kata bijak yang pernah terkenal pada
jaman keemasan dulu mengatakan bahwa “lahan yang paling subur adalah lahan sepanjang
bayang-bayang pemilik lahan”. Filosofi inilah yang mendasari para pemilik lahan (pemegang
saham) mempercayakan lahan suburnya itu dikelola dengan baik dengan memberikan aturan
(control) dan meyakinkan para pekerjanya menjalankan control tersebut. Tanpa control dan
penilaian berkala terhadap control tersebut apakah sudah dijalankan atau tidak, maka
perusahaan akan semakin cepat menuju kepada kebangkrutan, karena perusahaan dijalankan
tanpa arah yang jelas.
Cita-cita besar yang dicanangkan the Institute of Internal Auditors (IIA) untuk profesi
auditor intern masa kini adalah auditor intern dapat menjadi partner/mitra strategis dan
advisor yang dapat dipercaya bagi manajemen, dewan komisaris dan seluruh unit kerja di
organisasi. Hal ini bisa tercapai bila auditor intern memiliki visi dan motivasi yang sama
dengan cita-cita tersebut dan pengguna utama jasa audit intern, yaitu manajemen dan dewan
komisaris merasa butuh dan menganggap audit intern dapat membantu tugas mereka
menjalankan dan mengawasi organisasi.
Auditor intern harus dapat memberikan solusi mendasar yang sesuai dengan masalah
yang dihadapi organisasi. Solusi itu semestinya memberikan dampak wow, segar atau baru,
cerdas atau bernilai tambah sehingga membantu manajemen dan dewan komisaris
mengarahkan organisasi mencapai tujuannya. Auditor intern tidak zamannya lagi hanya
sekedar melihat atau memotret masalah yang historis, melihat masalah hanya secara
sektoral/parsial dan tidak substansial karena hal itu bukan solusi yang dibutuhkan manajemen
dan dewan komisaris.
Agar dapat menjadi mitra strategis, syarat utama kompetensi auditor intern adalah
mampu menyelesaikan masalah (problem solving), berpikir analitis, dan komunikasi atau
relationship. Kegagalan auditor intern menampikkan output yang memiliki nilai tambah
kepada kliennya akan membuat para pengguna jasa memandang audit intern sebagai fungsi
yang tidak ada gunanya, tidak relevan lagi dengan kondisi bisnis, hanya menjadi beban
operasional.
Dalam banyak kondisi, masih banyak organisasi yang tidak merasa butuh audit intern,
menilai audit intern tidak memberikan manfaat, dan hanya menjadi beban. Sehingga, sumber
daya manusia yang diberikan bukan yang top class dan anggaran operasional serta anggaran
pengembangan kompetensi dibatasi.
Mengetahui tingkat kematangan dari sebuah departemen Audit Internal diharapkan
dapat membantu para pemangku kepentingan untuk menentukan strategi yang diperlukan
untuk meningkatkna kinerja dan kehandalannya. Demikian menurut laporan yang baru dirilis
oleh Institute of Internal Auditor yang bertajuk “Benchmarking Internal Audit Maturity: A
High-Level Look at Audit Planning and Processes Worldwide.” Laporan ini menjelaskan
indikator-indikator utama dari kematangan tersebut dengan berdasarkan pada data dan respon
survey yang dilakukan terhadap lebih dari 14 ribu responden yang tersebar di 166 negara.
Sekitar seperempat diantaranya merupakan Chief Audit Executives (CAE) dan hampir
separuhnya adalah staf bagian Internal Audit pada organisasinya.

1. 2 Rumusan Masalah
Berdasarkan latar belakang diatas, maka dapat dirumuskan masalah sebagai berikut:
2.1 Apa saja yang terlibat dalam pengelolaan fungsi audit internal?
2.2 Apa fungsi audit internal dalam sebuah organisasi?

1.2 Tujuan
Berdasarkan rumusan masalah diatas, maka dapat diketahui tujuan penulisan sebagai
berikut:
2.1 Mengetahui apa saja yang terlibat dalam pengelolaan fungsi audit internal?
2.2 Mengetahui dan menganalisis apa fungsi audit internal dalam sebuah organisasi?
 BAB 2
LANDASAN TEORI
2. 1 Mengelola Fungsi Audit Internal
Saat ini, kita harus mengetahui keluasan dan kompleksitas fungsi audit internal dan
menyadari peran penting yang dapat dimainkannya dalam keberhasilan keseluruhan organisasi
melalui jasa assurance yang di lakukan untuk mendukung struktur tata kelola organisasi. Kita
membahas apa saja yang terlibat dalam pengelolaan fungsi audit internal. Spektrum metode
yang digunakan oleh berbagai fungsi audit internal disajikan dan manfaat masing-masing
dibahas. Dimulai dengan pembahasan mengenai berbagai pilihan mengenai struktur organisasi
untuk fungsi audit internal, termasuk di mana ia berada dalam organisasi. Kemudian,
mengidentifikasi posisi kunci dalam fungsi audit internal, termasuk Chief Audit Executive
(CAE), dan menjelaskan peran dan tanggung jawab masing-masing. Dari situ, beralih ke
kebijakan dan prosedur dengan ikhtisar tentang bagaimana memberikan panduan dan struktur
yang diperlukan untuk fungsi audit internal. Selanjutnya, memeriksa berbagai model
manajemen risiko dan melihat peran apa yang harus dan dapat dilakukan fungsi audit internal
dalam proses manajemen dan tata kelola organisasi. Setelah itu, menjelaskan kualitas assurance
dan kepentingannya dalam fungsi audit internal. Terakhir, dengan memahami berbagai alat
teknologi yang tersedia untuk fungsi audit internal dan bagaimana penggunaannya dalam
pengelolaan fungsi.
2. 2 Memposisikan Fungsi Audit Internal dalam Organisasi
Ada spektrum pendapat yang luas mengenai fungsi audit internal dapat dan harus
diposisikan dalam sebuah organisasi agar sesuai dengan Standar Internasional IIA untuk
Praktik Profesional Audit Internal (Standar). Di satu sisi spektrum, fungsi audit internal
ditempatkan pada tingkat manajemen senior, memberikan fungsi visibilitas, wewenang, dan
tanggung jawab untuk (1) mengevaluasi penilaian manajemen terhadap sistem kontrol internal
organisasi secara independen, dan (2) menilai kemampuan organisasi untuk mencapai tujuan
bisnis dan mengelola, memantau, dan mengurangi risiko yang terkait dengan pencapaian tujuan
tersebut. Selain jasa assurance, fungsi audit internal ini biasanya diminta oleh manajemen
untuk memberikan layanan konsultasi berupa inisiatif atau proyek yang memungkinkan
manajemen untuk menggunakan keahlian proffesional yang dimiliki fungsi audit internal. Di
spektrum lainnya adalah organisasi-organisasi yang tidak memiliki fungsi audit internal, atau
menempatkan fungsi audit internal mereka jauh lebih rendah dalam hirarki organisasi, biasanya
menugaskan mereka untuk melakukan aktivitas nonaudit setiap hari, seperti penjaminan mutu,
kepatuhan, operasional, dan / atau kegiatan pemrosesan transaksi lainnya.
Sebagai tanggapan terhadap definisi IIA tentang audit internal, sebagai "kegiatan
independen, objektif, assurance dan konsultasi yang dirancang untuk menambah nilai dan
memperbaiki operasi organisasi" yang "membantu organisasi mencapai tujuannya dengan
membawa pendekatan disiplin dan sistematis untuk mengevaluasi dan memperbaiki
keefektifan proses manajemen, pengendalian, dan tata kelola risiko,” banyak organisasi telah
memposisikan fungsi audit internal mereka sebagai kegiatan manajemen senior yang melapor
langsung di dewan direksi. Organisasi yang terus memposisikan fungsi audit internal untuk
melakukan kegiatan operasional dan nonaudit, pada intinya membuat fungsi tersebut tidak
dapat memberikan manajemen dengan evaluasi dan efektivitas manajemen resiko,
pengendalian, dan proses tata kelola karena mereka kekurangan objektivitas untuk
mengevaluasi operasi organisasi secara independen dan menawarkan saran yang tidak
memihak untuk perbaikan.
Organisasi yang menyadari pentingnya menempatkan fungsi audit internal dalam posisi
yang memaksimalkan keefektifan dan kemampuannya untuk mengevaluasi keampuhan proses
manajemen, pengendalian, dan proses tata kelola yang ada seringkali dilakukan melalui posisi
manajemen senior yang dijelaskan dalam standar sebagai CAE. standar IIA 2000: mengelola
kegiatan audit internal. meyatakan bahwa "chief audit executive harus secara efektif mengelola
aktivitas audit internal untuk memastikan hal tersebut menambah nilai bagi organisasi".
Menyadari bahwa CAE sangat penting bagi fungsi audit internal yang sukses, interpretasi
standar 2000 selanjutnya menyatakan bahwa "audit internal (fungsi) dikelola secara efektif
ketika:
• hasil kerja (fungsi) audit internal mencapai tujuan dan tanggung jawab termasuk dalam
piagam audit internal;
• (fungsi) audit internal sesuai dengan definisi audit internal dan standar; dan
• Individu yang merupakan bagian dari (fungsi) audit internal menunjukkan kesesuaian dengan
kode Etika dan Standar.
Kondisi yang diperlukan untuk CAE untuk memenuhi tanggung jawab yang diuraikan
di atas adalah membuat piagam yang: menetapkan posisi (fungsi) audit internal di dalam
organisasi; memberi otorisasi akses untuk merekam, dan sifat fisik yang relevan dengan
perjanjian kinerja; dan mendefinisikan ruang lingkup kegiatan audit internal "(IIA standar
1000: tujuan, wewenang, dan tanggung jawab). Selain itu, untuk menentukan tujuan,
wewenang, dan tanggung jawab fungsi audit internal, piagam harus mempertimbangkan jasa
assurance dan konsultasi. Penting untuk dipahami bahwa fungsi audit internal dan komite audit
memiliki piagam terpisah yang menggambarkan kewajiban spesifik dan terpisah masing-
masing organisasi, sambil mempertimbangkan dan mencerminkan independensi inheren
keduanya. Piagam fungsi audit internal tunduk pada piagam komite audit dan harus
mendukung, tidak bertentangan dengan itu. Fungsi audit internal sering kali melengkapi
piagam tersebut dengan pernyataan visi dan / atau misi formal, serta strategi jangka panjang
yang rinci untuk fungsi audit internal. Seringkali informasi suplemental ini, bersama dengan
anggaran operasional, dan rencana sumber daya, disertakan dalam rencana audit internal
tahunan yang disampaikan kepada komite audit untuk tinjauan dan persetujuannya. Berbagai
dokumen terpisah, bersamaan dengan kebijakan dan prosedur operasi fungsi audit internal,
biasanya digabungkan menjadi satu set prinsip panduan, yang umumnya disebut sebagai
"manual audit") yang, bersamaan dengan informasi prosedural lainnya, mendorong fungsi
audit internal. Berikut ditampilkan mengenai rekomendasi untuk menetapkan piagam audit
internal.
Practice advisory 1000-1: piagam audit internal
1. Memberikan piagam audit internal formal dan tertulis sangat penting dalam mengelola
aktivitas audit internal. piagam tersebut memberikan pernyataan yang diakui untuk ditinjau
dan diterima oleh manajemen untuk disetujui, seperti yang didokumentasikan dalam notulen,
oleh dewan direksi. Ini juga memfasilitasi penilaian berkala terhadap kecukupan tujuan,
wewenang dan tanggung jawab kegiatan audit internal, yang menetapkan peran kegiatan audit
internal. Jika sebuah pertanyaan muncul, piagam tersebut memberikan persetujuan tertulis
secara formal dengan manajemen dan dewan pengurus tentang kegiatan audit internal
organisasi.
2. Eksekutif audit utama (CAE) bertanggung jawab untuk menilai secara berkala apakah
tujuan, wewenang dan tanggung jawab kegiatan audit internal sebagaimana ditetapkan dalam
piagam, tetap memadai untuk memungkinkan kegiatan mencapai tujuannya. CAE juga
bertanggung jawab untuk mengkomunikasikan hasil penilaian ini kepada manajemen senior
dan dewan direksi.
Selain menetapkan piagam, misi dan / atau visi, dan rencana audit internal, CAE bertanggung
jawab untuk membangun dan mempertahankan independensi, objektifitas, kemampuan, dan
kecermatan profesional yang sesuai dalam fungsi audit internal. Sebelumnya, posisi audit
internal mempengaruhi sejauh mana ia dapat tetap objektif. Diposisikan sejajar dengan
manajemen senior dengan akses langsung ke panitia audit memberi fungsi audit internal
independensi yang lebih baik dan akibatnya objektivitas lebih besar. Partisipasi komite audit
dalam pemilihan, evaluasi, dan pembebasan CAE untuk meningkatkan kemampuan CAE untuk
menjaga independensi organisasional dan meminimalkan kemungkinan manajemen senior
mengungkapkan pengaruh yang akan mempengaruhi kemampuannya untuk bertindak tanpa
bias (objektivitas individual) . Pada awalnya, fungsi tersebut akan diposisikan cukup tinggi di
dalam organisasi dengan akses langsung ke komite audit untuk memungkinkan penyesuaian
dengan persyaratan dan rekomendasi IIA seperti yang dijelaskan di bawah ini.
Independensi dan Objektivitas
IIA standar 1110: independensi organisasi menyatakan, "chief executive audit harus
melaporkan ke tingkat di dalam organisasi yang memungkinkan kegiatan audit internal
memenuhinya tanggung jawabnya." Secara lebih spesifik, standar 1110. AI menetapkan bahwa
"kegiatan audit internal harus bebas dari gangguan dalam menentukan ruang lingkup audit
internal, melakukan pekerjaan dan, mengkomunikasikan hasil. "Konsultasi praktek 1110-1:
independensi organisasi semakin rinci, dengan menekankan pentingnya manajemen senior dan
dukungan dewan terhadap fungsi audit internal untuk membantu memastikan kerjasama
auditee ketika fungsi audit internal bekerja.
IIA Standar 1120: obyektivitas individual menyatakan, "auditor internal harus memiliki
sikap tidak bias dan tidak memihak dan menghindari konflik kepentingan." IIA selanjutnya
menguraikan persyaratan dalam practice advisory 1120-1: objektivitas individual:
1. Obyektifitas individu berarti auditor internal melakukan perjanjian sedemikian rupa
sehingga mereka memiliki kepercayaan terhadap produk mereka dan bahwa tidak ada
kompromi kualitas yang signifikan. Auditor internal tidak ditempatkan dalam situasi yang
dapat mengganggu kemampuan mereka untuk membuat keputusan proffesional yang obyektif.
2. Obyektifitas individu melibatkan eksekutif kepala eksekutif (CAE) yang mengatur tugas staf
yang mencegah potensi dan konflik kepentingan dan bias yang sebenarnya, secara berkala
mendapatkan informasi dari staf audit internal mengenai potensi konflik kepentingan dan bias,
dan bila memungkinkan, memutar audit internal tugas staf secara berkala.
3. Meninjau hasil kerja audit internal sebelum komunikasi keterlibatan terkait dilepaskan
membantu memastikan bahwa pekerjaan tersebut dilakukan secara obyektif.
4. Objektivitas auditor internal tidak terpengaruh bila auditor merekomendasikan standar
pengendalian untuk sistem atau prosedur tinjauan sebelum diterapkan. Objektivitas auditor
dianggap terganggu jika auditor merancang, menginstal, merancang prosedur, atau
mengoperasikan sistem semacam itu.
5. Kinerja nonaudit sesekali oleh auditor internal, dengan pengungkapan penuh dalam proses
pelaporan, tidak akan mengganggu objektivitas. Namun, perlu pertimbangan cermat oleh
manajemen dan auditor internal agar tidak mempengaruhi objektivitas auditor internal.
Sebagaimana dibahas dalam Standar IIA 1130: Kendala terhadap Independensi atau
Obyektivitas:
Jika independensi atau objektivitas terkendala baik fakta atau penampilan, rincian dari kendala
tersebut harus diungkapkan kepada pihak-pihak yang berwenang. Sifat pengungkapan akan
tergantung pada bentuk kendala tersebut.
Interpretasi:
Kelalaian terhadap independensi organisasi dan objektivitas individu dapat mencakup, namun
tidak terbatas pada, konflik kepentingan pribadi, batasan ruang lingkup, pembatasan akses
terhadap catatan, personil, dan properti, dan keterbatasan sumber daya, seperti pendanaan.
Penentuan pihak-pihak yang tepat dimana rincian gangguan terhadap independensi atau
objektivitas harus diungkapkan tergantung pada harapan kegiatan audit internal dan tanggung
jawab eksekutif utama audit kepada manajemen senior dan dewan direksi sebagaimana
dijelaskan dalam piagam audit internal, juga sebagai sifat dari penurunan tersebut.
Jika terjadi penurunan independensi atau objektivitas, auditor internal harus melaporkan
penurunan atau penurunan nilai kepada CAE yang harus memutuskan apakah auditor internal
perlu ditugaskan kembali. Bila penurunan tersebut diakibatkan oleh batasan ruang lingkup,
yang didefinisikan dalam Practice Advisory 1130-1: Penurunan terhadap Kemandirian atau
Obyektivitas sebagai "pembatasan yang ditempatkan pada aktivitas audit internal yang
menghalangi aktivitas untuk mencapai tujuan dan rencananya." CAE harus melaporkan
pembatasan tersebut ke dewan Komunikasi CAE ke dewan harus dilakukan secara tertulis dan
mencakup dampak potensial dari keterbatasan ruang lingkup. Selain itu, untuk mencegah
kemungkinan terjadinya gangguan (aktual atau yang dirasakan), auditor internal tidak dapat
"menerima biaya, hadiah, atau hiburan dari karyawan, klien, pelanggan, pemasok, atau rekan
bisnis" (Practice Advisory 1130-1).
Seringkali, fungsi audit internal akan mengkoordinasikan usaha dengan departemen
lain dalam organisasi yang memiliki tujuan dan tanggung jawab mitigasi risiko yang serupa,
seperti kepatuhan dan manajemen risiko. Selama fungsi audit internal tidak diminta untuk
melakukan operasi atau proses perancangan dan prosedur yang nantinya perlu mereka evaluasi
sebagai bagian dari tugas mereka sebagai fungsi audit internal, tidak ada penurunan
independensi atau objektivitas. Koordinasi jenis ini dapat menambah nilai penting bagi
organisasi dan mendorong pemanfaatan sumber daya yang efisien dalam upaya mitigasi risiko
organisasi. Demikian pula, fungsi audit internal dapat mengidentifikasi peluang untuk
mengkoordinasikan upaya penjaminan antara berbagai wilayah organisasi tanpa mengurangi
independensi atau objektivitas.
Kecakapan dan Kecermatan Profesional
IIA Standard 1200: Kecakapan dan Kecermatan Profesional menyatakan bahwa
"keterlibatan harus dilakukan dengan kemampuan dan perawatan profesional yang matang."
Standar IIA 1210: Kemahiran berjalan lebih banyak detail, yang menyatakan bahwa "auditor
internal harus memiliki pengetahuan, keterampilan, dan kompetensi lainnya. dibutuhkan untuk
melakukan tanggung jawab masing-masing. Kegiatan audit internal secara kolektif harus
memiliki atau memperoleh pengetahuan, keterampilan, dan kompetensi lain yang diperlukan
untuk melaksanakan tanggung jawabnya. "Selanjutnya, IIA Standard 1220: Kecermatan
Profesional menyatakan bahwa" auditor internal harus menggunakan kecermatan dan keahlian
yang diharapkan dari auditor internal yang bijaksana dan kompeten karena kecermatan
profesional tidak berarti tidak akan terjadi kekeliruan."
Penting untuk dicatat bahwa interpretasi Standar 1200 mendefinisikan "pengetahuan,
keterampilan, dan kompetensi lain sebagai istilah kolektif yang mengacu pada kemampuan
profesional yang dibutuhkan auditor internal untuk secara efektif melaksanakan tanggung
jawab profesional mereka." Tafsir ini selanjutnya mendorong internal auditor untuk
"menunjukkan kemampuan mereka dengan memperoleh sertifikasi dan kualifikasi profesional
yang sesuai, seperti penetapan Auditor Internal dan sebutan lainnya yang ditawarkan oleh
Institute of Internal Auditor dan organisasi profesional lainnya yang sesuai."

PERENCANAAN
Seperti yang telah disebutkan sebelumnya, CAE bertanggung jawab untuk membuat
anggaran operasional dan mengalokasikan sumber daya dengan cara yang dirancang untuk
mencapai rencana audit internal tahunan. Rencana tahunan dikembangkan oleh fungsi audit
internal melalui proses yang mengidentifikasi dan memprioritaskan entitas audit yang mungkin
(unit bisnis atau proses, yang disebut sebagai "audit universe") yang bertanggung jawab untuk
mengurangi risiko strategis, operasi, pelaporan, dan kepatuhan utama ke tingkat diterima oleh
direksi dan manajemen senior organisasi. Risiko utama adalah mereka yang menghadapi
organisasi yang harus dikendalikan dan dipantau agar sebuah organisasi berhasil
menyelesaikan tujuan bisnisnya yang telah ditetapkan. Risiko-risiko ini, yang diidentifikasi
oleh manajemen senior, harus diperkuat secara independen oleh fungsi audit internal. Setelah
risiko utama diidentifikasi dan disepakati, CAE menentukan unit bisnis dan proses spesifik
mana yang bertanggung jawab untuk mengurangi risiko ini. Informasi yang dihasilkan
kemudian tunduk pada proses yang mengutamakan dan memberi peringkat risiko dan unit
bisnis atau proses terkait. CAE mempertimbangkan semua informasi ini dan menentukan
sumber daya manusia dan keuangan yang diperlukan untuk menilai seberapa efektif organisasi
mengelola risiko yang mengancam tujuan bisnisnya dan untuk mengidentifikasi peluang
peningkatan manajemen risiko. Rencana audit kemudian dapat diimplementasikan dengan
menetapkan personil tertentu ke perikatan individu dalam rencana tersebut selama tahun
anggaran berikutnya. Fungsi audit internal akan menerapkan dan menetapkan sumber daya
untuk melaksanakan rencana audit internal sepanjang tahun buku, dan banyak yang akan
memperbarui dan menyusun kembali rencana audit internal lebih sering setiap tahun (misalnya,
tiga bulanan atau bulanan)
Ada beberapa teori untuk penataan rencana audit internal. Banyak fungsi audit internal telah
beralih ke proses komprehensif dimana manajemen senior dan fungsi audit internal bekerja
sama untuk menyelesaikan penilaian risiko formal secara menyeluruh untuk menyusun daftar
prioritas skenario risiko utama yang dihadapi organisasi yang harus dikelola secara tepat oleh
organisasi. untuk mencapai tujuan bisnis utama. Akan jauh lebih umum, jika prosesnya bersifat
informal dan kurang kolaboratif. Apapun proses yang digunakan, efektivitas maksimum
tercapai bila proses penilaian risiko selesai setiap tahun di awal atau sebelum tahun anggaran
organisasi. Hal ini memungkinkan CAE menyelaraskan sumber audit untuk tahun yang akan
datang dengan kesimpulan yang ditarik oleh manajemen selama proses penilaian risiko.
Menyediakan CAE dengan daftar pasti entitas audit yang terkait dengan risiko yang
diprioritaskan memungkinkan terciptanya rencana audit internal dengan menggunakan
pendekatan berbasis risiko turunan. Namun, banyak organisasi dan fungsi audit internalnya
masih belum menggunakan pendekatan ini. Sebagai gantinya, mereka terus membuat rencana
audit internal yang secara siklis mengaudit setiap area organisasi dengan unit bisnis atau proses
yang diprioritaskan terlebih dahulu untuk cakupan audit lebih sering dan unit bisnis atau proses
yang lebih rendah diprioritaskan lebih jarang.
IIA membahas perbedaan antara jasa assurance dan jasa konsultasi yang berkaitan dengan
Standar IIA 2010: Perencanaan dengan Standar 2010.A1 dan 2010.C1:
Jasa assurance. Rencana kegiatan audit internal untuk keterlibatan harus didasarkan pada
penilaian risiko dokumen, yang dilakukan setidaknya setiap tahun. Masukan dari manajemen
senior dan dewan direksi harus dipertimbangkan dalam proses ini. (Standar 2010.A1)
Jasa konsultasi. Eksekutif audit utama harus mempertimbangkan untuk menerima saran
konsultasi yang diajukan berdasarkan potensi keterlibatan untuk memperbaiki pengelolaan
risiko, menambah nilai, dan memperbaiki operasi organisasi. Keterlibatan yang diterima harus
disertakan dalam rencana. (Standar 2010.C1)
Proses perencanaan harus mencakup penetapan tujuan, jadwal keterlibatan, dan anggaran
keuangan. Selain itu, perencanaan yang efektif harus mencerminkan piagam audit internal dan
konsisten dengan tujuan organisasi.

Komunikasi dan Persetujuan

Setelah rencana audit internal ditetapkan, Chief Audit Executive mempresentasikan kepada
senior management dan dewan audit agar disetujui. Rekomendasi khusus untuk memenuhi
persyaratan dijabarkan dalam Practice Adivisor 2010-1 : Communication and Approval.
a. Chief Audit Executive (CAE) akan menyerahkan setiap tahun kepada manajemen senior fan
dewan untuk dilakukan review dan persetujuan atas hasil rencana audit internal, jadwal
kerja, rencana karyawan, dan anggaran keuangan.
b. Jadwal kerja, rencana karyawan dan anggaran keuangan yang disetuji memuat informasi
yang cukup untuk memungkinkan manajemen senior dan dewan agar memastikan apakah
tujuan aktivitas audit internal dan rencana, mendukung organsasi.

Pengelolaan Sumber Daya

CAE bertanggungjawab untuk meyakinkan bahwa sumber daya audit internal sudah tepat,
cukup, dan tersebar dengan efektif untuk mencapai rencana yang telah disepakati (IIA standard
2030) Hal ini dicapai dengan mengharmonikan beberapa faktor dibawah ini.
a. Struktur Organisasi dan Strategi Susunan Kepegawaian
Fungsi Audit Internal harus diatur dengan konsisten sesuai dengan kebutuhan dan budaya
organisasi. CAE mungkin memilih struktur organisasi yang datar dimana kebanyakan auditor
internal memiliki lebih banyak banyak atau kurang atas tingkat skill, pengalaman dan
senioritas. Secara umum, tipe ini akan membentuk fungsi audit yang stabil, pendidikan yang
tinggi dan kolaboratif yang mantap. Namun, struktur organisasi yang datar cenderung
menghasilkan basis biaya yang lebih tinggi karena gaji yang lebih tinggi diperlukan untuk
mempertahankan auditor yang semuanya memiliki pengetahuan dan pengalaman tingkat
tinggi. Fungsi internal lainnya jauh lebih hierarkis dengan auditor lapangan yang melapor dan
belajar dari auditor senior dimana auditor senior tersebut juga melapor dan belajar dari para
manajer dan direktur yang mementori mereka.
Fungsi internal audit yang strukturnya berbentuk hirarki biasanya akan dinamis disebabkan
karena adanya rotasi. Saat seseorang berada diposisi sangat dekat dengan top organisasi, maka
akan berpindah ke posisi sebaliknya. Hal ini mengikuti fungsi dan mengembangkan perbedaan
skill dan perspektif baru dengan biaya dasar yang lebih rendah.
 Jenis tingkatan hirarki dalam fungsi audit internal adalah sebagai berikut:
 Staff Auditor atau staff auditor IT
Staff auditor biasanya bertanggungajwab atas kinerja keuangan kerja lapangan,
operasional, kepatuhan dan sistem informasi sesuai dengan jadwal audit yang ditetapkan
untuk menentukan tingkat keakuratan pencatatan keungan, efektivitas praktik bisnis, serta
kepatuhan terhadap kebiajakan, prosedur, hukum an peraturan.
 Auditor Senior atau senior auditor IT
bertanggung jawab menerima program audit dan intruksi untuk area audit yang ditugaskan
dari auditing supervisor, memimpin staff auditor dalam pekerjaan lapangan audit,
 Manager Audit
Audit manager melakukan supervise dan mengelola perikatan menurut skedul audit
yang dibentuk. Selain itu, audit manager membantu pengembangan dan pemeliharaan
rencana audit internal tahunan. Selain itu, Auditing superior bertanggung jawab
membantu direktur audit intern dalam mengembangkan program audit tahunan dan
membantu dalam mengkoordinasi usaha auditing dengan akuntan publik agar
memberikan cakupan audit yang sesuai tanpa duplikasi,
 Direktur Audit
Direktur internal audit membantu pengembangan stragegi dan perencanaan audit
internal secara keseluruhan, termasuk didalamnya proses presentasi dan review strategi
audit internal , misi, charter, dan rencana bersama komite dan manajemen senior. Selain
itu, tanggung jawab direktur internal audit adalah menerapkan program internal audit,
mengarahkan personil dan aktivitas-aktivitas departemen internal audit, juga
menyiapkan rencana tahunan untuk pemeriksaan semua unit perusahaan dan menyajikan
program yang telah dibuat untuk persetujuan,
 Chief audit executive
CAE membantu mengembangkan, mengorganisasikan, memonitor, merencanakan,
mengelola rencana dan anggaran audit internal saat disetuji oleh komite audit. Tujuan
dilakukannya hal ini untuk menentukan tingkat akurasi pencatatan keuangan, efektivitas
praktik bisnis, kepatuhan terjadap kebijakan, prpsedur, hukum dan regulasi. Selain itu,
CAE juga melakukan supervise secara langsung tim manajemen audit internal, meninjau
fungsi audit internal, dan menyetujui proses penerimaan dan penghentian auditor internal.

Posisi ini sebenarnya akan semakin luas atau berkembang tergantung filosofi, struktur,
mandate fungsi audit internal, lingkungan peraturan serta struktur tata kelola perusahaan. Posisi
spesialis dapat berkisar dari tingkat staf sampai direktur, tergantung pada kompleksitas
keahlian materi pelajaran yang dibutuhkan, pengalaman yang diinginkan, dan kebutuhan
khusus dari fungsi audit internal,

b. Right Sizing (Ukuran yang tepat)

Sangat penting untuk mencapai dan mempertahankan keseimbangan pengetahuan dan
skill para staf untuk menyelesaikan rencana audit, tanpa adanya tekanan yang tidak semestinya
pada staff dengan menciptakan beban kerja yang menindas, sekaligus secara simultan menjaga
anggaran keuangan yang masuk akal. Hal ini sangat tepat apakah struktur audit internal
merupakan organisasi yang datar atau hirarki merupakan faktor ketika menentukan apakah tipe
struktur telah tepat pada organisasi. CAE tergantung terhadap berbagai sumber dalam hal
membantu validasi keputusan ukuran yang tepat, termasuk jaringan, benchmarking, studi
pasar, dan tempat konsultasi.

c. Perencanaan Kepegawaian atau sumber daya manusia

CAE bertanggungjawab dalam hal efisiensi dan mengelola sumber daya audit internal
serta untuk memastikan pemenuhan tanggungjawab audit internal. Meskipun, beberapa aspek
pemeliharaan sumber daya yang tepat didelegasikan ke tingkat asosiasi yang lebih tinggi dalam
fungsi audit internal. CAE harus menempatkan sdm secara efektif. Dalam artian harus
berkualitas dan mampu untuk melaksanakan audit internal.
Dalam hal ini, termasuk juga efektivitas komunikasi atas kebutuhan sumber daya dan
laporan atas tatus terhadap manajemen senior dan dewan (Practice Advisory 20130-1). Selain
itu, CAE juga harus memastikan bahwa fungsi audit internal telah memiliki skil dan
pengetahuan untuk melaksanakan rencana audit. CAE juga darus menetapkan sumber daya
manusia secara efektif, artinya auditor internal ditetapkan sesuai dengan kualifikasi dan
kemampuan kinerjanya.
CAE harus mensukseskan perencanaan dalam mempertimbangkan dan memastikan bahwa
terdapat evaluasi staf dan pengembangan program. Dalam area mengelola fungsi internal audit,
maka CAE harus berkomunikasi dengan manajemen senior dan dewan berkaitan sumber daya
manusia. Komunikasi ini biasanya dapat mengambil formulir update selama pertemuan dewan.

d. Praktik Penerimaan (Hiring Practices)

CAE bertanggungjawab dalam hal mempekerjakan asosiasi untuk mengisi struktur
organisasi fungsi audit internal dimana tingkat maksimum efektivitas dan keefektivan
menyediakan dasar skil dasar serta membuat anggaran keuangan yang berguna. CAE perlu
melengkapi tim dengan individu dari berbagai disiplin ilmu sesuai kebutuhan organisasi
terutama akuntansi dan pelaporan, IT, hukum dan organisasi, dan industri yang di bidang
organisasi.

e. Strategic Sourcing
Strategi sourcing, juga disebut sebagai co sourcing atau aousourcing, yang memungkinkan
CAE untuk mengoptimalkan basis keterampilan dan pertimbangan keuangan yang berkaitan
dengan kepegawaian. Outsourcing dapat dilakukan dengan melihat kondisi yang ada. CAE
dengan penggunaan sumber strategis, mampu mempertahankan fungsi audit internal yang
efektif dengan mempekerjakan rekan kerja permanen yang memiliki basis keterampilan umum
dan luas dengan tetap menjaga fleksibilitas ahli teknis yang diperlukan untuk project atau
perikatan tertentu, tapi akan dikenakan biaya mahal untuk tetap bertahan di staf. Strategi
sourcing juga digunakan dalam skedul ketika jam yang diproyeksikan yang diperlukan untuk
menyelesaikan rencana audit internal melebihi jumlah jam yang tersedia dari staf tetap, namun
bila mempekerjakan anggota staf lain tidak aka efisien, biaya mahal, tidak praktis dengan
kondisi pasar yang meluas.

f. Pelatihan dan Pembinaan

IIA standard 1220 menjelaskan bahwa infalibilitas tidak diperlukan sebab membebani
staf untuk tetap mengikuti pengetahuan mereka tentang industri dan keterampilan audit. Hal
ini dilakukan terutama melalui pelatihan dan pendampingan yang berkelanjutan, serta
pendidikan profesional yang terus berlanjut. Fungsi audit internal individu menetapkan
persyaratan pelatihan minimum dan persyaratan pengembangan profesional, yang biasanya
mencakup sertifikasi profesional. Staf audit internal memerlukan beberapa sertifikasi seperti
CIA (certified internal auditor), CPA (certified public accountant), CISA (Certified
information system auditor), dan CFE (Certified Fraud Examiner).

g. Perencanaan Karir dan Pembangunan Profesionalisme

Selain pelatihan dan pendampingan yang dibutuhkan untuk memenuhi kemahiran dan
standar perawatan profesional, fungsi audit internal yang baik akan memiliki proses
pengembangan carrer dan perencanaan suksesi. Hal ini memungkinkan setiap asosiasi untuk
mengembangkan dan menerapkan rencana secara keseluruhan untuk mencapai tujuan karir
jangka panjang sambil tetap memberikan kontribusi anggota fungsi audit internal. perencanaan
perwalian yang kuat dan proses pengembangan profesional juga memastikan fungsi audit
internal akan terus memiliki staf yang berkualitas dan mampu untuk mencapai rencana audit
yang disetujui dan melaksanakan tujuan, wewenang, dan tanggung jawabnya sebagaimana
didefinisikan dalam piagam fungsi.

h. Penjadwalan
Begitu perpaduan yang tepat antara rekan sekerja dan sumber strategis diatur secara tepat
dalam fungsi audit internal, CAE dapat mulai menugaskan perikatan dan proyek khusus kepada
personil yang paling sesuai untuk menjalankannya. Di sinilah manfaat praktik perekrutan yang
baik dan ukuran yang tepat menjadi nyata. CAE memaksimalkan anggaran keuangan yang
menciptakan tim audit internal yang, berdasarkan keahlian dan pengalaman mereka, akan
paling efektif dan efisien mencapai tujuan keterlibatan tertentu. Pada saat bersamaan, CAE
mempertimbangkan kebutuhan pengembangan staf dan pekerjaan untuk menyeimbangkan
peluang pengembangan yang dapat diberikan keterlibatan spesifik kepada mereka dan
kebutuhan untuk menyelesaikan keterlibatan dalam kerangka waktu yang dijadwalkan.
CAE memaksimalkan anggaran keuangan dengna membuat tim berdasarkan keahlian dan
pengalaman. Pada saat yang bersamaan, CAE memenuhi kebutuhan staf dan pekerjaan untuk
menyeimbangkan kesempatan peningkatan dari penguasan yang spesifik yang bisa disediakan
dan kebutuhan memenuhi penugasan yang telah ditetapkan waktunya.

i. Penganggaran Keuangan
Anggaran keuangan terutama didorong oleh rencana audit internal, struktur organisasi, dan
strategi kepegawaian. CAE harus mengevaluasi secara cermat sumber daya keuangan yang
diperlukan untuk mencapai tujuan yang ditetapkan. Harus jelas pada saat ini bahwa anggaran
keuangan berdampak baik dan dipengaruhi oleh masing-masing tugas yang dilakukan oleh
CAE seperti yang dijelaskan di atas. CAE harus mengevauasi dengan sungguh-sungguh
sumber-sumber keuangan yang diperlukan untuk menyelesaikan tujuan yang telah ditetapkan.

I. Kebijakan dan Prosedur

Standar mengenai implementasi kebijakan dan prosedur hanya menyatakan bahwa "chief
audit executive harus menetapkan kebijakan dan prosedur untuk memandu kegiatan audit
internal" (IIA Standard 2040). Practice advisory 20140-1 : Kebijakan dan prosedur
merekomendasikan agar kebijakan dan prosedur tetap sesuai dengan ukuran fungsi audit
internal: "CAE mengembangkan kebijakan dan prosedur. Administratif formal dan teknis audit
manual mungkin tidak diperlukan oleh semua kegiatan audit internal. Kegiatan audit internal
yang kecil dapat dikelola secara informal. Staf auditnya dapat diarahkan dan dikendalikan
melalui pengawasan harian, pengawasan yang ketat dan memorandum yang sesuai kebijakan
dan prosedur harus diikuti. Dalam kegiatan audit internal yang lebih besar, kebijakan dan
prosedur yang lebih formal dan komprehensif s

II. Coordinating Assurance Efforts

Menurut standar IIA 2050: Koordinasi, "Eksekutif audit kepala harus berbagi informasi
dan mengkoordinasikan kegiatan dengan penyedia layanan assurance dan konsultasi internal
dan eksternal lainnya untuk memastikan cakupan yang tepat dan meminimalkan aktivitas
duplikasi." Mengkoordinasikan upaya fungsi audit internal dengan penyedia layanan assurance
dan konsultasi internal dan eksternal lainnya penting karena meningkatkan efektivitas dan
efisiensi yang dapat diperoleh.
Banyak organisasi memiliki cara untuk memastikan bahwa mereka beroperasi dalam risk
appetite mereka. Organisasi yang beroperasi di lingkungan yang sangat teratur pada khususnya
memiliki kebutuhan bahwa mereka telah banyak mengurangi risiko yang mengancam ke
tingkat yang wajar. Untuk melakukannya, mereka menerapkan teknik layering jaminan untuk
mendapatkan mitigasi risiko yang mereka inginkan. Contoh umum dari strategi ini adalah "tiga
garis model pertahanan."
Dalam tiga garis model pertahanan, organisasi tersebut melapisi tujuan yang mereka
dapatkan untuk memastikan bahwa risiko yang dihadapi dapat dikurangi sampai tingkat
tertentu dalam ruang lingkup risk appetite. Meskipun itu disebut sebagai tiga garis model
pertahanan, tergantung pada organisasi dan bagaimana strukturnya, mungkin ada lebih dari tiga
garis (jaminan) yang ditetapkan.
Garis pertahanan yang berbeda digambarkan dalam pameran diuraikan di bawah ini:
a. Lini pertahanan pertama
Manajemen memiliki dan bertanggung jawab untuk menilai dan mengurangi risiko dan
untuk menjaga pengendalian internal yang efektif. Garis pertahanan internal ini bukan
manajemen independen.
b. Lini pertahanan kedua
Area yang berbeda dalam organisasi membantu dalam mitigasi risiko dengan
memfasilitasi dan memantau upaya manajemen risiko organisasi. Area ini juga terlibat dalam
komunikasi informasi terkait risiko yang berlaku. Garis pertahanan internal ini juga bukan
manajemen independen. Fungsi audit internal berkoordinasi dengan daerah ini dengan
melakukan kemitraan dalam penilaian risiko, meminta dan memberikan umpan balik mengenai
perubahan kawasan organisasi, dan lain-lain. Upaya koordinasi ini tidak membahayakan
independensi atau objektivitas fungsi audit internal.
c. Baris pertahanan ketiga
Fungsi audit internal adalah jalur pertahanan internal ketiga. Perbedaan utama antara garis
pertahanan ini dan yang pertama adalah manajemen yang independen.
Koordinasi antara ketiga lini pertahanan ini bisa sangat tergantung pada organisasi. Dalam
organisasi yang lebih kecil dan kurang diatur, upaya koordinasi kurang formal untuk
mendapatkan efisiensi yang diinginkan, dalam organisasi yang lebih besar dan diatur dengan
lebih ketat, koordinasi dapat cukup formal dan melibatkan. Organisasi ini biasanya harus
memulai dengan membuat peta jaminan yang mengidentifikasi di mana cakupan mitigasi risiko
berada di dalam organisasi, siapa yang menyediakan cakupan, standar profesional apa yang
dipastikan oleh penyedia jaminan berbeda dan frekuensi dan waktu kegiatan penjaminan yang
diberikan. Proses ini bisa menjadi waktu yang intensif di awal, namun seringkali efisiensi
direalisasikan setelahnya sangat buruk.
Jalur pertahanan tambahan. Selain garis pertahanan internal menggambarkan di atas,
organisasi juga mengandalkan sumber eksternal untuk memastikan bahwa risikonya cukup
dikurangi. Yang paling menonjol, ini termasuk auditor independen luar organisasi dan
regulator yang berlaku, baik atau tidak, suatu organisasi yang secara formal memasukkan
mereka ke dalam model pertahanannya, mereka memberikan lapisan tambahan jaminan
eksternal dan independen untuk organisasi tersebut.
Meskipun penting untuk memanfaatkan upaya penjaminan dan konsultasi internal dan
eksternal lainnya, bentuk kolaborasi yang paling umum adalah dengan auditor luar yang
independen. Practice advisory 2050-1: Koordinasi menguraikan keadaan di mana fungsi audit
internal dapat menggunakan pekerjaan yang dilakukan oleh auditor luar yang independen.
Secara khusus, Practice advisory 2050-1 menyatakan bahwa CAE harus mengambil "langkah-
langkah yang diperlukan untuk memahami pekerjaan yang dilakukan oleh auditor (independen
di luar), termasuk:
a. Sifat, luas, dan waktu kerja yang direncanakan oleh auditor, agar auditor merencanakan
pekerjaan, bersamaan dengan tugas auditor internal yang direncanakan, memenuhi
persyaratan standar 2100 (Sifat kerja).
b. Penilaian auditor terhadap risiko dan materialitas.
c. Teknik, metode dan terminologi auditor untuk memungkinkan CAE mengkoordinasikan
pekerjaan internal dan audit, mengevaluasi tujuan ketergantungan kerja auditor dan
berkomunikasi secara efektif dengan auditor.
d. Sesuai dengan program dan kertas kerja auditor, harus puas bahwa pekerjaan auditor dapat
diandalkan untuk tujuan audit internal. Auditor internal bertanggung jawab untuk
menghormati kerahasiaan program dan kertas kerja tersebut.

Untuk memanfaatkan efisiensi antara auditor internal dan auditor luar yang independen,
CAE harus memperluas kesempatan yang sama seperti yang dijelaskan di atas kepada auditor
luar yang independen sehingga mereka dapat mengandalkan pekerjaan yang dilakukan oleh
fungsi audit internal. Untuk mencapai koordinasi dua arah ini, ada baiknya bagi auditor internal
dan auditor luar yang independen untuk "menggunakan teknik, metode, dan terminologi yang
serupa" (Practice advisory 2050-1). Hal ini dicapai melalui pertemuan rutin selama kegiatan
audit yang direncanakan dibahas, termasuk waktu penyelesaian dan dampaknya, jika ada,
pengamatan dan rekomendasi mengenai ruang lingkup pekerjaan yang direncanakan. Selain
itu, fungsi audit internal harus tersedia bagi auditor luar independen di semua komunikasi akhir,
termasuk tanggapan manajemen terhadap mereka, dan semua tinjauan tindak lanjut yang
berlaku. Informasi ini memungkinkan auditor luar yang independen melakukan penyesuaian
yang diperlukan terhadap cakupan dan waktu pekerjaan terjadwal mereka. Demikian juga,
fungsi audit internal harus memiliki akses terhadap materi dan komunikasi auditor independen
di luar sehingga CAE dapat memastikan "tindakan tindak lanjut dan perbaikan yang tepat telah
dilakukan" (Practice Advisory 2050-1).
Meskipun CAE bertanggung jawab atas koordinasi antara fungsi audit internal dan auditor
independen, dewan bertanggung jawab untuk mengawasi koordinasi tersebut dan juga
pekerjaan yang dilakukan oleh auditor luar yang independen. Ini berarti bahwa CAE perlu
mendapatkan dukungan dewan eto relatif untuk mengkoordinasikan upaya fungsi audit internal
dan auditor eksternal independen secara efektif. CAE membuat dewan mengetahui hasil
penilaian berkelanjutan terhadap upaya koordinasi ini secara umum dan kinerja auditor
eksternal independen secara khusus, melalui komunikasi reguler.

REPORTING TO THE BOARD AND SENIOR MANAGEMENT

Chief Audit Executive (CAE) memiliki tanggung jawab untuk "melapor secara berkala
kepada manajemen senior dan dewan mengenai tujuan, wewenang, tanggung jawab, dan
kinerja audit internal terhadap rencananya. Pelaporan juga harus mencakup eksposur risiko dan
masalah pengendalian yang signifikan, termasuk risiko keuangan, masalah tata kelola, dan hal-
hal lain yang diperlukan atau diminta oleh manajemen senior dan dewan direksi "(Standar IlA
2060: Pelaporan ke Manajemen Senior dan Dewan). Bukti CAE penyelesaian tanggung jawab
profesional ini dengan melaporkan secara berkala hasil kegiatan audit internal yang sedang
berlangsung kepada manajemen senior dan komite audit selama pertemuan rutin yang
dijadwalkan sepanjang tahun.
"Penyimpangan yang signifikan dari jadwal kerja pertanggungjawaban yang disetujui,
rencana anggaran, dan anggaran keuangan; alasan penyimpangan, dan tindakan yang diambil
atau yang dibutuhkan" harus dilaporkan, sebagaimana seharusnya observasi dan rekomendasi
keterlibatan yang signifikan (Praktik iklan visory 2060-1: Melaporkan kepada Manajemen
Senior dan Dewan). Dalam kasus ketika manajemen senior dan / atau dewan direksi
menanggung risiko untuk tidak mengoreksi pengamatan keterlibatan yang signifikan, CAE
membuat keputusan mengenai bagaimana r melaporkannya ke dewan tergantung dalam
keadaan sakit, termasuk perubahan terbaru dalam manajemen atau profil risiko organisasi.

2060 - Laporan kepada Manajemen Senior dan Dewan

Kepala audit internal harus melaporkan secara periodik tujuan, kewenangan, tanggung jawab,
dan kinerja aktivitas audit internal terhadap rencananya dan kesesuaiannya dengan Kode Etik
dan Standar. Laporan tersebut juga harus mencakup risiko signifikan, pemasalahan tentang
pengendalian, risiko terjadinya kecurangan, masalah tata kelola, dan hal lainnya yang
memerlukan perhatian dari manajemen senior dan/atau dewan.
Interpretasi:
Frekuensi dan isi laporan ditentukan secara kolaboratif oleh kepala audit internal, manajemen
senior dan dewan. Frekuensi dan isi laporan tergantung pada tingkat kepentingan informasi
yang dikomunikasikan, serta tingkat urgensinya dikaitkan dengan tindakan yang harus
dilakukan oleh manajemen senior dan/atau dewan. Laporan dan komunikasi kepala audit
internal kepada manajemen senior dan dewan harus mencakup informasi mengenai:
 Piagam audit.
 Independensi aktivitas audit internal.
 Rencana audit dan realisasinya dibandingkan rencana. Kebutuhan sumber daya.
 Kesesuaian dengan Kode Etik dan Standar, serta rencana aksi untuk mengatasi
permasalahan kesesuaian signifikan yang ada.
  Respon manajemen terhadap risiko yang, dalam penilaian Kepala audit internal,
mungkin tidak dapat diterima bagi organisasi.
Hal-hal di atas dan persyaratan komunikasi kepala audit internal lainnya direferensikan pada
seluruh bagian dari Standar.
Selain itu, manajemen dan CAE mengkoordinasikan upaya untuk secara rutin melaporkan
berbagai aktivitas pengendalian dan risiko yang dilakukan baik oleh, sesuai dengan peran dan
tanggung jawab yang ditetapkan oleh dewan pengurus maupun komite audit. Laporan ini
termasuk laporan meliputi:
 Laporan pemantauan unit bisnis dan pemantauan.
 Laporan aktivitas auditor eksternal independen
 Laporan aktivitas fiancial utama.
 Laporan aktivitas manajemen risiko.
 Laporan pemantauan kepatuhan dan hukum.
Selain informasi ini, sebuah laporan biasanya diajukan ke komite audit oleh manajemen
senior atau CAE yang menguraikan hasil pengendalian internal manajemen. Minimal, fungsi
audit internal harus dengan teliti menilai proses yang manajemen rencanakan untuk mencapai
kesimpulannya. Namun, banyak CAE mengambil peran tambahan untuk mengetahui secara
independen sistem kontrol internal organisasi mengenai pelaporan keuangan. Pendapat ini
disampaikan ke komite audit bersamaan dengan pernyataan manajemen mengenai sistem
pengendalian internal. Dalam kasus yang lebih terbatas, pendapat CAE terlepas dari tujuan
operasi, kepatuhan, dan pelaporan keuangan non-operasional. Mereka melihat ini sebagai
perpanjangan alami untuk menyelesaikan rencana audit internal tahunan dimana fiting audit
internal telah mengevaluasi secara independen sistem pengendalian internal organisasi
sebagaimana diuraikan dalam rencana audit internal. CAE lainnya tidak setuju dengan
pendekatan ini dan berpendapat bahwa hal itu menciptakan konflik langsung dengan tanggung
jawab mereka untuk menjadi penilai independen independen yang dapat menentukan penilaian
diri manajemen terhadap sistem pengendalian internal. Pendekatan yang diambil oleh
organisasi sebagian besar merupakan hasil dari budayanya.
Namun, karena CAE bertanggung jawab untuk menjaga hubungan dengan organisasi
yang memiliki harapan yang berpotensi bertentangan, termasuk komite audit, manajemen
senior, dan berbagai pihak yang tertarik di luar pihak ketiga (regulator dan auditor eksternal
independen, khususnya), hal ini tidak selalu menjadi starightforward seperti yang terlihat Jika
laporan audit tidak berisi pengamatan dan pengendalian internal ditemukan dirancang secara
memadai dan beroperasi secara efektif, biasanya tidak ada kesalahpahaman antar pihak.
Namun, jika fungsi audit internal menemukan bahwa pengendalian internal dirancang tidak
memadai dan / atau beroperasi tidak efektif, mengakibatkan ketidaksesuaian dengan dewan
direksi dan manajemen senior. CAE juga harus mengkoordinasikan sebuah resolusi ke obvasi
dan melapor kepada dewan pengurus dan manajemen senior bagaimana hal itu akan diperbaiki.
Hanya dalam kasus yang sangat jarang ketika CAE dan manajemen gagal mencapai
kesepakatan mengenai obsevation dan / atau resolusinya.

GOVERNANCE (TATA KELOLA)

"Pemerintahan," sebagai "proses yang dilakukan oleh dewan direksi untuk memberi
wewenang, mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan organisasi .
"Bab 3 memberikan informasi terperinci mengenai proses tata kelola dan peran dan tanggung
jawab semua pihak yang terlibat. Untuk tujuan bab ini, bagaimanapun, tata kelola hanya akan
dibahas dalam hal tanggung jawab khusus fungsi audit internal.
Standar IIA 2110: Tata kelola mensyaratkan fungsi audit internal untuk "menilai dan membuat
rekomendasi yang sesuai untuk memperbaiki proses tata kelola dalam pencapaian tujuan
berikut:
 Mempromosikan etika dan nilai yang sesuai dalam organisasi;
 Memastikan pengelolaan dan akuntabilitas kinerja organisasi yang efektif;
 Mengkomunikasikan informasi risiko dan pengendalian ke area organisasi yang
sesuai; dan
 Mengkoordinasikan kegiatan dan mengkomunikasikan informasi antar dewan,
[independen luar] dan auditor internal, dan manajemen. "

2110 - Tata Kelola

Aktivitas audit internal harus menilai dan memberikan rekomendasi yang sesuai untuk
meningkatkan proses tata kelola organisasi untuk:
 Membuat keputusan strategis dan operasional
 Mengawasi pengelolaan risiko dan pengendalian
 Pengembangan etika dan nilai-nilai yang sesuai dalam organisasi;
 Memastikan bahwa pengelolaan dan akuntabilitas kinerja organisasi telah efektif;
 Mengkomunikasikan informasi risiko dan pengendalian pada area yang sesuai dalam
organisasi; dan
 Mengkoordinasikan kegiatan dan mengkomunikasikan informasi secara efektif di antara
dewan, auditor eksternal dan internal, para penyedia jasa asurans lainnya, serta
manajemen.

2110.A1-Aktivitas audit internal harus mengevaluasi rancangan, penerapan, dan

efektivitas sasaran, program, dan kegiatan terkait etika organisasi.

2110.A2-Aktivitas audit internal harus menilai apakah tata kelola teknologi

informasi organisasi telah mendukung strategi dan tujuan organisasi.

Tanggung jawab ini sebagian besar dilakukan melalui layanan penjaminan yang diberikan
oleh fungsi audit internal. Piagam audit internal mendefinisikan peran apa yang dimainkan oleh
fungsi audit inteernal dalam memberikan kepastian sehubungan dengan proses tata kelola dan
harus mencerminkan harapan dewan, bab 3 memberikan contoh berikut mengenai tanggung
jawab tata kelola fungsi audit internal:
 Mengevaluasi apakah berbagai aktivitas manajemen risiko dirancang secara memadai
untuk mengelola risiko yang terkait dengan hasil yang tidak dapat diterima.
 Menguji dan mengevaluasi apakah berbagai aktivitas manajemen risiko berjalan sesuai
yang dirancang.
 Menentukan apakah asersi yang dibuat oleh pemilik risiko terhadap manajemen senior
mengenai efektivitas kegiatan pengelolaan risiko secara akurat mencerminkan keadaan
efektivitas manajemen risiko saat ini.
 Menentukan apakah asersi yang dibuat oleh manajemen senior kepada dewan pengurus
mengenai keefektifan kegiatan manajemen risiko memberikan informasi yang
diinginkan kepada dewan tentang keadaan efektivitas manajemen risiko saat ini.
 Mengevaluasi apakah informasi toleransi risiko dikomunikasikan secara tepat waktu
dan efektif dari dewan ke manajemen senior dan dari manajemen senior kepada pemilik
risiko.
 Dengan mempertimbangkan apakah ada area risiko lain yang saat ini tidak termasuk
dalam proses tata kelola tetapi harus (misalnya, risiko yang toleransi risiko dan harapan
yang diajukan belum didelegasikan kepada pemilik risiko tertentu)
 Untuk melaksanakan tanggung jawab ini, fungsi audit internal harus memiliki pemahaman
yang jelas tentang arah dan harapan tata kelola dewan, termasuk tingkat toleransi risiko dan
ekspektasi pelaporan. Rencana audit internal harus mencerminkan pemahaman tersebut dengan
memasukkan kegiatan kepastian tata kelola yang sesuai dan memberikan kesempatan untuk
komunikasi reguler kepada manajemen senior dan dewan pengurus mengenai efektivitas
kegiatan manajemen risiko. Lihat bab 3, "tata kelola" di mana tata kelola dibahas lebih rinci.

RISK MANAGEMENT (MANAJEMEN RISIKO)

MASUKKAN DEFINSI
Secara umum, manajemen risiko adalah proses partisipatif yang dirancang untuk
mengidentifikasi, mendokumentasikan, mengevaluasi, mengkomunikasikan, dan memantau
ketidakpastian yang paling signifikan yang dihadapi organisasi yang memerlukan mitigasi atau
eksploitasi risiko untuk mencapai tujuan kesibukan dengan baik. Dengan kata lain, manajemen
risiko adalah proses yang dilakukan oleh manajemen untuk memahami dan mengatasi
ketidakpastian (yaitu peluang risiko) yang dapat mempengaruhi kemampuan organisasi untuk
mencapai tujuan bisnisnya. Respon risiko merupakan tindakan atau serangkaian tindakan yang
diambil oleh manajemen untuk mencapai strategi manajemen risiko yang diinginkan.
Pelaksanaan strategi manajemen risiko yang efektif membantu manajemen mencapai tujuan
bisnis sebuah organisasi dengan mengurangi potensi dampak atau kemungkinan (atau stan) dari
kejadian risiko potensial atau, sebaliknya, dengan memanfaatkan (mengeksploitasi) peluang
yang dirasakan. Mitigasi risiko adalah tindakan mengurangi tingkat keparahan atau potensi
dampak risiko melalui penggunaan respons risiko. Respon risiko dibahas secara rinci pada Bab
4 "Manajemen Risiko"
Mitigasi risiko paling efektif dilakukan saat didesentralisasikan ke daerah yang paling
terkena dampak risiko spesifik. Sebaliknya, manajemen risiko biasanya lebih afektif bila
merupakan fungsi terpusat. Manajemen risiko paling efektif saat manajemen senior terlibat
secara aktif dalam proses tersebut dengan cara memasukkan kontributor ke belakang dari area
atau departemen khusus mereka (silo) dan mempertimbangkan risiko yang dihadapi organisasi
secara keseluruhan. Sayangnya, banyak organisasi membuat kesalahan dengan membiarkan
manajemen risiko tersebar di seluruh organisasi bersamaan dengan mitigasi risiko. Akibatnya,
berbagai silo yang bertanggung jawab atas mitigasi risiko juga menjadi tanggung jawab atas
kegiatan manajemen risiko yang diuraikan di atas. Hal ini mengakibatkan situasi di sini
berbagai wilayah organisasi tidak menyadari apa yang terjadi di daerah masing-masing untuk
mengurangi kejadian risiko serupa, yang berpuncak pada respons riak yang tidak konsisten dan
ketidakefektifan karena penerapan pendekatan risk appetites dan mitigasi yang berbeda oleh
wilayah individeal.
Secara historis, manajemen risiko telah dirancang untuk memfokuskan upaya untuk
menghindari bahaya potensial dan mencegah tindakan berbahaya dari tindakan meniru negatif
sebuah organisasi. Seiring berjalannya waktu, model manajemen risiko organisasi telah
berevolusi dan sekarang memfokuskan upaya manajemen risiko mereka untuk
mengidentifikasi peluang yang dapat dieksploitasi selain peristiwa berisiko yang berpotensi
mempengaruhi organisasi secara negatif. Dalam model ini, upaya manajemen risiko dirancang
untuk memfasilitasi pengelolaan risiko dan peluang dalam risk appetite yang telah ditetapkan
oleh dewan direksi dan manajemen senior. Pengelolaan risiko yang dijalankan dengan benar
membantu dewan pengurus dan manajemen senior. Pengelolaan risiko yang dijalankan dengan
baik membantu dewan pengurus dan manajemen senior dalam menerapkan respons risiko yang
tepat (menghindari, mengurangi, berbagi, dan / atau menerima risiko atau memanfaatkan
peluang) Manajemen risiko yang efektif juga memberikan keyakinan yang masuk akal (tidak
mutlak) bahwa tujuan bisnis suatu organisasi akan tercapai.
Seperti yang telah dibahas sebelumnya di bab ini, hasil dari proses pengelolaan risiko
yang dijalankan dengan baik (model) juga menjadi sumber untuk mengidentifikasi penggerak
risiko organisasi dan memberikan masukan yang tak ternilai untuk devolusi dalam audit
internal audit fungsi audit internal dan rencana audit. Cosequently, manajemen risiko adalah
area di mana fungsi audit internal dapat dan memang memiliki peran penting untuk dimainkan.
Seberapa banyak keterlibatan fungsi audit internal dalam proses manajemen risiko organisasi,
bagaimanapun, adalah subyek dari banyak diskusi. Meskipun organisasi manu sekarang
memiliki fungsi manajemen risiko formal yang bertanggung jawab untuk memantau dan
memfasilitasi upaya mtigasi risiko di seluruh organisasi, peran fungsi audit internal sangat
bervariasi dan didasarkan pada pembagian tanggung jawab manajemen risiko dan budaya
oragisasi. Minimal, fungsi audit internal harus mengevaluasi kecukupan desain dan efektivitas
operasi proses manajemen risiko oraginisasi dengan memberikan masukan dan umpan balik
melalui kajian berkala (audit). Hal ini juga sesuai untuk fungsi audit internal untuk
memfasilitasi identifikasi dan evaluasi risiko dan peluang, dan membantu oraganisasi
mengkoordinasikan kegiatan manajemen risiko utama. Semakin banyak, fungsi audit internal
berkoordinasi lebih aktif dengan kelompok manajemen risiko lainnya, tidak hanya dalam
perannya sebagai bagian dari garis pertahanan ketiga, namun juga merupakan upaya untuk
mendapatkan efisiensi bagi organisasi dengan mengambil keuntungan dari penjadwalan sinergi
dan upaya jaminan berlebih sebisa mungkin. Seperti yang telah ditunjukkan sebelumnya,
bagaimanapun, fungsi audit internal seharusnya tidak mengatur risk appetite organisasi,
membuat keputusan mengenai respons risiko yang tepat, atau menganggap kepemilikan
(menjadi akuntan untuk) proses manajemen risiko; hanya manajemen yang harus mengambil
peran ini.

2120 - Pengelolaan Risiko

Aktivitas audit internal harus mengevaluasi efektivitas dan memberikan kontribusi pada
peningkatan proses pengelolaan risiko.

Interpretasi:
Penilaian efektivitas proses pengelolaan risiko merupakan suatu pendapat berdasarkan
evaluasi dari auditor bahwa:
 Tujuan organisasi telah mendukung dan terkait dengan misi organisasi;
 Risiko signifikan telah diidentifikasi dan dinilai;
 Respon risiko yang sesuai telah dipilih dan sesuai dengan selera risiko organisasi; dan
 Informasi yang relevan mengenai risiko telah diperoleh dan dikomunikasikan
dalam waktu yang tepat ke seluruh unit organisasi, yang membuat staf, Manajemen,
dan dewan dapat melaksanakan tanggung jawabnya.
Aktivitas audit internal dapat memperoleh informasi untuk mendukung penilaian tersebut dari
berbagai penugasan. Hasil berbagai penugasan tersebut, apabila dilihat secara bersamaan,
akan memberikan pemahaman proses pengelolaan risiko organisasi dan efektivitasnya. Proses
pengelolaan risiko dipantau melalui aktivitas manajemen yang berkelanjutan, evaluasi
terpisah, atau keduanya.

2120.A1-Aktivitas audit internal harus mengevaluasi eksposur risiko terkait tata kelola,
operasi, dan sistem informasi organisasi, mencakup:
 Pencapaian tujuan strategis organisasi;
 Reliabilitas dan integritas informasi keuangan dan operasi;
 Efektivitas dan efisiensi operasi dan program;
 Pengamanan aset; dan
 Ketaatan terhadap hukum, peraturan perundang-undangan, kebijakan, prosedur
dan kontrak.
 2120.A2-Aktivitas audit internal harus mengevaluasi potensi timbulnya
kecurangan dan bagaimana organisasi mengelola risiko tersebut.

2120.C1-Selama penugasan konsultansi, auditor internal harus memperhatikan

risiko yang terkait dengan tujuan penugasan serta harus waspada terhadap risiko
lain yang signifikan.

2120.C2-Auditor internal harus menerapkan pengetahuan mengenai risiko yang

diperolehnya melalui penugasan konsultansi dalam penugasan evaluasi proses
pengelolaan risiko organisasi.

2120.C3-Ketika membantu manajemen dalam penyusunan atau peningkatan proses

pengelolaan risiko, auditor internal harus menolak menerima tanggung jawab
manajemen yang senyatanya melakukan pengelolaan risiko.

Menurut IIA Standard 2120: Manajemen Risiko, "Aktivitas audit internal harus
mengevaluasi keefektifan dan berkontribusi pada peningkatan proses manajemen risiko."
Penafsiran untuk standar ini menyatakan:

Menentukan apakah proses manajemen risiko efektif adalah penilaian hasil penilaian
auditor internal bahwa:
 Tujuan organisasi mendukung dan menyelaraskan dengan misi organisasi;
 Risiko signifikan diidentifikasi dan dinilai;
 Respons risiko yang tepat dipilih yang menyelaraskan risiko dengan risk appetite
organisasi; dan
 Informasi risiko yang relevan ditangkap dan berkomunikasi tepat waktu di seluruh
organisasi, memungkinkan staf, manajemen, dan dewan direksi untuk melaksanakan
tanggung jawab mereka.
 Proses manajemen risiko dipantau melalui kegiatan manajemen yang berkelanjutan,
evaluasi terpisah, atau keduanya.
 Secara praktis, fungsi audit internal harus meningkatkan manajemen risiko dan
mitigasi, memberikan tingkat perlindungan yang lain. Gambar diatas menunjukkan berbagai
aktivitas yang mungkin diminta oleh fungsi audit internal, yang merinci kegiatan mana yang
sesuai dan harus dihindari. Proses Manajemen Risiko lebih rinci mengenai tanggung jawab
fungsi audit internal mengenai manajemen risiko.

CONTROL (PENGENDALIAN)
2130 – Pengendalian
Aktivitas audit internal harus membantu organisasi memelihara pengendalian yang efektif
dengan cara mengevaluasi efisiensi dan efektivitasnya serta mendorong pengembangan
berkelanjutan.

2130.A1-Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas

pengendalian dalam merespon risiko dalam proses tata kelola (governance),
operasi, dan sistem informasi organisasi, yang mencakup:
 Pencapaian tujuan strategis organisasi;
 Reliabilitas dan integritas informasi keuangan dan operasi;
 Efektivitas dan efisiensi operasi dan program;
 Pengamanan aset; dan
 Ketaatan terhadap hukum, peraturan, kebijakan, prosedur dan perjanjian kontrak.
 2130.C1-Auditor internal harus menerapkan pengetahuannya mengenai pengendalian
yang diperolehnya melalui penugasan konsultansi untuk penugasan evaluasi proses
pengendalian organisasi.

Standar IIA 2130: Pengendalian menyatakan "Aktivitas audit internal harus membantu
organisasi dalam menjaga kontrol yang efektif dengan mengevaluasi efektivitas dan efisiensi
mereka dengan mempromosikan perbaikan berkelanjutan."
Dalam hal memberikan layanan penjaminan, informasi yang keluar dari penilaian risiko harus
mengesampingkan arahan fungsi audit internal saat mengevaluasi "kecukupan dan efektivitas
pengendalian dalam merespons risiko di dalam sistem tata kelola, operasi, dan informasi
organisasi mengenai:
• Pencapaian tujuan starateis organisasi;
• Keandalan dan integritas informasi keuangan dan operasional (non finansial);
• Efektivitas dan efisiensi operasi;
• Melindungi aset; dan
• Kepatuhan terhadap hukum, peraturan, dan kontrak. "(Standar 2130.A1)

Selain itu, fungsi audit internal harus mengidentifikasi tujuan area yang diaudit dan menilai
seberapa baik mereka sesuai dengan tujuan organisasi. Keterlibatan jaminan harus menilai
apakah kontrol diterapkan secara efektif mendukung pencapaian tujuan tersebut.
Selanjutnya, Standars 2130.C1 menyatakan bahwa "Auditor internal harus memasukkan
knowladge of control yang diperoleh dari kesepakatan yang sesuai untuk mengevaluasi proses
pengendalian organisasi." Kontrol dibahas secara rinci bab 6, "Pengendalian Internal."

QUALITY ASSURANCE AND IMPROVEMENT PROGRAM (QUALITY PROGRAM

ASSESSMENTS) – PERSYARATAN PROGRAM ASURANS DAN PENINGKATAN
KUALITAS
Dalam iklim tata kelola perusahaan saat ini, telah menjadi keharusan bahwa fungsi audit
internal memiliki alat yang tepat untuk mengatur dan memantau kepatuhan terhadap standar
profesional yang mapan. Demi mempertahankan standar yang konsisten dimana fungsi audit
internal akan diselenggarakan relatif terhadap pengaturan sendiri, IIA menetapkan standar
jaminan kualitas formal yang harus diikuti agar fungsi audit internal dipertimbangkan sesuai
dengan Standar IIA.
 Jaminan kualitas adalah proses untuk memastikan bahwa fungsi audit internal
mematuhi standar penetapan elemen yang harus ada untuk memastikan bahwa fungsi
beroperasi dengan tepat. Secara khusus, IIA Standard 1300: Program QualityAssurance and
Improvement menyatakan bahwa "eksekutif audit utama harus mengembangkan dan
mengelola program penjaminan mutu dan perbaikan yang mencakup semua aspek aktivitas
audit internal." Penafsiran untuk standar ini selanjutnya menjelaskan bahwa “program
penjaminan mutu dan perbaikan dirancang untuk memungkinkan evaluasi terhadap Auditing
dan Standar Internal dan evaluasi apakah auditor internal menerapkan Kode Etik. Program ini
juga menilai efisiensi dan efektivitas kegiatan audit internal dan mengidentifikasi peluang
untuk perbaikan.”

1310 - Persyaratan Program Asurans dan Peningkatan Kualitas

Program asurans dan peningkatan kualitas harus mencakup baik penilaian internal maupun
eksternal.
1311 - Penilaian Internal
Penilaian internal harus mencakup
 Pemantauan berkelanjutan atas kinerja aktivitas audit internal; dan
 Penilaian berkala secara self-assessment atau oleh pihak lain dalam organisasi yang
memiliki pengetahuan memadai tentang praktik audit internal.

Interpretasi:
Pemantauan berkelanjutan merupakan bagian tidak terpisahkan dari supervisi, reviu, dan
pengukuran aktivitas audit internal berkelanjutan. Pemantauan berkelanjutan tercakup dalam
praktik dan kebijakan rutin dalam mengelola aktivitas audit internal dan dalam penggunaan
proses, alat, dan informasi yang dipertimbangkan penting dalam mengevaluasi kesesuaian
terhadap Kode Etik, dan Standar.
Penilaian berkala dilakukan untuk mengevaluasi kesesuaian terhadap Kode Etik, dan Standar.
Pengetahuan memadai tentang Standar dan praktik audit internal mensyaratkan paling tidak
adanya kepemilikan pemahaman menyeluruh atas Kerangka Praktik Profesional
Internasional.
1312 - Penilaian Eksternal
Penilaian eksternal harus dilakukan sekurang-kurangnya sekali dalam lima tahun oleh penilai
atau tim penilai yang memiliki kualifikasi memadai dan independen yang berasal dari luar
organisasi. Kepala audit internal harus mendiskusikan dengan dewan Pengawas mengenai:
 Bentuk dan frekuensi penilaian eksternal
 Kualifikasi dan independensi (tim) penilai eksternal, termasuk kemungkinan
terjadinya pertentangan kepentingan.

Interpretasi:
Penilaian eksternal dapat dilakukan melalui penilaian eksternal menyeluruh, atau penilaian
sendiri (self-assessment) dengan validasi eksternal yang independen. Asesor eksternal harus
memberikan kesimpulan mengenai kesuaian dengan Kode Etik dan Standar; asesmen eksternal
juga dapat mencakup komentar-komentar operasional atau strategis.
Penilai atau tim penilai yang kompeten menunjukkan kompetensinya dalam dua area: praktik
profesional audit internal dan proses penilaian eksternal. Kompetensi dapat ditunjukkan
melalui gabungan antara pengalaman dan pembelajaran teori. Pengalaman yang diperoleh
dari organisasi dengan ukuran, kompleksitas, sektor industri, dan isu teknis yang setara lebih
berharga dari pada pengalaman yang kurang relevan. Dalam hal dilaksanakan oleh tim
penilai, tidak seluruh anggota tim harus memiliki seluruh kompetensi yang dibutuhkan; tetapi
tim secara keseluruhan harus memiliki kualifikasi memadai. Kepala audit internal
menggunakan pertimbangan profesionalnya ketika mengevaluasi apakah seorang/tim penilai
memiliki cukup kompetensi untuk dapat disebut memiliki kualifikasi memadai.
Penilai atau tim penilai yang independen artinya, baik secara nyata maupun kesan, tidak
memiliki pertentangan kepentingan, dan tidak menjadi bagian dari, atau di bawah
pengendalian, organisasi yang membawahi aktivitas audit internal. Kepala audit internal
semestinya mendorong pengawasan dewan dalam penilaian eksternal untuk mengurangi
konflik kepentingan yang telah atau potensial terjadi.