PENDAHULUAN
1. 1 Latar Belakang
Sebagian besar orang masih menganggap bahwa Internal Auditor (IA) sama saja seperti
anjing penjaga (watchdog) yang menjadi mata-mata pemilik perusahaan. Tugasnya
melaporkan jika terjadi ketidakberesan di dalam perusahan, termasuk di dalamnya
penyimpangan dan ketidak sependapatan. Salah satu kata bijak yang pernah terkenal pada
jaman keemasan dulu mengatakan bahwa “lahan yang paling subur adalah lahan sepanjang
bayang-bayang pemilik lahan”. Filosofi inilah yang mendasari para pemilik lahan (pemegang
saham) mempercayakan lahan suburnya itu dikelola dengan baik dengan memberikan aturan
(control) dan meyakinkan para pekerjanya menjalankan control tersebut. Tanpa control dan
penilaian berkala terhadap control tersebut apakah sudah dijalankan atau tidak, maka
perusahaan akan semakin cepat menuju kepada kebangkrutan, karena perusahaan dijalankan
tanpa arah yang jelas.
Cita-cita besar yang dicanangkan the Institute of Internal Auditors (IIA) untuk profesi
auditor intern masa kini adalah auditor intern dapat menjadi partner/mitra strategis dan
advisor yang dapat dipercaya bagi manajemen, dewan komisaris dan seluruh unit kerja di
organisasi. Hal ini bisa tercapai bila auditor intern memiliki visi dan motivasi yang sama
dengan cita-cita tersebut dan pengguna utama jasa audit intern, yaitu manajemen dan dewan
komisaris merasa butuh dan menganggap audit intern dapat membantu tugas mereka
menjalankan dan mengawasi organisasi.
Auditor intern harus dapat memberikan solusi mendasar yang sesuai dengan masalah
yang dihadapi organisasi. Solusi itu semestinya memberikan dampak wow, segar atau baru,
cerdas atau bernilai tambah sehingga membantu manajemen dan dewan komisaris
mengarahkan organisasi mencapai tujuannya. Auditor intern tidak zamannya lagi hanya
sekedar melihat atau memotret masalah yang historis, melihat masalah hanya secara
sektoral/parsial dan tidak substansial karena hal itu bukan solusi yang dibutuhkan manajemen
dan dewan komisaris.
Agar dapat menjadi mitra strategis, syarat utama kompetensi auditor intern adalah
mampu menyelesaikan masalah (problem solving), berpikir analitis, dan komunikasi atau
relationship. Kegagalan auditor intern menampikkan output yang memiliki nilai tambah
kepada kliennya akan membuat para pengguna jasa memandang audit intern sebagai fungsi
yang tidak ada gunanya, tidak relevan lagi dengan kondisi bisnis, hanya menjadi beban
operasional.
Dalam banyak kondisi, masih banyak organisasi yang tidak merasa butuh audit intern,
menilai audit intern tidak memberikan manfaat, dan hanya menjadi beban. Sehingga, sumber
daya manusia yang diberikan bukan yang top class dan anggaran operasional serta anggaran
pengembangan kompetensi dibatasi.
Mengetahui tingkat kematangan dari sebuah departemen Audit Internal diharapkan
dapat membantu para pemangku kepentingan untuk menentukan strategi yang diperlukan
untuk meningkatkna kinerja dan kehandalannya. Demikian menurut laporan yang baru dirilis
oleh Institute of Internal Auditor yang bertajuk “Benchmarking Internal Audit Maturity: A
High-Level Look at Audit Planning and Processes Worldwide.” Laporan ini menjelaskan
indikator-indikator utama dari kematangan tersebut dengan berdasarkan pada data dan respon
survey yang dilakukan terhadap lebih dari 14 ribu responden yang tersebar di 166 negara.
Sekitar seperempat diantaranya merupakan Chief Audit Executives (CAE) dan hampir
separuhnya adalah staf bagian Internal Audit pada organisasinya.
1. 2 Rumusan Masalah
Berdasarkan latar belakang diatas, maka dapat dirumuskan masalah sebagai berikut:
2.1 Apa saja yang terlibat dalam pengelolaan fungsi audit internal?
2.2 Apa fungsi audit internal dalam sebuah organisasi?
1.2 Tujuan
Berdasarkan rumusan masalah diatas, maka dapat diketahui tujuan penulisan sebagai
berikut:
2.1 Mengetahui apa saja yang terlibat dalam pengelolaan fungsi audit internal?
2.2 Mengetahui dan menganalisis apa fungsi audit internal dalam sebuah organisasi?
BAB 2
LANDASAN TEORI
2. 1 Mengelola Fungsi Audit Internal
Saat ini, kita harus mengetahui keluasan dan kompleksitas fungsi audit internal dan
menyadari peran penting yang dapat dimainkannya dalam keberhasilan keseluruhan organisasi
melalui jasa assurance yang di lakukan untuk mendukung struktur tata kelola organisasi. Kita
membahas apa saja yang terlibat dalam pengelolaan fungsi audit internal. Spektrum metode
yang digunakan oleh berbagai fungsi audit internal disajikan dan manfaat masing-masing
dibahas. Dimulai dengan pembahasan mengenai berbagai pilihan mengenai struktur organisasi
untuk fungsi audit internal, termasuk di mana ia berada dalam organisasi. Kemudian,
mengidentifikasi posisi kunci dalam fungsi audit internal, termasuk Chief Audit Executive
(CAE), dan menjelaskan peran dan tanggung jawab masing-masing. Dari situ, beralih ke
kebijakan dan prosedur dengan ikhtisar tentang bagaimana memberikan panduan dan struktur
yang diperlukan untuk fungsi audit internal. Selanjutnya, memeriksa berbagai model
manajemen risiko dan melihat peran apa yang harus dan dapat dilakukan fungsi audit internal
dalam proses manajemen dan tata kelola organisasi. Setelah itu, menjelaskan kualitas assurance
dan kepentingannya dalam fungsi audit internal. Terakhir, dengan memahami berbagai alat
teknologi yang tersedia untuk fungsi audit internal dan bagaimana penggunaannya dalam
pengelolaan fungsi.
2. 2 Memposisikan Fungsi Audit Internal dalam Organisasi
Ada spektrum pendapat yang luas mengenai fungsi audit internal dapat dan harus
diposisikan dalam sebuah organisasi agar sesuai dengan Standar Internasional IIA untuk
Praktik Profesional Audit Internal (Standar). Di satu sisi spektrum, fungsi audit internal
ditempatkan pada tingkat manajemen senior, memberikan fungsi visibilitas, wewenang, dan
tanggung jawab untuk (1) mengevaluasi penilaian manajemen terhadap sistem kontrol internal
organisasi secara independen, dan (2) menilai kemampuan organisasi untuk mencapai tujuan
bisnis dan mengelola, memantau, dan mengurangi risiko yang terkait dengan pencapaian tujuan
tersebut. Selain jasa assurance, fungsi audit internal ini biasanya diminta oleh manajemen
untuk memberikan layanan konsultasi berupa inisiatif atau proyek yang memungkinkan
manajemen untuk menggunakan keahlian proffesional yang dimiliki fungsi audit internal. Di
spektrum lainnya adalah organisasi-organisasi yang tidak memiliki fungsi audit internal, atau
menempatkan fungsi audit internal mereka jauh lebih rendah dalam hirarki organisasi, biasanya
menugaskan mereka untuk melakukan aktivitas nonaudit setiap hari, seperti penjaminan mutu,
kepatuhan, operasional, dan / atau kegiatan pemrosesan transaksi lainnya.
Sebagai tanggapan terhadap definisi IIA tentang audit internal, sebagai "kegiatan
independen, objektif, assurance dan konsultasi yang dirancang untuk menambah nilai dan
memperbaiki operasi organisasi" yang "membantu organisasi mencapai tujuannya dengan
membawa pendekatan disiplin dan sistematis untuk mengevaluasi dan memperbaiki
keefektifan proses manajemen, pengendalian, dan tata kelola risiko,” banyak organisasi telah
memposisikan fungsi audit internal mereka sebagai kegiatan manajemen senior yang melapor
langsung di dewan direksi. Organisasi yang terus memposisikan fungsi audit internal untuk
melakukan kegiatan operasional dan nonaudit, pada intinya membuat fungsi tersebut tidak
dapat memberikan manajemen dengan evaluasi dan efektivitas manajemen resiko,
pengendalian, dan proses tata kelola karena mereka kekurangan objektivitas untuk
mengevaluasi operasi organisasi secara independen dan menawarkan saran yang tidak
memihak untuk perbaikan.
Organisasi yang menyadari pentingnya menempatkan fungsi audit internal dalam posisi
yang memaksimalkan keefektifan dan kemampuannya untuk mengevaluasi keampuhan proses
manajemen, pengendalian, dan proses tata kelola yang ada seringkali dilakukan melalui posisi
manajemen senior yang dijelaskan dalam standar sebagai CAE. standar IIA 2000: mengelola
kegiatan audit internal. meyatakan bahwa "chief audit executive harus secara efektif mengelola
aktivitas audit internal untuk memastikan hal tersebut menambah nilai bagi organisasi".
Menyadari bahwa CAE sangat penting bagi fungsi audit internal yang sukses, interpretasi
standar 2000 selanjutnya menyatakan bahwa "audit internal (fungsi) dikelola secara efektif
ketika:
• hasil kerja (fungsi) audit internal mencapai tujuan dan tanggung jawab termasuk dalam
piagam audit internal;
• (fungsi) audit internal sesuai dengan definisi audit internal dan standar; dan
• Individu yang merupakan bagian dari (fungsi) audit internal menunjukkan kesesuaian dengan
kode Etika dan Standar.
Kondisi yang diperlukan untuk CAE untuk memenuhi tanggung jawab yang diuraikan
di atas adalah membuat piagam yang: menetapkan posisi (fungsi) audit internal di dalam
organisasi; memberi otorisasi akses untuk merekam, dan sifat fisik yang relevan dengan
perjanjian kinerja; dan mendefinisikan ruang lingkup kegiatan audit internal "(IIA standar
1000: tujuan, wewenang, dan tanggung jawab). Selain itu, untuk menentukan tujuan,
wewenang, dan tanggung jawab fungsi audit internal, piagam harus mempertimbangkan jasa
assurance dan konsultasi. Penting untuk dipahami bahwa fungsi audit internal dan komite audit
memiliki piagam terpisah yang menggambarkan kewajiban spesifik dan terpisah masing-
masing organisasi, sambil mempertimbangkan dan mencerminkan independensi inheren
keduanya. Piagam fungsi audit internal tunduk pada piagam komite audit dan harus
mendukung, tidak bertentangan dengan itu. Fungsi audit internal sering kali melengkapi
piagam tersebut dengan pernyataan visi dan / atau misi formal, serta strategi jangka panjang
yang rinci untuk fungsi audit internal. Seringkali informasi suplemental ini, bersama dengan
anggaran operasional, dan rencana sumber daya, disertakan dalam rencana audit internal
tahunan yang disampaikan kepada komite audit untuk tinjauan dan persetujuannya. Berbagai
dokumen terpisah, bersamaan dengan kebijakan dan prosedur operasi fungsi audit internal,
biasanya digabungkan menjadi satu set prinsip panduan, yang umumnya disebut sebagai
"manual audit") yang, bersamaan dengan informasi prosedural lainnya, mendorong fungsi
audit internal. Berikut ditampilkan mengenai rekomendasi untuk menetapkan piagam audit
internal.
Practice advisory 1000-1: piagam audit internal
1. Memberikan piagam audit internal formal dan tertulis sangat penting dalam mengelola
aktivitas audit internal. piagam tersebut memberikan pernyataan yang diakui untuk ditinjau
dan diterima oleh manajemen untuk disetujui, seperti yang didokumentasikan dalam notulen,
oleh dewan direksi. Ini juga memfasilitasi penilaian berkala terhadap kecukupan tujuan,
wewenang dan tanggung jawab kegiatan audit internal, yang menetapkan peran kegiatan audit
internal. Jika sebuah pertanyaan muncul, piagam tersebut memberikan persetujuan tertulis
secara formal dengan manajemen dan dewan pengurus tentang kegiatan audit internal
organisasi.
2. Eksekutif audit utama (CAE) bertanggung jawab untuk menilai secara berkala apakah
tujuan, wewenang dan tanggung jawab kegiatan audit internal sebagaimana ditetapkan dalam
piagam, tetap memadai untuk memungkinkan kegiatan mencapai tujuannya. CAE juga
bertanggung jawab untuk mengkomunikasikan hasil penilaian ini kepada manajemen senior
dan dewan direksi.
Selain menetapkan piagam, misi dan / atau visi, dan rencana audit internal, CAE bertanggung
jawab untuk membangun dan mempertahankan independensi, objektifitas, kemampuan, dan
kecermatan profesional yang sesuai dalam fungsi audit internal. Sebelumnya, posisi audit
internal mempengaruhi sejauh mana ia dapat tetap objektif. Diposisikan sejajar dengan
manajemen senior dengan akses langsung ke panitia audit memberi fungsi audit internal
independensi yang lebih baik dan akibatnya objektivitas lebih besar. Partisipasi komite audit
dalam pemilihan, evaluasi, dan pembebasan CAE untuk meningkatkan kemampuan CAE untuk
menjaga independensi organisasional dan meminimalkan kemungkinan manajemen senior
mengungkapkan pengaruh yang akan mempengaruhi kemampuannya untuk bertindak tanpa
bias (objektivitas individual) . Pada awalnya, fungsi tersebut akan diposisikan cukup tinggi di
dalam organisasi dengan akses langsung ke komite audit untuk memungkinkan penyesuaian
dengan persyaratan dan rekomendasi IIA seperti yang dijelaskan di bawah ini.
Independensi dan Objektivitas
IIA standar 1110: independensi organisasi menyatakan, "chief executive audit harus
melaporkan ke tingkat di dalam organisasi yang memungkinkan kegiatan audit internal
memenuhinya tanggung jawabnya." Secara lebih spesifik, standar 1110. AI menetapkan bahwa
"kegiatan audit internal harus bebas dari gangguan dalam menentukan ruang lingkup audit
internal, melakukan pekerjaan dan, mengkomunikasikan hasil. "Konsultasi praktek 1110-1:
independensi organisasi semakin rinci, dengan menekankan pentingnya manajemen senior dan
dukungan dewan terhadap fungsi audit internal untuk membantu memastikan kerjasama
auditee ketika fungsi audit internal bekerja.
IIA Standar 1120: obyektivitas individual menyatakan, "auditor internal harus memiliki
sikap tidak bias dan tidak memihak dan menghindari konflik kepentingan." IIA selanjutnya
menguraikan persyaratan dalam practice advisory 1120-1: objektivitas individual:
1. Obyektifitas individu berarti auditor internal melakukan perjanjian sedemikian rupa
sehingga mereka memiliki kepercayaan terhadap produk mereka dan bahwa tidak ada
kompromi kualitas yang signifikan. Auditor internal tidak ditempatkan dalam situasi yang
dapat mengganggu kemampuan mereka untuk membuat keputusan proffesional yang obyektif.
2. Obyektifitas individu melibatkan eksekutif kepala eksekutif (CAE) yang mengatur tugas staf
yang mencegah potensi dan konflik kepentingan dan bias yang sebenarnya, secara berkala
mendapatkan informasi dari staf audit internal mengenai potensi konflik kepentingan dan bias,
dan bila memungkinkan, memutar audit internal tugas staf secara berkala.
3. Meninjau hasil kerja audit internal sebelum komunikasi keterlibatan terkait dilepaskan
membantu memastikan bahwa pekerjaan tersebut dilakukan secara obyektif.
4. Objektivitas auditor internal tidak terpengaruh bila auditor merekomendasikan standar
pengendalian untuk sistem atau prosedur tinjauan sebelum diterapkan. Objektivitas auditor
dianggap terganggu jika auditor merancang, menginstal, merancang prosedur, atau
mengoperasikan sistem semacam itu.
5. Kinerja nonaudit sesekali oleh auditor internal, dengan pengungkapan penuh dalam proses
pelaporan, tidak akan mengganggu objektivitas. Namun, perlu pertimbangan cermat oleh
manajemen dan auditor internal agar tidak mempengaruhi objektivitas auditor internal.
Sebagaimana dibahas dalam Standar IIA 1130: Kendala terhadap Independensi atau
Obyektivitas:
Jika independensi atau objektivitas terkendala baik fakta atau penampilan, rincian dari kendala
tersebut harus diungkapkan kepada pihak-pihak yang berwenang. Sifat pengungkapan akan
tergantung pada bentuk kendala tersebut.
Interpretasi:
Kelalaian terhadap independensi organisasi dan objektivitas individu dapat mencakup, namun
tidak terbatas pada, konflik kepentingan pribadi, batasan ruang lingkup, pembatasan akses
terhadap catatan, personil, dan properti, dan keterbatasan sumber daya, seperti pendanaan.
Penentuan pihak-pihak yang tepat dimana rincian gangguan terhadap independensi atau
objektivitas harus diungkapkan tergantung pada harapan kegiatan audit internal dan tanggung
jawab eksekutif utama audit kepada manajemen senior dan dewan direksi sebagaimana
dijelaskan dalam piagam audit internal, juga sebagai sifat dari penurunan tersebut.
Jika terjadi penurunan independensi atau objektivitas, auditor internal harus melaporkan
penurunan atau penurunan nilai kepada CAE yang harus memutuskan apakah auditor internal
perlu ditugaskan kembali. Bila penurunan tersebut diakibatkan oleh batasan ruang lingkup,
yang didefinisikan dalam Practice Advisory 1130-1: Penurunan terhadap Kemandirian atau
Obyektivitas sebagai "pembatasan yang ditempatkan pada aktivitas audit internal yang
menghalangi aktivitas untuk mencapai tujuan dan rencananya." CAE harus melaporkan
pembatasan tersebut ke dewan Komunikasi CAE ke dewan harus dilakukan secara tertulis dan
mencakup dampak potensial dari keterbatasan ruang lingkup. Selain itu, untuk mencegah
kemungkinan terjadinya gangguan (aktual atau yang dirasakan), auditor internal tidak dapat
"menerima biaya, hadiah, atau hiburan dari karyawan, klien, pelanggan, pemasok, atau rekan
bisnis" (Practice Advisory 1130-1).
Seringkali, fungsi audit internal akan mengkoordinasikan usaha dengan departemen
lain dalam organisasi yang memiliki tujuan dan tanggung jawab mitigasi risiko yang serupa,
seperti kepatuhan dan manajemen risiko. Selama fungsi audit internal tidak diminta untuk
melakukan operasi atau proses perancangan dan prosedur yang nantinya perlu mereka evaluasi
sebagai bagian dari tugas mereka sebagai fungsi audit internal, tidak ada penurunan
independensi atau objektivitas. Koordinasi jenis ini dapat menambah nilai penting bagi
organisasi dan mendorong pemanfaatan sumber daya yang efisien dalam upaya mitigasi risiko
organisasi. Demikian pula, fungsi audit internal dapat mengidentifikasi peluang untuk
mengkoordinasikan upaya penjaminan antara berbagai wilayah organisasi tanpa mengurangi
independensi atau objektivitas.
Kecakapan dan Kecermatan Profesional
IIA Standard 1200: Kecakapan dan Kecermatan Profesional menyatakan bahwa
"keterlibatan harus dilakukan dengan kemampuan dan perawatan profesional yang matang."
Standar IIA 1210: Kemahiran berjalan lebih banyak detail, yang menyatakan bahwa "auditor
internal harus memiliki pengetahuan, keterampilan, dan kompetensi lainnya. dibutuhkan untuk
melakukan tanggung jawab masing-masing. Kegiatan audit internal secara kolektif harus
memiliki atau memperoleh pengetahuan, keterampilan, dan kompetensi lain yang diperlukan
untuk melaksanakan tanggung jawabnya. "Selanjutnya, IIA Standard 1220: Kecermatan
Profesional menyatakan bahwa" auditor internal harus menggunakan kecermatan dan keahlian
yang diharapkan dari auditor internal yang bijaksana dan kompeten karena kecermatan
profesional tidak berarti tidak akan terjadi kekeliruan."
Penting untuk dicatat bahwa interpretasi Standar 1200 mendefinisikan "pengetahuan,
keterampilan, dan kompetensi lain sebagai istilah kolektif yang mengacu pada kemampuan
profesional yang dibutuhkan auditor internal untuk secara efektif melaksanakan tanggung
jawab profesional mereka." Tafsir ini selanjutnya mendorong internal auditor untuk
"menunjukkan kemampuan mereka dengan memperoleh sertifikasi dan kualifikasi profesional
yang sesuai, seperti penetapan Auditor Internal dan sebutan lainnya yang ditawarkan oleh
Institute of Internal Auditor dan organisasi profesional lainnya yang sesuai."
PERENCANAAN
Seperti yang telah disebutkan sebelumnya, CAE bertanggung jawab untuk membuat
anggaran operasional dan mengalokasikan sumber daya dengan cara yang dirancang untuk
mencapai rencana audit internal tahunan. Rencana tahunan dikembangkan oleh fungsi audit
internal melalui proses yang mengidentifikasi dan memprioritaskan entitas audit yang mungkin
(unit bisnis atau proses, yang disebut sebagai "audit universe") yang bertanggung jawab untuk
mengurangi risiko strategis, operasi, pelaporan, dan kepatuhan utama ke tingkat diterima oleh
direksi dan manajemen senior organisasi. Risiko utama adalah mereka yang menghadapi
organisasi yang harus dikendalikan dan dipantau agar sebuah organisasi berhasil
menyelesaikan tujuan bisnisnya yang telah ditetapkan. Risiko-risiko ini, yang diidentifikasi
oleh manajemen senior, harus diperkuat secara independen oleh fungsi audit internal. Setelah
risiko utama diidentifikasi dan disepakati, CAE menentukan unit bisnis dan proses spesifik
mana yang bertanggung jawab untuk mengurangi risiko ini. Informasi yang dihasilkan
kemudian tunduk pada proses yang mengutamakan dan memberi peringkat risiko dan unit
bisnis atau proses terkait. CAE mempertimbangkan semua informasi ini dan menentukan
sumber daya manusia dan keuangan yang diperlukan untuk menilai seberapa efektif organisasi
mengelola risiko yang mengancam tujuan bisnisnya dan untuk mengidentifikasi peluang
peningkatan manajemen risiko. Rencana audit kemudian dapat diimplementasikan dengan
menetapkan personil tertentu ke perikatan individu dalam rencana tersebut selama tahun
anggaran berikutnya. Fungsi audit internal akan menerapkan dan menetapkan sumber daya
untuk melaksanakan rencana audit internal sepanjang tahun buku, dan banyak yang akan
memperbarui dan menyusun kembali rencana audit internal lebih sering setiap tahun (misalnya,
tiga bulanan atau bulanan)
Ada beberapa teori untuk penataan rencana audit internal. Banyak fungsi audit internal telah
beralih ke proses komprehensif dimana manajemen senior dan fungsi audit internal bekerja
sama untuk menyelesaikan penilaian risiko formal secara menyeluruh untuk menyusun daftar
prioritas skenario risiko utama yang dihadapi organisasi yang harus dikelola secara tepat oleh
organisasi. untuk mencapai tujuan bisnis utama. Akan jauh lebih umum, jika prosesnya bersifat
informal dan kurang kolaboratif. Apapun proses yang digunakan, efektivitas maksimum
tercapai bila proses penilaian risiko selesai setiap tahun di awal atau sebelum tahun anggaran
organisasi. Hal ini memungkinkan CAE menyelaraskan sumber audit untuk tahun yang akan
datang dengan kesimpulan yang ditarik oleh manajemen selama proses penilaian risiko.
Menyediakan CAE dengan daftar pasti entitas audit yang terkait dengan risiko yang
diprioritaskan memungkinkan terciptanya rencana audit internal dengan menggunakan
pendekatan berbasis risiko turunan. Namun, banyak organisasi dan fungsi audit internalnya
masih belum menggunakan pendekatan ini. Sebagai gantinya, mereka terus membuat rencana
audit internal yang secara siklis mengaudit setiap area organisasi dengan unit bisnis atau proses
yang diprioritaskan terlebih dahulu untuk cakupan audit lebih sering dan unit bisnis atau proses
yang lebih rendah diprioritaskan lebih jarang.
IIA membahas perbedaan antara jasa assurance dan jasa konsultasi yang berkaitan dengan
Standar IIA 2010: Perencanaan dengan Standar 2010.A1 dan 2010.C1:
Jasa assurance. Rencana kegiatan audit internal untuk keterlibatan harus didasarkan pada
penilaian risiko dokumen, yang dilakukan setidaknya setiap tahun. Masukan dari manajemen
senior dan dewan direksi harus dipertimbangkan dalam proses ini. (Standar 2010.A1)
Jasa konsultasi. Eksekutif audit utama harus mempertimbangkan untuk menerima saran
konsultasi yang diajukan berdasarkan potensi keterlibatan untuk memperbaiki pengelolaan
risiko, menambah nilai, dan memperbaiki operasi organisasi. Keterlibatan yang diterima harus
disertakan dalam rencana. (Standar 2010.C1)
Proses perencanaan harus mencakup penetapan tujuan, jadwal keterlibatan, dan anggaran
keuangan. Selain itu, perencanaan yang efektif harus mencerminkan piagam audit internal dan
konsisten dengan tujuan organisasi.
Posisi ini sebenarnya akan semakin luas atau berkembang tergantung filosofi, struktur,
mandate fungsi audit internal, lingkungan peraturan serta struktur tata kelola perusahaan. Posisi
spesialis dapat berkisar dari tingkat staf sampai direktur, tergantung pada kompleksitas
keahlian materi pelajaran yang dibutuhkan, pengalaman yang diinginkan, dan kebutuhan
khusus dari fungsi audit internal,
e. Strategic Sourcing
Strategi sourcing, juga disebut sebagai co sourcing atau aousourcing, yang memungkinkan
CAE untuk mengoptimalkan basis keterampilan dan pertimbangan keuangan yang berkaitan
dengan kepegawaian. Outsourcing dapat dilakukan dengan melihat kondisi yang ada. CAE
dengan penggunaan sumber strategis, mampu mempertahankan fungsi audit internal yang
efektif dengan mempekerjakan rekan kerja permanen yang memiliki basis keterampilan umum
dan luas dengan tetap menjaga fleksibilitas ahli teknis yang diperlukan untuk project atau
perikatan tertentu, tapi akan dikenakan biaya mahal untuk tetap bertahan di staf. Strategi
sourcing juga digunakan dalam skedul ketika jam yang diproyeksikan yang diperlukan untuk
menyelesaikan rencana audit internal melebihi jumlah jam yang tersedia dari staf tetap, namun
bila mempekerjakan anggota staf lain tidak aka efisien, biaya mahal, tidak praktis dengan
kondisi pasar yang meluas.
h. Penjadwalan
Begitu perpaduan yang tepat antara rekan sekerja dan sumber strategis diatur secara tepat
dalam fungsi audit internal, CAE dapat mulai menugaskan perikatan dan proyek khusus kepada
personil yang paling sesuai untuk menjalankannya. Di sinilah manfaat praktik perekrutan yang
baik dan ukuran yang tepat menjadi nyata. CAE memaksimalkan anggaran keuangan yang
menciptakan tim audit internal yang, berdasarkan keahlian dan pengalaman mereka, akan
paling efektif dan efisien mencapai tujuan keterlibatan tertentu. Pada saat bersamaan, CAE
mempertimbangkan kebutuhan pengembangan staf dan pekerjaan untuk menyeimbangkan
peluang pengembangan yang dapat diberikan keterlibatan spesifik kepada mereka dan
kebutuhan untuk menyelesaikan keterlibatan dalam kerangka waktu yang dijadwalkan.
CAE memaksimalkan anggaran keuangan dengna membuat tim berdasarkan keahlian dan
pengalaman. Pada saat yang bersamaan, CAE memenuhi kebutuhan staf dan pekerjaan untuk
menyeimbangkan kesempatan peningkatan dari penguasan yang spesifik yang bisa disediakan
dan kebutuhan memenuhi penugasan yang telah ditetapkan waktunya.
i. Penganggaran Keuangan
Anggaran keuangan terutama didorong oleh rencana audit internal, struktur organisasi, dan
strategi kepegawaian. CAE harus mengevaluasi secara cermat sumber daya keuangan yang
diperlukan untuk mencapai tujuan yang ditetapkan. Harus jelas pada saat ini bahwa anggaran
keuangan berdampak baik dan dipengaruhi oleh masing-masing tugas yang dilakukan oleh
CAE seperti yang dijelaskan di atas. CAE harus mengevauasi dengan sungguh-sungguh
sumber-sumber keuangan yang diperlukan untuk menyelesaikan tujuan yang telah ditetapkan.
Untuk memanfaatkan efisiensi antara auditor internal dan auditor luar yang independen,
CAE harus memperluas kesempatan yang sama seperti yang dijelaskan di atas kepada auditor
luar yang independen sehingga mereka dapat mengandalkan pekerjaan yang dilakukan oleh
fungsi audit internal. Untuk mencapai koordinasi dua arah ini, ada baiknya bagi auditor internal
dan auditor luar yang independen untuk "menggunakan teknik, metode, dan terminologi yang
serupa" (Practice advisory 2050-1). Hal ini dicapai melalui pertemuan rutin selama kegiatan
audit yang direncanakan dibahas, termasuk waktu penyelesaian dan dampaknya, jika ada,
pengamatan dan rekomendasi mengenai ruang lingkup pekerjaan yang direncanakan. Selain
itu, fungsi audit internal harus tersedia bagi auditor luar independen di semua komunikasi akhir,
termasuk tanggapan manajemen terhadap mereka, dan semua tinjauan tindak lanjut yang
berlaku. Informasi ini memungkinkan auditor luar yang independen melakukan penyesuaian
yang diperlukan terhadap cakupan dan waktu pekerjaan terjadwal mereka. Demikian juga,
fungsi audit internal harus memiliki akses terhadap materi dan komunikasi auditor independen
di luar sehingga CAE dapat memastikan "tindakan tindak lanjut dan perbaikan yang tepat telah
dilakukan" (Practice Advisory 2050-1).
Meskipun CAE bertanggung jawab atas koordinasi antara fungsi audit internal dan auditor
independen, dewan bertanggung jawab untuk mengawasi koordinasi tersebut dan juga
pekerjaan yang dilakukan oleh auditor luar yang independen. Ini berarti bahwa CAE perlu
mendapatkan dukungan dewan eto relatif untuk mengkoordinasikan upaya fungsi audit internal
dan auditor eksternal independen secara efektif. CAE membuat dewan mengetahui hasil
penilaian berkelanjutan terhadap upaya koordinasi ini secara umum dan kinerja auditor
eksternal independen secara khusus, melalui komunikasi reguler.
Tanggung jawab ini sebagian besar dilakukan melalui layanan penjaminan yang diberikan
oleh fungsi audit internal. Piagam audit internal mendefinisikan peran apa yang dimainkan oleh
fungsi audit inteernal dalam memberikan kepastian sehubungan dengan proses tata kelola dan
harus mencerminkan harapan dewan, bab 3 memberikan contoh berikut mengenai tanggung
jawab tata kelola fungsi audit internal:
Mengevaluasi apakah berbagai aktivitas manajemen risiko dirancang secara memadai
untuk mengelola risiko yang terkait dengan hasil yang tidak dapat diterima.
Menguji dan mengevaluasi apakah berbagai aktivitas manajemen risiko berjalan sesuai
yang dirancang.
Menentukan apakah asersi yang dibuat oleh pemilik risiko terhadap manajemen senior
mengenai efektivitas kegiatan pengelolaan risiko secara akurat mencerminkan keadaan
efektivitas manajemen risiko saat ini.
Menentukan apakah asersi yang dibuat oleh manajemen senior kepada dewan pengurus
mengenai keefektifan kegiatan manajemen risiko memberikan informasi yang
diinginkan kepada dewan tentang keadaan efektivitas manajemen risiko saat ini.
Mengevaluasi apakah informasi toleransi risiko dikomunikasikan secara tepat waktu
dan efektif dari dewan ke manajemen senior dan dari manajemen senior kepada pemilik
risiko.
Dengan mempertimbangkan apakah ada area risiko lain yang saat ini tidak termasuk
dalam proses tata kelola tetapi harus (misalnya, risiko yang toleransi risiko dan harapan
yang diajukan belum didelegasikan kepada pemilik risiko tertentu)
Untuk melaksanakan tanggung jawab ini, fungsi audit internal harus memiliki pemahaman
yang jelas tentang arah dan harapan tata kelola dewan, termasuk tingkat toleransi risiko dan
ekspektasi pelaporan. Rencana audit internal harus mencerminkan pemahaman tersebut dengan
memasukkan kegiatan kepastian tata kelola yang sesuai dan memberikan kesempatan untuk
komunikasi reguler kepada manajemen senior dan dewan pengurus mengenai efektivitas
kegiatan manajemen risiko. Lihat bab 3, "tata kelola" di mana tata kelola dibahas lebih rinci.
Interpretasi:
Penilaian efektivitas proses pengelolaan risiko merupakan suatu pendapat berdasarkan
evaluasi dari auditor bahwa:
Tujuan organisasi telah mendukung dan terkait dengan misi organisasi;
Risiko signifikan telah diidentifikasi dan dinilai;
Respon risiko yang sesuai telah dipilih dan sesuai dengan selera risiko organisasi; dan
Informasi yang relevan mengenai risiko telah diperoleh dan dikomunikasikan
dalam waktu yang tepat ke seluruh unit organisasi, yang membuat staf, Manajemen,
dan dewan dapat melaksanakan tanggung jawabnya.
Aktivitas audit internal dapat memperoleh informasi untuk mendukung penilaian tersebut dari
berbagai penugasan. Hasil berbagai penugasan tersebut, apabila dilihat secara bersamaan,
akan memberikan pemahaman proses pengelolaan risiko organisasi dan efektivitasnya. Proses
pengelolaan risiko dipantau melalui aktivitas manajemen yang berkelanjutan, evaluasi
terpisah, atau keduanya.
2120.A1-Aktivitas audit internal harus mengevaluasi eksposur risiko terkait tata kelola,
operasi, dan sistem informasi organisasi, mencakup:
Pencapaian tujuan strategis organisasi;
Reliabilitas dan integritas informasi keuangan dan operasi;
Efektivitas dan efisiensi operasi dan program;
Pengamanan aset; dan
Ketaatan terhadap hukum, peraturan perundang-undangan, kebijakan, prosedur
dan kontrak.
2120.A2-Aktivitas audit internal harus mengevaluasi potensi timbulnya
kecurangan dan bagaimana organisasi mengelola risiko tersebut.
Menurut IIA Standard 2120: Manajemen Risiko, "Aktivitas audit internal harus
mengevaluasi keefektifan dan berkontribusi pada peningkatan proses manajemen risiko."
Penafsiran untuk standar ini menyatakan:
Menentukan apakah proses manajemen risiko efektif adalah penilaian hasil penilaian
auditor internal bahwa:
Tujuan organisasi mendukung dan menyelaraskan dengan misi organisasi;
Risiko signifikan diidentifikasi dan dinilai;
Respons risiko yang tepat dipilih yang menyelaraskan risiko dengan risk appetite
organisasi; dan
Informasi risiko yang relevan ditangkap dan berkomunikasi tepat waktu di seluruh
organisasi, memungkinkan staf, manajemen, dan dewan direksi untuk melaksanakan
tanggung jawab mereka.
Proses manajemen risiko dipantau melalui kegiatan manajemen yang berkelanjutan,
evaluasi terpisah, atau keduanya.
Secara praktis, fungsi audit internal harus meningkatkan manajemen risiko dan
mitigasi, memberikan tingkat perlindungan yang lain. Gambar diatas menunjukkan berbagai
aktivitas yang mungkin diminta oleh fungsi audit internal, yang merinci kegiatan mana yang
sesuai dan harus dihindari. Proses Manajemen Risiko lebih rinci mengenai tanggung jawab
fungsi audit internal mengenai manajemen risiko.
CONTROL (PENGENDALIAN)
2130 – Pengendalian
Aktivitas audit internal harus membantu organisasi memelihara pengendalian yang efektif
dengan cara mengevaluasi efisiensi dan efektivitasnya serta mendorong pengembangan
berkelanjutan.
Standar IIA 2130: Pengendalian menyatakan "Aktivitas audit internal harus membantu
organisasi dalam menjaga kontrol yang efektif dengan mengevaluasi efektivitas dan efisiensi
mereka dengan mempromosikan perbaikan berkelanjutan."
Dalam hal memberikan layanan penjaminan, informasi yang keluar dari penilaian risiko harus
mengesampingkan arahan fungsi audit internal saat mengevaluasi "kecukupan dan efektivitas
pengendalian dalam merespons risiko di dalam sistem tata kelola, operasi, dan informasi
organisasi mengenai:
• Pencapaian tujuan starateis organisasi;
• Keandalan dan integritas informasi keuangan dan operasional (non finansial);
• Efektivitas dan efisiensi operasi;
• Melindungi aset; dan
• Kepatuhan terhadap hukum, peraturan, dan kontrak. "(Standar 2130.A1)
Selain itu, fungsi audit internal harus mengidentifikasi tujuan area yang diaudit dan menilai
seberapa baik mereka sesuai dengan tujuan organisasi. Keterlibatan jaminan harus menilai
apakah kontrol diterapkan secara efektif mendukung pencapaian tujuan tersebut.
Selanjutnya, Standars 2130.C1 menyatakan bahwa "Auditor internal harus memasukkan
knowladge of control yang diperoleh dari kesepakatan yang sesuai untuk mengevaluasi proses
pengendalian organisasi." Kontrol dibahas secara rinci bab 6, "Pengendalian Internal."
Interpretasi:
Pemantauan berkelanjutan merupakan bagian tidak terpisahkan dari supervisi, reviu, dan
pengukuran aktivitas audit internal berkelanjutan. Pemantauan berkelanjutan tercakup dalam
praktik dan kebijakan rutin dalam mengelola aktivitas audit internal dan dalam penggunaan
proses, alat, dan informasi yang dipertimbangkan penting dalam mengevaluasi kesesuaian
terhadap Kode Etik, dan Standar.
Penilaian berkala dilakukan untuk mengevaluasi kesesuaian terhadap Kode Etik, dan Standar.
Pengetahuan memadai tentang Standar dan praktik audit internal mensyaratkan paling tidak
adanya kepemilikan pemahaman menyeluruh atas Kerangka Praktik Profesional
Internasional.
1312 - Penilaian Eksternal
Penilaian eksternal harus dilakukan sekurang-kurangnya sekali dalam lima tahun oleh penilai
atau tim penilai yang memiliki kualifikasi memadai dan independen yang berasal dari luar
organisasi. Kepala audit internal harus mendiskusikan dengan dewan Pengawas mengenai:
Bentuk dan frekuensi penilaian eksternal
Kualifikasi dan independensi (tim) penilai eksternal, termasuk kemungkinan
terjadinya pertentangan kepentingan.
Interpretasi:
Penilaian eksternal dapat dilakukan melalui penilaian eksternal menyeluruh, atau penilaian
sendiri (self-assessment) dengan validasi eksternal yang independen. Asesor eksternal harus
memberikan kesimpulan mengenai kesuaian dengan Kode Etik dan Standar; asesmen eksternal
juga dapat mencakup komentar-komentar operasional atau strategis.
Penilai atau tim penilai yang kompeten menunjukkan kompetensinya dalam dua area: praktik
profesional audit internal dan proses penilaian eksternal. Kompetensi dapat ditunjukkan
melalui gabungan antara pengalaman dan pembelajaran teori. Pengalaman yang diperoleh
dari organisasi dengan ukuran, kompleksitas, sektor industri, dan isu teknis yang setara lebih
berharga dari pada pengalaman yang kurang relevan. Dalam hal dilaksanakan oleh tim
penilai, tidak seluruh anggota tim harus memiliki seluruh kompetensi yang dibutuhkan; tetapi
tim secara keseluruhan harus memiliki kualifikasi memadai. Kepala audit internal
menggunakan pertimbangan profesionalnya ketika mengevaluasi apakah seorang/tim penilai
memiliki cukup kompetensi untuk dapat disebut memiliki kualifikasi memadai.
Penilai atau tim penilai yang independen artinya, baik secara nyata maupun kesan, tidak
memiliki pertentangan kepentingan, dan tidak menjadi bagian dari, atau di bawah
pengendalian, organisasi yang membawahi aktivitas audit internal. Kepala audit internal
semestinya mendorong pengawasan dewan dalam penilaian eksternal untuk mengurangi
konflik kepentingan yang telah atau potensial terjadi.