Chapter 26

Ethics and Whistleblowers Programs

Auditor internal dipandang sebagai pelopor etis dalam perusahaan

yang mana apabila ada peristiwa, kejadian, ataupun transaksi yang

menimbulkan indikasi pelanggaran dalam sebuah operasional,

manajemen selalu melibatkan peran auditor internal untuk melakukan

penyelidikan, karena standar profesional mereka yang kuat, didukung

oleh kode etik profesional baik yang diakui, auditor internal harus

menjadi pemimpin yang etis dalam perusahaan. Pengetahuan dan

pemahaman tentang auditor internal, kode perilaku profesional adalah

kunci badan audit internal umum tentang kebutuhan pengetahuan

(CBOK). Etika dan enterprise-wide kode etik memiliki peran yang lebih

besar pada saat ini. Selama bertahun-tahun, banyak perusahaan

mengucapkan kata-kata tentang komitmen mereka untuk etika tetapi

tidak pernah ada tindak lanjutnya.

Sementara audit internal memiliki peran yang terus-menerus,

banyak dari inisiatif ini juga telah diluncurkan oleh departemen lain,

termasuk sumber daya manusia (SDM) dan badan hukum. Sekedar

mempromosikan lingkungan etika bagi semua stakeholder perusahaan,

inisiatif seluruh perusahaan harus menekankan pemangku kepentingan

kode etik individu yang kuat, pengakuan nilai-nilai inti perusahaan, dan

1
program whistleblower. Saat ini karyawan dan pemangku kepentingan di

semua tingkat didorong untuk berpikir dan bertindak berbeda dari pada

tahun terakhir.

26.1 Enterprise Ethics, Compliance, and Governance

Kode etik adalah komponen utama dari standar profesional audit

internal, dan auditor internal banyak terlibat dengan meninjau dan

membantu untuk meningkatkan etika perusahaan mereka. Banyak

kegagalan yang terjadi di Amerika Serikat yang mana berasal dari

pelanggaran terhadap etika kinerja oleh manajer bisnis di berbagai

tingkatan. Secara historis, kegagalan tersebut bukan hal yang baru.

Penyimpangan etika telah terjadi sejak awal bisnis dan berdagang —

setidaknya selama 1.000 tahun terakhir jika tidak lebih awal. Namun,

penyimpangan hari ini sering terjadi tampak berbeda, ketika akses kami

ke informasi dipublikasikan secara luas.

Perusahaan dari semua ukuran dan bidang bisnis saat ini harus

membentuk fungsi etika yang efektif, termasuk pernyataan misi dan

kode etik. Meskipun program etika perusahaan penting saat ini,

perusahaan tidak bisa mengklaim memiliki menerapkan program seperti

ini dengan hanya menerbitkan kode organisasi bisnis dan melakukannya

bersama untuk seluruh karyawan untuk membacanya. Program etika

yang efektif memerlukan komitmen formal antara perusahaan dan

karyawan dan agen untuk melakukan hal yang benar. Banyak

2
perusahaan saat ini telah memiliki unsur-unsur program etika di tempat

yang lainnya menganggap mereka memiliki etika karena praktek-

praktek yang baik, bukan karena masalah baru-baru ini. Salah satu

implementasi yang terlihat yakni karyawan baru diminta untuk

membaca dan menandatangani kode etik perusahaan.

Program etika efektif untuk perusahaan dimulai dengan

pemahaman risiko lingkungan dan kemudian memerlukan kode etik yang

efektif. Sementara penekanan mungkin sedikit berbeda pada berbagai

tingkatan, setiap orang harus menyadari dari perusahaan itu nilai dan

misi secara keseluruhan. Sebagai pihak yang alami tertarik pada baik,

praktek bisnis yang etis, audit internal harus dalam posisi kunci untuk

membantu peluncuran sebuah perusahaan-wide etika berfungsi jika

seseorang tidak ada atau untuk membantu memperbaiki semua program

saat ini. Hanya sebagai auditor internal harus memahami bagaimana

untuk mengevaluasi dan merekomendasikan kontrol akuntansi internal

yang efektif, mereka harus memiliki pemahaman dasar tentang unsur-

unsur dari program etika organisasi yang efektif.

Bab ini akan menunjukkan bagaimana pentingnya sebuah

perusahaan memiliki kode dan program etika yang efektif. Sementara

kode etik perusahaan ini dan standar tidak boleh bertentangan dengan

standar profesional auditor internal sendiri, auditor internal harus selalu

3
menentukan, sebagai bagian dari tinjauan pengendalian internal, bahwa

ada kode tingkat perusahaan yang efektif.

26.2 Ethics First Steps: Developing A Mission Statement

Setiap perusahaan, tidak peduli apa ukuran, harus memiliki

pernyataan misi formal untuk menggambarkan tujuan dan nilai-nilai

secara keseluruhan. Pernyataan misi harus menjadi petunjuk untuk

membiarkan karyawan, pelanggan, pemegang saham, dan pemangku

kepentingan lainnya tahu apa perusahaan singkatan dan apa tidak.

Sekali sedikit lebih dari lelah yang terdengar slogan, pernyataan misi

perusahaan yang efektif telah menjadi sangat penting untuk

mempromosikan etika organisasi yang kuat dan tata kelola perusahaan

yang baik. misi yang efektif dapat menjadi aset besar untuk suatu,

perusahaan yang memungkinkan untuk lebih mencapai tujuan organisasi

dan tujuan.

Bekerja dengan fungsi petugas etika dan manajemen senior, audit

internal dapat membantu untuk mengevaluasi pernyataan misi atau

menulis ulang dan memulai yang baru. Jika karyawan atau pemangku

kepentingan lainnya tidak menyadari pernyataan misi perusahaan atau

jika mereka melihatnya sebagai sedikit lebih dari satu set kata-kata

berarti, ada kebutuhan untuk meninjau kembali dan merevisi dokumen

itu. Sebuah pernyataan misi sering dibuat buruk lebih berbahaya

4
daripada baik, membuat anggota sinis dan tidak bahagia organisasi yang

menolak perubahan. Jika perusahaan tidak memiliki pernyataan misi

atau nilai-nilai, audit internal harus merekomendasikan perakitan tim

untuk mengembangkan sebuah pernyataan yang mencerminkan nilai-

nilai keseluruhan perusahaan dan tujuan.

Setelah perusahaan telah mengembangkan sebuah pernyataan misi

baru atau telah merevisi yang sudah ada, itu harus diterapkan di semua

anggota perusahaan dengan tingkat yang baik publisitas. Menggunakan

pendekatan nada-at-the-top, manajer senior harus menjelaskan alasan

untuk laporan misi baru dan mengapa itu akan penting bagi perusahaan.

Ini harus dipasang pada billboard fasilitas, dalam laporan tahunan, dan

tempat lain untuk mendorong semua pemangku kepentingan untuk

membaca dan menerimanya. Pernyataan misi, bagaimanapun,

seharusnya tidak berdiri dengan sendirinya. Serangkaian langkah kunci

lainnya yang dibutuhkan untuk membangun etika yang efektif dan fungsi

kepatuhan.

26.3 Understanding The Ethics Risk Environment

Program etika yang efektif tidak dapat melindungi perusahaan

dari risiko gempa bumi besar atau beberapa peristiwa bencana besar

lainnya, etika akan lebih efektif untuk pencegahan dari risiko operasional

yang langsung berasal dari perusahaan. Audit internal akan lebih

5
memberi peran dalam mengontrol sikap dan praktik karyawan di

operasional sehari-hari. Sikap dan risiko etika dapat dinilai melalui

peninjauan yang ditargetkan temuan dari audit sebelumnya atau melalui

ulasan khusus berdasarkan karyawan dan survei sikap etika pemangku

kepentingan.

Audit internal dapat menyelesaikan survei etika semacam itu

melalui koordinasi dengan fungsi etika perusahaan, jika ada kelompok

seperti itu. Survei etika adalah cara yang sangat baik untuk memahami

sikap perusahaan dan merupakan bantuan untuk mendukung proses tata

kelola perusahaan.

Ethics‐Related Findings from Past Audits or Special Audits

Jika audit internal telah menyelesaikan sejumlah besar audit

operasional dan keuangan kepatuhan terkait baru-baru ini, pemeriksaan

ulang temuan laporan workpaper dan audit atau bahkan tanggapan

dapat memberikan wawasan tentang sikap etika secara keseluruhan.

Temuan workpaper Konsisten meliputi "kecil" pelanggaran mungkin

menunjukkan tren keseluruhan dalam sikap etika. Sebuah contoh di sini

akan menjadi kegagalan berkelanjutan karyawan untuk mengikuti

beberapa proses yang relatif kecil atau prosedur, seperti mengamankan

tanda tangan persetujuan kedua pada transaksi bernilai kecil, meskipun

kebijakan menyerukan untuk tanda tangan kedua, atau kegagalan untuk

6
mendokumentasikan aplikasi informasi teknologi baru , meskipun

persyaratan sistem dokumentasi pembangunan. Tim audit yang

bertanggung jawab mungkin telah memutuskan hal itu "terlalu kecil"

untuk disertakan dalam ringkasan laporan audit final, tapi temuan

tersebut sering menunjuk potensi masalah sikap etis. Bahkan lebih buruk

lagi, kadang-kadang jenis temuan yang dilaporkan dalam laporan audit

hanya untuk menepis dalam laporan tanggapan.

Beberapa yang sedang berlangsung "kecil" temuan tersebut tidak

dapat menunjukkan pelanggaran etika yang sedang berlangsung tetapi

untuk daerah-daerah di mana aturan hanya perlu diubah. Namun,

auditor internal menelaah laporan audit masa lalu dan workpapers

untuk masalah etika yang terbaik mungkin bekerja dengan unit yang

tepat dalam perusahaan untuk mendapatkan seperti prosedur aturan

yang tidak masuk akal berubah. audit internal mungkin juga

mempertimbangkan meluncurkan audit khusus untuk menilai sikap etis

tersebut. Ini akan menjadi tinjauan kepatuhan yang kuat yang mencakup

beberapa daerah kunci di perusahaan atau review sangat terfokus dalam

satu departemen atau kelompok. Jenis internal audit memberikan

penilaian secara keseluruhan sikap etis dalam perusahaan.

Employee and Stakeholder Ethics Attitude Surveys

Dilakukan dengan benar, karyawan, pejabat, dan survei

stakeholder dapat menjadi cara yang sangat baik untuk menilai sikap

7
etika perusahaan. Idenya adalah untuk mengumpulkan informasi

sebanyak mungkin tentang sikap etika dan praktek dari kelompok besar

dalam perusahaan, seperti pekerja pabrik (jika sesuai), staf kantor,

manajer senior, vendor, dan lain-lain. Survei ini akan mencakup

beberapa pertanyaan umum, tetapi setiap kelompok juga akan menerima

pertanyaan khusus ditujukan kepada tanggung jawabnya. Tidak pernah

mudah untuk menyusun sebuah survei pengumpulan fakta yang

menerima tingkat respon yang tinggi, dan bantuan penggunaan khusus

harus dipertimbangkan.

Survei etika akan memungkinkan audit internal, tim etika kantor

yang ditunjuk, atau orang lain untuk mendapatkan pemahaman yang

umum tentang etika lingkungan dalam perusahaan. Hal ini dapat

menjadi langkah pertama untuk meluncurkan fungsi etika formal atau

upgrade dan meningkatkan yang sudah ada. Survei ini juga akan

menyediakan manajemen umum dengan beberapa wawasan ke dalam

suasana etika secara keseluruhan di perusahaan. Meskipun tidak

disyaratkan SOx, informasi ini akan meningkatkan praktek tata kelola

perusahaan dengan menyorot area dimana perbaikan diperlukan.

8
9
26.4 Summarizing Ethics Survey Results: Do We Have A

Problem?

Hasil survei sikap etika atau penilaian dari audit internal masa lalu

dapat memberikan beberapa jaminan bahwa hal-hal yang cukup bagus di

seluruh perusahaan. Lebih sering, bagaimanapun, mereka dapat

menaikkan beberapa tanda-tanda meresahkan mulai dari penyimpangan

kepatuhan kecil tapi terus menerus, untuk vendor yang disurvei

mengklaim taktik negosiasi berat tangan, kepada karyawan yang

menyatakan mereka telah diminta untuk membengkokkan aturan.

Pertanyaan keras dengan hasil seperti itu adalah apakah mereka

mewakili pengecualian mengganggu atau ujung gunung es masalah etika

yang jauh lebih besar. Pada titik ini, audit internal dan petugas etika

perusahaan seharusnya bertemu dengan manajemen senior untuk

mengembangkan beberapa langkah selanjutnya.

Seperti disebutkan, SOx berbicara tentang etika dan isu-isu

whistleblower hanya dalam hal pejabat keuangan senior dan penipuan

keuangan potensial. A, kuat efektif program etika, bagaimanapun, akan

bermanfaat bagi seluruh perusahaan selain memberikan kepatuhan SOx.

Jika perusahaan sudah tidak memiliki program etika mapan, audit

internal adalah area logis untuk membantu menetapkan jenis program.

26.5 Enterprise Codes Of Conduct

10
 Sementara pernyataan misi adalah batu kunci untuk terus

bersama-sama keseluruhan struktur tata kelola perusahaan, kode etik

perusahaan memberikan panduan yang mendukung bagi para

stakeholder. SOx frase menggunakan kode etik, kami menggunakan kode

nama yang lebih tradisional perilaku. Kode-kode ini telah berada di

tempat di perusahaan besar selama bertahun-tahun. SOx mensyaratkan

bahwa semua pendaftar berkembang seperti kode untuk pejabat

keuangan senior untuk mempromosikan penanganan jujur dan etis dari

setiap konflik kepentingan dan kepatuhan terhadap peraturan

pemerintah dan peraturan yang berlaku. Bahkan jika perusahaan tidak

datang di bawah aturan SOx, ada banyak manfaat untuk

mengembangkan dan menerbitkan kode etik yang tepat. Kode SOx yang

diamanatkan, tetapi perusahaan-perusahaan dari berbagai ukuran bisa

mendapatkan keuntungan dari kode yang mencakup seluruh pemangku

kepentingan.

Perusahaan efektif hari ini harus mengembangkan dan menegakkan

kode etik yang berlaku mencakup etika, bisnis, dan aturan hukum bagi

seluruh pemangku kepentingan perusahaan: petugas keuangan disorot

dalam SOx, seluruh karyawan lainnya, dan pemangku kepentingan

kelompok yang lebih besar. Audit internal adalah tidak biasanya

kelompok katalis untuk menyusun atau membuka seperti kode etik,

tetapi dapat menjadi peserta utama dalam kedua membantu untuk

11
memulai kode dan kemudian menentukan bahwa kode mempromosikan

praktek bisnis yang etis di seluruh perusahaan.

Code of Conduct Contents: What Should Be the Code’s Message?

Kode etik harus menjadi mengatur, menghapus ambigu aturan

yang menjelaskan apa yang diharapkan dari semua pemangku

kepentingan perusahaan, petugas, karyawan, kontraktor, vendor, dan

lain-lain. Kode harus didasarkan pada kedua nilai-nilai dan isu-isu

hukum di sekitar perusahaan. Artinya, sementara semua perusahaan

dapat berharap untuk memiliki kode etik larangan terhadap diskriminasi

seksual dan rasial, kontraktor pertahanan dengan isu-isu terkait

kontrak-banyak mungkin memiliki kode etik yang agak berbeda dari

operasi toko makanan cepat saji. Namun, kode harus berlaku untuk

semua anggota perusahaan dari tingkat yang paling senior seorang

pegawai administrasi paruh waktu. Sebagai contoh, kode etik aturan

yang melarang pelaporan keuangan yang salah adalah sama apakah

diarahkan pada CFO untuk pelaporan keuangan yang tidak benar

triwulanan atau bagian-timer untuk kartu waktu yang salah atau

penipuan mingguan.

Jika perusahaan sudah memiliki kode etik, audit internal mungkin

ingin jadwal review dari waktu ke waktu untuk kembali kode tersebut.

Terlalu sering, kode yang lebih tua pada awalnya dirancang sebagai

12
aturan bagi karyawan tingkat bawah dengan sedikit perhatian bagi

anggota yang lebih senior dari perusahaan. Sebagaimana telah kita bahas,

SOx pedoman tata kelola perusahaan dimaksudkan untuk perwira senior,

tetapi juga harus berlaku untuk semua pemangku kepentingan

perusahaan. Bekerja dengan anggota senior manajemen dan komite audit,

audit internal dapat memeriksa kode etik yang ada untuk menentukan

apakah aturan masih layak era pasca-SOx.

Communications to Stakeholders and Assuring Compliance

Suatu perusahaan kode etik yang harus menjadi dokumen hidup. Ini

memiliki sedikit nilai jika telah dikembangkan, diserahkan kepada seluruh

stakeholder kebisingan banyak, dan kemudian pada dasarnya

mengajukan dan dilupakan. Jika dokumen merupakan kode yang baru

atau bahkan melakukan revisi besar, perusahaan harus melakukan upaya

besar untuk memberikan melakukan salinan kepada seluruh karyawan

dan stakeholder. Mengingat kita saat ini aturan SOx, langkah pertama

yang baik akan hadir untuk secara resmi kode baru ke perusahaan

manajer top, khususnya petugas keuangan. Di masa lalu, kode kadang-

kadang melakukan penerimaan hanya menerima token dari kelompok

perwira senior, yang merasa dokumen benar-benar untuk staf, bukan

mereka. Skandal keuangan yang menuju ke SOx disorot perbedaan ini.

Baik Enron dan WorldCom telah kode etik perusahaan yang memadai,

13
tapi pejabat perusahaan mereka ternyata tidak merasa aturan-aturan

ini diterapkan kepada mereka.

Kelompok manajemen senior harus kemudian secara resmi

mengakui bahwa mereka memiliki membaca, memahami, dan akan

mematuhi kode etik. Dengan tim manajemen

berdiri di belakang kode, perusahaan berikutnya harus menyajikan dan

memberikan kode untuk semua pemangku kepentingan perusahaan. Hal

ini dapat dilakukan secara bertahap beberapa dengan pengiriman ke

lokal atau lebih fasilitas utama pertama diikuti oleh unit yang lebih kecil,

lokasi asing, dan lainnya stakeholder. Daripada hanya termasuk salinan

kode dengan dokumen penggajian, perusahaan harus melakukan upaya

formal untuk menampilkan kode di cara yang akan mendapatkan

perhatian.

Code Violations and Corrective Actions

Jika perusahaan menerbitkan kode etik yang kuat bersama dengan

sebuah pesan dari CEO tentang pentingnya praktek etika yang baik,

semua stakeholder diharapkan untuk mengikuti aturan-aturan. Namun,

orang adalah orang-orang, dan akan selalu ada beberapa yang

melanggar aturan atau berjalan di tepi. Sebuah perusahaan perlu

membentuk cara untuk memungkinkan karyawan atau orang luar untuk

melaporkan pelanggaran terhadap kode di sebuah cara aman dan cara

rahasia. Sebagian besar bahwa mekanisme pelaporan dapat ditangani

14
melalui fasilitas whistleblower. Selain fasilitas whistleblower, perusahaan

harus membentuk lainnya mekanisme pelaporan pelanggaran kode

potensi perilaku. Stakeholder dapat didorong untuk mengirim surat

sedemikian kotak PO, anonim atau tidak, untuk melaporkan pelanggaran

etika. Berdasarkan tanggapan, fungsi etika, Sumber Daya Manusia (SDM),

atau lainnya yang sesuai fungsi dalam perusahaan harus menyelidiki

masalah tersebut dan mengambil tindakan yang diperlukan.

Sebuah kode etik menggambarkan serangkaian aturan untuk

tindakan diharapkan dalam perusahaan. Ketika aturan ini dilanggar,

masalah ini harus diselidiki dan tindakan diambil secara konsisten, tidak

peduli apa peringkat para pemangku kepentingan perusahaan.

Keeping the Code of Conduct Current

Banyak aturan dasar perilaku etis yang baik dan aturan khusus

perusahaan-banyak tidak akan berubah dari tahun ke tahun. Misalnya,

aturan yang menyatakan bahwa semua stakeholder memiliki tanggung

jawab untuk merawat aset perusahaan mereka, apakah properti, kas,

sumber daya komputer, atau orang lain, aturan tidak akan berubah dari

waktu ke waktu. Usaha harus review kode etik mereka dipublikasikan

secara berkala, setidaknya sekali setiap dua tahun, untuk membuat

panduan tertentu masih berlaku dan arus. Tinjauan periodik mungkin

termasuk kode pernyataan mengenai kebutuhan keuangan yang akurat

dan tepat waktu pelaporan di semua tingkatan atau komitmen

15
perusahaan untuk menghindari semua jenis keuangan penipuan.

Perubahan kode etik tidak boleh dianggap enteng. Setiap revisi harus

pergi melalui pengumuman yang sama dan proses peluncuran seperti

yang dijelaskan untuk kode perkenalan. Kode direvisi harus diterbitkan

untuk semua pemangku kepentingan bersama dengan penjelasan tentang

perubahan dan syarat untuk reacknowledge penerimaan.

Sebuah kode etik dan revisi meminta penegasan kembali

stakeholder dapat mahal, membutuhkan sumber daya perusahaan khusus

dari fungsi etika, HR, internal audit, dan lain-lain. Seiring dengan

pernyataan misi, perusahaan harus menjaga kode etik dan prinsip-

prinsip yang mendukung di depan semua pemangku kepentingan di

setiap saat. Hal ini dapat dicapai melalui referensi konstan kode, seperti

dalam poster papan buletin di semua fasilitas, pertanyaan dan jawaban

dalam instruktif publikasi, atau segmen di kelas pelatihan karyawan.

audit internal harus memainkan peran kunci dalam mempromosikan

kepatuhan kode dan pengawasan melalui review audit dan berkelanjutan

kontak di seluruh perusahaan. Auditor Internal harus sangat menyadari

kode perusahaan mereka perilaku dan menggunakannya sebagai dasar

pelaporan pelanggaran dan rekomendasi keputusan selama semua audit

internal lainnya.

16
26.6 Whistleblower And Hotline Functions

Fungsi whistleblower adalah fasilitas di mana seorang karyawan

atau stakeholder yang melihat beberapa bentuk kesalahan dapat

independen dan anonim melaporkan bahwa tindakan untuk perusahaan

atau badan pengawas dengan tidak takut akan pembalasan.

Whistleblower program sudah ada selama beberapa tahun untuk

mendukung federal AS kontraktor hukum, peraturan kesehatan dan

keselamatan, dan lain-lain. SOx, bagaimanapun, telah pindah aturan-

aturan ini ke dalam kantor bisnis semua perusahaan publik Amerika

Serikat. Audit komite menetapkan prosedur whistleblower ini, tetapi

fungsi-fungsi lain, seperti departemen etika, HR, atau internal audit,

benar-benar mengaturnya.

Banyak perusahaan yang telah membentuk fungsi etika juga memiliki

hotline atau etika pertanyaan serupa saluran telepon. Etika hotline ini

dapat memberikan awal titik untuk fungsi whistleblower SOx, tetapi

mereka biasanya perlu penyesuaian. Audit internal seringkali dapat

menjadi bantuan utama disini melalui review dari proses yang ada,

rekomendasi yang sesuai kontrol, dan memberikan bimbingan kepada

komite audit.’

Program whistleblower SOx-mandat anggota komite audit hadir

dengan tantangan lain. Dewan khas anggota direksi komite audit dapat

sadar seperti fungsi perusahaan melalui presentasi masa lalu, tetapi

17
hampir pasti tidak akan menyadari proses yang diperlukan untuk

mendirikan whistleblower efektif program. kelompok audit internal dapat

membantu wakil komite audit untuk menetapkan program whistleblower

yang efektif yang akan sesuai dengan SOx. Bagian ini membahas cara

untuk mendirikan program whistleblower yang efektif dan bagaimana

audit internal dapat membantu untuk memulai atau refresh fungsi.

Federal Whistleblower Rules

Ketentuan yang ada di sistem Whistleblower ini memang dirancang

untuk melindungi karyawan yang melaporkan adanya kejadian yang

mengindikasikan kecurangan di sebuah perusahaan. Karyawan atau

stakeholder yang mendaftar keluhan whistleblower akan dilindungi

sampai masalah teratasi. SOx mengharuskan komite audit untuk

membentuk suatu proses penerimaan dan pengobatan pengaduan yang

diterima mengenai akuntansi, kontrol akuntansi internal, atau audit hal-

hal dan untuk "penyerahan, rahasia anonim oleh karyawan" tentang

akuntansi dipertanyakan atau masalah audit. Stakeholders yang percaya

mereka telah sah diberhentikan atau didiskriminasi, karena mereka

whistleblower tindakan, dapat mencari bantuan dengan mengajukan

pengaduan, dalam waktu 90 hari setelah tanggal pelanggaran.

Berdasarkan lebih dari 20 tahun pengalaman dengan undang-

undang perlindungan whistleblower, sebuah dampak perusahaan harus

berusaha untuk keseimbangan antara hak-hak karyawan untuk

18
meningkatkan keprihatinan pengungkap dan kemampuan perusahaan

untuk mengelola tenaga kerja. Sebuah lingkungan kerja yang positif

sangat diperlukan di mana karyawan merasa bebas untuk menyuarakan

keprihatinan kepada manajemen ditambah dengan mekanisme yang

efektif untuk menangani keprihatinan apapun terangkat. Program etika

terkait kuat dibahas sebelumnya dalam bab ini, termasuk pernyataan

misi dan kode etik, akan mendukung strategi ini.

SOx Whistleblower Rules and Internal Audit

Tujuan dari audit internal adalah untuk meninjau dan menemukan

jenis akuntansi, masalah pengendalian internal, dan audit ditentukan

dalam SOx. Temuan audit internal ditinjau dengan manajemen dan

disajikan dalam sebuah laporan audit formal dimana manajemen dapat

menguraikan rencana untuk tindakan korektif. Namun, bagaimana jika

audit internal Tim menemukan sebuah akuntansi, pengendalian internal,

atau bahan audit yang berada di luar ruang lingkup audit saat ini dan

tidak secara resmi dilaporkan dalam laporan audit? Bisa salah satu

anggota tim audit secara independen melaporkan hal tersebut di bawah

whistleblower SOx prosedur?

Jelasnya bahwa audit internal harus mengembangkan kebijakan

yang jelas menyatakan bahwa setiap akuntansi SOx, hal pengendalian

internal, atau audit ditemui selama perjalanan dari audit dijadwalkan

harus didokumentasikan dalam workpapers audit dan dikomunikasikan

19
untuk manajemen audit internal untuk resolusi. Kedua tim internal audit

dan pengelolaan fungsi diaudit harus memahami bahwa tujuan dari audit

internal adalah untuk tidak membiarkan lepas tim pelapor potensial

dalam suatu departemen buku dan catatan. Semua barang yang ilegal

atau tidak layak harus diselidiki dan dilaporkan melalui proses audit

internal yang normal.

Launching An Enterprise Help Or Hotline Function

Banyak perusahaan memiliki fungsi membantu atau hotline,

dikelola melalui etika departemen, HR, atau penyedia independen, yang

memungkinkan setiap karyawan atau stakeholder untuk memanggil

anonim dan baik mengajukan pertanyaan, melaporkan kekhawatiran,

atau pukulan peluit pada beberapa hal. Idenya adalah untuk memberikan

fasilitas yang independen mana semua pihak bisa bertanya atau

melaporkan kesalahan yang mungkin di tingkat manapun. Hotline fungsi

hukum tidak diperlukan, tetapi memungkinkan karyawan atau

pemangku kepentingan lainnya untuk mengajukan pertanyaan, untuk

melaporkan kesalahan yang mungkin, dan bahkan untuk berkonsultasi.

Dalam kebanyakan kasus, operator telepon akan mengambil semua

informasi yang diperlukan, mengajukan pertanyaan bila diperlukan.

Keberadaan sebuah hotline etika dan fasilitas whistleblower adalah

nilai yang kecil kecuali jika dikomunikasikan dan dijual kepada semua

anggota perusahaan. Cara yang baik untuk memulai proses ini adalah

20
melalui kode etik pegawai, dibahas sebelumnya. Bahkan jika seperti

hotline telah diluncurkan, fakta bahwa line dapat digunakan untuk setiap

pelapor potensi SOx perlu dikomunikasikan. Tujuannya harus menyelidiki

dan segera menyelesaikan semua panggilan-dan terutama panggilan

whistleblower-internal untuk menghindari peneliti luar dan pengacara.

Tampilan 26.3 berisi pedoman untuk pengaturan pusat panggilan

pelapor SOx.

26.7 Auditing The Enterprise’s Ethics Functions

Tujuan dari audit internal etika dan fungsi whistleblower adalah

untuk menilai apakah kelompok etika adalah mengikuti prosedur yang

baik pengendalian internal, memanfaatkan sumber daya yang efektif,

sesuai dengan prosedur kerahasiaan yang baik, dan mengikuti piagam

departemennya otorisasi fungsi etika. Etika dan fungsi whistleblower

21
mungkin sedikit berbeda dari perusahaan ke perusahaan, tetapi audit

internal harus mendapatkan pemahaman yang rinci tentang bagaimana

fungsi beroperasi dan prosedur yang biasanya dilakukan. Sebagai fungsi

etika perusahaan itu, internal audit harus berharap untuk menemukan

prosedur setidaknya sama baiknya dengan audit internal tentang sesuai

dengan bidang-bidang seperti kerahasiaan dokumen dan dengan

kebijakan perusahaan pada biaya perjalanan. Lain etika fungsi tanggung

jawab dapat menunjukkan daerah-daerah dimana audit internal dapat

menyarankan perbaikan. Sebagai contoh, kode etik's departemen etik

biasanya harus memiliki bentuk pengakuan atau proses dimana

karyawan menunjukkan bahwa mereka telah membaca dan memahami

kode. Sebuah etika fungsi mungkin tidak menetapkan prosedur yang

tepat di sini untuk memastikan bahwa semua yang baru direkrut

karyawan melalui proses pengakuan kode. audit internal dapat menilai

proses ini dan merekomendasikan perbaikan apabila diperlukan.

Karena hubungan, dekat berkelanjutan yang harus ada antara

fungsi etika dan audit internal, CAE harus mendiskusikan penelaahan

direncanakan dengan direktur etika secara rinci untuk menjelaskan

alasan dan tujuan pemeriksaan. Privasi dan kerahasiaan dapat menjadi

isu di jenis review. Sebuah panggilan untuk hotline mungkin telah

menunjuk beberapa bentuk potensial karyawan penyimpangan atau

wahyu whistleblower SOx, yang etika akan ingin untuk menjaga rahasia

22
sampai masalah ini diselesaikan. Meskipun audit internal yang sedang

berlangsung paparan ke daerah sensitif lain dan masalah dalam

perusahaan, direktur dari fungsi etika mungkin enggan untuk memiliki

auditor internal review bahan-bahan tertentu. CAE harus menunjukkan

paparan sedang berlangsung audit internal untuk sensitif lainnya

informasi dan persyaratan yang mengikuti standar profesional yang

sesuai.

26.8 Improving Corporate Governance Practices

Sebuah program etika yang kuat, berdasarkan pernyataan misi

berarti dan kode melakukan, merupakan unsur kunci dalam setiap

program secara keseluruhan tata kelola perusahaan di perusahaan.

skandal akuntansi yang mengarah ke SOx itu, dalam banyak hal, skandal

di tingkat atas dari perusahaan, baik yang disebabkan oleh petugas

keuangan licik, CEO serakah, atau-jangan tanya-setiap perusahaan

akuntansi-pertanyaan publik. Eksekutif tim di perusahaan skandal

akuntansi yang menetapkan aturan mereka sendiri dengan sedikit

pertimbangan diberikan ke seluruh perusahaan. Akibatnya, SOx terutama

difokuskan pada kelompok senior. Namun, kuat secara keseluruhan

program etika akan meningkatkan perusahaan praktek tata kelola

perusahaan keseluruhan, bukan hanya orang-orang di eksekutif kantor.

Etika dan proses whistleblower dibahas dalam bab ini adalah

penting baik untuk kepatuhan SOx dan tata kelola perusahaan, tidak

23
peduli apa ukuran organisasi. Auditor Internal harus menyadari praktek-

praktek sebagai bagian dari CBOK mereka dan harus memainkan peran

kunci dalam membantu baik untuk memulai dan meninjau proses ini.

24
 CHAPTER 27

FRAUD DETECTION AND PREVENTION

Terkadang juga aktivitas yang perlu dipertanyakan bahkan akibat

adanya kecurangan. Aktivitas kecurangan dapat terjadi pada seluruh

level di dalam perusahaan, pada pertengahan 2002, ketika SOx berlaku,

officer di dalam korporasi muncul sebagai pengacau utama yang

menyebabkan banyaknya kecurangan. CEO bekerjasama dengan CFO

dapat melakukan kecurangan dengan memanipulasi laba untuk

meningkatkan keuntungan yang dilaporkan dan kompensasi bonus.

Seorang manajer tingkat menengah atau bahkan karyawan tingkat

stafpun dapat melakukan tindakan kecurangan untuk keuntungan

pribadi ataupun frustasi kerja.

Auditor internal yang efektif perlu untuk mengenali potensi

kecurangan di dalam praktek-praktek bisnis sebagai bagian dari audit

dan kemudian harus memberikan rekomendasi pengendalian dan

prosedur untuk membatasi peningkatan aktivitas kecurangan. Bab ini

akan menguraikan pedoman yang berisi kondisi umum yang akan

dijumpai audit internal ketika menghadapi kecurangan yang potensial

25
setelah itu akan mendiskusikan langkah-langkah untuk mengidentifikasi,

menguji, dan proses kecurangan itu.

27.1. Understanding and Recognizing Fraud

Kecurangan adalah salah satu istilah yang sering digunakan banyak

orang meskipun

mereka tidak sepenuhnya memahami apa yang dibicarakan. Langkah

pertama yang penting bagi auditor internal disini adalah memahami

definisi yang sesuai dengan dictionary dan hukum mengenai apakah

kecurangan itu.

Ketika kecurangan ditemukan di dalam perusahaan, audit internal

sering kali menjadi sumber pertama yang dipanggil untuk melakukan

investigasi dalam menentukan besarnya kecurangan yang dilaporkan.

Dalam situasi lain, auditor internal menemukan kecurangan selama

schedule audit dan kemudian menginvestigasi dan melaporkan hal

tersebut kepada konsulat perusahaan atau otoritas hukum lainnya. Bab

ini juga mendiskusikan inisiatid IIA untuk mereview kecurangan dalam

audit internal seperti halnya prosedur untuk mendeteksi dan mencegah

kecurangan system komputer. Dulunya kecurangan ada diluar tanggung

jawab auditor, namun saat ini mereka memiliki tanggung jawab yang

meningkat untuk mendeteksi kecurangan dalam review aktivitas yang

dilkukannya dengan memberikan rekomendasi pengendalian yang tepat

untuk pertahanan atas adanya kecurangan dimasa yang akan datang.

26
27.2. Red Flags: Fraud Detection Signs for Internal Auditors

Auditor dan manajemen harus melihat indicator aktivitas

kecuangan yang mungkin lebih dalam lagi. Oleh karena itu mereka perlu

untuk melihat yang dinamakan dengan red flag.

Beberapa tipe sinyal red flag yang dapat menunjukkan aktivitas

kecurangan keuangan yang potensial antara lain yaitu :

 Kurangnya kebijakan perusahaan dan standard prosedur operasi

yang tertulis

 Berdasarkan interview dengan berbagai level, kurangnya kepatuhan

dengan kebijakan pengendalian internal organisasi

 Kelemahan kebijakan pengendalian internal, terutma dalam

pembagian tugas

 Operasi yang tidak teratur di berbagai bidang seperti pembelian,

penerimaan, gudang atau kantor regional.

 Transaksi yang tidak tercatat atau catatan yang hilang

 Salinan atau bukti perubahan dokumen

 Tulisan tangan yang difotokopi atau dipertanyakan pada dokumen.

 Catatan penjualan dengan void atau kredit yang berlebihan

 Saldo bank tidak direkonsiliasi dengan dasar waktu atau terdapat

stale item di

27
 dalam rekonsiliasi bank

 Saldo buku besar pembantu yang diluar kondisi secara terus

menerus

 Hubungan laporan keuangan yang tidak biasa

 Perbedaan antara perhitungan fisik inventory dan pencatatan

perpetual yang tidak dijelaskan secara berkelanjutan.

 Cek ditulis untuk kas dengan jumlah yang besar

 Tulisan tangan cek dalam lingkungan kumputer

 Transfer dana yang berkelanjutan atau tidak biasa anatar rekening

bank perusahaan

 Transfer dana ke bank luar negeri

 Transaksi yang tidak konsisten dengan bisnis entitas

 Prosedur penyaringan karyawan baru yang buruk, termasuk tidak

adanya latar belakang atau referensi

 Keengganan manajemen untuk melaporkan kesalahan criminal

 Transfer aset personal yang tidak biasa

 Officer atau karyawan dengan gaya hidup yang lebih dari

kemampuannya

 Waktu liburan yang tidak digunakan

 Transaksi related party yang sering dan tidak biasa

 Karyawan yang memiliki hubungan erat dengan pemasok

28
  Karyawan yang memiliki hubungan erat satu sama lain di daerah

dimana pemisahan tugas yang dielakkan

 Penyalahgunaan akun beban seperti manajer yang tidak mengikuti

peraturan yang telah dibuat

 Asset bisnis yang menghilang tanpa penjelasan.

Namun, auditor internal sering kali gagal mendeteksi kecurangan

untuk alasan berikut :

- Keengganan untuk mencari kecurangan.

- Terlalu banyak kepercayaan kepada auditee.

- Penekanan yang tidak cukup pada isu kecurangan yang potensial

dalam audit finding yang sering menunjuk kepada red flag.

- Perhatian akan kecurangn menerima dukungan yang tidak tepat

dari manajemen.

- Auditor terkadang gagal berfokus pada area dengan resiko tinggi.

Auditor membutuhkan pemahaman mengenai mengapa orang-

orang melakukan

kecurangan. Beberapa hal dibawah ini merupakan daftar beberapa tipe

alasan untuk

melakukan kecurangan yang antara lain yaitu :

- Seorang karyawan memiliki kebutuhan uang yang mendesak.

29
 - Frustasi pekerjaan, sehingga karyawan berpikiran bahwa

perusahaan mereka tidak peduli pada mereka, dan mereka merasa

bebas untuk melakukan tindakan yang tidak benar.

- Semua orang memiliki sikap tersebut, dalam situasi ini sangat

umum dalam lingkungan dimana karyawan berpikir orang lain

yang mencuri.

- Tantangan untuk mengalahkan system, yang kemungkinan

terdapat hacker dalam lingkungan system terotomatisnya.

- Kelemahan pengendalian internal membuat kecurangan menjadi

mudah, hal ini merupakan memotivasi dasar banyaknya penipuan

karena dengan lemahnya pengendalian membuat kecurangan tidak

akan terdeteksi.

Hal tersebut diatas merupakan seluruh alasan dimna pengendalian

internal ditempatkan dan kecurangan dilakukan hanya oleh satu orang

saja. Deteksi kecurangan akan lebih sulit dideteksi ketika terdapat kolusi

diantara banyak orang. Ketika beberapa orang melakukan kecurangan

bersama-saman, akan selalu ada kemungkinan seseorang pangkatnya

akan diputuskan.

27.3 Public Accounting’s Role in Fraud Detection

Tanggung jawab auditor eksternal dalam mendeteksi kecurangan

laporan keuangan sedang berlangsung namun menghadapi berbagai isu

30
pertentangan selama beberapa tahun. SAS oertama AICPA No.1

beberapa tahun yang lalu menyatakan :

“Auditor tidak memiliki tanggung jawab untuk merencanakan dan

melaksanakan audit untuk memperoleh keyakinan yang memadahi atau

adanya salah saji, baik disebabkan oleh error atau kecurangan yang tidak

material dengan laporan keuangan yang dideteksi”.

AICPA menerbitkan SAS No, 99 mengenai tanggung jawab auditor

untuk mendeteksi kecurangan pelaporan keuangan. SAS Np. 99 ini,

merupakan perubahan utama tanggung jawab auditor eksternal, dimana

mereka harus mengambil sikap skeptisme profesional (keraguan)

terhadap kemungkinan adanya kecurangan.

Karakteristik terjadinya kecurangan yang timbul dari

penyalahgunaan asset dan pelaporan keuangan. Factor resiko yang

terkait dengan salah saji penyalahgunaan asset yaitu :

1. Insentif/Tekanan

a. Kewajiban keuangan personal dapat menciptakan tekanan bagi

manajemen atau karyawan yang memiliki akses ke kas atau

asset lain yang rentan terhadap pencurian atau penyalahgunaan

b. Hubungan yang merugikan antara perusahaan dan karyawan

dengan akses ke kas atau asset lain yang rentan atas penucurian

memotivasi karyawan tersebut untuk menyalahgunakan asset.

Hubungan tersebut seperti :

31
 - Mengetahui atau mengantisipasi PHK karyawan dimasa depan

Actual atau mengantisipasi perubahan kompensasi atau imbalan

karyawan, Promosi, kompensasi, atau reward lain yang tidak

konsisten dengan yang diharapkan.

2. Opportunity (Adanya Kesempatan)

a. Karakteristik atau keadaan tertentu yang dapat meningkatkan

kerentanan penyalahgunaan asset. Kesempatan penyalahgunaan

asset akan meningkat ketika :

- Besarnya jumlah kas yang ada ditangan atau yang diproses.

- Inventory dengan ukuran yang kecil, jumlah yang banyak,

atau yang memiliki permintaan besar.

- Asset yang mudah dikonversi

- Asset tetap dengan ukuran yang kecil, berharga, atau yang

kurang jarang diamati oleh pemilik.

- Pengendalian internal yang tidak memadai atas asset dapat

meningkatkan kerentanan penyalahgunaan asset.

Penyalahgunaan asset ini meningkat ketika :

- Terdapat pemisahan tugas atau pemerikasaan independen

yang tidak memadai

- Pengawasan manajemen yang tidak memadai atas tanggung

jawab karyawan terhadapp asset

32
 - Penyaringan karyawa yang memiliki akses ke asset yang

kurang memadai

- Pencatatan yang tidak memadai terhadap asset, dsb.

Pada perubahan SAS No.99 mengakui bahwa manajemen sering

kali dalam posisi mengesampingkan pengendalian untuk melakukan

kecurangan laporan keuangan.dalam standard tersebut menyatakan

bahwa penekanan utama auditor eksternal dalam mendeteksi

kecurangan adalah prosedur untuk melaksanakan periktan audit. Untuk

membebankan standard audit deteksi kecurangan bagi anggotanya,

AICPA memberikan langkah-langkah yang kuat untuk membawa auditor

eksternal dengan cepat kearah situasi yang mendorong adanya

kecurangan baik dengan material pendidikan maupun studi kasus yang

dapat ditemui di dalam web pagenya.

27.4 IIA Standards for Detecting and Investigating Fraud

Auditor internal banyak menghadapi kecurangan potensial dalam

review yang telah dijadwalkannya. Mereka lebih banyak terlibat dalam

review transaksi yang lebih rinci daripada auditor eksternal dan selain

itu mereka dapat melihat dokumen atau transaksi yang dipertanyakan

lebih sering lagi. Apabila manajemen merasa terdapat kecurangan yang

potensial di dalam perusahaan, langkah pertama yang hampir sering

33
dilakukan adalah menghubungi auditor internal yang memiliki beberapa

hubungan dan komunikasi dengan departemen hokum perusahaan.

Standard professional praktek audit internal oleh IIA, menyatakan

bahwa kecurangan mencakup pandangan secara umum. Auditor internal

harus memikirkan hal yang terjadi sebagai kemungkinan kesalahan dan

harus melihat setiap bukti atas aktivitas yang tidak tepat atau ilegal di

dalam audit. Mengakui bahwa mungkin sulit untuk mendeteksi

kecurangan, standard IIA 2004 1210.A2 yang direvisi menyatakan

bahwa : “auditor internal harus memiliki pengetahuan yang cukup untuk

mengidentifikasi indicator kecurangan tetapi tidak diharapkan untuk

memiliki ahli yang memiliki tanggung jawab utama dalam mendeteksi

dan menginvestigasi kecurangan”.

Dalam melaksanakan tanggung jawab ini, auditor internal harus

menentukan misalnya, apakah :

 Lingkungan organisasi mendorong kesadaran pengendalian dan

sasaran serta

tujuan realistis perusahaan telah ditentukan

 Kebijakan tertulis yang ada menjelaskan aktivitas yang dilarang

dan tindakan yang diperlukan ketika pelanggaran ditemukan.

 Kebijakan otoriasi yang tepat untuk transaksi telah dibangun dan

dikembangkan

34
  Kebijakan, praktek, prosedur, laporan dan mekanisme lain

dikembangkan untuk memonitor aktivitas dan menjaga asset

terutama pada area yang beresiko tinggi.

 Sumber komunikasi memberikan informasi yang cukup dan dapat

dipercayakepada manajemen

 Rekomendasi perlu dibuat untuk pembentukan dan peningkatan

pengendalian biaya efektif untuk mencegah kecurangan.

27.5 Fraud Investigations for Internal Auditors

Ketika menghadapi informasi yang berpotensi kecurangan, langkah

awal auditor internal adalah mengkonsultasikan dengan penasehat

perusahaan. Dalam setiap review yang berhubungan dengan kecurangan,

auditor harus memiliki Tujuan utama yaitu :

1. Membutikan kerugian. Review investigasi audit internal harus

mengumpulkan material yang relevan sebanyak yang diperlukan

untuk menentukan ukuran keseluruhan dan ruang lingkup kerugian

2. Menetapkan niat dan tanggung jawab. Langkah yang berkaitan

dengan siapa yang melakukannya. Sebisa mungkin, auditor internal

harus berusaha untuk mengidentifikasi seluruh pihak yang

bertanggung jawab atas kerugian tersebut dan apabila ada keadaan

khusus atau berbeda yang dikaitkan dengan aksi kecurangan.

3. Membuktikan metode investigasi audit yang digunakan. Tim

investigasi perlu untuk membuktikan bahwa kesimpulan

35
 kecurangan yang terkait berdasarkan rincian, proses investigasi

dari langkah-ke langkah.

27.6 Information Technology Fraud Prevention Processes

Teknologi Informasi (TI) atau teknologi yang berkaitan dengan

kecurangan mencakup berbagai masalah dan kekhawatiran. Karena

system dan proses TI mendukung banyak area dan melintasi banyak

garis di dalam perusahaan, kita berfikir kecurangan yang berkaitan

dengan TI terjadi di berbagai dimensi dari yang kecil hingga aktivitas

kecurangan yang signifikan, yang antara lain :

 Masalah akses internet.

 Penggunaan personal sumberdaya TI yang tidak tepat.

 Penggunaan software yang illegal.

 Keamanan komputer dan kecurangan konfidensial.

 Informasi pencurian melalui perangkat USB.

 Pencurian informasi atau kecurangan penyalahgunaan computer

 Penggelapan atau transfer dana elektronik tanpa otorisasi.

27.7 Fraud Detection and the Internal Auditor

Akibat adanya skandal keuangan yang menimbulkan terbentuknya

SOx, AICPA dan auditor eksternal memiliki tugas utama untuk

mendeteksi lebih baik aktivitas kecurangan dalam audit laporan

keuangan. Auditor internal juga perlu untuk lebih banyak

36
mempertimbangkan kecurangan dalam pekerjaannya. Seseuai dengan

SAS No.99, auditor internal seringkali terlibat dalam pekerjaan

investigasi kecurangan. Auditor internal harus memiliki pemahaman

CBOK mengenai red flag yang menindikasikan kemungkinan kecurangan

sama halnya dengan prosedur review yang termasuk dalam investigasi

kecurangan dalam semua audit internal.

37
 Chapter 28

Internal Audit GRC Approaches and Other Compliance

Requirements

Perusahaan dan Auditor intenal harus selalu peduli dengan

berbagai isu tata kelola, risiko dan kepatuhan. Manajemen perusahaan

dan auditor internal harus menyatukan ketiga masalah ini menjadi apa

yang disebut dengan prinsip-prinsip GRC

23.1 The Road to Effective GRC Principles

Huruf G adalah singkatan dari Governance (tata kelola). tata kelola

berarti mengurus suatu bisnis, memastikan segala sesuatunya dilakukan

sesuai dengan standar, peraturan, dan keputusan dewan direksi

perusahaan, serta hukum dan peraturan pemerintah. Ini juga berarti

menetapkan dengan jelas harapan dari semua stakeholder sama dengan

bagaimana perusahaan dijalankan. Huruf R dari kata Risk (risiko). Ketika

berbicara mengenai bisnis, faktor-faktor risiko dapat menjadi cara untuk

melindungi nilai aset perusahaan dan dapat menciptakan nilai dengan

memperluas secara strategis suatu perusahaan atau menambah

produk/jasa baru. Huruf C berasal dari kata Compliance (kepatuhan),

dengan adanya standar, peraturan undang-undang, dll dapat

38
memengaruhi bisnis dan auditor internal saat ini. Auditor internal dapat

memasukkan bagian unsur kepatuhan ini sebagai kontrol.

Perusahaan dan auditor internal secara historis tidak memikirkan atau

menggunakan akroni GRC sebagai perangkat prinsip gabungan. Banyak

perusahaan hanya mengelola dan memerdulikan salah satu dari ketiga

area GRC gabungan ini, contoh kasus klasiknya disini adalah manajemen

risiko. Empat komponen dasar dari GRC adalah: strategi, proses,

teknologi dan people. Exhibit 28.1 menggambarkan konsep GRC ini. Tata

kelola, manajemen risiko dan prinsip kepatuhan harus memiliki ikatan

yang erat dalam penerapan prinsip ini.

Tiga prinsip atau elemen GRC adalah satu aliran konsep yang

berkelanjutan dan saling berhubungan, tidak ada salah satu dari ketiga

elemen ini yang lebih penting daripada yang lainnya. Dimulai disini

39
dibahas dengan aspek tata kelola dalam GRC. Tata kelola perusahaan

adalah istilah yang mengacu secara luas pada aturan, proses, hukum

yang digunakan untuk mengoperasikan, mengatur, dan mengendalikan

bisnis. Istilah ini dapat merujuk pada faktor-faktor internal seperti

officers, stockholders, atau konstitusi perusahaan serta faktor eksternal

seperti kelompok konsumen, klien, dan peraturan pemerintah.. Jika dari

level korporat senior dan ke banyak bidang operasi perusahaan, tata

kelola adalah tanggung jawab dan praktik yang dilakukan oleh dewan,

manajemen eksekutif senior, dan semua level manajemen fungsional di

banyak area dengan tujuan memberikan arahan strategis, memastikan

bahwa tujuan tercapai, memastikan bahwa risiko dikelola dengan tepat,

dan memverifikasi bahwa sumber daya perusahaan digunakan secara

bertanggung jawab.

Exhibit 28.2 menunjukkan konsep tata kelola perusahaan GRC,

tanggung jawab yang saling terkait untuk membangun kontrol, kerangka

kerja strategis, kinerja, dan akuntabilitas. Exhibit ini menunjukkan

beberapa konsep utama dalam masing-masing bidang tanggung jawab

ini. Misalnya, untuk kerangka kerja strategis, ada unsur perencanaan

kegiatan perusahaan dan bisnis, manajemen risiko, kelangsungan bisnis,

TI dan jaringan, dan audit internal.

40
28.2 GRC Risk Management Components

Ada empat langkah yang saling terkait dalam proses manajemen

risiko perusahaan yang efektif, GRC ditunjukkan pada Exhibit 28.3 dan

sebagai berikut:

1. Perencanaan penilaian risiko. Suatu perusahaan menghadapi semua

tingkat risiko, misalnya sebuah masalah global mulai dari krisis ekonomi

atau mata uang nasional hingga faktor persaingan pasar produk dan

hingga gangguan terkait cuaca di operasi lokal.

41
2. Identifikasi dan analisis risiko. Daripada hanya merencanakan

kemungkinan terjadinya suatu peristiwa risiko, analisis yang lebih rinci

harus dibuat tentang kemungkinan risiko ini membuahkan hasil serta

dampak potensial mereka.

3. Memanfaatkan dan mengembangkan strategi respons risiko. Pada

dasarnya paralel dengan identifikasi risiko, perusahaan harus

mengembangkan rencana dan strategi untuk kembali ke operasi normal

dan kemudian pulih dari peristiwa risiko. Ini mungkin termasuk analisis

peluang terkait risiko.

4. Pemantauan risiko. Alat dan fasilitas harus tersedia untuk memantau

risiko yang diidentifikasi serta risiko baru lainnya. Alat pendeteksi

misalnya sebagai contoh, meskipun sebagian besar pemantauan terkait

risiko memerlukan serangkaian luas laporan khusus, standar yang

ditetapkan dan terukur, serta fungsi sumber daya manusia. Idenya

adalah untuk tetap merencanakan ke depan dan memasukkan kembali

langkah-langkah manajemen risiko sebelumnya sebagaimana yang

diperlukan.

Manajemen risiko harus menciptakan nilai dan menjadi bagian

integral dari proses organisasi. Ini harus menjadi bagian dari proses

pengambilan keputusan dan dirancang secara sistematis dan terstruktur

42
untuk secara eksplisit mengatasi ketidakpastian yang dihadapi

perusahaan berdasarkan informasi terbaik yang tersedia.

Kepatuhan adalah proses mematuhi pedoman atau aturan yang

ditetapkan oleh lembaga pemerintah, standar, kelompok, atau kebijakan

internal perusahaan. Mematuhi persyaratan terkait kepatuhan ini

merupakan tantangan bagi perusahaan, pemangku kepentingan terkait,

dan auditor internal yang meninjau proses ini karena:

 Banyaknya hukum dan peraturan yang baru.

43
 Tidak ada konsensus tentang aturan praktik terbaik yang digunakan

untuk kepatuhan.

 Berbagai peraturan kepatuhan yang tumpang tindih.

 Regulasi yang terus berubah.

Perusahaan perlu melakukan pendekatan prinsip-prinsip kepatuhan

GRC dari perspektif strategis yang dapat membantu perusahaan

bergerak lebih dari sekadar memenuhi mandat kepatuhan individu untuk

mewujudkan manfaat bisnis nyata dari investasi infrastruktur mereka

secara keseluruhan.

Exhibit 28.4 mengilustrasikan beberapa masalah yang harus

dipertimbangkan oleh audit internal karena berupaya menetapkan ruang

lingkup dan pendekatannya untuk kepatuhan GRC.

44
 Pendekatan yang konsisten terhadap kepatuhan dapat memberikan

manfaat potensial bagi perusahaan:

 Fleksibilitas.

 Mengurangi total biaya kepemilikan kepatuhan

 Keunggulan kompetitif

45
 Proses kepatuhan GRC yang efektif dapat membantu audit internal

untuk mentransformasikan operasi bisnis mereka dan memperoleh

wawasan yang lebih dalam dan prediktabilitas dari informasi bisnis

mereka karena mereka memenuhi persyaratan yang digerakkan oleh

peraturan.

28.4 Importance of Effective GRC Practices And Principles

Suatu perusahaan perlu mengadopsi tata kelola, risiko, dan proses

kepatuhan yang baik dengan tujuan membangun program GRC yang

efektif. Proses tata kelola, manajemen risiko, dan kepatuhan adalah hal

yang sangat penting untuk mendukung semua bidang operasi perusahaan.

Semua auditor internal harus memiliki pengetahuan CBOK dan

pemahaman yang baik tentang praktik dan prinsip GRC.

46
 DAFTAR PUSTAKA

Moeler, Robert R (2016). Brink’s Modern Internal Auditing: A

Common Body of Knowledge. 8th Edition, John Wiley, Inc. (MIA).

47