Audit Internal

Ringkasan untuk Persiapan UTS Semester 6

Kontributor:
1. Melisa Rosman 1401170055
2. Aldilla Yasmin Inas 1401170049
3. Rianita Sujarwati 1401170004
4. Giovany Kurnia Widyawan 1401170002
5. Rasifa Edwita 1401170048
6. Dyah Rizki Anggita Putri 1401170039
7. Hany Sukma Setyaningtyas 1401170045
Referensi:
1. Urton L. Anderson, Michael J. Head – Internal Auditing: Assurance and
Advisory Services 4th Edition
2. PPT dari dosen (bisa diakses di google drive)
3. Catatan kuliah contributor
Kritik, Saran, dan Koreksi: Official Account Line Catrawiyasa @koy7136e
Semangat UTS!!!
TM 1 : Mahasiswa memahami tentang garis besar audit internal
INTRODUCTION TO INTERNAL internal memberikan nilai kepada
AUDITING badan pengelola dan manajemen
senior sebagai sumber saran
Audit internal adalah suatu kegiatan
independen dan objektif.
assurance dan konsultasi yg
independen & obyektif dirancang u/ Definisi Audit Internal
menambah nilai dan meningkatkan
Audit internal adalah kegiatan yang
operasi organisasi.
independen, objektif, obyektif dan
Sebuah penggambaran visual dari konsultasi yang dirancang untuk
proposisi value/ nilai audit internal, menambah nilai dan meningkatkan
sbgmn ditetapkan oleh IIA, disajikan operasi organisasi. Ini membantu
sbb. organisasi mencapai tujuannya dgn
membawa pendekatan sistematis dan
disiplin u/ mengevaluasi dan
meningkatkan efektivitas manajemen
risiko, kontrol, dan proses tata kelola.
Komponen utama dari definisi ini sbb.
1) Membantu organisasi mencapai
tujuannya.
Tiga komponen proposisi nilai Tiga kategori tujuan organisasi
didefinisikan sbb. sbb.
o Tujuan strategis adalah tujuan
 Assurance = Tata Kelola, Risiko,
yang ditetapkan manajemen
dan Kontrol.
terkait dengan kepentingan
Audit internal memberikan jaminan
pemangku kepentingan.
pd tata kelola organisasi,
o Tujuan operasi berkaitan
manajemen risiko, dan proses
dengan efektivitas dan efisiensi
kontrol u/ membantu organisasi
mencapai sasaran strategis, operasi entitas, termasuk tujuan
operasional, keuangan, dan kinerja operasional dan
kepatuhannya. keuangan, dan menjaga
 Wawasan = Katalis, Analisis, dan sumber daya terhadap
Penilaian. kerugian.
Audit internal adalah katalis untuk o Tujuan kepatuhan berkaitan
meningkatkan efektivitas dan dengan kepatuhan pada hukum
efisiensi organisasi dgn dan peraturan yang menjadi
memberikan wawasan dan subjek entitas
rekomendasi berdasarkan analisis 2) Mengevaluasi dan meningkatkan
dan penilaian data dan proses efektivitas manajemen risiko,
bisnis. kontrol, dan proses tata kelola.
 Objektivitas = Integritas, Governance dipandang sebagai
Akuntabilitas, dan Independensi. yang terluas dari ketiganya. Tata
Dengan komitmen terhadap kelola adalah proses yang
integritas dan akuntabilitas, audit dilakukan oleh dewan direksi untuk
 mengotorisasi, mengarahkan, dan saran dan bantuan atas permintaan
mengawasi manajemen menuju spesifik dari pelanggan. Umumnya
pencapaian tujuan organisasi. hanya melibatkan 2 pihak:
Manajemen risiko adalah proses pelanggan mencari dan menerima
yg dilakukan oleh manajemen u/ saran, dan auditor internal yang
memahami dan menangani menawarkan dan memberikan
ketidakpastian (risiko dan peluang) saran.
yang dpt memengaruhi kemampuan
4) Independence dan obyektivitas.
organisasi u/ mencapai tujuannya.
Kontrol adalah proses yg dilakukan Independence adalah kebebasan
oleh manajemen u/ memitigasi dari kondisi yg mengancam
objektivitas / penampilan
risiko ke tingkat yg dpt diterima.
objektivitas. Ancaman thdp
Ketiga proses fokus pada
objektivitas semacam itu harus
pencapaian tujuan organisasi.
dikelola pd tingkat individu auditor,
Sedangkan dewan direktur
keterlibatan, fungsional, dan
bertanggung jawab untuk
organisasi
melakukan proses tata kelola,
Objektivitas adalah sikap mental
manajemen bertanggung jawab
yang tidak bias yg memungkinkan
untuk melakukan manajemen risiko
auditor internal memiliki keyakinan
dan proses kontrol
yang jujur pada produk kerja
mereka dan tidak ada kompromi
3) Kegiatan assurance dan konsultasi
yang signifikan.
yang dirancang untuk menambah
Independensi mengacu pada status
nilai dan meningkatkan operasi.
organisasi dari fungsi audit internal.
Assurance dan konsultasi berbeda
Objektivitas mengacu pada sikap
dalam tiga hal:
mental auditor internal individu.
o tujuan utama perikatan,
o pembuat sifat dan ruang lingkup 5) Pendekatan sistematis dan disiplin
perikatan (khususnya, proses keterlibatan).
o pihak-pihak yang terlibat Assurance dan konsultasi harus
dilakukan scr sistematis dan
Tujuan utama dari layanan
disiplin.
assurance adalah u/ menilai bukti
Tiga fase dasar dlm proses
yang relevan dengan subjek dan
perikatan audit internal:
memberikan kesimpulan tentang
a. Perencanaan perikatan
masalah tersebut. Umumnya
melibatkan tiga pihak: pihak yang Memperoleh pemahaman
diaudit terlibat langsung dgn subjek tentang pihak yang diaudit/
yg diminati, auditor internal yg pelanggan, misalnya, tujuan
membuat penilaian dan bisnis, personil, sumber daya,
memberikan kesimpulan, dan dan operasi yang diaudit.
pengguna yg mengandalkan Menetapkan tujuan
penilaian auditor internal bukti dan keterlibatan. auditor internal
kesimpulan. akan menggunakan tujuan bisnis
auditee sebagai dasar u/
Tujuan utama layanan konsultasi menentukan hasil yg diinginkan
internal adalah u/ memberikan dari perikatan tertentu.
 Menentukan bukti yang Auditor eksternal memberikan
dibutuhkan untuk mendapatkan kredibilitas penilaian terhadap
bukti yang cukup dan memadai informasi yang digunakan oleh
untuk mencapai tujuan perikatan. pembuat keputusan pihak ketiga,
Menentukan sifat, waktu, dan dengan demikian, meningkatkan
tingkat pengujian audit akan kepercayaan pengguna mengenai
memengaruhi pendekatan akurasi, kelengkapan, dan validitas
pengujian auditor internal. informasi yang menjadi dasar
b. Melakukan perikatan pengambilan keputusan mereka.
Melakukan perikatan melibatkan
Auditor internal menyediakan layanan
penerapan prosedur audit
jaminan pelaporan keuangan mereka
khusus misalnya, membuat
terutama untuk kepentingan
penyelidikan, mengamati
manajemen dan dewan direksi untuk
operasi, memeriksa dokumen,
memberi mereka kepercayaan
dan menganalisis kewajaran
mengenai kebenaran pernyataan
informasi. Dan penting u/
pelaporan keuangan mereka.
mendokumentasikan prosedur
yg dilakukan dan hasil dari Profesi Audit Internal
melakukan prosedur tsb.
Kelahiran audit internal modern
c. Mengkomunikasikan hasil
ditandai dengan berdirinya IIA (Institute
perikatan
of Internal Audit) pada tahun 1941
Komunikasi hasil keterlibatan
dengan hanya beranggotakan 24
harus akurat, obyektif, jelas,
orang. Dalam 30 Tahun Terakhir IIA
ringkas, konstruktif, lengkap, dan
berkembang pesat, sekarang
tepat waktu.
anggotanya tersebar dalam 170 negara
Akuntansi Vs. Audit Tujuan utama fungsi audit internal
Akuntansi mencakup pengumpulan, adalah untuk membantu organisasi
klasifikasi, peringkasan, dan mencapai tujuan bisnisnya. Akibatnya,
komunikasi data keuangan yg target audit internal dptmencakup:
melibatkan pengukuran dan
 Efektivitas operasional dan efisiensi
komunikasi peristiwa dan kondisi
proses bisnis.
bisnis.
 Keandalan sistem informasi dan
Audit harus mempertimbangkan kualitas informasi pengambilan
kejadian dan kondisi bisnis juga, tp tdk keputusan yang dihasilkan sistem
memiliki tugas u/ mengukur tersebut.
/mengkomunikasikannya. Tugasnya u/
 Melindungi aset terhadap kerugian,
meninjau pengukuran dan komunikasi
termasuk kerugian yang diakibatkan
akuntansi bersifat analitis, tidak
oleh penipuan manajemen dan
konstruktif, investigatif, berkaitan
dengan dasar pengukuran akuntansi karyawan.
dan pernyataan.  Kepatuhan terhadap kebijakan,
kontrak, hukum, dan peraturan
Pelaporan Keuangan: Auditor organisasi.
Eksternal Vs Internal
Auditor internal memberikan wawasan
dgn mggunakan bbgai prosedur untuk
menguji kecukupan desain dan
efektivitas operasi tata kelola
organisasi, manajemen risiko, dan
proses kontrol. Prosedur-prosedur ini
meliputi:
 Menanyakan manajer dan
karyawan.
 Mengamati kegiatan.
 Memeriksa sumber daya dan
dokumen.
 Melakukan aktivitas kontrol yang
berulang.
 Melakukan analisis tren dan rasio.
 Melakukan analisis data
menggunakan teknik audit
berbantuan komputer.
 Mengumpulkan informasi yang
menguatkan dari pihak ketiga yang
independen.
 Melakukan tes langsung atas
peristiwa dan transaksi.
Auditor internal juga memberikan
kegiatan konsultasi, termasuk:
 Layanan konsultasi yang u/
memberikan panduan tentang tata
kelola yang efektif, manajemen
risiko, dan proses kontrol.
 Layanan fasilitasi u/ memfasilitasi
latihan yang dirancang untuk
mendorong tata kelola yang baik,
manajemen risiko, dan proses
kontrol.
 Pelatihan tentang konsep tata
kelola saat ini dan yang baru
muncul, manajemen risiko, dan
proses control
Lembaga Auditor Internal
The IIA (The Institute of Internal
Auditors)
Berkantor pusat di Lake Mary, Florida,
diakui di seluruh dunia sebagai “suara
global, standar setter, dan sumber daya
profesi audit internal, dan sumber daya
untuk pengembangan dan sertifikasi
professional”, dipimpin oleh presiden
dan CEO.
Moto IIA: Progress Through Sharing
Misi IIA:
 Mengadvokasi dan
mempromosikan nilai dari
profesional audit internal ke dalam
organisasi
 Menyediakan pendidikan
profesional yang komprehensif dan
peluang pengembangan, standar
dan panduan praktik professional,
dan program sertifikasi.
 Meneliti, menyebarluaskan, dan
mempromosikan pengetahuan
tentang audit internal dan perannya
dalam pengendalian, manajemen
risiko, dan tata kelola kepada para
praktisi dan pemangku
kepentingan.
 Mendidik praktisi dan audiensi
terkait lainnya tentang praktik
terbaik dalam audit internal.
 Menyatukan auditor internal dari
semua negara untuk berbagi
informasi dan pengalaman
Bimbingan Profesional yang diberikan
oleh IIA diwujudkan dalam Kerangka
Praktik Profesional Internasional
(IPPF).
IPPF terdiri dari pedoman wajib dan
rekomendasi:
 Pedoman Wajib. Elemen-elemen
wajib IPPF adalah:
- Prinsip-Prinsip Inti untuk Praktek
Profesional Audit Internal
- Kode Etik
- Standar
 - Definisi Audit Internal15
 Pedoman yang Disarankan. Ini
menjelaskan praktik-praktik untuk
implementasi yang efektif dari
Pedoman wajib. Elemen-elemen
IPPF yang direkomendasikan
adalah Panduan Implementasi dan
panduan tambahan.

Sertifikasi Profesional IIA

Menawarkan beberapa sertifikasi
profesional yang memungkinkan
auditor internal menunjukkan
pengetahuan, ketajaman, dan
kemampuan kepemimpinan mereka
dalam tiga bidang : industri,
kompetensi, dan kepemimpinan.
Sertifikasi ini membantu auditor internal
mengembangkan karier mereka
dengan:
 Meningkatkan keterampilan dan
pengetahuan Internal Audit Foundation untuk
 Membantu auditor internal membentuk, memperluas, dan
mendapatkan kredibilitas dan rasa memajukan pengetahuan audit internal
hormat di lapangan. dengan mengembangkan dan
 Meningkatkan potensi penghasilan menyebarluaskan informasi dan
auditor internal. wawasan yang tepat waktu dan relevan
 Mengizinkan auditor internal untuk yang memenuhi kebutuhan pemangku
menunjukkan pemahaman dan kepentingan kita secara global.
komitmen terhadap praktik audit
Internal Auditing Education
internal.
Partnership (IAEP) menyediakan
Sertifikasi utama yang disponsori The
kurikulum audit internal di perguruan
IIA yaitu Certified Internal Auditor (CIA),
tinggi dan universitas yang disetujui.
satu-satunya sertifikasi yang diterima
secara global untuk auditor internal.
Kompetensi Yang Diperlukan Auditor
Pemeriksaan CIA menguji keahlian
Internal
seorang kandidat dalam tiga bagian:
Karakter yang diperlukan dalam profesi
Dasar-Dasar Audit Internal; Praktik
audit internal:
Audit Internal; dan Elemen
 Kompetensi — keterampilan dan
Pengetahuan Audit Internal. Selain
lulus ujian CIA, kandidat harus memiliki pengetahuan yang diperlukan untuk
pengalaman audit internal minimal dua memberikan layanan penjaminan
tahun. dan pemberian nasehat yang
menambah nilai.
 Kredibilitas — kemampuan untuk manajemen keuangan atau
menginspirasi kepercayaan nonkeuangan.
berdasarkan kompetensi dan
integritas yang konsisten.
 Konektivitas — kemampuan untuk
memahami kebutuhan masing2
pemangku kepentingan secara
individu di dalam keseluruhan
organisasi.
 Komunikasi — melembagakan
metode menyampaikan informasi
(secara lisan dan dalam berbagai
bentuk tertulis).
 Keberanian — ketabahan pribadi
untuk tetap mandiri dan obyektif dan
tahan terhadap hasil dari
keterlibatan yang dilakukan

Kualitas Pribadi Inheren yang

diperlukan:
 Integritas
 Passion
 Etos kerja
 Rasa ingin tahu
 Kreatif
 Inisiatif
 Fleksibel

Kecakapan artinya Auditor internal

harus memiliki pengetahuan,
keterampilan, dan kompetensi lain
yang diperlukan untuk melakukan
tanggung jawab pribadinya.
Jalan Menuju Audit Internal
 Lulusan Akuntansi  Auditor pada
Kantor Akuntan Publik  Auditor
Internal
 Perekrutan lulusan akuntansi
langsung dari Universitas

Jalan Menuju Audit Internal

Banyak auditor internal menggunakan
keahlian yang dimiliki dari audit internal
sebagai batu loncatan ke posisi
THE INTERNATIONAL
PROFESSIONAL PRACTICES (IPPF)
: PANDUAN RESMI UNTUK PROFESI
AUDIT INTERNAL
Sejarah Pengaturan Pedoman Bagi
Profesi Audit Internal
 Ruang lingkup kegiatan audit
internal yang dicakup dalam
Statement of
Responsibilities 1947 yang
dibatasi terutama untuk masalah
keuangan, tp pada tahun 1957
ruang lingkup diperluas mencakup
operasi juga
 Pada tahun 1968, IIA memberikan
pedoman etika bagi para
anggotanya dengan menerbitkan
Kode Etik. Kode terdiri dari delapan
artikel, prinsip-prinsip dasar yang
masih ditemukan dalam kode saat
ini.
 Dengan penerbitan Common Body
of Knowledge (CBOK) pada tahun
1972 dan implementasi program
sertifikasi Auditor Internal
Bersertifikat (CIA) pada tahun 1973,
IIA memberikan panduan
profesional tambahan tentang
kompetensi yang diperlukan audit
internal
 Pada tahun 1978, IIA mengeluarkan
Standards for the Professional
Practice of Internal Auditing.
Standar ini terdiri dari lima pedoman
umum dan 25 spesifik untuk
bagaimana fungsi audit internal
harus dikelola.
 1999-sekarang, digunakan IPPF
Kerangka IPPF
Komponen IPPF mencakup:
1. MANDATORY GUIDANCE
Ada 3 jenis kegiatan umum dari
layanan yang disediakan oleh audit
internal:
 Assurance berbasis risiko dan
objektif,
 Advice berbasis risiko dan obyektif
 Insight berbasis risiko dan obyektif.
Unsur mandatory IPPF menentukan
struktur organisasi, hubungan, dan
karakteristik unit kerja yang
menyediakan layanan audit internal,
atribut, kompetensi dan norma perilaku
dari mereka yang memberikan layanan
ini, dan fitur penting lainnya
a. The Core Principles
10 Prinsip Inti Untuk Praktek
Profesional Audit Internal
1) Menunjukkan integritas.
2) Menunjukkan kompetensi dan
profesional yang layak.
3) Objektif dan bebas dari pengaruh
luar(independen).
4) Sejalan dengan strategi, tujuan, dan
risiko organisasi.
5) Diposisikan dengan tepat dan
sumber daya yang memadai.
6) Menunjukkan kualitas dan
peningkatan berkelanjutan.
7) Berkomunikasi secara efektif.
8) Memberikan jaminan berbasis
risiko.
9) Berwawasan, proaktif, dan berfokus
masa depan.
10) Mendorong peningkatan organisasi.
b. The Definition
Audit internal adalah aktivitas
konsultasi independen dan obyektif
yang dirancang untuk menambah nilai
dan meningkatkan operasi organisasi.
Ini membantu organisasi mencapai
tujuannya dengan membawa
pendekatan sistematis dan disiplin
untuk mengevaluasi dan meningkatkan
efektivitas manajemen risiko, kontrol,
dan proses tata kelola.
c. The Code of Ethics
Tujuan Kode Etik ini adalah untuk
mempromosikan budaya etis dalam
profesi audit internal.
Kode Etik terdiri dari dua komponen:
Prinsip-prinsip Kode ada 4 dan Aturan
Perilaku ada 12.
Prinsip Kode:
 Integritas.
Integritas auditor internal
membangun kepercayaan dan
dengan demikian memberikan
dasar untuk mengandalkan
penilaian mereka. Aturan Perilaku
terkait dengan prinsip integritas:
(1) Melakukan pekerjaan mereka
dengan kejujuran, ketekunan,
dan tanggung jawab.
(2) Mematuhi hukum dan membuat
pengungkapan yang diharapkan
oleh hukum dan profesi.
(3) Tidak akan secara sengaja
menjadi pihak dalam aktivitas
ilegal apa pun.
(4) Menghormati dan berkontribusi
pada tujuan organisasi yang sah
dan etis
 Objektif
Auditor internal membuat penilaian
yang seimbang dari semua
keadaan yang relevan dan tidak
dipengaruhi oleh kepentingan
mereka sendiri atau oleh orang lain
dalam membentuk penilaian. Aturan
Perilaku yang terkait dengan prinsip
objektivitas:
(5) Tidak boleh berpartisipasi dalam
aktivitas atau hubungan apa pun
yang dapat merusak atau
dianggap merusak penilaian
mereka yang tidak bias.
(6) Tidak boleh menerima apa pun
yang dapat merusak atau
dianggap merusak penilaian
profesional mereka.
(7) Harus mengungkapkan semua
fakta material yang diketahui oleh
mereka.
 Kerahasiaan
Auditor internal menghormati nilai
dan kepemilikan informasi yang
mereka terima dan tidak
mengungkapkan informasi tanpa
otoritas yang sesuai kecuali ada
kewajiban hukum atau profesional
untuk melakukannya
Aturan perilaku yang terkait dengan
prinsip kerahasiaan:
(8) Harus bijaksana dalam
penggunaan dan perlindungan
informasi yang diperoleh selama
menjalankan tugasnya.
(9) Tidak boleh menggunakan
informasi untuk keuntungan
 pribadi apa pun atau dengan cara
apa pun yang akan bertentangan
dengan hukum atau merugikan
tujuan sah dan etis organisasi.
 Kompetensi
Auditor internal menerapkan
pengetahuan, keterampilan, dan
pengalaman yang dibutuhkan
dalam kinerja layanan audit internal.
(10) Aturan Perilaku yg terkait
dengan kompetensi Harus hnya
terlibat dlm layanan yg mereka
miliki pengetahuan,
keterampilan, dan pengalaman  1000 - Tujuan, Wewenang, dan
yang diperlukan. Tanggung Jawab
(11) Harus melakukan layanan audit Fungsi audit internal harus
internal sesuai dengan Standar didefinisikan secara formal dalam
Internasional untuk Praktik suatu piagam audit internal.
Profesional Audit Internal. harus sesuai dengan Misi audit
(12) Harus terus meningkatkan internal dan unsur-unsur yang
kemahiran mereka dan diwajibkan dalam Kerangka
keefektifan dan kualitas layanan Praktik Profesional Internasiona.
mereka. " Kepala audit internal (KAI) harus
mengkaji secara periodik piagam
Standar Internasional untuk Praktik audit internal dan
Profesional Audit Internal menyampaikannya kepada
Tujuan dari Standar ini adalah untuk: manajemen senior dan dewan
untuk memperoleh persetujuanl
 Memandu kepatuhan dengan
 1100 - Independensi dan
unsur-unsur wajib Kerangka Praktik
Objektivitas
Profesional Internasional.
Independensi  kondisi bebas
 Memberikan kerangka kerja u/
dari situasi yang dapat
melakukan dan mempromosi
mengancam kemampuan
berbagai audit internal nilai tambah. aktivitas auditor internal untuk
 Menetapkan dasar untuk evaluasi melaksanakan tanggung
kinerja audit internal. jawabnya secara tidak memihak.
 Mendorong peningkatan Objektivitas  suatu sikap
proses&operasi organisasi. mental tidak memihak yang
memungkinkan auditor internal
Ada dua kategori Standar: melaksanakan tugas sedemikian
1) Standar Atribut rupa sehingga mereka memiliki
membahas atribut organisasi dan keyakinan terhadap hasil kerja
individu yang melakukan audit mereka dan tanpa kompromi
internal. dalam mutu.
 Potensi konflik kepentingan
dpt terjadi akibat:
- Seorang manajer senior dari
area lain organisasi diminta
menjadi CAE.
- Seorang karyawan pindah ke
fungsi audit internal dari area
lain
- Auditor internal dengan
keahlian akuntansi khusus
diminta untuk mengambil
posisi akuntansi sementara.
- Auditor internal dengan
pengalaman manajemen
diminta mengisi posisi
manajemen yang dikosongkan
sementara organisasi mencari
pengganti yang sesuai.
- Auditor internal diminta untuk
merancang kebijakan dan
prosedur kontrol di area
organisasi yang tidak memiliki
keahlian yang diperlukan u/
mengatasi kekurangan kontrol
- CAE mengelola fungsi selain
audit internal, seperti
manajemen risiko, keamanan
informasi, atau kepatuhan.
- Manajemen auditee berjanji
untuk menawarkan pekerjaan
kepada auditor internal atau
mendukung promosi auditor
- Seorang manajer atau
karyawan memberikan hadiah
kepada auditor internal,
sehingga memberi tekanan
pada auditor internal
 1200 - Kemahiran dan
Profesional Care
Kemahiran  Pengetahuan,
keterampilan, dan kompetensi
lain yang dibutuhkan untuk
memenuhi tanggung jawab audit
internal
Profesional Care  Kepedulian
dan keterampilan yang
diharapkan dari auditor internal
yang cukup bijaksana dan
kompeten.
 1300 - Program Jaminan dan
Pengembangan Jaminan
Kualitas  menanamkan
keyakinan bahwa produk atau
layanan memiliki fitur dan
karakteristik penting yang
seharusnya dimiliki.
Dalam Standar 1310, Program
jaminan kualitas dan peningkatan
harus mencakup penilaian
internal dan eksternal. enilaian
internal mencakup Pemantauan
berkelanjutan atas kinerja audit
internal; dan Penilaian diri secara
berkala atau penilaian oleh orang
lain dalam organisasi dengan
pengetahuan yang memadai.
Penilaian eksternal harus
dilakukan setidaknya setiap lima
tahun sekali oleh tim penilai
2) Standar Kinerja
Menggambarkan sifat audit internal
dan memberikan kriteria kualitas
yang dapat mengukur kinerja
layanan ini.
Dibagi menjadi tujuh bagian utama:
 2000 - Mengelola Kegiatan Audit
Internal
CAE bertanggung jawab untuk
mengelola fungsi audit internal.
Namun, ketika orang ini memiliki
tanggung jawab yang
bertentangan, penyedia layanan
eksternal memiliki tanggung
jawab tambahan (Standar 2070).
 2100 - Sifat Pekerjaan
Sifat Pekerjaan konsisten
dengan Definisi Audit Internal,
yaitu berkontribusi pada
 peningkatan tata kelola, kepala eksekutif audit harus
manajemen risiko, dan proses mengomunikasikan masalah
kontrol menggunakan tersebut kepada dewan.
pendekatan sistematis, disiplin,
dan berbasis risiko Assurance Vs Consulting Services
 2200 - Perencanaan Keterlibatan Assurance Services : Pemeriksaan
 2300 - Melakukan Perikatan objektif bukti untuk tujuan memberikan
Saat melakukan perikatan, penilaian independen pada tata kelola,
fungsi audit internal harus: manajemen risiko, dan proses kontrol
- mengidentifikasi informasi untuk organisasi.
yang memadai, andal, Consulting Services : Penasihat dan
relevan, dan berguna untuk aktivitas layanan terkait, sifat dan ruang
lingkup yang disepakati dimaksudkan
mencapai tujuan perikatan
untuk menambah nilai dan
- mendasarkan kesimpulan dan
meningkatkan tata kelola organisasi,
hasil keterlibatan pada analisis
manajemen risiko, dan proses kontrol
dan evaluasi yang tepat
- mendokumentasikan 2. RECOMMENDED GUIDANCE
informasi yang memadai, Panduan yang disarankan memberikan
andal, relevan, dan berguna panduan yang lebih spesifik dan tidak
untuk mendukung hasil dan wajib. Namun, pedoman ini otoritatif,
kesimpulan yaitu mengesahkannya melalui proses
 2400 - Mengkomunikasikan Hasil pengesahan formal.
Komunikasi hasil harus Panduan yg disarankan ini dibagi
mengungkapkan: menjadi:
- Prinsip atau aturan perilaku 1) Implementation Guidance 
Kode Etik atau Standar yang Panduan Implementasi membantu
tidak sepenuhnya sesuai auditor internal dalam menerapkan
- Alasan untuk ketidaksesuaian Standar, secara kolektif mbahas
- Dampak ketidaksesuaian pendekatan, metodologi, dan
pada hasil pertimbangan u/ audit internal.
 2500 - Memantau Struktur Implementation Guidance :
Perkembangan - The Standard
 2600 - Mengkomunikasikan - Getting Started
Penerimaan Risiko - Consideration for
Membahas masalah penerimaan Implementation
tgkt risiko residual yg mungkin - Consideration for
tdk dpt diterima oleh organisasi. Demonstrating Conformance
Risiko residual adalah bagian 2) Supplemental Guidance 
dari risiko inheren yang tersisa pedoman ini membahas bidang
setelah manajemen topik, masalah khusus sektor
melaksanakan respons risiko. industri, proses dan prosedur,
Jika kepala eksekutif audit (CAE) berbagai alat dan teknik, dan contoh
menentukan bahwa masalah hasil kerja. Sejumlah besar
tersebut belum diselesaikan,
 Pedoman tambahan ini berkaitan Standar yg Dikeluarkan oleh
dengan TI. Organisasi Lainnya
 Standar Audit Internal dalam
Contoh Supplemental Guidance Pemerintahan
terdiri dari:  GAO mengeluarkan standar
- General untuk audit pemerintah di
- Global Technology Audit Amerika Serikat
Guides (GTAGs)  Standar Audit Teknologi Informasi
- Guide to the Assessment of IT  ISACA mengembangkan
Risk (GAIT) kerangka kerja yang mirip
- Public Sector dengan IPPF yang disebut ITAF
- Other  Standar untuk Praktek Profesional
3) Other Guidance  Panduan yang Audit Lingkungan, Kesehatan, dan
bukan merupakan bagian dari IPPF Keselamatan
tetapi mungkin bermanfaat bagi  dikeluarkan oleh The Board of
praktisi audit internal dan pemangku Environmental, Health, and
kepentingan, terkadang dikeluarkan Safety Auditor
oleh IIA juga. Certifications (BEAC)
 Standar untuk Audit Keuangan
Siapa Yang Bertanggung Jawab Dalam  The US Public Company
Pengembangan IPPF ? Accounting Oversight
 Professional Responsibilities and Board (PCAOB) & American
Ethics Committee (PPAC) Institute of Certified Public
 International Internal Audit Accountants (AICPA).
Standards Board (PPAC)
 Guidance Development Committee
(PGAC)
 Information Technology
Guidance Committee (PGAC)
 Financial Services Guidance
Committee (PGAC)
 Public Sector Guidance Committee
(PGAC)
MANAGING THE INTERNAL AUDIT
FUNCTION
Fungsi audit internal ditempatkan
pada tingkat manajemen senior,
memberikan fungsi visibilitas,
wewenang, dan tanggung jawab untuk
 secara independen mengevaluasi
penilaian manajemen terhadap
sistem kontrol internal organisasi,
 menilai kemampuan organisasi
untuk mencapai tujuan bisnis dan
mengelola, memantau, dan
memitigasi risiko yang terkait
dengan pencapaian tujuan tersebut
Juga untuk memberikan layanan
konsultasi dalam bentuk inisiatif atau
proyek yang memungkinkan
manajemen menggunakan keahlian
profesional yang dimiliki fungsi audit
internal.
Standar 2000 menyatakan bahwa
fungsi audit internal dikelola secara
efektif ketika:
 Hasil pekerjaan fungsi audit internal
mencapai tujuan dan tanggung
jawab termasuk dalam piagam audit
internal
 Fungsi audit internal sesuai dengan
Standar
 Individu yang merupakan bagian
dari [fungsi] audit internal
menunjukkan kesesuaian dengan
Kode Etik dan Standar
 Aktivitas audit internal fungsi
mempertimbangkan tren dan
masalah yang muncul yang dapat
memengaruhi efektivitas
Internal Audit Charter
Dokumen tertulis resmi yang
menetapkan tujuan, wewenang, dan
tanggung jawab fungsi audit internal.
Berisi:
 Penetapan posisi fungsi audit
internal
 Akses wewenang pada
pelaksanaan penugasan
 Penjelasan ruang lingkup
 Pernyataan visi dan/atau misi
 Strategi jangka panjang yang
terperinci
PLANNING
Identifikasi dan memprioritaskan audit
universe --> Risiko utama --> Tentukan
unit dan proses bisnis --> Rencana
Audit Internal yang Komprehensif
KOMUNIKASI DAN PERSETUJUAN
 Daftar penugasan audit secara
spesifik
 Alasan untuk memilih setiap
penugasan yang diajukan
 Tujuan dan ruang lingkup setiap
penugasan
 Daftar proyek yang tidak secara
langsung berkaitan dengan
penugasan audit
MANAJEMEN SUMBER DAYA
Mengalokasikan sumber daya secara
TEPAT, CUKUP, dan EFEKTIF.
Bagaimana caranya?
 Struktur organisasi dan strategi
kepegawaian (staffing)
 Pengukuran yang tepat
 Rencana penetapan sdm
 Proses perekrutan
 Strategic sourcing
 Pelatihan dan mentoring
 Perencanaan karier dan
pengembangan profesional
 Penjadwalan (scheduling)
 Anggaran keuangan
 Penggunaan professional practice
group
KEBIJAKAN DAN PROSEDUR
Menetapkan kebijakan dan prosedur
untuk panduan aktivitas audit internal
Reporting To The Board and Senior
Management
 Laporan pemantauan unit bisnis
dan pemantauan risiko. Laporan
kegiatan auditor luar yang
independen.
 Laporan kegiatan keuangan utama.
 Laporan aktivitas manajemen risiko.
 Laporan pemantauan hukum dan
kepatuhan
Quality Assurance And Improvement
Program
Fungsi audit internal harus menetapkan
prosedur penilaian internal (langkah-
langkah penjaminan kualitas yang
dilakukan oleh pihak-pihak internal
suatu organisasi yang memastikan
bahwa standar yang ditetapkan telah
terpenuhi) dan prosedur penilaian
eksternal (langkah-langkah
penjaminan kualitas yang dilakukan
oleh pihak luar yang independen dan
berkualifikasi. Proses ini biasanya
disebut sebagai peer review
independent)
Penggunaan Teknologi Untuk
Mendukung Proses Audit Internal
 Control Risk dalam Penilaian
Mandiri (teknologi voting untuk
membahas dan memprioritaskan
risiko potensial)
 Analisis data (Teknik audit
berbantuan komputer)
 Pemantauan Otomatis
 Pemeriksaan Berkelanjutan
 Kertas Kerja Otomatis
 Internet
 Administrasi dan Manajemen
Departemen
AUDIT EVIDENCE AND WORKING
PAPERS
Kualitas kesimpulan dan saran auditor
internal tergantung pada kemampuan
mereka untuk mengumpulkan dan
mengevaluasi bukti yang sesuai yang
cukup untuk mendukung kesimpulan
dan saran. Didasarkan pada:
 Professional Skepticism.
mereka terus-menerus
mempertanyakan apa yang mereka
dengar dan lihat dan secara kritis
menilai bukti audit
 Reasonable Assurance
 Persuasiveness of Audit Evidence.
Agar persuasif, bukti harus relevan,
andal, dan cukup
Kecukupan dan Keandalan Bukti Audit
- Diperoleh dari pihak ketiga
- Dihasilkan dari proses atau sistem
dengan pengendalian yang efektif
- Diperoleh langsung oleh auditor
internal
- Terdokumentasi
- Dikuatkan/didukung
- Diperoleh dari sampel yang lebih
besar
- Tepat waktu
Prosedur Audit
Tugas khusus yang dilakukan oleh
auditor untuk mengumpulkan bukti
audit yang diperlukan untuk mencapai
tujuan audit yang telah ditentukan
 Inquiry
 Observation
 Inspection
 Vouching
 Tracing
 Reperformance
 Analytical procedures
 Confirmation
GAS
Generalized Audit Software (GAS)
Perangkat lunak multiguna yang dapat
digunakan untuk keperluan audit
seperti pemilihan catatan, pencocokan,
perhitungan ulang, dan pelaporan
Manfaat menggunakan GAS :
- Memungkinkan auditor internal
melakukan prosedur audit di
berbagai perangkat keras dan
perangkat lunak dengan
kustomisasi minimal.
- Ini memungkinkan auditor internal
untuk melakukan tes pada data
secara independen dari personil TI
perusahaan.
- Menggunakan GAS memungkinkan
auditor internal untuk menganalisis
data dalam jumlah sangat besar.
- Beberapa aplikasi GAS
memfasilitasi 100% pemeriksaan
populasi data hampir secara instan
sebagai lawan menguji sampel item
data manual.
- Menggunakan GAS untuk
melakukan tugas audit yang perlu
tetapi rutin membebaskan waktu
bagi auditor internal untuk berpikir
analitis
Hambatan menerapkan GAS:
- Memperoleh hak akses ke data
yang relevan dan andal.
- Mendapatkan akses fisik ke data.
- Memahami bagaimana data
disimpan dan diformat dalam
sistem.
- Mengekstrak data dan
mengunduhnya ke komputer pribadi
auditor internal.
- Mengimpor data dalam format yang
dapat digunakan ke perangkat
lunak audit
Working Paper
Tujuan Kertas Kerja:
- Bantuan dalam merencanakan dan
melakukan perikatan.
- Memfasilitasi pengawasan atas
keterlibatan dan tinjauan pekerjaan
yang telah diselesaikan.
- Tunjukkan apakah tujuan
keterlibatan tercapai.
- Memberikan dukungan utama untuk
komunikasi auditor internal kepada
pihak yang diaudit, manajemen
senior, dewan direktur, dan pihak
ketiga yang sesuai.
- Berfungsi sebagai dasar untuk
mengevaluasi program jaminan
kualitas fungsi audit internal.
- Berkontribusi pada pengembangan
profesional staf audit internal.
- Tunjukkan kepatuhan fungsi audit
internal dengan The IIA
Jenis Kertas kerja:
- Program kerja yang digunakan untuk mendokumentasikan sifat, luas, dan waktu
prosedur audit khusus.
- Anggaran waktu keterlibatan dan lembar kerja alokasi sumber daya.
- Kuisioner yang digunakan untuk memperoleh informasi tentang auditee, termasuk
tujuan, risiko, kontrol, kegiatan operasi, dll.
- Bagan, grafik, dan diagram, seperti peta risiko yang digunakan untuk memplot
dampak dan kemungkinan risiko bisnis
- Agenda untuk rapat tim audit internal dan pertemuan dengan auditee.
- Nota naratif digunakan untuk mendokumentasikan hasil wawancara dan
pertemuan lainnya dengan auditee.
- Informasi organisasi yang diaudit terkait, seperti bagan organisasi, uraian tugas,
dan kebijakan serta prosedur operasi dan keuangan.
- Salinan dokumen sumber, seperti permintaan pembelian, pesanan pembelian,
laporan penerimaan, faktur vendor, voucher, dan cek.
- Salinan dokumen penting lainnya, seperti risalah rapat dan kontrak.
- Dokumen terkait TI, seperti daftar program dan laporan pengecualian.
- Catatan akuntansi, seperti saldo percobaan dan kutipan dari jurnal dan buku besar
- dll
TM 2: Mahasiswa dapat melakukan analisis terhadap tata kelola dan
manajemen risiko organisasi
Governance
EXHIBIT 1 - IPPF Guidance
 Standard 2010 - Planning
 Standard 2100 - Nature of Work
 Standard 2110 - Governance
EXHIBIT 2 - Susunan Unsur Utama dari Struktur Governance

 Struktur tata kelola dapat dibentuk untuk mematuhi hukum dan peraturan di
yurisdiksi tempat organisasi beroperasi. Undang-undang dan peraturan ini
biasanya diundangkan untuk melindungi kepentingan publik. Selain itu, dewan
dan manajemen organisasi dapat membangun struktur tata kelola untuk
memastikan kebutuhan pemangku kepentingan utama terpenuhi dan bahwa
organisasi beroperasi dalam batas-batas dan nilai-nilai yang ditetapkan oleh
dewan dan manajemen senior.
 Manajemen risiko dimaksudkan untuk
o mengidentifikasi dan mengelola risiko yang dapat memengaruhi
keberhasilan organisasi, dan
o mengeksploitasi peluang yang memungkinkan keberhasilan itu.
 Pengendalian internal diperlihatkan di pusat pameran 3-2 karena sistem
pengendalian internal merupakan bagian integral dari aktivitas manajemen
risiko yang lebih luas.
Governance Concepts
Definisi Governance
Governance atau Tata Kelola adalah kombinasi proses dan struktur yang diterapkan
oleh dewan untuk menginformasikan, mengarahkan, mengelola, dan memantau
kegiatan organisasi menuju pencapaian tujuannya.

Tata kelola perusahaan melibatkan serangkaian hubungan antara manajemen

perusahaan, dewan, pemegang saham, dan pemangku kepentingan lainnya. Tata
kelola perusahaan juga menyediakan struktur di mana tujuan perusahaan ditetapkan,
dan sarana untuk mencapai tujuan tersebut dan memantau kinerja ditentukan.
EXHIBIT 3 - Gambaran Umum Governance

Poin-poin penting yang harus diambil dari penggambaran tata kelola ini adalah:

 Tata kelola dimulai dengan dewan direksi dan komitenya. Dewan berfungsi
sebagai "payung" pengawasan tata kelola untuk seluruh organisasi. Dewan
memberikan arahan kepada manajemen, memberdayakan mereka dengan
wewenang untuk mengambil tindakan yang diperlukan untuk mencapai arah
itu, dan mengawasi keseluruhan hasil operasi.
 Dewan harus memahami dan fokus pada kebutuhan pemangku kepentingan
utama. Pada akhirnya, dewan memiliki tanggung jawab utama kepada para
pemangku kepentingan organisasi.
 Sehari-hari, tata kelola dijalankan oleh manajemen organisasi. Baik
manajemen senior dan manajer lini memiliki peran penting, walaupun agak
berbeda, dalam tata kelola. Peran ini dilakukan melalui kegiatan manajemen
risiko.
 Aktivitas penjaminan internal dan eksternal memberikan jaminan kepada
manajemen dan dewan mengenai efektivitas kegiatan tata kelola. Pihak-pihak
ini termasuk, tetapi tidak terbatas pada, auditor internal dan auditor luar
independen.
EXHIBIT 4 - Komponen Utama Pengawasan Governance

Peran dan Tanggung Jawab dalam Tata Kelola: Dewan dan Komite-Komitenya
Tata kelola pada akhirnya menjadi tanggung jawab dewan, meskipun tanggung jawab
ini sering dilakukan oleh berbagai komite (misalnya, komite audit).
Di bawah ini adalah tanggung jawab dewan secara kronologis:
1. mengidentifikasi stakeholder utama suatu organisasi
Stakeholder dapat dipandang memiliki satu atau lebih dari karakteristik berikut
(contoh ikuti daftar ini):
 Beberapa pemangku kepentingan terlibat langsung dalam operasi bisnis
organisasi.
 Stakeholder lain tidak terlibat langsung, tetapi tertarik dengan bisnis
organisasi; yaitu, mereka dipengaruhi oleh keberhasilan atau hasil bisnis
lainnya.
 Beberapa pemangku kepentingan tidak terlibat langsung atau tidak
tertarik pada keberhasilan bisnis organisasi, tetapi para pemangku
kepentingan ini dapat mempengaruhi aspek-aspek bisnis organisasi
dan, sebagai hasilnya, keberhasilan organisasi.
Jenis Stakeholder
 Directly involved (Terlibat langsung)
e.g. employees, customers, vendors
 Interested (Tertarik)
e.g. shareholders/investors, regulatory agencies
 Influence (Berpengaruh)
e.g. financial institutions
Meskipun di atas adalah jenis pemangku kepentingan yang paling umum,
mungkin ada pihak lain yang memiliki minat atau dapat mempengaruhi
organisasi.
Contoh: lembaga pemeringkat, asosiasi industri, analis keuangan, dan pesaing
organisasi.
2. mengidentifikasi hasil potensial yang tidak dapat diterima oleh pemangku
kepentingan utama.
Dewan mungkin perlu mempertimbangkan jenis hasil berikut:
 Keuangan
e.g. laba per saham, likuiditas kas, peringkat kredit, laba atas investasi,
ketersediaan modal, eksposur pajak, kelemahan material, dan
transparansi pengungkapan.
 Kepatuhan
e.g. litigasi, pelanggaran kode etik, pelanggaran keselamatan dan
lingkungan, perintah penahanan, investigasi pemerintah, denda dan
hukuman regulasi, dakwaan, dan penangkapan.
 Operasi
e.g. pencapaian tujuan, penggunaan aset yang efisien, perlindungan
aset (perlindungan asuransi, penurunan nilai aset, penghancuran aset),
perlindungan orang (kesehatan dan keselamatan, penghentian kerja),
perlindungan informasi (integritas data, data kerahasiaan), dan
perlindungan masyarakat (tumpahan lingkungan, penutupan pabrik).
 Strategis
e.g. reputasi, kesinambungan perusahaan, semangat kerja karyawan,
dan kepuasan pelanggan.
3. menetapkan tingkat toleransi, yang mewakili tingkat variasi kinerja yang
dapat diterima berdasarkan hasil tersebut
Level-level ini, yang konsisten dengan selera risiko (risk appetite) keseluruhan
organisasi, dapat dikomunikasikan kepada manajemen sebagai batasan di
mana dewan menginginkan organisasi untuk beroperasi.
 Risk appetite:
Jenis dan jumlah risiko, pada tingkat yang luas, organisasi bersedia menerima
dalam mengejar nilai.

Dewan dapat melaksanakan tanggung jawab tata kelolanya dengan:

 Membentuk komite tata kelola:
o Komite ini dapat berupa komite baru atau perluasan tanggung jawab
untuk komite yang ada (misalnya, banyak perusahaan publik telah
memperluas tanggung jawab komite pencalonan menjadi komite
pencalonan dan tata kelola).
o komite harus terdiri dari direktur independen.
o Komite harus memiliki tanggung jawab yang diuraikan di atas.
 Mengartikulasikan persyaratan untuk melaporkan kepada dewan:
o Manajemen harus memiliki wewenang untuk membuat keputusan bisnis
sehari-hari, tetapi juga harus memiliki pemahaman yang jelas tentang
parameter dewan direksi tentang variasi kinerja yang dapat diterima
untuk mengelola bisnis.
o Sebagai bagian dari peran pengawasannya, dewan juga harus
menetapkan ambang batas pelaporan untuk manajemen yaitu, yang
hasilnya harus disetujui oleh dewan, dilaporkan langsung ke dewan,
atau dirangkum untuk dewan sebagai bagian dari pertemuan triwulanan.
 Mengevaluasi kembali ekspektasi tata kelola secara berkala (biasanya
setiap tahun):
o Harapan pemangku kepentingan utama dapat berubah dan berubah.
Oleh karena itu, dewan harus mengidentifikasi perubahan-perubahan itu
dan mengevaluasi kembali arahan tata kelolanya.
o Sebagai hasil dari perubahan-perubahan itu, apa yang dianggap dewan
dapat diterima dalam hal variasi kinerja juga harus dievaluasi kembali.

Manajemen Senior (Senior Management)

Untuk melaksanakan tanggung jawab pemerintahannya, manajemen senior
bertanggung jawab untuk:
 Memastikan bahwa cakupan penuh arahan dan wewenang yang
didelegasikan dipahami dengan tepat.
 Identifikasi proses dan kegiatan dalam organisasi yang merupakan bagian
integral dari pelaksanaan arahan tata kelola yang disediakan oleh dewan.
Artinya, manajemen senior harus menentukan:
o Di mana dalam organisasi untuk mengelola risiko spesifik yang dapat
menghasilkan hasil yang tidak dapat diterima.
o Siapa yang akan bertanggung jawab untuk mengelola risiko tersebut
(yaitu, pemilik risiko).
o Bagaimana risiko-risiko itu akan dikelola.
 Mengevaluasi pertimbangan atau faktor bisnis lain apa yang mungkin
menciptakan pembenaran untuk mendelegasikan tingkat toleransi yang lebih
rendah kepada pemilik risiko daripada yang ditentukan oleh dewan.
 Memastikan bahwa informasi yang memadai dikumpulkan dari pemilik risiko
untuk mendukung persyaratan pelaporannya kepada dewan.
Manajemen senior dapat melaksanakan tanggung jawab tata kelola dengan baik
dengan cara:
  Membentuk komite risiko.
o Komite ini biasanya dipimpin oleh eksekutif senior: chief risk officer
(CRO), jika ada, atau eksekutif lain yang memiliki tanggung jawab
pengawasan risiko yang luas.
o Bertanggung jawab untuk menentukan bahwa semua risiko utama
diidentifikasi, dikaitkan dengan kegiatan manajemen risiko, dan
ditugaskan kepada pemilik risiko.
o Komite ini mengevaluasi selera risiko organisasi yang sedang
berlangsung dan memastikan bahwa tingkat toleransi yang
didelegasikan kepada pemilik risiko berada dalam selera risiko yang
disetujui dewan.
 Mengartikulasikan persyaratan pelaporan.
o Pemilik risiko harus memahami sifat, format, dan waktu komunikasi
mengenai efektivitas kegiatan manajemen risiko. Komunikasi ini
biasanya harus konsisten dengan tingkat toleransi yang didelegasikan
kepada pemilik risiko.
o Pelaporan ini dapat terjadi melalui pertemuan komite risiko yang
dijadwalkan secara rutin atau sebagai bagian dari proses pengumpulan
informasi untuk pelaporan kepada dewan.
 Mengevaluasi kembali ekspektasi tata kelola secara berkala (saat
perubahan bisnis terjadi, dan setidaknya setiap tahun).
o Ketika sebuah organisasi berkembang dan berubah, manajemen senior
harus mengevaluasi kembali arahan tata kelola dan tingkat toleransi
terkait yang telah didelegasikan kepada pemilik risiko.
o Sebagai akibat atau perubahan-perubahan itu, tingkat toleransi
manajemen senior juga harus dievaluasi kembali.
o Aktivitas ini juga memberi manajemen senior kesempatan untuk
mengevaluasi keseluruhan efektivitas program manajemen risiko
organisasi.

Pemilik Risiko (Risk Owners)

Tanggung jawab pemilik risiko meliputi:
 Mengevaluasi apakah kegiatan manajemen risiko dirancang secara
memadai untuk mengelola risiko terkait dalam tingkat toleransi yang ditentukan
oleh manajemen senior.
 Menilai kemampuan organisasi yang sedang berlangsung untuk
melaksanakan kegiatan manajemen risiko tersebut.
 Menentukan apakah kegiatan manajemen risiko saat ini beroperasi
sebagaimana dirancang, yaitu, apakah orang dan sistem melaksanakan proses
secara konsisten dengan tujuan yang diinginkan.
 Melakukan kegiatan pemantauan sehari-hari untuk mengidentifikasi, secara
tepat waktu, apakah anomali atau divergensi dari hasil yang diharapkan telah
terjadi.
 Memastikan bahwa informasi yang dibutuhkan oleh manajemen senior dan
dewan adalah akurat dan tersedia, dan diberikan kepada manajemen senior
secara tepat waktu.
Pemilik risiko dapat melaksanakan tanggung jawab tata kelola mereka dengan baik
dengan cara:
  Mempresentasikan rekomendasi tata kelola kepada komite risiko.
Jika seorang individu menjadi pemilik risiko baru, atau bertanggung jawab atas
risiko yang sebelumnya tidak tunduk pada manajemen risiko formal dan
pelaporan, pemilik risiko harus menyiapkan rekomendasi untuk komite risiko.
 Mengevaluasi kembali kegiatan manajemen risiko secara berkala
(setidaknya setiap tahun, dan lebih sering lagi ketika dibenarkan)
o Desain kegiatan manajemen risiko harus terus diselaraskan dengan
strategi risiko di seluruh organisasi dan memastikan risiko dikelola
dalam tingkat toleransi yang didelegasikan.
o Kemampuan manajemen risiko harus dinilai kembali dengan
mempertimbangkan pergantian personel, perubahan sistem, dan
kejadian lain yang dapat memengaruhi kematangan dan efektivitas
kapabilitas tersebut.
o Kegiatan pemantauan manajemen risiko harus memberikan informasi
yang tepat waktu kepada pemilik risiko tentang efektivitas kegiatan
manajemen risiko.
o Pelaporan hasil manajemen risiko kepada manajemen senior harus
ditinjau kembali secara berkala untuk memastikan pelaporan terus
memenuhi harapan manajemen senior.

Kegiatan Jaminan (Assurance Activities)

Kegiatan jaminan adalah pemeriksaan objektif bukti untuk tujuan memberikan
penilaian independen pada tata kelola, manajemen risiko, dan proses kontrol untuk
organisasi.

IIA Standar 2110: Pemerintahan menyatakan hal berikut mengenai peran fungsi audit
internal dalam kegiatan tata kelola:
“Aktivitas audit internal harus menilai dan membuat rekomendasi yang sesuai untuk
meningkatkan proses tata kelola organisasi untuk:
 Membuat keputusan strategis dan operasional.
 Mengawasi manajemen dan kontrol risiko.
 Mempromosikan etika dan nilai-nilai yang sesuai dalam organisasi.
 Memastikan manajemen kinerja dan kemampuan akun organisasi yang efektif.
 Mengkomunikasikan risiko dan mengontrol informasi ke area yang sesuai
dalam organisasi.
 Mengkoordinasikan kegiatan, dan mengkomunikasikan informasi di antara
dewan, auditor eksternal dan internal, penyedia jaminan lainnya, dan
manajemen. "
IIA Standar 2120: Manajemen Risiko menyatakan, "Aktivitas audit internal harus
mengevaluasi efektivitas dan berkontribusi pada peningkatan proses manajemen
risiko." Tertanam dalam kedua standar ini adalah gagasan bahwa fungsi audit internal
dapat memberikan jaminan dan layanan konsultasi untuk suatu organisasi. Tingkat
kegiatan jaminan yang dilakukan oleh fungsi audit internal akan tergantung pada
1. piagam audit internal, yang menentukan peran fungsi audit internal dalam
kepastian tata kelola, dan
2. arahan khusus dari dewan mengenai harapan saat ini atau yang sedang
berlangsung untuk melakukan kegiatan tersebut.
Tergantung pada dua faktor ini, tanggung jawab tata kelola fungsi audit internal dapat
mencakup salah satu atau semua hal berikut:
  mengevaluasi apakah berbagai kegiatan manajemen risiko dirancang secara
memadai untuk mengelola risiko yang terkait dengan hasil yang tidak dapat
diterima.
 menguji dan mengevaluasi apakah berbagai kegiatan manajemen risiko
beroperasi sebagaimana dirancang.
 mengevaluasi kecukupan desain dan efektivitas operasi dari program / sistem
manajemen risiko secara keseluruhan.
 menentukan apakah asersi yang dibuat oleh pemilik risiko kepada manajemen
senior mengenai efektivitas kegiatan manajemen risiko secara akurat
menghubungkan keadaan saat ini dari efektivitas manajemen risiko.
 menentukan apakah pernyataan yang dibuat oleh manajemen senior kepada
dewan mengenai keefektifan kegiatan manajemen risiko memberikan informasi
yang diinginkan dewan tentang keadaan efektif manajemen risiko saat ini.
 mengevaluasi apakah informasi yang berkaitan dengan toleransi organisasi
dikomunikasikan secara tepat waktu dan efektif dari dewan ke manajemen
senior dan dari manajemen senior ke pemilik risiko.
 menilai apakah ada bidang risiko lain yang saat ini tidak termasuk dalam proses
tata kelola tetapi harus (misalnya, risiko yang toleransi dan pelaporan
harapannya belum didelegasikan ke pemilik risiko tertentu).
Fungsi audit internal dapat menjadi bagian yang efektif dari proses tata kelola
dengan:
 Memastikannya ia sepenuhnya memahami arahan dan harapan tata kelola
dewan.
o Fungsi audit internal harus memahami arahan yang diberikan kepada
manajemen senior, termasuk tingkat toleransi dan harapan pelaporan.
o Selain itu, penting untuk memahami harapan dewan tentang peran yang
harus dimainkan oleh fungsi audit internal terkait dengan jaminan tata
kelola.
 Mendukung program manajemen risiko manajemen.
o Fungsi audit internal dapat membantu membawa struktur dan disiplin ke
program manajemen risiko, yang dapat dikelola dengan cara yang mirip
dengan mengelola kegiatan audit internal.
o Fungsi audit internal dapat membantu mendidik manajemen dan
karyawan lain tentang risiko dan topik kontrol.
o Penilaian risiko organisasi dan divisi dapat difasilitasi atau diawasi oleh
fungsi audit internal.
o Pengawasan dan input yang berkelanjutan dapat diberikan secara
formal (misalnya, duduk di komite pengarah risiko) atau secara informal
(misalnya, diskusi berkala dengan manajemen).
 Mengembangkan rencana audit internal yang mencakup dengan tepat kegiatan
penjaminan pemerintah dan memungkinkan komunikasi berkala dengan
manajemen senior dan dewan direksi tentang efektivitas kegiatan manajemen
risiko.
Model Tiga Garis Pertahanan (Three Lines of Defense Model)

EXHIBIT 5 - Model Tiga Garis Pertahanan

Model ini dimulai dengan versi tata kelola yang disederhanakan, menggambarkan
dewan dan
manajemen senior sebagai kotak persegi panjang di bagian atas. Namun, tiga baris
tersebut memang membutuhkan beberapa penjelasan:
 Garis pertahanan pertama merupakan kegiatan pengendalian internal yang
dilakukan oleh individu dan manajemen. Kegiatan-kegiatan ini terdiri dari
kegiatan pengendalian internal spesifik, yang disebut sebagai tindakan
pengendalian internal dalam model, dan pengendalian manajemen, yang
merupakan kegiatan yang mengawasi dan memantau kegiatan individu.
 Garis pertahanan kedua mewakili aktivitas penjaminan lainnya seperti yang
terdaftar dalam exhibit. Kegiatan ini dilakukan oleh individu yang melaporkan
melalui jalur manajemen yang berbeda dari yang secara langsung bertanggung
jawab atas kegiatan pengendalian internal. Karena itu, tingkat kemandirian dan
objektivitas dianggap lebih besar daripada garis pertama.
 Garis pertahanan ketiga merupakan bentuk jaminan yang paling independen
dan objektif. Kegiatan audit internal biasanya adalah satu-satunya kegiatan
yang melaporkan secara fungsional kepada dewan dan tidak memiliki
tanggung jawab manajemen lainnya. Dengan demikian, garis pertahanan
ketiga adalah yang paling mandiri dan objektif dari ketiga garis tersebut.
Jaminan juga dapat diberikan oleh pihak luar. Meskipun kurang umum dari
kegiatan penjaminan internal, mereka masih bisa menjadi penting bagi dewan.
Akhirnya, auditor regulasi, yang menilai kepatuhan terhadap peraturan untuk
kepentingan lembaga sponsor, juga dapat memberikan bentuk jaminan kepada
manajemen.
Sementara beberapa tingkat jaminan berharga, organisasi harus berhati-hati
untuk menghindari terlalu banyak jaminan, kadang-kadang disebut "assurance
fatigue" atau "audit fatigue." Ini terjadi ketika berbagai kegiatan jaminan tidak
berkoordinasi dan berkolaborasi secara memadai, yang mengakibatkan kegiatan
jaminan yang berlebihan dan tidak perlu.

Risk Management
EXHIBIT 1 - IPPF Guidance
 Standard 2010 - Planning
 Standard 2100 - Nature of Work
 Standard 2120 - Risk Management

Gambaran Umum Manajemen Risiko

Definisi Risiko
Committee of Sponsoring Organizations of the Treadway (COSO)
"Kemungkinan bahwa peristiwa akan terjadi dan mempengaruhi pencapaian strategi
dan tujuan."
International Organization for Standardization (ISO)
"efek ketidakpastian pada tujuan"

Kerangka COSO ERM

Enterprise Risk Management (ERM)
Budaya, kemampuan, dan praktik, terintegrasi dengan penetapan strategi, yang
diandalkan organisasi untuk mengelola risiko dalam menciptakan, melestarikan, dan
mewujudkan nilai.
COSO menunjukkan bahwa definisi ini menekankan fokusnya pada pengelolaan risiko
melalui:
 Mengenali budaya dan kemampuan (recognizing culture and capabilities)
 Menerapkan praktik (applying practices)
 Integrasi dengan penetapan strategi dan pelaksanaannya (Integrating with
strategy-setting and its execution)
 Mengelola risiko untuk strategi dan tujuan bisnis (Managing risk to strategy and
business objectives )
 Menghubungan dengan menciptakan, melestarikan, dan mewujudkan nilai
(Linking to creating, preserving, and realizing value)
COSO menunjukkan bahwa ketika manajemen risiko perusahaan dan penetapan
strategi diintegrasikan, sebuah organisasi berada pada posisi yang lebih baik untuk
memahami:
 Bagaimana misi, visi, dan nilai-nilai inti dapat membantu membentuk artikulasi
jenis dan jumlah risiko yang dapat diterima untuk dipertimbangkan ketika
menetapkan strategi.
 Bahwa strategi dan sasaran bisnisnya harus selaras dengan misi, visi, dan
nilai-nilai inti.
 Ada berbagai jenis dan jumlah risiko yang dapat diekspos oleh organisasi dari
strategi yang telah dipilih.
 Jenis dan jumlah risiko akan memengaruhi cara perusahaan menjalankan
strateginya dan mencapai tujuan bisnisnya.

VIsi, Misi, dan Nilai Inti (Vision, Mission, and Core Values)
 Misi: Tujuan inti entitas, yang menetapkan apa yang ingin dicapai dan
mengapa ia ada.
 Visi: Aspirasi entitas untuk kondisi masa depan atau apa yang ingin dicapai
organisasi dari waktu ke waktu.
  Nilai Inti: Keyakinan dan cita-cita entitas tentang apa yang baik atau buruk,
dapat diterima atau tidak dapat diterima, yang memengaruhi perilaku
organisasi.
Misi, visi, dan nilai-nilai inti organisasi cenderung tetap stabil seiring berjalannya
waktu, tetapi nilai-nilai itu dapat berubah seiring dengan perubahan harapan para
pemangku kepentingan. Misi dan visi dipertimbangkan dalam konteks perencanaan
strategis, dan nilai-nilai inti dipertimbangkan dalam konteks budaya yang ingin dianut
organisasi.

Strategi dan Tujuan Bisnis

COSO membahas tiga tantangan inheren yang muncul sebagai bagian dari
penetapan strategi dan tujuan bisnis. Ini adalah:
 Kemungkinan strategi tidak selaras (the possibility of strategy not
aligning)
Misi dan visi memengaruhi jenis dan jumlah risiko yang dapat diterima yang
bersedia diambil oleh organisasi. Jika strategi tidak selaras dengan misi dan
visi, kemampuan organisasi untuk mewujudkan misi dan visinya mungkin akan
sangat terganggu.
 Implikasi dari strategi yang dipilih (implications from the strategy chosen)
Beberapa strategi mungkin tampak selaras dengan misi dan visi, tetapi hasilnya
mungkin tidak membantu organisasi mewujudkan misi dan visinya, atau
mungkin ada konsekuensi yang tidak diinginkan dari strategi.
 Risiko menjalankan strategi (risk to executing the strategy)
Organisasi harus menyadari risiko bawaan yang melekat dalam strategi, dan
mengevaluasi apakah mereka memiliki kemampuan untuk melaksanakan
strategi dan mencapai hasil yang diinginkan.

Komponen dan Prinsip

Konsep paparan COSO menjelaskan lima komponen risiko ini sebagai berikut:
 Tata Kelola Risiko dan Budaya (Risk Governance and Culture)
Budaya berkaitan dengan nilai-nilai etika, perilaku yang diinginkan, dan
pemahaman risiko dalam entitas. Budaya tercermin dalam pengambilan
keputusan.
 Risiko, Strategi, dan Penetapan Tujuan (Risk, Strategy, and Objective-
Setting)
Manajemen risiko perusahaan diintegrasikan ke dalam rencana strategis
entitas melalui proses penetapan strategi dan tujuan bisnis. Organisasi
menetapkan selera risiko dalam hubungannya dengan penetapan strategi.
Tujuan bisnis memungkinkan strategi untuk dipraktikkan dan membentuk
operasi dan prioritas entitas sehari-hari.
 Risiko dalam Eksekusi (Risk in Execution)
Organisasi mengidentifikasi dan menilai risiko yang dapat memengaruhi
kemampuan entitas untuk mencapai strategi dan tujuan bisnisnya. Organisasi
kemudian memilih respons risiko dan memantau kinerja untuk perubahan.
 Informasi Risiko, Komunikasi, dan Pelaporan(Risk Information,
Communication, and Reporting)
Manajemen menggunakan informasi yang relevan dan berkualitas dari sumber
internal dan eksternal untuk mendukung manajemen risiko perusahaan.
  Memantau Kinerja Manajemen Risiko Perusahaan (Monitoring Enterprise
Risk Management Performance)
Dengan memantau kinerja manajemen risiko perusahaan, sebuah organisasi
dapat mempertimbangkan seberapa baik komponen manajemen risiko
perusahaan berfungsi dari waktu ke waktu dan mengingat perubahan
substansial.

Tata Kelola dan Budaya Risiko

 Melaksanakan pengawasan risiko dewan. Dewan direksi memberikan
pengawasan terhadap strategi dan melaksanakan tanggung jawab tata kelola
risiko untuk mendukung manajemen dalam mencapai strategi dan tujuan
bisnis.
 Menetapkan model tata kelola dan operasi. Organisasi menetapkan tata
kelola dan struktur operasi dalam mengejar strategi dan tujuan bisnis.
 Menentukan perilaku organisasi yang diinginkan.
 Menegakkan akuntabilitas. Organisasi meminta individu di semua tingkatan
bertanggung jawab atas ERM, dan bertanggung jawab atas penyediaan
standar dan panduan.
 Menarik, mengembangkan, dan mempertahankan individu-individu
berbakat. Organisasi berkomitmen untuk membangun sumber daya manusia
sejalan dengan strategi dan tujuan bisnis.

Risiko, Strategi, dan Penetapan Tujuan

 Mempertimbangkan risiko dan konteks bisnis. Organisasi
mempertimbangkan efek potensial dari konteks bisnis pada profil risiko.
 Menentukan selera risiko. Organisasi menentukan selera risiko dalam
konteks menciptakan, melestarikan, dan mewujudkan nilai.
 Mengevaluasi strategi alternatif. Organisasi mengevaluasi strategi alternatif
dan dampaknya pada profil risiko.
 Mempertimbangkan risiko sambil menetapkan tujuan bisnis. Organisasi
mempertimbangkan risiko sambil menetapkan tujuan bisnis di berbagai
tingkatan yang menyelaraskan dan mendukung strategi.
 Menentukan variasi yang dapat diterima dalam kinerja. Organisasi
menentukan variasi yang dapat diterima dalam kinerja yang berkaitan dengan
strategi dan tujuan bisnis.

Risiko dalam Eksekusi

 Mengidentifikasi risiko dalam eksekusi. Organisasi mengidentifikasi risiko
dalam pelaksanaan yang berdampak pada pencapaian tujuan bisnis.
 Menilai tingkat keparahan risiko. Rumah sakit menilai tingkat keparahan
risiko.
 Memprioritaskan risiko. Rumah sakit memprioritaskan risiko sebagai dasar
untuk memilih respons terhadap risiko. Respons dapat berupa:
o Accept - Terima risiko pada level saat ini dan jangan ambil tindakan
untuk memengaruhi keparahannya.
o Avoid - Hindari risiko dengan melepaskan atau melepaskannya dari
profil risiko organisasi.
 o Pursue - Mengejar atau mengeksploitasi risiko karena mengambil risiko
seperti itu mungkin menguntungkan bagi organisasi dan mungkin
diperlukan untuk mencapai tujuan bisnis tertentu.
o Reduce - Mengurangi risiko melalui penerapan kontrol atau kegiatan
mitigasi risiko lainnya.
o Share - Bagikan atau transfer risiko, yang mungkin termasuk
outsourcing, mengasuransikan, atau lindung nilai risiko.
 Mengidentifikasi dan memilih respons risiko. Rumah sakit mengidentifikasi
dan memilih respons risiko.
 Menilai risiko dalam eksekusi. Rumah sakit menilai hasil kinerja operasi dan
mempertimbangkan risiko.

Informasi Risiko, Komunikasi, dan Pelaporan

 Menggunakan informasi yang relevan. Organisasi menggunakan informasi
yang mendukung ERM.
 Memanfaatkan sistem informasi. Organisasi memanfaatkan sistem informasi
entitas untuk mendukung ERM.
 Mengkomunikasikan informasi risiko. Organisasi menggunakan saluran
komunikasi untuk mendukung ERM.
 Laporan tentang risiko, budaya, dan kinerja. Rumah sakit melaporkan risiko,
budaya, dan kinerja di berbagai tingkatan dan lintas entitas.

Memantau Kinerja ERM

 Memantau perubahan substansial. Organisasi mengidentifikasi dan menilai
perubahan internal dan eksternal yang secara substansial dapat memengaruhi
strategi dan tujuan bisnis.
 Monitor ERM. Organisasi memantau kinerja ERM.

Peran dan Tanggung Jawab ERM

 Dewan direktur.
o Sebagian besar tanggung jawab dewan direktur berkaitan dengan tata
kelola risiko dan komponen budaya.
o Dewan juga membantu manajemen menetapkan model tata kelola dan
operasi, definisi budaya dan perilaku yang diinginkan.
 Manajemen.
o bertanggung jawab atas semua kegiatan organisasi, termasuk semua
komponen ERM.
 Petugas risiko
o Seorang risk officer/chief risk oficer (CRO) biasanya beroperasi dalam
fungsi staf yang bekerja dengan manajer lain dalam menetapkan ERM
di bidang tanggung jawab mereka.
o memantau kemajuan manajemen risiko dan membantu manajer lain
dalam melaporkan informasi risiko yang relevan ke atas, ke bawah, dan
di seluruh organisasi.
 Auditor internal.
o memainkan peran penting dalam mengevaluasi efektivitas dan
merekomendasikan perbaikan pada ERM.
o mengevaluasi kemampuan pelaporan, efektivitas dan efisiensi operasi,
dan kepatuhan terhadap hukum dan peraturan.
 o membantu manajemen dan dewan dengan memeriksa, mengevaluasi,
melaporkan, dan merekomendasikan peningkatan kecukupan dan
keefektifan ERM organisasi.
 Individu lain dalam organisasi.
o ERM adalah tanggung jawab setiap orang dalam suatu organisasi dan
karenanya harus menjadi bagian integral dari deskripsi pekerjaan setiap
orang
 Auditor luar independen.
o memberikan perspektif manajemen risiko yang terinformasi,
independen, dan objektif kepada manajemen dan dewan direksi yang
dapat berkontribusi pada pencapaian organisasi dalam pelaporan
keuangan eksternal dan tujuan lain.
 Legislator dan regulator.
o mempengaruhi pendekatan ERM dari banyak organisasi, baik melalui
persyaratan untuk menetapkan mekanisme manajemen risiko atau
sistem kontrol interna
o menetapkan aturan yang memberikan dorongan bagi manajemen untuk
memenuhi persyaratan minimum perundang-undangan
o melakukan pemeriksaan peraturan yang memberikan informasi yang
berguna bagi organisasi dalam menerapkan ERM, dan
merekomendasikan perbaikan kepada manajemen sehubungan dengan
perbaikan yang diperlukan.
 Pihak luar lainnya. Akhirnya, pemangku kepentingan luar lainnya dapat
memengaruhi kegiatan ERM organisasi:
o Pelanggan, vendor, mitra bisnis, dan lainnya
o Kreditor
o Analis keuangan, lembaga pemeringkat, media berita, dan pihak
eksternal lainnya
o Penyedia layanan outsourcing

EXHIBIT 2 - Komponen COSO ERM

ISO 31000:2009 Manajemen Risiko - Prinsip dan Pedoman

Prinsip-Prinsip ISO 31000
ISO 31000 menyediakan 11 cincin yang menurut ISO diperlukan untuk manajemen
risiko agar efektif. Prinsip-prinsip ini menyatakan bahwa manajemen risiko:
 Menciptakan dan melindungi nilai.
 Merupakan bagian integral dari semua proses organisasi.
 Merupakan bagian dari pengambilan keputusan.
 Secara eksplisit membahas ketidakpastian.
 Sistematis, terstruktur, dan tepat waktu.
 Didasarkan pada informasi terbaik yang tersedia.
 Disesuaikan.
 Mempertimbangkan faktor manusia dan budaya.
 Transparan dan inklusif.
 Dinamis, berulang, dan responsif terhadap perubahan.
 Memfasilitasi perbaikan berkelanjutan organisasi

Kerangka ISO 31000

ISO percaya bahwa keberhasilan manajemen risiko tergantung pada kerangka kerja
yang memberikan dasar untuk manajemen risiko di seluruh organisasi. Kerangka kerja
ini terdiri dari komponen-komponen berikut:
 Mandat dan komitmen dari dewan dan manajemen senior untuk memastikan
keselarasan dengan tujuan organisasi dan komitmen sumber daya yang
memadai untuk memungkinkan keberhasilan.
 Desain kerangka kerja untuk mengelola risiko, yang memastikan fondasi
ditetapkan untuk proses manajemen risiko yang efektif. Ini
melibatkan:Memahami organisasi dan konteksnya.
o Menetapkan kebijakan manajemen risiko.
o Mendelegasikan akuntabilitas dan wewenang.
o Mengintegrasikan manajemen risiko ke dalam proses organisasi.
o Mengalokasikan sumber daya yang diperlukan.
o Membangun mekanisme komunikasi dan pelaporan internal dan
eksternal.
 Menerapkan kerangka kerja dan proses manajemen risiko untuk
membantu organisasi mencapai tujuannya.
 Memantau kerangka kerja untuk menentukan efektivitasnya yang
berkelanjutan.
 Terus meningkatkan kerangka kerja untuk memastikan keberlanjutannya.

Proses ISO 31000

Proses manajemen risiko ISO dipersiapkan untuk kegiatan berikut:
 Tetapkan konteks, yang berfokus pada pemahaman dan menyepakati faktor
eksternal dan internal yang akan memengaruhi manajemen risiko.
 Menilai risiko, yang melibatkan identifikasi risiko, menganalisis risiko dengan
mempertimbangkan penyebab, sumber, dan jenis hasil, dan mengevaluasi
risiko untuk membantu memprioritaskan mana yang harus ditangani terlebih
dahulu.
 Tanggapi risiko, yang melibatkan pengambilan keputusan yang serupa
dengan yang dijelaskan dalam diskusi respons risiko COSO sebelumnya dalam
bab ini.
  Pantau risiko untuk mengidentifikasi timbulnya peristiwa risiko dan evaluasi
apakah perawatan risiko memiliki efek yang diinginkan.
 Menetapkan proses komunikasi dan konsultasi untuk memastikan arus
informasi naik, turun, dan lintas organisasi untuk memungkinkan proses
manajemen risiko.

Pandangan Risiko Top-Down

Exhibit 4-3 menyediakan cara meringkas peran ERM. Ini menggunakan metafora
corong untuk menggambarkan peran top-down yang dimainkan ERM dalam
membantu organisasi mengurangi risiko utama mereka ke tingkat yang dapat
diterima.

EXHIBIT 3 - Pandangan Top-Down Manajemen Risiko Perusahaan

 Setiap organisasi menghadapi berbagai risiko, tergantung pada tujuan

bisnisnya.
 Risiko yang memengaruhi kemampuan organisasi untuk mencapai tujuan
bisnisnya ditunjukkan pada Gambar 4-3 sebagai bola berwarna dengan
berbagai ukuran. Ini mencerminkan fakta Kontrol Kompensasi bahwa beberapa
risiko akan memiliki dampak yang lebih besar daripada yang lain..
 Sistem kontrol internal digambarkan sebagai corong untuk mengilustrasikan
penyaringan "risiko utama yang terjadi di berbagai tingkat sistem itu.
 Jika sistem kontrol internal dirancang secara memadai dan beroperasi secara
efektif, risiko-risiko yang membuatnya melalui corong harus dapat diterima oleh
organisasi. Dinyatakan dengan cara lain, risiko residual keseluruhan, atau
bersih, tidak akan melebihi selera risiko organisasi.

Peran Fungsi Audit Internal di ERM

Organisasi dengan ERM

Peran Audit Internal Inti
Peran-peran ini, yang ada di sebelah kiri dial di bagian hijau dalam Gambar 4-4,
mewakili kegiatan penjaminan. Mereka adalah bagian dari tujuan yang lebih luas
untuk memberikan jaminan pada kegiatan manajemen risiko. Kegiatan-kegiatan ini
meliputi:
 Memberikan jaminan pada proses manajemen risiko.
 Memberikan jaminan bahwa risiko dievaluasi dengan benar.
 Mengevaluasi proses manajemen risiko.
 Mengevaluasi pelaporan risiko utama.
 Meninjau manajemen risiko utama.

Peran audit internal yang sah dengan perlindungan.

Peran ini mewakili layanan konsultasi yang dapat meningkatkan tata kelola organisasi,
manajemen risiko, dan proses kontrol. Secara umum, semakin jauh ke kanan dial
bahwa fungsi audit internal berkelana, semakin besar perlindungan yang diperlukan
untuk memastikan bahwa independensi dan objektivitas dipertahankan. Kegiatan-
kegiatan ini meliputi:
 Memfasilitasi identifikasi dan evaluasi risiko.
 Melatih manajemen dalam merespons risiko.
 Mengkoordinasikan kegiatan ERM.
 Mengkonsolidasikan pelaporan risiko.
 Memelihara dan mengembangkan kerangka kerja ERM.
 Menjagokan pendirian ERM.
 Mengembangkan strategi ERM untuk persetujuan dewan.

Peran yang seharusnya tidak dijalankan oleh fungsi audit internal.

Peran-peran ini, yang digambarkan di sebelah kanan dial di bagian merah pada
tampilan 4-4, tidak boleh dilakukan oleh fungsi audit internal karena peran tersebut
mewakili tanggung jawab manajemen yang akan mengganggu independensi dan
objektivitas auditor internal. Kegiatan-kegiatan ini meliputi:
 Mengatur selera risiko.
 Memaksakan proses manajemen risiko.
 Jaminan manajemen terhadap risiko [yaitu, sebagai satu-satunya sumber
jaminan manajemen bahwa risiko dikelola secara efektif ini akan dianggap
melakukan fungsi manajemen].
 Mengambil [mengambil] keputusan tentang respons risiko.
 Menerapkan respons risiko atas nama manajemen.
 Akuntabilitas untuk manajemen risiko.

EXHIBIT 4 - Peran Audit Internal dalam Manajemen Risiko Perusahaan

Dampak ERM terhadap Jaminan Audit Internal
Standar IIA 2010: Perencanaan menyatakan, "Kepala eksekutif audit harus
menetapkan rencana berbasis risiko untuk menentukan prioritas kegiatan audit
internal, konsisten dengan tujuan organisasi." Ini mengharuskan CAE untuk
mempertimbangkan, misalnya:
 Bagaimana risiko pada tingkat proses berhubungan dengan rencana strategis
dan tujuan organisasi. Risiko tingkat proses dibahas secara lebih rinci dalam
bab 13, "Melakukan Pertunangan Jaminan."
 Perubahan dalam proses (misalnya, tujuan, prosedur, personel, dan ukuran
kinerja) yang telah terjadi selama setahun terakhir atau sejak audit terakhir dari
proses.
 Faktor model risiko yang relevan (misalnya, dampak keuangan dan likuiditas
aset).
 Dampak dan kemungkinan risiko tingkat proses.

EXHIBIT 5 - 10 Peluang untuk Fungsi Audit Internal untuk Memberikan Wawasan

Terkait Manajemen Risiko
1. Menilai apakah strategi dan tujuan bisnis organisasi, yang merupakan titik
awal untuk manajemen risiko, cukup diartikulasikan dan dipahami di seluruh
organisasi.
2. Memberikan wawasan tentang sifat dan efektivitas lingkungan kontrol untuk
memberikan manajemen dan kenyamanan dewan bahwa tidak ada faktor
tingkat entitas yang dapat merongrong efektivitas manajemen risiko.
3. Memfasilitasi penentuan selera risiko organisasi dan tingkat variasi kinerja
yang dapat diterima untuk memastikan kriteria risiko tersebut ditentukan,
didukung oleh dewan, dan dipahami di seluruh organisasi.
4. Pikirkan kemungkinan kejadian-kejadian berisiko dan lengkapi daftar
manajemen tentang kejadian-kejadian semacam itu.
5. Memfasilitasi penilaian dan memprioritaskan risiko untuk membantu
manajemen memastikan risiko yang tepat harus ditangani.
 6. Memberikan saran tentang kriteria penilaian risiko lain di luar dampak dan
kemungkinan, seperti kecepatan dan volatilitas, yang dapat mempengaruhi
prioritas risiko.
7. Anjurkan pilihan respons / perawatan risiko untuk membantu manajemen
mengevaluasi apakah opsi yang dipilih akan mengelola risiko prioritas dengan
paling baik.
8. Membantu manajemen dengan memantau lingkungan eksternal dan internal
untuk membantu mengidentifikasi risiko baru atau yang muncul.
9. Memberikan hasil audit dalam format yang membantu manajemen
memahami kecukupan desain dan efektivitas operasi dari kegiatan manajemen
risiko.
10. Melakukan penilaian keseluruhan sistem manajemen risiko (kerangka kerja
dan proses) untuk memberikan jaminan mengenai kecukupan desain sistem
dan efektivitas operasi.

TM 3: Mahasiswa dapat melakukan analisis terhadap Proses Bisnis dan Risiko

Bisnis
Ilustrasi: Kita punya tujuan datang kuliah tepat pukul 7.30. Untuk itu, ada aktivitas-
aktivitas yang kita lakukan untuk mencapai tujuan itu seperti menyiapkan buku dan
materi, menyetel alarm, bersiap-siap dan sarapan, dll. Dalam prosesnya, kita
mempunyai pilihan-pilihan misalnya berjalan kaki atau naik sepeda motor. Keduanya
tentu punya risiko masing-masing misalnya parkiran sepeda motor penuh dan butuh
waktu lama mencari tempat kosong.

Dalam bab ini, kita akan belajar bahwa organisasi melalui jenis proses pemikiran yang
sama untuk merencanakan langkah-langkah yang akan membantu mencapai tujuan
mereka, termasuk mengidentifikasi risiko potensial terhadap tujuan dan mengelola
risiko tersebut ke tingkat yang dapat diterima. Anda juga akan belajar bagaimana
penilaian risiko teknik dan metodologi digunakan oleh auditor internal untuk
melaksanakan tanggung jawab mereka.

 Standar IPPF yang relevan dengan Chapter 8

- Standard 2010 – Planning
- Standard 2120 - Risk Management
- Standard 2200 - Engagement Planning
- Standard 2201 - Planning Considerations
- Standard 2210 - Engagement Objectives
 Proses Bisnis
- Bab ini membahas bagaimana organisasi sebenarnya menyusun kegiatan
mereka untuk mengimplementasikan strategi mereka dan mencapai tujuan
bisnis (organisasi) mereka. Organisasi menyusun kegiatan ke dalam proses
atau proyek bisnis
- Proses bisnis merupakan serangkaian kegiatan yang terkait satu sama lain
dalam rangka mencapai tujuan perusahaan.
- Terdapat 3 jenis aktivitas bisnis yang saling berhubungan yaitu
1. Proses Operasi
Proses inti pencapaian tujuan perusahaan
 Perusahaan manufaktur  pembuatan dan penjualan produk
 Perusahaan jasa  memasarkan dan memberikan layanan jasa
 Perusahaan non-profit  pelayanan terhadap masyarakat
Sekali produk atau jasa dirancang (1-3) sisa prosesnya akan berulang-
ulang dijalankan dalam siklus bisnis perusahaan (4-6). Melalui proses
inilah organisasi menciptakan nilai dan mengirimkannya langsung ke
pelanggan mereka.
2. Proses Manajemen & Pendukung
Merupakan aktivitas mengawasi dan mendukung inti dari proses
penciptaan nilai
perusahaan.
 Proses 7-10  pengelolaan organisasi SDM, keuangan,
informasi dan teknologi, dan sumber daya fisik. Misalnya:
rekrutmen, akuntansi, manajemen kas, penggajian, pembelian,
dll.
 Proses 11  program kepatuhan organisasi
 Proses 12  pengelolaan hubungan eksternal (pemasok, konsumen,
pemerintahan, dan regulator)

3. Proyek
Penggunaan proyek  saat terdapat aktivitas yang terjadi dalam jangka
waktu yang lama, dan juga membutuhkan proses yang rumit
Misalnya perusahaan pertambangan mineral, minyak, dan gas
Jenis Proyek:
  Proses 13  mendesain dan mengonstruksi aset dan
mengoperasikannya. Misalnya sebuah perusahaan minyak mengebor
dan kemudian mengoperasikan sebuah sumur minyak.
 Proses 14  mendesain dan mengonstruksi aset dan memberikan ke
organisasi lain untuk dioperasikan. Misalnya bangunan dibangun oleh
perusahaan teknik dan kemudian ditransfer ke perusahaan lain untuk
operasi.
Bisa juga dipakai untuk merancang suatu aktivitas nonrutin yang
berguna bagi perusahaan. Misalnya: sistem akuntansi baru

 Memahami Proses Bisnis

- Untuk menambah nilai dan meningkatkan operasi organisasi, audit internal
harus terlebih dahulu memahami model bisnis organisasi. Model bisnis
mencakup tujuan organisasi dan bagaimana proses bisnisnya disusun
untuk mencapai tujuan-tujuan ini.
- Model dari bisnis perusahaan didefinisikan dengan: visi, misi, dan nilai
perusahaan, barang/jasa yang dihasilkan, target pasar, pemasok, dan
saluran pengiriman.
- Selain mencakup strategi tingkat tinggi dan arahan taktis bagaimana
organisasi akan mengimplementasikan model, model bisnis juga mencakup
tujuan tahunan yang menetapkan langkah-langkah spesifik yang ingin
dilakukan organisasi di tahun berikutnya dan langkah-langkah untuk
pencapaian yang diharapkan.
- Terdapat 2 pendekatan umum yang dapat membantu dalam memahami
proses bisnis dan peran mereka dalam model bisnis:
1. Top Down Approach: Dimulai pada tingkat tujuan perusahaan lalu
mengidentifikasi proses kunci. Misalnya, jika tujuan adalah
meningkatkan nilai pemegang saham dengan secara konsisten
 memberikan pertumbuhan laba, proses 3, 4, dan 5 mungkin kuncinya.
Di sisi lain, proses 8 terkait kelola sumber daya keuangan mungkin
bukan. (lihat gambar jenis-jenis proses bisnis)
2. Bottom Up Approach Dimulai dengan melihat semua proses secara
langsung pada tingkat aktivitas, dan kemudian mengidentifikasi
keseluruhan proses di seluruh organisasi. Pendekatan ini bekerja
dengan baik untuk organisasi yang lebih kecil dengan jumlah proses
yang relatif terbatas
- Setelah proses diidentifikasi, langkah selanjutnya dalam pendekatan top-
down atau bottom-up adalah menentukan tujuan utama dari proses.
Pertanyaan untuk menentukan tujuan utama dari proses:
1. Mengapa suatu proses ada?
2. Bagaimana proses tersebut mendukung strategi organisasi dan
berkontribusi dalam kesuksesannya?
3. Bagaimana orang diharapkan untuk bertindak?
4. Apa proses penting lainnya yang dilakukan untuk manajemen?
- Untuk auditor internal, atau seseorang yang tidak terlibat langsung dalam
proses, sumber informasi pertama adalah pemilik proses dan dokumentasi
kebijakan dan prosedur yang ada untuk proses tersebut.
- Setelah tujuan proses dipahami, langkah selanjutnya adalah memahami
input, kegiatan spesifik yang diperlukan untuk mencapai tujuan, dan output.
Untuk memahami bagaimana gabungan input dan kegiatan dalam
menghasilkan output, dokumen yang ada harus ditinjau. Meliputi:
1. Proses manual prosedural
2. Kebijakan yang berkaitan dengan proses
3. Deskipsi pekerjaan dari pihak yang terlibat
4. Peta proses yang menggambarkan aliran proses
- Selanjutnya perlu juga untuk membahas aspek proses dengan orang-orang
yang melakukan kegiatan signifikan dalam proses tersebut.
- Selain mengidentifikasi tujuan utama, memahami proses membutuhkan
pemahaman tentang bagaimana manajemen dan pemilik proses
mengetahui proses berlangsung sesuai yang seharusnya.
- Oleh karena itu, perlu ditapkan indikator kinerja utama, key performance
index (KPI) yang digunakan untuk memantau kinerja proses. Indikator-
 indikator ini harus dapat diamati (dapat diukur secara objektif), relevan
dengan tujuan (tidak hanya digunakan karena dapat dikuantifikasi), tersedia
tepat waktu, dan dikomunikasikan kepada orang-orang yang terlibat dalam
proses tersebut.
 Mendokumentasi Proses Bisnis
- Mempertahankan serangkaian dokumentasi proses selalu up-to-date untuk
semua proses utama sangat penting karena digunakan untuk
1. Orientasi pada anggota baru
2. Mendefinisikan area tanggung jawab
3. Mengevaluasi efisiensi proses
4. Menentukan bidang perhatian utama
5. Mengidentifikasi risiko utama dan pengendaliannya
- Dua metode yang umum digunakan untuk mendokumentasikan proses
adalah peta proses (process maps) dan proses narasi (process narratives).
- Simbol yang sering digunakan dalam peta proses.

1. Peta proses tingkat-tinggi (high-level process map)

Berupaya menggambarkan input yang luas, kegiatan, alur kerja, dan
interaksi dengan proses dan hasil lainnya. Peta proses tingkat tinggi
menyediakan kerangka kerja keseluruhan untuk memahami kegiatan
terperinci dan subproses. Tujuan dalam peta proses tingkattinggi
adalah membuatnya sederhana dan fokus pada “hutan daripada
pohon”. Contoh Peta Proses: Tiba di kelas tepat waktu pukul 7.30
 2. Peta proses tingkat-detail (detailed-level process map)
Peta proses tingkat tinggi dipecah untuk mencerminkan kegiatan atau
subproses spesifik dan narasi sering disertakan bersama dengan peta
proses untuk menjelaskan kegiatan lebih terinci. Dalam hal ini, narasi
tidak hanya memberikan lebih banyak detail tentang kegiatan tetapi
juga dapat mencakup deskripsi kontrol.

 Risiko Bisnis
- Auditor paham tujuan organisasi dan proses bisnis untuk mencapai tujuan
tersebut langkah selanjutnya adalah evaluasi risiko yang berpeluang
menghalangi tujuan organisasi  menentukan seberapa jauh fungsi audit
akan dilaksanakan.
- Sangat penting untuk mengembangkan profil risiko keseluruhan organisasi
yang mengidentifikasi risiko kritis untuk mencapai setiap sasaran strategis.
- Dalam hal organisasi menerapkan ERM (Enterprise Risk Management) 
profil risiko ditentukan oleh manajemen  untuk tiap-tiap fungsi audit
dilakukan penilaian risiko berdasarkan profil risiko perusahaan.
- Jika profil risiko perusahaan tidak ada, audit internal harus menentukan
profil risiko terlebih dahulu. Ada banyak metode pengembangan profil risiko
perusahaan, namun hasilnya masih subjektif, butuh keputusan yang baik
- Manajer senior dan auditor internal melakukan brainstorming,
menghasilkan model dasar risiko bisnis, model penilaian risiko, dan
identifikasi risiko kritis.
1. Model dasar risiko bisnis: menggambarkan kategori dan jenis risiko yang
mungkin dihadapi organisasi.

2. Model penilaian risiko

Berbagai risiko kemudian dinilai dari segi dampak (impact) dan
kemungkinan (likelihood). Dampak, efek buruk dari hasil risiko, biasanya
dinilai pada dari rendah ke tinggi. Kemungkinan dapat dievaluasi dengan
 menilai peluang atau probabilitas risiko yang terjadi. Biasanya hal ini
dibagi dalam hal tiga kategori (tinggi, sedang, rendah) atau lima kategori.
Dalam model ini, kotak 20 hingga 25 merupakan risiko kritis, dan kotak
16 hingga 19 merupakan risiko tinggi. Risiko-risiko ini menghadirkan
tantangan paling serius untuk memenuhi tujuan organisasi.

3. Identifikasi risiko kritis

Menggunakan model penilaian risiko, berbagai risiko dari model risiko
bisnis dasar dapat ditempatkan pada matriks. Kombinasi dampak dan
kemungkinan menentukan tingkat kepentingan relatif dari risiko.

- Bab 4 mendefinisikan risiko sebagai “kemungkinan bahwa suatu peristiwa

akan terjadi dan mempengaruhi pencapaian suatu tujuan (objectives).”
- Setelah kita mengidentifikasi risiko kritis, langkah selanjutnya yang harus
kita lakukan adalah menghubungkan secara formal risiko yang
 teridentifikasi dengan tujuan (objective) tertentu. Hal ini akan membantu
memastikan bahwa semua risiko utama (key risks) dan dampak yang
dihasilkan, telah diidentifikasi.

Memetakan Risiko terhadap Proses Bisnis

- Langkah selanjutnya adalah untuk mengembangkan respons yang sesuai
untuk setiap risiko. Terdapat lima respons yang dapat diambil sebuah
organisasi:
1. Acceptance: Tidak ada tindakan yang diambil untuk mengurangi
dampak (impact) atau kemungkinan risiko. Organisasi bersedia
menerima risiko pada level saat ini daripada menghabiskan sumber
daya untuk mengambil respons risiko lainnya.
2. Avoidance: Keputusan dibuat untuk keluar atau melepaskan kegiatan
menimbulkan risiko. Penghindaran risiko dapat melibatkan, misalnya,
keluar dari lini produk atau menjual divisi.
3. Pursuit: Mengeksploitasi risiko jika tindakan demikian dianggap
menguntungkan bagi organisasi atau diperlukan untuk mencapai
tujuan bisnis tertentu. Misal, membuat keputusan untuk melakukan
ekspansi bisnis ke wilayah geografis yang baru.
4. Reduction: Tindakan diambil untuk mengurangi dampak risiko,
kemungkinan, atau keduanya. Ini biasanya melibatkan beberapa
keputusan bisnis sehari-hari, seperti menerapkan pengendalian.
5. Sharing: Dampak atau kemungkinan risiko berkurang dengan
mentransfer keseluruhan atau setidaknya berbagi sebagian dari risiko.
 Teknik umum meliputi membeli produk asuransi, terlibat dalam
transaksi lindung nilai, atau outsourcing suatu kegiatan.
- Untuk memilih strategi respons yang tepat secara efektif, pemahaman
tentang bagaimana risiko terkait dengan proses bisnis organisasi
diperlukan. Beberapa cara untuk menggambarkan hubungan antara proses
bisnis dengan risiko terkait yaitu dengan membuat risk by process matrix
atau melalui risk factor approach

Risk by Process Matrix

- Risiko pada bagian kolom, dan proses bisnis pada bagian baris. Selanjutnya
kita perlu untuk menentukan apakah ada hubungan antara proses dan
risiko.
- Setelah itu kita perlu mengetahui apakah hubungan tersebut bersifat
hubungan utama (key link) atau sekunder (secondary link).
- Key link adalah hubungan di mana proses bisnis memegang peran kunci
dalam pengelolaan risiko.
- Secondary link adalah hubungan di mana proses bisnis terkait membantu
mengelola risiko secara tidak langsung.

Risk Factor Approach

- Pendekatan lain, yang lebih tidak langsung, untuk menghubungkan proses
bisnis dan risiko adalah melalui pengembangan faktor risiko dasar yang
digunakan untuk mengevaluasi risiko lintas proses (risk factor approach).
Faktor-faktor tersbut memiliki tingkat abstraksi yang lebih tinggi dan bisa
diterapkan untuk setiap proses. Sebagian besar model terdiri dari dua tipe
dasar faktor, faktor risiko eksternal dan faktor risiko internal, meskipun
lainnya faktor risiko juga dapat dimasukkan.
- Faktor risiko eksternal berkaitan dengan faktor dibangun ke dalam
lingkungan dan sifat proses itu sendiri. Faktor tersesbut dapat berupa
karakteristik seperti tingkat aktivitas relatif, jumlah dan likuiditas aset yang
terlibat dalam proses, kompleksitas proses dalam jumlah langkah dan input,
tingkat kendala hukum, dan sebagainya.
- Faktor-faktor risiko internal berhubungan dengan cakupan kontrol yang
dirancang ke dalam proses memastikan proses terkait mencapai tujuannya,
kinerja orang-orang yang terlibat dalam kegiatan dan dalam mengelola
proses, dan tingkat perubahan dalam proses dan lingkungan di mana ia
beroperasi.
- Beberapa model juga memasuk kanbeberapa faktor tambahan,
umummnya: waktu sejak audit terakhir, hasil audit sebelumnya, dan
masalah tertentu yang menjadi perhatian manajemen.
- Setelah faktor-faktor diidentifikasi, tiga keputusan lain harus diambil dibuat
sebelum mengimplementasikan model.
1. Skala yang digunakan untuk menilai masing-masing faktor harus
ditetapkan. Biasanya menggunakan 3, 5, atau 7 skala.
2. Keputusan berikutnya berkaitan dengan tingkat kepentingan relatif (atau
bobot) sebuah faktor terhadap faktor yang lain. Jika setiap faktor risiko
dianggap sama pentingnya, mereka dapat diberi bobot numerik yang
sama.
3. Keputusan bagaimana faktor-faktor risiko digabungkan. Sebagian besar
pendekatan faktor risiko menggunakan model weighted-additive —
setiap skor faktor dikalikan dengan bobot faktor dan dijumlahkan di
seluruh faktor untuk memberikan skor risiko keseluruhan. Beberapa
fungsi audit internal memilih untuk tidak membuat penilaian
menggunakan skor total, tetapi mereka melihat skor berdasarkan faktor
(eksternal, internal, lainnya) seperti gambar berikut.
 Proses & Risiko Bisnis dalam Penugasan Penjaminan
- Auditor internal memulai dengan menanyakan bagaimana persiapan untuk
mencapai tujuan-tujuan perusahaan (exhibit 5-6)
- Membuat sebuah peta proses dan bertanya apakah peta proses tersebut
menggambarkan informasi yang diberikan (exhibit 5-6)
- Mengidentifikasi dan mengevaluasi resiko spesifik di tiap aktivitas atau
subproses termasuk kunci prosesnya

- Menentukan bagaimana resiko tersebut dikelola / direspon dan apakah

respon tersebut efektif (exhibit 5-14 dan 5-15)
 - Gambaran dari strategi respon risiko dapat diperoleh dengan membuat peta
pengendalian risiko (exhibit 5-16)

 Sumber Daya Luar Proses Bisnis

- Tindakan mentransfer beberapa proses bisnis organisasi ke penyedia luar
untuk mencapai pengurangan biaya, efektivitas operasi, atau efisiensi
operasional sekaligus meningkatkan kualitas layanan.
 - Rekomendasi yang dapat perusahaan ikuti untuk manajemen dan
pengendalian resiko yang efektif pada bisnis proses outsourcing:
1. Dokumentasikan proses outsourcing dan tunjukkan kunci
pengendalian yang telah dioutsourcing.
2. Pastikan terdapat pengamatan atas efektivitas proses outsourcing
3. Dapatkan keyakinan bahwa pengendalian internal dalam proses
outsourcing beroperasi secara efektif.
4. Secara periodik evaluasi kembali apakah kasus bisnis untuk
outsourcing proses tetap berlaku
 Peluang Untuk Memberikan Wawasan

TM 4: Mahasiswa dapat mengukur efektivitas pengendalian internal organisasi

 IPPF yang relevan pada chapter 6
o Standard 2100 : Nature of Work
o Standard 2130 : Control
 Framework
o Framework atau kerangka kerja adalah kumpulan pedoman dasar yang
membentuk sebuah template yang dapat digunakan organisasi untuk
mengevaluasi proses bisnis. Framework menyediakan struktur
pengetahuan dan panduan yang saling melengkapi.
o Internal Control Framework
Saat ini ada 3 Internal Control Framework yang diakui secara global:
1. Internal Control Integrated Framework yang dibuat oleh Committee
of Sponsoring Organization of the Treadway Commission (COSO)
yang dibuat pada tahun 1992 dan diperbarui pada 2013
2. Guidance of Control (CoCo) yang dibuat oleh Canadian Institute of
Chartered Accountants (CICA) pada 1995
3. Guidance on Risk Management, Internal Control and Related
Financial and Business Reporting atau Turnbull Report yang
diterbitkan oleh Financial Reporting Council pada 2014.
 COBIT yang merupakan framework dari pengendalian internal teknologi
informasi secara spesifik didesain untuk menyediakan pedoman pada
pengembangan dan penilaian tata kelola teknologi informasi. Jadi
COBIT merupakan suplemen untuk framework yang telah ada
o Sejarah COSO
- 1992: Mempublikasikan Internal Control Integrated Framework
- 1994: Perubahan minor adanya Management Report on Internal
Control
- 2004: Menerbitkan Enterprise Risk Management (ERM)
Integrated Framework
- 2013: Memperbarui Internal Control Integrated Framework
o COSO vs CoCo
COSO CoCo
effectiveness and efficiency of effectiveness and efficiency of
operations operations
internal and external reporting reliability of financial reporting
compliance with applicable laws compliance with applicable laws
regulations, and internal policies and regulations.
5 Komponen: Control 4 Komponen: purpose,
environment, Risk Assessment, commitment, capability and
Control Activities, Information monitoring, learning.
and Communication, Monitoring
Activities
Secara prinsip sama saja
 Definisi Internal Control
o COSO mendefinisikan Internal Control sebagai sebuah proses yang
dipengaruhi oleh dewan direksi entitas, manajemen, dan personel
lainnya yang dirancang untuk memberikan keyakinan memadai tentang
pencapaian tujuan dalam kaitannya dengan efektivitas dan efisiensi
operasi (Operating), keandalan pelaporan (reporting), dan kepatuhan
terhadap hukum dan peraturan yang berlaku (compliance)
o Definisi di atas menekankan bahwa Internal Control:
- Diarahkan untuk pencapaian tujuan pada operasi, pelaporan,
dan kepatuhan
- Sebuah proses yang terdiri dari berbagai kegiatan untuk
mencapai tujuan, bukan tujuan itu sendiri
- Dipengaruhi oleh orang-orang bukan hanya kebijakan yang
berlaku
- Dapat memberikan keyakinan memadai bukan keyakinan
mutlak untuk manajemen dan dewan direksi
- Dapat beradaptasi yakni fleksibel dalam penerapan untuk
seluruh proses bisnis
 Tujuan, Komponen dan Prinsip Internal Control
o COSO Cube
o Tujuan
- Tujuan operasi. Berkaitan dengan efisiensi dan efektivitas dari
operasi entitas, termasuk capaian kinerja operasional dan
keuangan, serta menjaga kerugian aset
- Tujuan pelaporan. Berkatian dengan laporan finansial dan non-
finansial yang dapat mencakup keandalan, ketepatan waktu,
transparansi dan ketentuan lainnya yang ditetapkan
- Tujuan kepatuhan. Berkaitan dengan kepatuhan terhadap hukum
dan peraturan

o Komponen
- Lingkungan Pengendalian
Lingkungan Pengendalian adalah seperangkat standar, proses,
dan struktur yang memberikan dasar untuk melakukan
pengendalian internal di seluruh organisasi. Dewan direksi dan
manajemen senior menetapkan tone of the top mengenai
pentingnya pengendalian internal termasuk standar perilaku yang
diharapkan. Manajemen memperkuat harapan di berbagai
tingkatan organisasi.
- Penilaian Risiko
Setiap entitas menghadapi berbagai risiko yang berasal dari
eksternal dan internal. Risiko didefinisikan sebagai kemungkinan
suatu peristiwa akan terjadi dan memengaruhi pencapaian
tujuan. Penilaian risiko melibatkan proses yang dinamis dan
berulang. Risiko dianggap relatif terhadap tingkat toleransi yang
ditetapkan. Dengan demikian, penilaian risiko menjadi dasar
untuk menentukan bagaimana risiko akan dikelola.
- Aktivitas Pengendalian
Aktivitas pengendalian adalah tindakan yang diambil oleh
manajemen, dewan, dan pihak lain untuk mengurangi risiko dan
meningkatkan kemungkinan tujuan dan sasaran yang ditetapkan
akan tercapai.

- Informasi dan Komunikasi

 Informasi yang baik harus dikomunikasikan dengan tepat. Saling
ketergantungan ini adalah alasan COSO menggabungkan
informasi dan komunikasi dalam komponen ini. Informasi yang
relevan, akurat, dan tepat waktu harus tersedia untuk individu di
semua tingkatan organisasi yang membutuhkan informasi
tersebut untuk menjalankan bisnis secara efektif. Informasi harus
diberikan kepada orang yang sesuai untuk mendukung
pencapaian tujuan operasi, pelaporan, dan kepatuhan mereka.
- Aktivitas Pemantauan
Agar tetap reliable, sistem kontrol internal harus dipantau.
Evaluasi yang berkelanjutan diterapkan ke dalam proses bisnis di
berbagai tingkat entitas yang menyediakan informasi yang tepat
waktu. Evaluasi terpisah, yang dilakukan secara berkala, ruang
lingkup dan frekuensinya tergantung pada penilaian risiko,
efektivitas evaluasi yang sedang berlangsung, dan pertimbangan
manajemen lainnya.
 Contoh aktivitas pemantauan
o Evaluasi yang berkelanjutan
 Kegiatan pencegahan dan deteksi
kecurangan (Independen)
 Teknik atau kegiatan audit berkelanjutan
(Independen)
 Kegiatan manajemen dan pengawasan rutin
(Non-Independent)
 Verifikasi (Non-Independent)
o Evaluasi terpisah
 Kegiatan fungsi audit internal (Independen)
 Kegiatan fungsi kepatuhan independen
(Independen)
 Pengendalian manajemen self-assessment
(Non-Independent)
 Kegiatan kepatuhan manajemen (Non-
Independent)

 Proses Pemantauan
 Peran dan Tanggung Jawab Internal Control
o Manajemen
CEO mempunyai tanggung jawab utama untuk sistem kontrol internal.
"Tone of the Top" (seberapa etis atau seberapa besar integritas suatu
organisasi) ditentukan oleh CEO dan beralih ke manajemen senior,
manajemen lini, dan pada akhirnya ke semua individu dalam suatu
organisasi.
o Dewan direksi
Dewan direksi mengawasi manajemen, memberikan arahan mengenai
pengendalian internal, dan bertanggung jawab untuk mengawasi sistem
pengendalian internal.
o Auditor Internal
Auditor internal berperan penting dalam memastikan bahwa manajemen
telah memenuhi tanggung jawabnya dalam pengendalian internal. Serta
memastikan kecukupan dan keefektifan pengendalian internal
o Personil lain
COSO menyatakan bahwa setiap orang dalam suatu organisasi memiliki
tanggung jawab untuk pengendalian internal.
 Keterbatasan Pengendalian Internal
o Keterbatasan pengendalian internal dapat terjadi melalui:
- Penetapan tujuan yang tidak tepat
- Keputusan bias
- Kesalahan manusia
- Manajemen terlalu mengambil alih pengendalian internal
- Terjadinya kolusi
- Peristiwa di luar kendali organisasi

o Risiko
- Inherent Risk (Risiko bawaan)
 Kombinasi risiko internal dan eksternal murni, keadaan tidak
terkontrol, atau seluruh risiko yang ada dengan asumsi tidak ada
pengendalian internal yang berlaku
- Controllable Risk (Risiko yang dapat dikendalikan)
Bagian dari risiko bawaan yang dapat dikurangi oleh manajemen
melalui operasi sehari-hari dan aktivitas manajemen.
- Residual Risk / Net Risk (Risiko residu/sisa)
Bagian dari risiko bawaan yang tersisa setelah manajemen
melaksanakan respons terhadap risikonya
 Tipe Pengendalian
o Level pengendalian
- Level Entitas
Pengendalian yang beroperasi di seluruh entitas dan, dengan
demikian, tidak terikat oleh, atau terkait dengan, proses
individual.
PCAOB menetapkan pengendalian level entitas antara lain:
1. Controls relateed to the control environment;
2. Controls over management override;
3. The company's risk assessment process;
4. Centralized processing and controls, including shared service
environments;
5. Controls to monitor results of operations;
6. Controls to monitor other controls, including activities of the
internal audit function, the audit committee, and self-
assessment programs;
7. Controls over the period-end inancial reporting process; and
8. Policies that address signiicant business control and risk
management practices.
- Level Proses
Suatu kegiatan pengendalian yang beroperasi dalam proses
tertentu supaya dapat mencapai tujuan pada tingkat proses.
Contoh pengendalian level proses:
1. Reconciliations of key accounts.
2. Physical verifications of assets (such as inventory counts).
3. Process employee supervision and performance evaluations.
4. Process-level risk assessments.
5. Monitoring/oversight of speciic transactions.
- Level Transaksi
Pengendalian yang mengurangi risiko terhadap suatu kelompok,
penugasan atau transaksi tingkat operasional dalam suatu
organisasi. Contoh pengendalian level transaksi:
1. Authorizations.
2. Documentation (such as source documents).
3. Seggregation of duties.
4. IT application controls (input, processing, output)
o Pengendalian Kunci dan Sekunder
- Pengendalian Kunci
 Pengendalian kunci (sering disebut sebagai pengendalian
"utama") dirancang untuk mengurangi risiko utama yang terkait
dengan tujuan bisnis.
- Pengendalian Sekunder
Suatu kegiatan yang dirancang untuk mengurangi risiko yang
terkait dengan tujuan bisnis yang tidak terlalu penting untuk
kelangsungan atau kesuksesan organisasi atau berfungsi
sebagai cadangan untuk kontrol utama.
o Pengendalian Kompensasi
Jika pengendalian utama tidak sepenuhnya beroperasi secara efektif,
pengendalian kompensasi dapat membantu mengurangi risiko terkait.
Namun, pengendalian kompensasi tidak akan dengan sendirinya
mengurangi risiko ke tingkat yang dapat diterima.
o Pengendalian Preventif dan Detektif
- Pengendalian Preventif
Pengendalian preventif dirancang untuk mencegah peristiwa
yang tidak diinginkan terjadi sejak awal. Contoh: ID Pengguna
dan password
- Pengendalian Detektif
Pengendalian detektif dirancang untuk menemukan peristiwa
yang tidak diinginkan yang telah terjadi. Contoh: Kamera
pengawas
o Pengendalian Sistem Informasi (Teknologi)
- Pengendalian umum.
Berlaku untuk banyak atau semua sistem aplikasi dalam
membantu memastikan keberlangsungan, serta operasi yang
tepat.
- Pengendalian aplikasi.
Termasuk langkah-langkah terkomputerisasi dalam perangkat
lunak aplikasi dan prosedur manualnya untuk mengontrol
pemrosesan berbagai jenis transaksi.
 Evaluasi Sistem Pengendalian Internal
Auditor Internal memastikan bahwa desain dan implementasi pengendalian
internal memadai dan efektif.
Demi keandalan laporan keuangan, manajemen sekurang-kurangnya
membuat 5 asersi dasar antara lain:
1. Existence or occurrence
2. Completeness
3. Rights and Obligations
4. Valuation or allocation
5. Presentation and disclosure

 10 Opportunities for Internal Audit

1. Membantu organisasi mengembangkan kerangka kerja yang komprehensif
untuk menilai desain yang memadai dan operasi pengendalian internal
yang efektif.
2. Membantu manajemen membangun kerangka untuk menganalisis,
mendokumentasikan, dan menilai desain dan operasi pengendalian internal
organisasi.
3. Membantu organisasi mengembangkan proses untuk mengidentifikasi,
mengevaluasi, dan memulihkan kekurangan pengendalian internal.
4. Memberikan jaminan independen pada desain yang memadai dan operasi
pengendalian internal yang efektif.
5. Bertindak tegas ketika ada potensi perubahan signifikan atau material
dalam pengendalian internal yang teridentifikasi.
6. Membantu dalam analisis ketika terjadi defisiensi pada pengendalian
internal.
7. Menginformasikan manajemen tentang kemungkinan adanya gangguan
dalam pengendalian internal yang menimbulkan peningkatan risiko bagi
organisasi.
8. Membantu manajemen dalam mengembangkan budaya perilaku etis
("Tone of The Top") dan toleransi rendah dari pengendalian internal yang
tidak efektif.
9. Mengikuti dan menginformasikan manajemen tentang masalah yang
muncul, peraturan, dan hukum yang terkait dengan efektivitas pengendalian
internal.
10. Memberikan pelatihan kesadaran pengendalian internal di seluruh
organisasi.
TM 5: Mahasiswa memahami Risiko dan Pengendalian atas sistem teknologi
informasi
EXHIBIT 1 IPPF GUIDANCE
• Standard 1210 - Proiciency GTAG: Auditing Application Controls
• Standard 1210. A3 GTAG: Identity and Access Management
• Standard 1220 - Due Professional Care GTAG: Business Continuity
Management
• Standard 1220.A2 GTAG: Developing the IT Audit Plan
• Standard 2110 - Governance GTAG: Auditing IT Projects
• Standard 2HO.A2 GTAG: Fraud Prevention and Detection in an
Automated World
• Standard 2120 - Risk Management
• Standard 2130 - Control
• GTAG
Istilah "cybersecurity" mengacu pada teknologi, proses, dan praktik yang dirancang
untuk melindungi aset informasi komputer, jaringan, program, dan data dari akses
tidak sah.
Kontrol efektif dalam cybersecurity:
1. Kerangka kerja keamanan yang kuat.
2. Mengidentifikasi dan mengendalikan risiko teratas bagi organisasi yang terkait
dengan cybersecurity.
3. Program kesadaran cybersecurity diarahkan untuk semua karyawan.
4. Pertimbangan ancaman eksternal dan internal saat merencanakan program
cybersecurity.
5. Tata kelola keamanan informasi yang kuat dalam organisasi.
6. Protokol respon yang kuat dalam kasus pelanggaran cybersecurity yang
serius.

EXHIBIT 2 NAVIGATING TECHNOLOGY’S TOP 10 RISKS THE GLOBAL

INTERNAL AUDIT COMMON BODY OF KNOWLEDGE
1. Cybersecurity
2. Keamanan Informasi
3. Proyek Pengembangan Sistem TI
4. Tata Kelola TI
5. Layanan TI Outsourced
6. Penggunaan Media Sosial
7. Komputasi Seluler
8. Keterampilan TI Auditor Internal
9. Teknologi Baru
10. Kesadaran Teknologi Dewan dan Komite Audit
 Lima sumber umum dalam ancaman dunia maya termasuk wilayah negara,
penjahat dunia maya, peretas, orang dalam dan penyedia layanan, dan pengembang
produk dan layanan di bawah standar.
Seperti yang ada dalam GTAG, semua three lines of defense berperan penting
dalam memantau organisasi dan melindunginya dari risiko potensial cybersecurity.
Sebagai first line, manajemen memiliki dan mengelola data, proses, risiko, dan kontrol.
Untuk cybersecurity, fungsi ini sering berdampingan dengan administrator sistem dan
lain-lain yang bertugas menjaga aset organisasi. Second line melakukan fungsi
pengawasan risiko, kontrol, dan kepatuhan yang bertanggung jawab untuk
memastikan bahwa proses dan kontrol first line ada dan beroperasi secara efektif.
Fungsi ini dapat mencakup kelompok yang bertanggung jawab untuk memastikan
manajemen risiko yang efektif dan memantau risiko dan ancaman dalam
cybersecurity. Sebagai third line, fungsi audit internal memberikan manajemen senior
dan dewan dengan jaminan independen dan obyektif tentang tata kelola, manajemen
risiko, dan kontrol.
Fungsi audit internal memiliki kesempatan untuk terlibat di awal proses ketika
masalah muncul dan memberikan wawasan kepada organisasi tentang optimalisasi
peluang dan mitigasi risiko. Konsumerisasi dari TI telah menyebabkan proliferasi
kebijakan Bring Your Own Device (BYOD). Meskipun organisasi telah menerapkan
prosedur berkenaan dengan penggunaan perangkat pribadi, informasi keamanan dan
kerahasiaan dan privasi data masih sulit untuk memastikan data perusahaan dan
pribadi dilindungi pada perangkat ini.
Keterampilan TI yang harus dimiliki semua auditor internal meliputi:
1. Data Analytics—bagaimana menganalisis data dan menggunakan alat
perangkat lunak audit.
2. Cybersecurity—komponen kunci keamanan informasi, termasuk terminology
dan risiko utama.
3. Business continuity and disaster recovery—pemahaman mengenai area bisnis
paling signifikan dan praktik untuk pemulihannya.
4. Change Management—pengetahuan tentang manajemen proyek dan proses
perubahan dan dampak yang sesuai dengan organisasi.
5. Newer Technologies—memahami teknologi dengan masalah terkini tentang
teknologi baru dan dampak potensialnya pada bisnis.

Auditor internal yang bekerja secara luas di bidang informasi terkomputerisasi

harus memiliki keahlian risiko, kontrol, dan audit TI yang mendalam, atau disebut juga
sebagai auditor TI atau auditor sistem informasi (SI). Namun semua auditor internal
harus memiliki pemahaman yang baik tentang suatu hal konsep dasar IT.
KOMPONEN KUNCI SISTEM INFORMASI MODERN
Computer Hardware. Perangkat keras komputer terdiri dari komponen fisik sebuah
sistem informasi.
Network. Jaringan komputer menghubungkan dua atau lebih komputer atau
perangkat dengan mereka dapat berbagi informasi dan/atau beban kerja.
Computer Software. Perangkat lunak komputer meliputi perangkat lunak sistem
operasi, perangkat lunak utilitas, perangkat lunak sistem manajemen basis data
(DBMS), aplikasi perangkat lunak, dan perangkat lunak firewall.
Database. Database adalah tempat penyimpanan besar data yang biasanya
menyimpan banyak files yang ditautkan dan disimpan dengan cara yang
memungkinkan agar data mudah diakses, diambil, dan dimanipulasi. Database
operasi mendukung pemrosesan transaksi sehari-hari dan terus diperbarui saat
transaksi diproses.
Information. Sistem informasi mengumpulkan dan menyimpan data,
mentransformasikannya data menjadi informasi yang bermanfaat, dan memberikan
informasi kepada internal dan pembuat keputusan eksternal.
People. Peran dalam sistem informasi biasanya terdiri dari chief information
exceutive (CIO), chief information security oficer (CISO), a database administrator,
systems developers, information processing personnel, and end users.

PELUANG DAN RISIKO IT

1. Peluang
 Penjualan Online
 Sistem ERP—memungkinkan organisasi mengintegrasikan proses
bisnis mereka menggunakan sistem operasi database tunggal.
Manfaatnya yaitu pemrosesan transaksi real-time, interaksi tanpa
batas dan berbagi informasi di antara area fungsional, peningkatan
kinerja proses, penghapusan atau pengurangan redudansi dan
kesalahan data, dan pengambilan keputusan yang tepat waktu.
 EDI— pertukaran dokumen bisnis dari komputer ke komputerdalam
bentuk elektronik antara organisasi dan mitra dagangnya. Manfaatnya
antara lain efisiensi pemrosesan transaksi dan kesalahan pemrosesan
data yang lebih sedikit.
2. Risiko
 Perangkat keras komputer rentan terhadap pemadaman listrik yang
mengganggu proses transaksi. Risiko lain yang lebih canggih dan sulit
dideteksi termasuk membeli perangkat keras yang sudah terinfeksi
malware.
 Jaringan mengirimkan informasi yang dapat disadap dan dicuri atau
disalahgunakan.
 Perangkat lunak komputer yang diprogram secara tidak akurat dapat
menghasilkan informasi yang tidak valid, tidak lengkap atau tidak akurat.
Perangkat lunak yang dirancang dengan buruk meningkatkan risiko
inefisiensi, kinerja, atau kapasitas.
 Database mungkin disusupi untuk tujuan penyalahgunaan atau
penyalahgunaan
informasi. Terlalu banyak database atau kurangnya kontrol versi
database yang kuat meningkatkan risiko duplikasi data dan peningkatan
biaya pemrosesan.
 Informasi yang tidak valid, tidak lengkap atau tidak akurat dapat
berakibat buruk
 pada keputusan. (Risiko bahwa informasi yang buruk akan
menghasilkan keputusan yang buruk disebut risiko informasi.)
 Seseorang dapat melakukan tugas-tugas TI yang tidak kompatibel, dan
dengan demikian berpotensi menyembunyikan kesalahan atau
penipuan.

Jenis risiko IT tertentu yang cenderung umum di seluruh organisasi dan industri:
 Selection risk
Pemilihan solusi TI yang tidak selaras dengan strategi objektif dapat
menghalangi pelaksanaan strategi yang bergantung pada TI. Pemilihan solusi TI yang
tidak fleksibel atau tidak dapat diskalakan dapat menimbulkan ketidakcocokan antara
solusi TI dengan sistem yang ada dalam organisasi dan/atau menghambat perubahan
dan pertumbuhan organisasi di masa depan.
 Development/acquisition and deployment risk.
Masalah yang ditemui saat solusi TI sedang dikembangkan/diakuisisi dan
digunakan dapat menyebabkan keterlambatan yang tidak terprediksi, pembengkakan
biaya, atau bahkan pengabaian proyek.
 Availability risk.
Dapat menyebabkan penundaan dalam pengambilan keputusan, gangguan
bisnis, pendapatan yang hilang, dan ketidakpuasan pelanggan.
 Hardawre/software risk
Kegagalan di sini dapat menyebabkan gangguan bisnis, kerusakan sementara
atau permanen pada atau penghancuran data, dan perbaikan perangkat keras/lunak
atau biaya penggantian
 Access risk.
Berpotensi pencurian atau penyalahgunaan perangkat keras, modifikasi
perangkat lunak yang berbahaya, dan pencurian, penyalahgunaan, atau
penghancuran data.
 System reliability and information integrity risk.
Informasi buruk yang dihasilkan oleh sistem dapat mempengaruhi keputusan
yang didasarkan pada informasi tersebut.
 Conidentiality and privacy risk.
Dapat mengakibatkan dalam kerugian bisnis, tuntutan hukum, pers negatif, dan
penurunan reputasi.
 Fraud and malicious acts risk.
Pencurian sumber daya TI, penyalahgunaan sumber daya TI yang disengaja,
atau distorsi yang disengaja atau penghancuran informasi dapat menyebabkan
kerugian finansial atau informasi salah saji yang diandalkan oleh pembuat keputusan.

TATA KELOLA TI
Diatur dalam IIA Standard 2110.A2 and "GTAG: Auditing IT Governance,"

IIA, tata kelola TI: "Terdiri dari kepemimpinan, struktur organisasi, dan proses yang
memastikan bahwa teknologi informasi perusahaan menjaga dan mendukung strategi
dan tujuan organisasi."
Peran dewan dan komitenya dalam tata kelola TI adalah memberikan arahan
tata kelola TI kepada manajemen senior dan mengawasi kegiatan tata kelola TI
manajemen senior. Manajemen senior bertanggung jawab atas mengarahkan dan
mengawasi pelaksanaan tata kelola TI sehari-hari. Komite Audit juga memiliki peran
penting dalam tata kelola TI.

MANAJEMEN RISIKO TI
Proses yang dilakukan oleh manajemen untuk memahami dan menangani risiko dan
peluang TI yang dapat mempengaruhi kemampuan organisasi untuk mencapai
tujuannya.

PENGENDALIAN TI
General Controls berlaku untuk semua komponen sistem, proses, dan data untuk
organisasi atau lingkungan sistem tertentu.
Application Controls berkaitan dengan ruang lingkup proses bisnis individual atau
sistem aplikasi dan termasuk kontrol dalam aplikasi mengenai input, pemrosesan, dan
output.

a) Pengendalian Tata Kelola TI

Kontrol TI tingkat tata kelola berada di bawah yurisdiksi dewan dan manajemen senior.
Sementara tanggung jawab dewan adalah mengawasi kontrol internal sistem
organisasi, bukan untuk menjalankan kontrol. Melakukan proses kontrol setiap hari
merupakan tugas manajemen senior.
Pengendalian tata kelola TI meliputi policies:
 Pernyataan tentang klasifikasi informasi dan hak akses di masing-masing
tingkat.
 Kebijakan umum pada tingkat keamanan dan privasi dalam organisasi.
 Definisi dari konsep kepemilikan data dan sistem, dan kewenangan untuk
membuat, meodifikasi, dan mengahapus informasi.
 Kebijakan personalia yang menetapkan dan memberlakukan persyaratan bagi
staf di area yang rawan.
 Definisi dari kebutuhan perencanaan keberlangsungan bisnis secara
keseluruhan.
 Lima pengendalian teratas
merupakan Genera Control, dan
yang terbawah Application Control

b) Pengendalian Manajemen TI
Manajemen bertanggung jawab untuk memastikan bahwa kontrol TI dirancang
secara memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan
organisasi, risiko yang mengancam pencapaian tujuan tersebut, dan organisasi
proses dan sumber daya bisnis. Kontrol TI di tingkat manajemen terdiri dari:
 Standards. Standar TI mendukung kebijakan TI (policies) dengan secara lebih
spesifik menentukan apa yang diperlukan untuk mencapai tujuan organisasi.
Standar perlu meliputi:
i. Proses Pengembangan Sistem
ii. Konfigurasi Software Sistem
iii. Kontrol Aplikasi
iv. Struktur Data
v. Dokumentasi
 Organization and Management. Memberikan jaminan bahwa organisasi sudah
terstruktur dengan lini pelaporan dan tanggung jawab yang jelas serta telah
menerapkan proses kontrol yang efektif.
Tiga aspek penting yaitu pemisahan tugas, kontrol budget dan finansial, dan
manajemen perubahan.
 Physical and Environment Controls. Melindungi sumber daya sistem informasi
(perangkat keras, perangkat lunak, dokumentasi, dan informasi) dari
kerusakan, penyalahgunaan, dan kehilangan yang disengaja atau tidak.
Kontrol meliputi:
i. Menempatkan server di ruang terkunci yang aksesnya dibatasi.
ii. Membatasi akses server ke individu tertentu.
iii. Menyediakan pendeteksi kebakaran dan peralatan pencegahan bahaya.
iv. Menempatkan peralatan, aplikasi, dan data yang sensitif jauh dari
lingkungan berbahaya seperti dataran banjir, paparan cahaya, atau
tempat cairan yang mudah terbakar.

c) Pengendalian Teknis TI
  System Software Controls
i. Hak akses dialokasikan dan dikendalikan sesuai dengan yang
dinyatakan organisasi kebijakan.
ii. Pembagian tugas diberlakukan melalui sistem sotware dan konfigurasi
lainnya
kontrol.
iii. Penilaian intrusi dan kerentanan, pencegahan, dan deteksi dilakukan
dan
terus dipantau.
iv. Pengujian intrusi dilakukan secara teratur.
v. Penggunaan enskripsi saat kerahasiaan diperlukan.
vi. Proses manajemen peruabahan
 Systems development and acquisition controls
i. Persyaratan pengguna harus didokumentasikan, dan pencapaiannya
harus diukur.
ii. Desain Svstems harus mengikuti proses formal untuk memastikan
kebutuhan pengguna dan kontrol dirancang ke dalam sistem.
iii. Pengembangan sistem harus dilakukan secara terstruktur untuk
memastikan bahwa persyaratan dan fitur desain yang disetujui
dimasukkan ke dalam produk jadi.
iv. Pengujian harus memastikan bahwa masing-masing elemen sistem
berfungsi sesuai kebutuhan, sistem interface beroperasi seperti yang
diharapkan, dan pemilik sistem telah mengkonfirmas fungsionalitas yang
dimaksud telah disediakan.
v. Proses pemeliharaan aplikasi harus memastikan bahwa perubahan
dalam aplikasi sistem mengikuti pola kontrol yang konsisten.
 Application-based controls
i. Semua data input akurat, lengkap, resmi, dan benar.
ii. Semua data diproses sebagaimana dimaksud.
iii. Semua data yang disimpan akurat dan lengkap.
iv. Semua output akurat dan lengkap.
v. Catatan disimpan untuk melacak proses data dari input ke penyimpanan
dan ke hasil akhirnya.
Application based control meliputi: input control, process control, output
control, integrity control, dan managament trail.

Meskipun tidak disebutkan dalam framework, namun Information Security Controls

memiliki peran terintegrasi. Kontrol tersebut melindungi sistem informasi dari akses
fisik dan logis yang tidak sah.
a. Kontrol Akses Fisik
Memberikan keamanan terhadap sumber daya TI yang nyata
b. Kontrol Akses Logis
Memberikan keamanan atas perangkat lunak dan informasi yang tertanam dalam
sistem.

IMPLIKASI BAGI AUDITOR INTERNAL

 1. IT Proficiency and Due Professional Care
Standar 1210.A3 dan 1220.A2 dengan jelas menunjukkan bahwa semua auditor
internal yang menyediakan layanan penjaminan membutuhkan setidaknya baseline
dari risiko, kontrol, dan audit TI. Sebagian besar fungsi audit internal memiliki
beberapa jenis sistem working paper seperti TeamMate. Produk ini memfasilitasi
kemampuan untuk mendokumentasikan, mengatur, dan melakukan referensi silang
pekerjaan audit internal. Chief audit executive (CAE) bertanggung jawab untuk
memastikan bahwa fungsi audit internal memiliki kemahiran TI yang dibutuhkan untuk
memenuhi tanggung jawab penugasan penjaminannya.
2. Assurance Engagement IT Responsibilities
Terdapat dalam standar 2110.A2, 2110.A1, 2130.A1. Untuk memenuhi tanggung
jawab terkait TI, fungsi audit internal harus:
 Memasukkan sistem informasi organisasi dalam perencanaan audit
tahunannya proses.
 Mengidentifikasi dan menilai risiko TI organisasi.
 Pastikan bahwa ia memiliki keahlian audit TI yang memadai.
 Menilai tata kelola TI, manajemen, dan kontrol teknis.
 Tetapkan auditor dengan tingkat keahlian TI yang sesuai untuk setiap
penugasan penjaminan
 Gunakan teknik audit berbasis teknologi yang sesuai.
3. IT Outsourcing
IT outsourcing mentransfer fungsi TI ke provider luar untuk mengurangi biaya, juga
meningkatkan kualitas dan efisiensi layanan. Dewan dan manajemen perlu
memahami dan mengelola risiko yang muncul dari outsourcing. Mereka mencari
jamininan dari mana keputusan outsourcing tersebut berasal. Fungsi audit internal
dapat menyediakan jaminan ini dan memberi nasihat kepada dewan dan manajemen
tentang risiko dan mengendalikan implikasi outsourcing IT. Dewan dan manajemen
juga mengemban tanggung jawab dalam kontrol fungsi TI yang di outsourced serta
meinginstruksikan CAE untuk menyediakan mereka jaminan mengenai kelayakan
desain dan keefektifan pengoperasian control tersebut.
Cloud Computing adalah praktik menggunakan jaringan server jarak jauh yang
dihosting di internet untuk menyimpan, mengelola, dan memproses data, dan
merupakan area yang telah mengalami perkembangan yang cepat dan perubahan
cara bisnis beroperasi.
4. Integrated and Continuous Auditing
 Integrating IT auditing into assurance engagements.
Integrated auditing: Penilaian risiko dan kontrol TI berasimilasi dengan penugasan
penjaminan yang dilakukan untuk menilai pelaporan, operasi, dan/atau risiko dan
kontrol tingkat kepatuhan
 Continuous Auditing
I. Continuous controls assessment, yang tujuannya adalah “untuk
memfokuskan perhatian audit pada devisi kontrol sesegera
mungkin,”
II. Continuous risk assessment, yang tujuannya adalah “untuk
menyorot proses atau sistem yang mengalami tingkat risiko yang
lebih tinggi dari yang diharapkan.”
III. Assessment of continuous monitoring adalah kegiatan integral
ketiga dari berkelanjutan audit.
SUMBER PEDOMAN AUDIT TI
IIA memiliki badan pedoman audit TI yang terus berkembang dalam bentuk
manajemen GTAG Practice Guides. GTAG Practice Guides “...mengatasi masalah
tepat waktu terkait dengan manajemen, kontrol, dan keamanan teknologi informasi.”
 The IT Governance Institute (www.isaca.org).
 The IT Compliance Institute (www.isaca.org).
 The IT Process Institute (www.itpi.org).
 ISACA (www.isaca.org).
 International Organization for Standardization (www.iso.org).
 SANS Institute (wvvw.sans.org).
 Network Information Security & Technology (www.nist.org).
 The Information Systems Security Association (www.issa.org).
 The American Institute of Certiied Public Accountants (www.aicpa.org).
 The Canadian Institute of Chartered Accountants (www.cica.ca).
TM 6: Mahasiswa memahami fraud dan tindakan melawan hukum
 Standar IPPF yang relevan dengan Chapter 8
- Standard 1210 – Proficiency
- Standard 1220 – Due Professional Care
- Standard 2060 – Reporting to Senior Management and the Board
- Standard 2110 – Governance
- Standard 2120 – Risk Management
- Standard 2210 – Engagement Objectives
 Definisi Fraud
- Black’s Law Dictionary : Fraud adalah istilah umum, mencakup berbagai
hal yang dapat disusun oleh kecerdikan manusia, dan yang digunakan
oleh satu individu untuk mendapatkan keuntungan lain dengan saran
palsu (false suggestion) atau dengan penyembunian kebenaran
(surpression of truth), dan termasuk semua kejutan, tipuan, kelicikan,
penyembunyian, dan cara tidak adil lain, yang mana orang lain ditipu ...
Elemen penyebab fraud termasuk representasi palsu dari fakta masa kini
maupun masa lalu yang dibuat oleh terdakwa dan kerugian yang diterima
oleh penggugat dari penyajian yang keliru tersebut.
- IIA (yang paling luas): Tindakan illegal apapun yang memiliki ciri-ciri
berupa: penipuan, penyembunyian, dan pelanggaran terhadap
kepercayaan.
- AICPA : Kesalahan penyajian yang muncul dari kecurangan pelaporan
keuangan dan penyalahgunaan asset.
- ACFE : Perbuatan memperkaya diri sendiri melalui penyalahgunaan
sumber daya atau asset dari suatu organisasi tempat seseorang bekerja
dengan disengaja. Definisi ini dikenal sebagai The Fraud Tree yang
memiliki 3 tipe yaitu kecurangan pelaporan, penyalahgunaan asset, dan
korupsi. Ciri-cirinya :
1. Bertindak secara rahasia dan mencurigakan
2. Melanggar tugas dari pelaku di dalam tempat kerjanya
3. Dilakukan dengan tujuan keuntungan finansial secara langsung
maupun tidak langsung bagi pelaku
4. Menyebabkan kerugian berupa asset, pendapatan, maupun simpanan
 The Fraud Triangle
 Seorang pelaku tindak kecurangan ingin mengurangi tekanan (pressure) yang
mereka terima, baik secara nyata didapatkan maupun sekadar dirasakan.
Mereka harus melihat kesempatan (opportunity) yang cukup besar agar dapat
melakukan kecurangan dengan mudah. Yang terpenting, mereka harus
mencari-cari alasan (rationalize) agar tindakan mereka dianggap dapat
diterima, dengan kata lain, mereka membutuhkan alasan. Contoh alasan:
- Semua orang melakukan itu juga.
- Uang ini hanya dipinjam, nanti akan dikembalikan ketika sudah untung.
- Perusahaan tidak memberikan upah yang cukup, jadi hal ini adalah
kompensasinya, lagi pula perusahaan tidak terlalu dirugikan.
- Tindakan ini tidak merugikan siapa-siapa.
- Tindakan ini bukan merupakan hal yang serius.
 Key Principle untuk Penanganan Risiko Fraud
- Principle 1: Fraud Risk Governance (Tata Kelola Risiko Fraud)
Tata kelola risiko fraud adalah suatu kesatuan dengan tata kelola
perusahaan dan lingkungan pengendalian internal. Hal ini menjelaskan
cara dewan direksi dan manajemen dalam memenuhi kewajiban masing-
masing untuk mencapai tujuan perusahaan.
- Principle 2 : Fraud Risk Assessment (Penilaian Risiko Fraud)
Suatu organisasi harus mengetahui potensi terjadinya fraud atau skenario
yang rentan terhadap risiko fraud.
- Principle 3 : Fraud Control Activity (Aktivitas Pengendalian Fraud)
Aktivitas pengendalian harus seimbang dalam pencegahan dan
penemuan (deteksi). Pencegahan dapat berupa penerapan kebijakan,
 prosedur, pelatihan, dll. Penemuan (deteksi) dapat berupa aktivitas
manual maupun otomatis yang dapat menemukan tindak kecurangan.
- Principle 4 : Fraud Investigation and Corrective Action (Investigasi Fraud
dan Tindakan Perbaikan)
Tindakan ini perlu dilakukan untuk meningkatan kemungkinan pemulihan
kerugian dan menurunkan risiko litigasi serta kerusakan reputasi.
- Principle 5 : Fraud Risk Management Monitoring Activities (Aktivitas
Manajemen Pengawasan Risiko Fraud)
Perusahaan perlu membuat system pelaporan yang dapat mendorong
pelaporan potensi kecurangan. ACFE Report to Nations menyebutkan
bahwa cara ini lebih sering mendeteksi kecurangan dibandingkan dengan
audit, pengendalian, maupun cara lain. Kecurangan yang dideteksi
dengan cepat dapat mempercepat proses investigasi. Hal ini penting
dilakukan karena:
1. Tindakan disiplin/penuntutan dapat dilakukan sebelum the trail goes
cold (kesulitan pengumpulan bukti karena sudah tidak relevan). Di
beberapa negara, hak untuk dapat melakukan tindakan pembelaan
juga memiliki batas waktu tertentu.
2. Tindakan perbaikan perlu segera ditetapkan dari insiden tersebut.
3. Tindakan pendisiplinan pegawai harus diterapkan secara konsisten
agar dapat menjaga citra perusahaan.
 Tata Kelola dalam Program Manajemen Risiko Fraud
- Peran dan Tanggung Jawab, harus bersifat formal dan dikomunikasikan.
Peran dan tanggung jawab yang biasanya ditanamkan:
1. Dewan Direksi : Menentukan tone di pucuk kepemimpinan. Berbagai
tanggungjawab terkait fraud yang bersifat spesifik biasanya diemban
oleh anggota dewan direksi, seperti komite audit dan penominasian
komite tata kelola. Oleh karena itu, wawasan yang perlu dimiliki, di
antaranya:
a. Pemahaman umum mengenai kebijakan terkait fraud, prosedur, dll.
b. Pemahaman yang luas mengenai risiko fraud utama
c. Pemahaman mengenai program manajemen risiko fraud termasuk
pengendalian internal yang telah diterapkan
 d. Menerima dan mengawasi pelaporan yang memberikan informasi
mengenai fraud, status investigasi, dan tindakan disiplin
e. Kemampuan untuk menerima nasihat dari pihak luar dan para ahli
ketika dibutuhkan
f. Mengarahkan fungsi audit internal dan auditor independen dalam
memberikan keyakinan terkait risiko fraud
2. Manajemen, memiliki tanggungjawab untuk menerapkan program
manajemen risiko fraud.
3. Pegawai, pelaksanaan program manajemen resiko fraud dalam
kegiatan sehari-hari harus melibatkan semua pihak dalam organisasi.
Artinya, semua pihak harus:
a. Memiliki pemahaman dasar mengenai fraud dan sadar akan red
flags yang ada
b. Memahami peran masing-masing
c. Membaca dan memahami kebijakan dan prosedur terkait fraud dan
system pelaporan (whistleblowing system) serta prosedur lain
seperti pengadaan
d. Berpartisipasi dalam proses pembentukan lingkungan kontrol dan
pengawasan yang kuat
e. Melaporkan tindakan yang mencurigakan
f. Bekerja sama dalam proses investigasi
4. Fungsi audit internal, memiliki peran yang sangat penting terkait
keyakinan bahwa kontrol berjalan dengan cukup dan efektif.
- Komponen Program Manajemen Risiko Fraud
Tidak ada pendekatan yang berlaku bagi semua program, namun
biasanya komponen berikut ditemukan dalam program yang sukses:
1. Komitmen, harus secara formal didokumentasikan dan
dikomunikasikan
2. Kesadaran mengenai fraud
3. Proses afirmasi, dilakukan secara periodik, menyatakan bahwa para
pegawai memahami dan menaati kebijakan dan prosedur yang berlaku
4. Pengungkapan konflik, proses yang membantu pegawai untuk
mengungkapkan potensi konflik kepentingan yang mungkin atau sudah
muncul.
 5. Penilaian risiko fraud
6. Prosedur pelaporan dan perlindungan whistleblower (pelapor)
7. Proses investigasi
8. Tindakan disiplin dan/atau perbaikan
9. Evaluasi proses dan perbaikan
10. Monitoring berkelanjutan
 Penilaian Risiko Fraud
Proses penilaian risiko fraud terdiri atas:
1. Indentifikasi risiko fraud inheren, dapat dilakukan melalui proses
brainstorming.
2. Penilaian dampak dan kemungkinan risiko yang teridentifikasi,
komponennya terdiri atas
a. Dampak (impact) seperti dampak legal (hukum), dampak operasional,
dampak terhadap manusia (missal, keamanan dan kesehatan).
b. Kemungkinan (likelihood), dapat didasarkan pada kejadian yang sudah
pernah terjadi maupun belum pernah, namun terjadi pada perusahaan
lain di industry yang sama.
3. Pengembangan respon terhadap risiko yang memiliki dampak besar dan
kemungkinan akan menyebabkan akibat yang berada di luar batas
toleransi manajemen
 Tindakan Ilegal dan Respon
Beberapa topik yang sering muncul:
- Ketentuan anti-penyuapan dan masalah kepatuhan terkait
- Pencatatan dan ketentuan pengawasan akuntansi internal
- Melakukan due diligence dan melembagakan langkah-langkah kepatuhan
- Investigasi internal, pengungkapan kewajiban, dan pengawasan
- Bisnis, kontraktual, dan isu kepegawaian terkait
- Langkah-langkah untuk menghindari pelanggaran FCPA dan mencegah
tindakan penegakan hukum

 Pencegahan Fraud
Unsur pencegahan yang penting untuk dilakukan (menurut Fraud Guide)
 - Melaksanakan investigasi latar belakang. Seseorang yang pernah
melakukan kecurangan memiliki kemungkinan lebih besar untuk
mengulanginya lagi. Investigasi latar belakang juga perlu dilakukan
terhadap vendor, pelanggan, maupun rekan bisnis.
- Mengadakan pelatihan anti-fraud.
- Evaluasi kinerja dan program kompensasi. Perusahaan harus berhati-hati
agar tidak memberikan kompensasi terhadap tindakan yang tidak tepat.
- Melaksanakan wawancara keluar. Ketika seorang pegawai memutuskan
untuk keluar (berhenti) dari suatu perusahaan, terdapat berbagai alasan
yang mungkin mendasar. Sering kali, mereka bersedia untuk
menceritakan masalah tersebut serta memberikan informasi mengenai
kecurangan yang mungkin pernah dilihat/dialami. Selain itu, program ini
dapat menjadi tindakan pencegahan fraud (karena takut bakal
diwawancara pas keluar ).
- Pembatasan kewenangan
- Prosedur tingkat-transaksi
 Penemuan Fraud (Detection)
- Whistleblower hotlines, biasanya dikelola oleh pihak ketiga untuk
mempermudah pelaporan dari pegawai tanpa mengkhawatirkan
pembalasan dari pihak yang dilaporkan.
- Process Controls, aktivitas kontrol yang dilakukan dalam kegiatan sehari-
hari.
- Proactive Fraud Detection Procedures, seperti analisis data, audit
berkelanjutan, dan penggunaan teknologi untuk menemukan anomaly,
tren, maupun indicator risiko yang menarik perhatian.
 Investigasi Fraud dan Tindakan Perbaikan
- Menerima tuduhan, dilakukan proses :
a. Pengelompokan isu
b. Konfirmasi validitas tuduhan
c. Pendefinisian tingkat keseriusan tuduhan
d. Pengangkatan isu atau investigasi ketika diperlukan
e. Investigasi dan pencarian fakta
f. Penyelesaian atau penutupan investigasi
g. Pembuatan daftar informasi yang harus dijaga kerahasiaannya
h. Pendefinisian cara dokumentasi investigasi
i. Pengaturan dan penahanan dokumen dna informasi
- Mengevaluasi tuduhan
Pertanyaan yang harus dijawab:
a. Apakah tuduhan tersebut memerlukan investigasi resmi atau sudah
didapatkan cukup informasi untuk penarikan simpulan?
b. Siapa yang harus memimpin proses investigasi?
c. Apakah ada keahlian khusus atau alat yang dibutuhkan dalam
pelaksanaan investigasi?
d. Siapa yang harus diberi pemberitahuan dan kapan?
 - Menetapkan Protokol Investigasi
Penetapan protokol formal dapat membantu menjawab pertanyaan-
pertanyaan tersebut.
- Menentukan Tindakan yang Tepat
Dapat berupa:
a. Tuntutan hukum,
b. Hukuman disiplin, seperti peringatan, pemecatan, dll
c. Klaim asuransi jika kerugian tercakup dalam asuransi
d. Desain ulang atau penguatan proses dan pengawasan yang kurang
efektif yang menyebabkan munculnya fraud.
 Understanding Fraudsters
- Abnormal or Deviant Personality-Related Factors, termasuk dalam anti-
social personality disorder, ciri-ciri tindakan: penipuan, manipulasi, tidak
bertanggung jawab, impulsive, mencari stimulasi, kendali perilaku yang
buruk, dangkal, kurang empati, rasa bersalah, maupun penyesalan,
pergaluan bebas, tidak peduli hak orang lain, dan perilaku tidak etis lain.
Three types of dark triad personalities:
1. Narcissists
2. Psychopaths
3. Machiavellians
- Non-Personality-Related Fraud Risk Factors
Contoh perilaku :
1. Tidak menghormati pertauran
2. Menunjukkan gaya hidup yang lebih baik dari yang sebenarnya
3. Memiliki masalah finansial yang besar atau terlilit utang
4. Memiliki kecenderungan untuk menghabiskan uang
5. Menderita depresi atau masalah emosional lain
6. Memiliki obsesi terhadap perjudian
7. Memiliki keinginan yang berlebihan terhadap status dan percaya
bahwa uang dapat membeli status tersebut
8. Terlihat memiliki keterlibatan dengan tindakan illegal, tidak etis, dan
tidak bermoral serta sering memiliki permasalahan hukum, termasuk
perpajakan.
 Implikasi untuk Auditor Internal dan Lainnya
Pertanyaan yang harus dijawab auditor:
- Risiko fraud apa yang diawasi oleh manajemen secara berkala? Apakah
subjek fraud memerlukan pengawasan berkala dan berkelanjutan?
- Prosedur spesifik apa yang dilakukan oleh fungsi audit internal untuk
mengatasi pengesampingan manajemen terhadap audit internal?
- Apakah sudah ada hal yang mengakibatkan perubahan penilaian risiko?
- Kompetensi dan keahlian apa yang dibutuhkan untuk mengatasi fraud
dalam organisasi? Kapan organisasi perlu mencari jasa audit dari pihak
luar untuk mengatasi isu yang lebih kompleks?
- Bagaiamana cara memperkuat status independent komite audit? Apakah
komite audit dianggap berkompetensi dan professional dalam mengatasi
risiko fraud dan isu pengawasan?
- Bagaimana komite audit harus mencurahkan perhatian terhadap aspek
pencegahan, penjeraan, deteksi, dan investigasi fraud?
- Bagaiama audit internal dapat menggunakan analisis data untuk deteksi
lebih awal?
Dalam melakukan penilaian risiko fraud, auditor internal harus menunjukkan
tingkat skeptis profesional yang tinggi karena perilaku fraud biasanya akan
dengan sengaja menyembunyikan jejaknya agar tidak ketahuan.

Apabila menghadapi kasus yang memiliki kompleksitas tinggi, misalnya

investigasi forensik, maka penggunaan teknologi forensik sangat dianjurkan.
Selain itu juga dapat bekerja sama dengan spesialis fraud, yang paling sering
adalah CFE yang memiliki spesialisasi dalam investigasi akuntansi forensic.

Temuan audit fraud harus disampaikan secara sistematis, yang harus

mencakup:

1. Pernyataan yang jelas dan singkat mengenai isu yang dibahas

2. Kutipan kebijakan, peraturan, standar, undang-undang, maupun regulasi
yang terkait
3. Analisis bukti yang dikumpulkan untuk menghasilkan opini perfesional
4. Simpulan, temuan, dan rekomendasi
 Kesempatan untuk Memberikan Wawasan (Insight)
Auditor internal dapat memberikan wawasan kepada manajemen senior
terkait pencegahan dan deteksi fraud dan tindakan ilegal dalam berbagai
cara. Di antaranya:
1. Membantu organisasi dalam pengembangan penilaian risiko fraud yang
luas.
2. Mengembangkan proses untuk mendeteksi fraud.
3. Mengembangkan alat analisis data yang dapat digunakan untuk
mendeteksi fraud lebih awal.
4. Membantu dalam pengembangan prosedur hotline call.
5. Memberikan pelatihan kesadaran fraud di dalam organisasi.
6. Berlaku secara meyakinkan dalam kejadian fraud yang signifikan.
7. Membantu analisis postmortem ketika fraud terjadi.
8. Memberitahu manajemen terkait tindakan hukum yang mungkin muncul
yang menjadi risiko organisasi.
9. Membantu manajemen dalam pengembangan budaya perilaku etis dan
toleransi rendah terhadap fraud.
10. Tetap mengikuti dan menginformasikan manajemen tentang masalah
yang muncul dan mengembangkan masalah terkait dengan kepatuhan
dan peraturan.
TM 7: Mahasiswa memahami data analytic untuk Internal Audit
I. Analisis Data
Analisis data adalah proses mengumpulkan dan menganalisis data dan kemudian
menggunakan hasilnya untuk membuat keputusan yang lebih baik. Survei kepala
audit eksekutif (CAE) mengungkapkan makna paling populer untuk istilah "analisis
data" sebagai berikut:
 Analisis data operasional, keuangan, dan lainnya yang mengukur risiko
atau peluang.
 Pengumpulan data historis untuk menghubungan data berukuran besar dan
membuat keputusan.
 Proses berulang dan otomatis yang mencari pola dan mengidentifikasi
anomali dari data tersebut.
Auditor internal perlu mengenail 4 atribut dari current data environtment.
1. Volume
Data dapat diperoleh dari banyak sumber, seperti internet, maka ukuran
data bisa jadi sangat besar. Perusahaan perlu infrastruktuk analisis data
yang memadahi untuk mengolahnya.
2. Velocity
Arus keluar masuk data semakin cepat bergantung pada banyaknya
devices, luasnya data yang dikumpulan, globalisasi. Kecepatan data
berbanding terbalik pengaruhnya dengan audit internal karena sumber data
yang semakin banyak. Perusahaan perlu memfokuskan stategi pada titik
data mana yang relevan dan bagaimana proses mengolah data untuk
menambah niai perusahaan.
3. Variety
Data diidentifikasi, di-capture, disimpan dari banyak sumber sehingga
menghasilkan tingkat keberagaman (variety) yang signifikan. Data
dikategorikan sebagai terstruktur dan tidak terstruktur. Data terstruktur
ditangkap dengan rapi dalam kolom dan baris. Data yang tidak terstruktur
tidak memiliki cara atau format yang telah ditentukan.
4. Veracity
Kevalidan atau kebenaran data adalah kunci. Agar analitik data berhasil,
data yang mendasarinya harus dibersihkan dan dinormalisasi untuk
membatasi kemungkinan skenario “garbage in, garbage out”. Dengan kata
lain, data harus dengan setia mencerminkan kebenaran.
Framework analisis data

Evaluasi Tingkatkan Implement,mo

People,
Develop vision current nitor, dan
Process, and
capability Technology evolusi

1. Develop vision
"Apa masalah utama yang dihadapi organisasi?" atau "Bagaimana fungsi
audit internal menambah nilai?", pertanyaan-pertanyaan ini membantu
mengembangkan visi analitik data yang membantu pencapaian tujuan
perusahaan. Konsep dari visi ada tiga, yaitu :
 sejajar dengan tujuan organisasi;
 menyeimbankan kewajiban jangka penden dan keuntungan jangka
panjang; dan
 mengkomunikasikan progres.
2. Evaluasi kapabilitas
Langkah selanjutnya dalam analisis data adalah menentukan progres
mereka dalam membangun kemampuan analitik data.
3. Meningkatkan People, Process, and Technology
Setelah mengembangkan visi dan mengukur kemampuan kapabilitas
perusahaan, auditor internal perlu meningkatkan sumber daya manusia dan
teknologi yang dimiliki perusahaan. Sementara itu, departemen harus
meningkatkan proses untuk mengamankan data.
4. Implementasi, monitor, dan evolusi
Implementasi rencana teknologi yang baru tidaklah mudah. Implementasi
harus ditangani secara bertahap, dimonitor, dan diperbaiki.
Langkah-langkah analisis data audit internal

Sortir dan Analisis dan

Menetapkan Mengumpul
normalisasi memahami
mengkomuni-
masalah -kan data kasikan hasil
data hasil

1. Menetapkan masalah
Fungsi audit internal harus terlebih dahulu menentukan apa yang ingin
dicapai dan nilai yang diantisipasi. Misalnya, fungsi audit internal mungkin
diminta untuk menentukan di mana potensi penipuan terjadi dan pihak-
pihak apa yang terlibat. Dengan memulai dengan pertanyaan itu, banyak
sumber data dapat diindentifikasi dan dianalisis. Hasil analisis data tersebut
 memberikan jawaban untuk pertanyaan dan membantu menentukan
teknologi yang dibutuhkan.
2. Mengumpulkan data
Langkah selanjutnya adalah mendapatkan akses ke data yang dibutuhkan
untuk analisis. Untuk mendapatkan akses ke data, perusahaan melalui
proses yang sulit dan mahal. Di perusahaan besar, unit bisnis sering
menggunakan sistem yang berbeda-beda. Sistem kompleks, sistem lama,
dan unit bisnis yang terlalu protektif terhadap data mereka sendiri juga
dapat menghadirkan hambatan. Namun saat ini, perangkat analisis data
telah dilengkapi fungsi reviu sumber data untuk menentukan data mana
yang hendak digunakan.
3. Membersihkan dan menormalisasi data
Membersihkan data melibatkan tindakan seperti menghilangkan informasi
duplikat dan memastikan bahwa bidang data dengan nama yang sama dari
sistem yang berbeda memiliki arti yang sama. Normalisasi data adalah
proses pengorganisasian data untuk meminimalkan redundansi dan
membuatnya dapat digunakan untuk tujuan tertentu. Normalisasi mungkin
merupakan langkah yang paling sering diabaikan dalam proses analisis
data. Anomali adalah titik data yang tidak terduga, aneh, tidak sesuai, atau
tidak mudah diklasifikasikan.
4. Menganalisis dan memahami hasil
Setelah data diproses, hasilnya harus ditafsirkan. Anomali harus dipelajari
untuk menentukan, misalnya, ketika kesalahan telah terjadi atau apakah
fitur dalam sistem atau proses mengarah pada hasil. Auditor internal akan
sering melacak hasil ke dokumentasi sumber yang mendasarinya, seperti
faktur, untuk mengkonfirmasi sifat, waktu, dan detail acara atau transaksi.
Pada tahap ini, auditor internal meninjau dan memperbaiki analisis awal
berdasarkan hasil awal dan menentukan kapan ketidaksesuaian hanya
mencerminkan kesalahan atau melanggar kebijakan perusahaan. Bahkan
dengan analisis yang cermat, data saja tidak akan memberikan kejelasan
pada kontrol tertentu, yang memerlukan auditor internal untuk bekerja sama
dengan unit bisnis untuk menginterpretasikan hasil.
5. Mengkomunikasikan hasil
Auditor internal dapat menganalisis data dan mengungkap hasil yang
menarik, tetapi tanpa mengkomunikasikan hasil secara efektif, analisisnya
tidak dipahami dan sering diabaikan. Visualisasi data yang inovatif
(presentasi data secara grafis) adalah cara terbaik untuk menginformasikan
dan meningkatkan pengambilan keputusan.
Kegunaan analisis data bagi audit internal
Mengevaluasi laporan pengeluaran untuk seluruh transaksi
Melakukan audit vendor dengan menggunakan data penagihan
Compliance
untuk mengidentifikasi anomali dan tren untuk diselidiki
Menilai peraturan perusahaan
Identifikasi karyawan fiktif, potensi vendor yang melakukan
Fraud kecurangan.
detection and Highlight anomali data yang mengandung risiko yang
Investigation mengancam reputasi perusahaan
Menyelidiki gejala penyalahgunaan aset
Metrik utama seputar analisis pengeluaran
 Analisis duplikasi pembayaran
Analisis pendapatan pendapatan / kebocoran biaya
Operational
Analisis inventaris yang bergerak lambat
performance
Identifikasi kinerja utama dan indikator risiko utama lintas
industri dan lini bisnis.
Pemisahan analisis tugas
Analisis akses pengguna
Internal
Menilai kinerja kontrol
Control
Identifikasi outlier potensial yang akan menunjukkan kegagalan
atau kelemahan kontrol

4 tipe analisis data

1. Deskriptif
Contohnya analisis hutang usaha mengidentifikasi semua pengeluaran
yang diproses pada hari Sabtu untuk lebih dari $ 1.000.
2. Diagnotik
Analisis hutang usaha mengidentifikasi John Smith dari Dallas sebagai
manajer hutang yang menyetujui setiap pencairan hari Sabtu lebih dari $
1.000.
3. Prediktif
Analisis utang usaha di beberapa kota mengidentifikasi semua pembayaran
pada hari Sabtu lebih dari $ 1.000 dan memberikan atribut umum untuk
setiap kejadian (misalnya Jumlah vendor total, masa kerja karyawan, dan
total akrual yang dipesan setiap bulan).
4. Prescriptive
Analisis yang membangun dan menguji berbagai skenario di sekitarnya.

II. Audit Sampling

Audit sampling berupaya untuk menarik kesimpulan dari hanya melihat sebagian
data dan memproyeksikan kesimpulan ke populasi yang diminati. Audit sampling
adalah penerapan prosedur audit untuk bagian dalam suatu populasi dengan
tujuan untuk menarik kesimpulan tentang seluruh populasi. Kemajuan dalam IT
dan analitik data telah mengurangi penggunaan sampling audit. Auditor internal
akan bergantung pada prosedur yang berbeda, seperti menguji kontrol atas
perubahan pada program aplikasi, untuk mendapatkan jaminan bahwa kontrol
beroperasi secara konsisten selama periode waktu tertentu. Alasan kedua adalah
lebih baik untuk secara langsung menguji populasi menggunakan analitik data dan
perangkat lunak audit umum daripada memilih dan menguji sampel item.

Model Audit
Sampling

Non-
Statistik
statistik
 a. Sampling statistik adalah alat yang dapat membantu auditor internal
mengukur kecukupan bukti yang diperoleh dan secara kuantitatif
mengevaluasi hasil pengambilan sampel. Sampling statistik
memungkinkan auditor internal untuk mengukur, mengukur, dan
mengendalikan risiko pengambilan sampel. Sampling statistik biasanya
dianggap memberikan bukti yang lebih persuasif daripada sampling
nonstatistik tetapi juga lebih mahal.
b. Sampling non statistik merupakan pengambilan sampel yang
dilakukan berdasarkan kriteria subyektif berdasarkan pengalaman
auditor.
Risiko dalam audit
a. Risiko audit adalah risiko mencapai kesimpulan yang tidak valid atau
memberikan saran yang salah berdasarkan pekerjaan audit yang
dilakukan.
b. Risiko sampel adalah risiko bahwa kesimpulan auditor internal
berdasarkan pengujian sampel mungkin berbeda dari kesimpulan yang
dicapai jika prosedur audit diterapkan pada semua item dalam populasi.
Risiko pengambilan sampel berbanding terbalik dengan ukuran sampel.
Jika auditor internal menguji seluruh populasi tidak ada risiko
pengambilan sampel.
i. Risiko tipe II (beta risk) adalah risiko salah menerima. Tingkat
risiko pengendalian yang dinilai berdasarkan hasil sampel lebih
rendah daripada yang akan ditemukan oleh auditor internal jika
populasi telah diuji 100 persen. Risiko ketika auditor internal
melebih-lebihkan ketergantungan bahwa manajemen dapat
menempatkan pada kontrol untuk mengurangi risiko residual ke
tingkat yang dapat diterima.
ii. Risiko tipe I (alpha risk) adalah risiko salah menolak. Tingkat
risiko pengendalian berdasarkan hasil sampel lebih tinggi
daripada yang akan ditemukan oleh auditor internal jika populasi
telah diuji 100 persen. Risiko ketika auditor internal mengecilkan
ketergantungan bahwa manajemen dapat menempatkan pada
kontrol untuk mengurangi risiko residual ke tingkat yang dapat
diterima.
c. Risiko non-sampling adalah risiko yang mencakup semua aspek risiko
audit yang tidak terkait dengan sampling. risiko yang terjadi ketika
auditor internal gagal melakukan pekerjaannya dengan benar.

Pendekatan Atribut Pengambilan Sampel

Attribute sampling adalah pendekatan sampling statistik berdasarkan teori distribusi
binomial untuk mencapai kesimpulan tentang suatu populasi dalam hal tingkat
kejadian. Distribusi binomial adalah distribusi dari seluruh sampel yang
memungkinkan. Setiap item dalam populasi memiliki salah satu dari dua
kemungkinan keadaan. Pendekatan ini untuk mengevaluasi efektivitas kontrol
tertentu.
 DISCOVERY
STOP-OR-GO
STRATIFIED

•Variasi dari atribut • Penggunaannya • Sampel cukup

sampling dari suatu paling tepat ketika besar untuk
populasi yang dapat tingkat deviasi mendeteksi satu
dibagi lagi. sangat rendah penyim-pangan
•Contoh: populasi diharapkan. jika tingkat
transaksi pembelian penyimpangan
dibagi menjadi jumlah
• Jika sejumlah kecil
penyim-pangan dalam populasi di
yang relatif kecil,
diotorisasi oleh ditemu-kan dalam atas tingkat yang
manajer lokal, jumlah sampel awal, ditentu-kan.
yang cukup besar yang auditor internal • Penggunaannya
diotori-sasi manajer berhenti sesuai ketika
regional, dan jumlah mengambil sampel tingkat deviasi
besar yang diotorisasi dan merumuskan yang diharap-kan
manajemen pusat. kesimpulannya. sangat rendah.

9 langkah pengambilan atribut sampel melibatkan berikut:

1. Identifikasi tujuan internal kontrol untuk mencapai tujuan tersebut.
2. Tentukan apa yang dimaksud dengan penyimpangan kontrol.
3. Tentukan populasi dan unit sampling.
4. Tentukan nilai parameter yang mempengaruhi ukuran sampel.
 Risiko yang dapat diterima untuk menilai risiko kontrol terlalu rendah.
 Tingkat deviasi yang dapat ditoleransi.
 Tingkat deviasi populasi yang diharapkan.
5. Tentukan ukuran sampel yang sesuai.
6. Pilih sampel secara acak.
7. Audit item sampel yang dipilih dan dihitung jumlah penyimpangan dari
kontrol yang ditentukan.
8. Tentukan batas deviasi yang dicapai.
9. Evaluasi hasil sampel.
 Merumuskan kesimpulan statistik.
 Membuat keputusan audit berdasarkan hasil sampel kuantitatif.
 Mempertimbangkan aspek kualitatif dari hasil sampel

Non-statistik sampling
Pengambilan non-statistik sampel memungkinkan auditor internal lebih leluasa
dalam memilih dan mengevaluasi sampel. Haphazard sampling adalah teknik
pemilihan nonrandom yang digunakan oleh auditor internal untuk memilih sampel
yang diharapkan mewakili populasi.
PPS Sampling (vs) Classical Variable Sampling
Probability-proportional-to-size (PPS) sampling atau monetary unit sampling/dollar-
unit sampling adalah bentuk modifikasi dari atribut sampel yang digunakan untuk
mencapai kesimpulan mengenai jumlah uang daripada tingkat kejadian.
a. Memilih sampel
 Monetary book value dari populasi
 Risiko dari incorrect acceptance
 Kesalahan yang ditolerasi/diterima
 Salah saji yang diantisipasi
b. Evaluasi hasil sampel
Calssical variable sampling adalah pendekatan pengambilan sampel statistik
berdasarkan teori distribusi normal.
a. Memilih sampel
 Ukuran populasi
 Estimasi standar deviasi
 Risiko dari incorrect acceptance
 Risiko dari incorrect rejection
 Kesalahan yang ditolerasi/diterima
b. Evaluasi hasil sampel
PPS Sampling Classical Variable Sampling
Kelebihan
Perhitungan sampel mudah Sampel pada umumnya lebih mudah
berkembang.
Perhitungan ukuran sampel tidak Nol dan saldo negatif tidak perlu
melibatkan pengukuran variasi populasi pertimbangan desain sampel khusus
Menghasilkan sampel bertingkat Papat dipenuhi dengan ukuran sampel
karena item sampel dipilih secara yang lebih kecil jika ada banyak salah
proporsional dengan ukurannya. saji, yaitu perbedaan antara nilai audit
dan nilai tercatat.
Mengidentifikasi setiap item populasi
yang signifikan secara individual, yaitu
item populasi yang melebihi jumlah
dolar cutoff yang telah ditentukan.
Pengambilan sampel PPS umumnya
lebih efisien saat populasi mengandung
nol atau sangat sedikit salah saji.
Kelemahan
Pertimbangan desain khusus perlu saat Sampel variabel klasik lebih kompleks
understatment atau nilai audit yang
kurang dari nol diharapkan.
Identifikasi pernyataan dalam sampel Mengharuskan memperkirakan deviasi
memerlukan pertimbangan evaluasi standar populasi dahulu.
khusus.
sampel PPS terlalu konservatif ketika
kesalahan terdeteksi.
Ukuran sampel yang sesuai meningkat
dengan cepat karena jumlah salah saji
yang diharapkan meningkat.
FINISH