MINGGU 12 - Quality Assurance Auditing and ASQ Standards (Chapter 31)

Quality Assurance Auditing and ASQ Standards

 Overview
o American Society for Quality (ASQ) adalah kelompok profesional audit internal unik
yang memiliki standar, kode etik, dan sebutan sertifikasi profesional. Disebut auditor
kualitas dan bukan hanya auditor internal, profesional ini memiliki tanggung jawab
untuk meninjau berbagai standar ISO di perusahaan terkait kepatuhan, penyederhanaan
pekerjaan, dan proses yang berkaitan dengan kualitas. Auditor berkualitas secara
historis telah beroperasi di pabrik di perusahaan manufaktur.
o Profesional audit internal IIA klasik harus memiliki pemahaman tentang aktivitas
Auditor Quality dan bagaimana pekerjaan mereka sesuai dengan keseluruhan
lingkungan tata kelola perusahaan. Bab ini mengulas peran auditor berkualitas dalam
suatu perusahaan, praktik dan standar mereka. Ada banyak kesamaan antara kegiatan
auditor ini dan auditor internal IIA. Dengan berkembangnya konvergensi kegiatan
perusahaan untuk memperbaiki tata kelola dan pengendalian internal, kita dapat
melihat kedua kelompok audit internal ini menjadi lebih selaras.
 Duties and Responsibilities of Quality Auditors
o Beberapa auditor quality juga termasuk dalam IIA, mereka memiliki organisasi
profesional terpisah mereka sendiri, Quality Audit Division (QAD) dari ASQ. Organisasi
profesional ASQ, bertanggung jawab untuk banyak kegiatan dalam manajemen mutu,
sebelumnya menunjuk pada afiliasi profesional QAD sebagai "auditor quality«
o ASQ dan QAD-nya mengenali dan mendefinisikan beberapa tingkat aktivitas audit:
 Self-audit Ini adalah audit kualitas yang dilakukan dalam perusahaan untuk
meninjau kepatuhan terhadap standar kualitas ISO dan sejenisnya.
 Audit pihak kedua. Auditor berkualitas sering melakukan tinjauan untuk menilai
apakah pemasok mereka beroperasi sesuai dengan beberapa standar yang
ditentukan. Audit pihak kedua terjadi ketika auditor mutu perusahaan tersebut
mengunjungi pemasok untuk menguji kepatuhan terhadap beberapa standar.
 Audit pihak ketiga Ini adalah audit yang dilakukan di perusahaan oleh organisasi
independen, seperti salah satu pendaftar ISO, atau auditor dari instansi
pemerintah, seperti Departemen Tenaga Kerja Administrasi Keselamatan dan
Kesehatan Kerja (OSHA) atau Federal Drug Administration (FDA).
 Role of the Quality Auditor
o Audit kualitas mencakup terminologi yang mungkin tidak biasa bagi auditor internal IIA-
warisan dan manajer terbiasa bekerja dengan mereka. audit kualitas dapat ditunjuk
sebagai audit produk, proses, dan sistem berdasarkan cakupan dan tujuannya.
 Audit produk adalah penilaian terhadap produk akhir atau layanan dan ulasan
tentang "kesesuaian untuk penggunaan" terhadap persyaratan atau spesifikasi
yang disebutkan. Dalam pengertian manufaktur, audit produk akan dilakukan
 pada beberapa item yang baru saja lulus inspeksi terakhir dan siap dikirim ke
pelanggan.
 Audit proses adalah jenis audit utama yang dilakukan oleh auditor kualitas. Ini
adalah ulasan untuk memverifikasi kesesuaian dengan standar, metode,
prosedur, atau persyaratan lainnya.
 Audit sistem bukan merupakan tinjauan sistem yang berhubungan dengan TI
namun audit yang mencakup semua aspek sistem kontrol. Jenis tinjauan ini
dilakukan untuk memverifikasi, melalui bukti obyektif, bahwa semua aspek
sistem manajemen dan rencana organisasi diterapkan untuk memenuhi
persyaratan yang teridentifikasi secara memadai.
 Performing ASQ Quality Audits
o Audit kualitas audit berbasis ASQ-agak berbeda dari kebanyakan internal IIA -orientasi
audit mereka adalah review kinerja untuk menilai kepatuhan peraturan (compliance
rule) atau untuk memenuhi persyaratan standar ISO atau sertifikasi. Mereka juga
penting sebagai umpan balik utama dalam sistem mutu perusahaan untuk menjaga agar
manajemen tetap mengetahui kepatuhan terhadap prosedur sistem terdokumentasi.
Sebagaimana dibahas, audit kualitas selanjutnya disebut audit internal atau self-audit
dan kemudian audit pihak kedua atau ketiga. Berdasarkan peraturan ini, audit kualitas
dapat dilakukan, sebagai audit mandiri, oleh orang-orang yang sangat dekat dengan
operasional proses sebenarnya. Audit kualitas biasanya tidak dilakukan oleh
departemen audit internal yang terpisah tetapi oleh orang-orang di perusahaan yang
memiliki objektivitas.
o Konsep dasar dalam pekerjaan Deming (Deming memperkenalkan banyak teknik
manajemen mutu yang awalnya diabaikan oleh A.S) dan komponen kegiatan audit
kualitas adalah siklus Plan / Do / Check / Act (PDCA). PDCA adalah siklus perbaikan
terus-menerus dimana tim auditor berkualitas, antara lain, akan berupaya memperbaiki
proses. Tim akan menggunakan siklus PDCA untuk meninjau sebuah proses dengan
mengikuti lima langkah:
 Langkah 1. Plan. Apa tujuan tim audit quality? Perubahan apa yang diinginkan,
dan data apa yang dibutuhkan? Jenis tes apa yang dibutuhkan? Bagaimana
operasi akan diamati?
 Langkah 2. Do. Ikuti atau jalankan tes yang direncanakan.
 Langkah 3. Check. Amati hasil tes untuk mengembangkan kesimpulan
pendahuluan.
 Langkah 4. Action. Pelajari semua hasil tes untuk menilai apa yang dipelajari dan
apa yang bisa diprediksi dari latihan. Berdasarkan hasil ini, tentukan area untuk
perbaikan proses.
 Langkah 5. Ulangi langkah sambil mendapatkan lebih banyak pengetahuan.
 Performing ASQ Quality Audits
 o Audit kualitas ASQ seringkali jauh lebih luas daripada audit internal IIA-warisan
tradisional. Auditor berkualitas sering tertarik untuk mematuhi standar yang berlaku
dengan tujuan untuk:
 Verifikasi bahwa sistem yang diterapkan bekerja
 Verifikasi bahwa program pelatihan pendukung hemat biaya
 Identifikasi orang atau kelompok yang tidak mengikuti prosedur
 Memberikan bukti kepada manajemen dan pihak lain bahwa prosesnya berjalan
sebagaimana

 Quality Auditors and the IIA Internal Auditor

o Istilah quality auditing sedang digantikan dengan hanya auditing dalam publikasi ASQ
dan dalam beberapa standar ISO. Terminologi yang digunakan dalam standar IIA dan ISO
semakin konsisten dengan revisi masing-masing selama beberapa tahun terakhir. ISO
telah mendefinisikan audit sebagai "proses yang sistematis, independen dan
terdokumentasi untuk mendapatkan bukti audit dan mengevaluasinya secara obyektif
untuk menentukan sejauh mana kriteria audit terpenuhi." 1 Definisi IIA mengenai audit
internal, yang dibahas pada Bab 7, berisi beberapa kualitas kata yang berhubungan:
jaminan, penambahan nilai, manajemen risiko, sistematis, disiplin, kontrol, dan orientasi
proses. Beberapa integrasi tampaknya terjadi dalam terminologi terhadap generic
assessment and business process improvement model.
o Semakin banyak perusahaan di seluruh dunia mencari pendaftaran ISO, dan standar ISO
9000 menjadi lebih berorientasi pada proses, fokus pada pelanggan dan bisnis. Dengan
penekanan pada "efektivitas," sebuah perusahaan yang terdaftar ISO 9000 harus
menunjukkan efektivitas sistem mutu.
o Di beberapa perusahaan saat ini, chief executive executive (CAE) juga terlibat dengan
fungsi audit kualitas perusahaan setidaknya pada tingkat kesopanan. Ke depan, fungsi
audit internal hampir pasti akan semakin sadar akan aktivitas fungsi audit kualitas
mereka dan harus mempertimbangkan pembagian sumber daya. Meskipun akar historis
 mereka berbeda, kedua fungsi audit harus terlibat dengan fungsi audit nilai tambah bagi
perusahaan. Auditor internal IIA harus mengembangkan pemahaman yang lebih besar
mengenai prosedur audit mutu, dan kedua kelompok audit tersebut harus membangun
hubungan komunikasi reguler dan berkelanjutan. Meskipun masing-masing memiliki
pendekatan dan tujuan yang berbeda, mungkin ada beberapa hal untuk berbagi gagasan
dan bahkan melakukan beberapa pekerjaan peninjauan bersama
 Quality Assurance Reviews of the Internal Audit Function
o Audit internal Tinjauan QA adalah jenis audit khusus - lebih dari sekedar penilaian
manajemen normal terhadap operasi atau pernyataan auditor eksternal mengenai
Standar Audit No. 702 external service organizations review. Sementara standar IIA 560
panggilan untuk tiga tingkat tinjauan, bab ini terutama berfokus pada tinjauan audit
internal yang dilakukan oleh operasi audit internal yang normal, termasuk anggota
perusahaan lain atau bahkan departemen khusus dalam audit internal. Tinjauan ini
memungkinkan fungsi audit internal untuk menilai kualitas prosedurnya sendiri dan
kepatuhannya terhadap standar audit internal. Bagian ini menjelaskan elemen-elemen
yang harus disertakan dalam program QA audit internal dan menjelaskan bagaimana
audit internal dapat membuat sebuah program untuk melakukan tinjauan ini.
a) Benefits of an Internal Audit Quality-Assurance Review
 Laporan audit internal kepada komite audit memiliki hubungan yang erat
dengan tingkat manajemen yang sangat senior dan memiliki kontak dengan
semua fungsi lainnya di perusahaan melalui tinjauan operasional dan finansial.
Namun, sebagai fungsi yang sangat khusus, audit internal tidak selalu
dipertimbangkan bila kebijakan dan prosedur pengukuran kinerja perusahaan
lainnya ditetapkan. Ini tidak berarti bahwa audit internal diabaikan.
 Sebagai fungsi pendukung utama di perusahaan, audit internal memerlukan
cara untuk mengukur dirinya sendiri dan untuk menetapkan insentif untuk
melakukan pekerjaan yang lebih baik. Ini adalah salah satu manfaat nyata dari
tinjauan QA audit internal. Sementara audit internal itu sendiri merupakan
penerima manfaat utama dari tinjauan ini, pemangku kepentingan lainnya di
perusahaan juga mendapat keuntungan dari program kajian QA audit internal
yang kuat. Tinjauan ini memungkinkan audit internal menunjukkan kepada
manajemen bahwa mereka melakukan pekerjaan dengan baik atau melakukan
tindakan perbaikan jika diperlukan. Pihak lain, seperti badan pengatur, juga
dapat memanfaatkan ulasan ini, yang memberikan dasar untuk lebih
memanfaatkan pekerjaan departemen audit internal

Benefits of an Internal Audit Quality-Assurance Review (Cont’l)

I. BENEFITS TO INTERNAL AUDIT

 Penerima manfaat utama dari program tinjauan QA audit internal akan
menjadi audit internal itu sendiri. Kajian QA akan memungkinkan
pengkajian di luar kegiatan audit internal sehari-hari untuk menilai
 seberapa baik fungsi audit internal yang ada dilakukan dalam mematuhi
standar audit internal. Ini bisa menjadi manfaat berharga bagi fungsi
audit internal modern.
 Manajemen audit internal tidak selalu mengetahui seberapa baik
perbandingannya dengan kelompok audit internal lainnya dalam hal hal-
hal seperti penggunaan otomasi audit, efisiensi dalam melakukan tes
audit, atau kebijakan perjalanan. CAE dapat mengumpulkan beberapa
informasi ini melalui kontak profesional mereka di pertemuan IIA atau
kontak pribadi atau profesional lainnya.
 Tinjauan QA audit internal, dilakukan oleh pihak luar, dapat menunjuk
ke area di mana beberapa audit dilakukan dengan cara yang tidak
sepenuhnya sesuai dengan standar atau efisiensi yang lebih baik dapat
dicapai. Misalnya, pendekatan pemilihan sampel yang digunakan dalam
audit tertentu mungkin terlalu besar. Meskipun hasil auditnya benar,
sampel yang lebih kecil mungkin telah menghasilkan kesimpulan audit
yang sama namun dengan efisiensi yang lebih besar. Sebagai hasil dari
tinjauan QA tersebut, manajemen audit internal mungkin dapat
memperbaiki keseluruhan operasinya sendiri
II. BENEFITS TO MANAGEMENT
 Beberapa tingkat manajemen, mulai dari manajer yang secara langsung
bertanggung jawab atas area audit internal yang ditinjau ke komite
audit, mendapat manfaat dari tinjauan QA audit internal. Meskipun tim
audit internal tidak boleh menunjukkan laporan peninjauan QA terbaru
kepada manajemen auditee pada proyek audit berikutnya, temuan
program QA review yang bagus harus menghasilkan audit yang lebih
baik dan lebih efisien. Semua anggota manajemen - dan manajer yang
secara langsung bertanggung jawab atas unit yang diaudit, pada
khususnya - akan mendapatkan keuntungan dari fungsi audit internal
yang efisien dan efektif. Sebuah program tinjauan QA harus membantu
memastikan efisiensi dan efektivitas audit yang berkelanjutan.
 Komite audit dan manajemen senior harus menyadari manfaat yang
lebih besar lagi dari program kajian QA audit internal yang kuat. Seperti
telah dibahas di sepanjang buku ini, audit internal adalah komponen
yang kuat dalam sistem pengendalian internal. Manajemen senior dan
komite audit harus memahami keseluruhan prinsip pengendalian
internal namun mungkin tidak selalu memahami sepenuhnya fungsi
audit internal mereka. Audit internal membagikan ringkasan hasil
tinjauan QA-nya dengan berbagai tingkatan manajemen senior.
Informasi ini memberi manajemen senior kepercayaan yang lebih besar
terhadap kualitas review audit internal yang dilakukan. Ini adalah
keuntungan besar bagi keseluruhan perusahaan.
b) Elements of an Internal Audit Quality-Assurance Review
Procedures for a Quality-Assurance Review of Internal Audit
1. Tentukan area yang akan termasuk dalam kajian QA audit internal - apakah
keseluruhan fungsi atau hanya komponen audit internal terpisah, seperti
pembagian atau area geografis yang terpisah.
2. Tentukan periode waktu audit untuk disertakan dalam tinjauan QA - baik
dari akhir peninjauan QA terakhir atau untuk periode 12 bulan sebelum
pengumuman audit.
3. Tentukan siapa yang akan melakukan tinjauan audit internal QA dan
pastikan bahwa reviewer tersebut memahami standar IIA dan mendukung
prosedur departemen audit internal.
4. Jika audit internal tidak memiliki tinjauan penjaminan mutu dalam 24 bulan
terakhir, ambil langkah untuk memastikan bahwa kedua anggota staf audit
internal dan manajemen memahami tujuan dan sifat tinjauan QA.
5. Jika tim peninjau QA berencana untuk melakukan survei atau wawancara
auditee di luar departemen audit internal, buat beberapa rencana awal
untuk menginformasikan kepada semua orang yang terkena dampak.
6. Berdasarkan audit internal selesai dan dalam proses, kembangkan strategi
umum untuk jumlah dan jenis audit yang akan dipilih untuk ditinjau. Jika
area pengetahuan khusus disertakan, seperti keamanan komputer atau
desain otomatis, tentukan bahwa sumber daya yang sesuai telah
dialokasikan.

Elements of an Internal Audit Quality-Assurance Review

Procedures for a Quality-Assurance Review of Internal Audit (Cont’l)

7. Tentukan apakah tinjauan QA akan dilakukan berdasarkan tingkat atas,

periksa kepatuhan terhadap standar umum atau rencanakan untuk
menyertakan ulasan terperinci mengenai audit yang dipilih, termasuk cek
referensi kerja atau reperformance tes.
8. Jika masalah ditemui dalam tinjauan QA yang direncanakan, seperti audit
yang memerlukan tinjauan lebih rinci, prosedur harus disiapkan untuk
mengevaluasi cakupan atau jadwal peninjauan QA.
9. .Mengembangkan prosedur umum untuk format dan sifat laporan audit
akhir QA.
10. Kembangkan strategi untuk melaporkan hasil peninjauan QA kepada
anggota audit internal lainnya dan kepada anggota manajemen senior yang
dipilih.
c) Who Performs the Quality-Assurance Review?
  Manajemen audit internal memiliki dua pilihan di sini. Ini dapat
mengembangkan jenis tinjauan pengkajian diri dan semua anggota staf
mengevaluasi diri mereka sendiri, atau dapat melakukan kontrak dengan
pihak luar untuk melakukan peninjauan.
 Pihak luar yang dapat melakukan tinjauan QA mencakup firma akuntan
publik, konsultan yang mengkhususkan diri pada ulasan semacam itu, atau
auditor internal dari perusahaan lain. Sebagai pilihan lain, IIA memiliki
program review dimana akan menjadwalkan tim profesional relawan untuk
melakukan review. Beberapa fungsi audit internal yang lebih besar mungkin
menemukan pendekatan di luar ini menarik. Penilaian internal audit internal
terhadap prosedur kualitasnya dapat berupa tinjauan penilaian self-
assessment kontrol (CSA)
 Launching the Internal Audit Quality-Assurance Review
a. Quality-Assurance Review Approaches
b. Example Quality-Assurance Review of an Internal Audit Functio
i. QA REVIEW PRELIMINARY PLANNING
 Mengumumkan tinjauan QA yang direncanakan
 Tetapkan sumber daya untuk melakukan tinjauan
 Bertemu dengan manajemen audit internal
ii. QA INTERNAL AUDIT REVIEW PROCEDURES
iii. REVIEWS OF INDIVIDUAL COMPLETED AUDITS
 Prosedur pengambilan sampel audit yang dugunakan.
 Kepatuhan dengan prinsip akuntansi yang berlaku umum (GAAP) atau standar
akuntansi lainnya
 Pertimbangan yang tepat atas resiko TI
 Penggunakan computer-assisted audit tools and techniques (CATTs)
 Penggunaan teknik otomatis audit lainnya
iv. AUDITEE INTERVIEWS AND SURVEYS
 Quality-Assurance Auditee Interviews
Setelah meninjau ulang pekerjaan dan bahan lainnya dari audit yang telah
selesai, peninjau QA biasanya akan lebih bernilai bila mewawancarai beberapa
auditee. (Ini adalah orang-orang yang fungsinya ditinjau sebagai bagian dari
audit yang telah selesai dipilih untuk tinjauan ini.) Idenya di sini adalah untuk
menilai tingkat profesionalisme audit internal dii mata auditee. Meskipun tim QA
mungkin telah menemukan bahwa perangkat lunak yang dipilih terorganisir
dengan baik dan laporan auditnya ditulis dengan baik, audit internal memiliki
masalah kualitas potensial jika auditee - subyek audit - tidak menganggap
auditor internal yang melakukan peninjauan secara high-quality professionals.
 Internal Audit Quality-Assurance Surveys
Wawancara, umumnya terbatas pada sekelompok kecil auditee yang hanya
terlibat dalam sejumlah audit internal terpilih. Dalam beberapa kasus, tinjauan
 QA dapat menemukan beberapa nilai dalam mensurvei semua auditee di divisi,
departemen, atau unit bisnis yang lebih besar yang memiliki kontak dengan
audit internal. Pendekatan ini biasanya bekerja paling baik bila QA meninjau
fungsi audit internal di beberapa unit geografis terpencil, di mana tim peninjau
memiliki sedikit pengetahuan tentang operasi audit internal lokal. Survei
tersebut mungkin dikirim sebelum kedatangan tim QA, dengan instruksi untuk
mengirimkan kembali tanggapannya. Jika dilakukan sebelumnya, tim QA audit
internal mungkin dapat mengidentifikasi beberapa masalah potensial sebelum
memulai peninjauan QA yang sebenarnya. Tim QA yang melakukan survei harus
dengan hati-hati mengklasifikasikan data survei untuk mengidentifikasi tren atau
masalah.
 Reporting the Results of an Internal Audit Quality-Assurance Review

Launching the internal audit quality-assurance review

ISO 27001, ISO 9000, and Other International Standards (Chapter 30)

ISO 27001, ISO 9000, and Other International Standards

 Overview
o Bab ini memberikan gambaran umum dan pengenalan beberapa standar ISO yang sangat
penting bagi auditor internal. Fokusnya adalah pada standar kualitas ISO 9001 dan standar
keamanan komputer ISO 27001. Bab ini juga memperkenalkan beberapa standar ISO
lainnya, termasuk standar internasional untuk sistem manajemen TI dan manajemen mutu.
o ISO bertanggung jawab untuk mengembangkan dan menerbitkan berbagai standar
internasional di banyak bidang bisnis dan proses. Beberapa standar ini sangat luas, seperti
ISO 14001, yang mencakup sistem pengendalian lingkungan yang efektif, sementara yang
lain sangat rinci dan tepat, seperti standar yang mencakup ukuran dan ketebalan kartu
kredit plastik. Standar ISO yang luas penting karena memungkinkan semua perusahaan di
seluruh dunia untuk berbicara dalam bahasa yang sama ketika mereka dapat mengklaim
bahwa mereka memiliki, misalnya, sistem pengendalian lingkungan ISO 14001 yang efektif.
Yang rinci juga sangat penting untuk memungkinkan, misalnya, mesin ATM di manapun di
dunia untuk menerima ukuran dan ketebalan kartu kredit yang sama.
o Standar ISO dikembangkan melalui upaya kolaboratif dari banyak organisasi penetapan
standar nasional, seperti American National Standards Institute dan kelompok serupa di
seluruh dunia. Prosesnya dimulai dengan kebutuhan standar yang diakui secara umum di
beberapa daerah. Contohnya adalah ISO 27001, yang menguraikan persyaratan tingkat
tinggi untuk sistem manajemen keamanan informasi yang efektif. Standar ISO 27001
dikembangkan melalui upaya komite teknis internasional yang disponsori oleh ISO bekerja
sama dengan kelompok penetapan standar internasional Electrotechnical Commission.
Standar tersebut tidak spesifik dalam persyaratan terperinci namun berisi banyak
pernyataan tingkat tinggi sesuai dengan garis "organisasi. . . . "
o Banyak perusahaan A.S. pertama kali terlibat dengan standar internasional ini melalui
peluncuran standar sistem manajemen mutu ISO 9000 di tahun 1980an. Pada saat itu,
banyak perusahaan A.S. dihadapkan dengan standar desain berkualitas tinggi yang
ditemukan di banyak produk asing, seperti mobil Jepang. Perusahaan Jepang telah
merancang banyak produk berkualitas tinggi menyusul apa yang menjadi ISO 9000, dan
produsen A.S. mulai melangkah ke piring dengan memodifikasi proses mereka sendiri agar
sesuai dengan standar kualitas produk yang lebih tinggi ini. Kepatuhan terhadap standar ISO
9000 memungkinkan perusahaan-perusahaan di seluruh dunia merancang operasinya
sesuai dengan standar tunggal yang konsisten dan kemudian menegaskan bahwa mereka
memiliki sistem manajemen mutu yang sesuai dengan standar internasional.
 ISO Standards Overview
a. ISO 9001 Quality Management Systems and Sarbanes-Oxley
ISO 9000 adalah keluarga penting standar untuk sistem manajemen mutu. Dipertahankan
oleh ISO, standar ini mencakup persyaratan untuk hal-hal seperti:
 Memantau proses untuk memastikannya efektif
 Menjaga catatan yang memadai
 Memeriksa output untuk cacat, dengan tindakan korektif yang sesuai bila
diperlukan
 Secara teratur meninjau proses individu dan sistem mutu itu sendiri untuk
efektivitas
 Memfasilitasi perbaikan terus-menerus
i. ISO 9000 DOCUMENTATION PROCESSES
Untuk memperjelas, ISO 9000 bukan hanya satu standar namun serangkaian standar
dan pedoman "dapat disertifikasi":
o ISO 9001. Certifiable standard dealing with design
o ISO 9002. Certifiable standard dealing with manufacturing
o ISO 9003. Certifiable standard dealing with manufacturing and assembly
o ISO 9004. Guideline defining a quality system
b. IT Security Standards: ISO 17799
 ISO 17799 adalah standar tentang informasi dan IS secara umum dan inklusif. Karena
informasi semacam itu didapat dalam berbagai bentuk, standar tersebut mengambil
pendekatan yang sangat luas dan mencakup berbagai standar keamanan yang
mencakup keamanan terkait:
o File elektronik data dan perangkat lunak
o Semua format dokumen kertas termasuk bahan cetak, catatan tangan, dan
bahkan foto
o Rekaman video dan audio
o Percakapan telepon dan juga e-mail, faks, video, dan bentuk pesan lainnya
c. IT Security Technique Requirements: ISO 27001
 Sementara ISO 17799 adalah kode praktik tingkat tinggi yang mencakup kontrol
keamanan, ISO 27001 adalah apa yang didefinisikan oleh ISO sebagai "spesifikasi" untuk
Sistem Manajemen Keamanan Informasi. Artinya, standar ini dirancang untuk mengukur,
memantau, dan mengendalikan manajemen keamanan dari perspektif top-down.
Standar dasarnya menjelaskan bagaimana menerapkan ISO 17799, dan ini
mendefinisikan penerapan standar ini sebagai proses enam bagian:
o Defin a security policy. Komponen mendasar dari standar apa pun adalah
kebutuhan akan pernyataan kebijakan formal yang disetujui oleh
manajemen senior. Semua aspek kepatuhan lainnya dari standar akan
diukur terhadap pernyataan kebijakan ini.
o Defin the scope of the ISMS. mendefinisikan keamanan secara luas yang
mungkin tidak sesuai atau dibutuhkan untuk semua perusahaan. Setelah
menetapkan kebijakan keamanan tingkat tinggi, perusahaan perlu
menentukan ruang lingkup ISMS yang akan diterapkan. Misalnya, ISO 17799
mendefinisikan unsur persyaratan keamanan seperti rekaman video dan
audio. Jika ini tidak diperlukan untuk perusahaan tertentu, maka akan
secara khusus dikecualikan untuk lingkup ISMS-nya.
o Undertake a risk assessment. Perusahaan harus mengidentifikasi
metodologi penilaian risiko yang sesuai dengan lingkungan ISMS-nya,
 kemudian mengembangkan kriteria untuk menerima risiko dan menentukan
tingkat risiko yang dapat diterima.
o Manage the risk.. Ini adalah proses utama yang mencakup identifikasi risiko
formal, analisis risiko, dan pilihan untuk pengobatan risiko tersebut. Yang
terakhir ini dapat mencakup penerapan pengendalian penghindaran risiko
yang tepat, menerima risiko, mengambil langkah lain untuk
menghindarinya, atau mengalihkan risiko ke pihak lain, seperti perusahaan
asuransi atau pemasok.
o Select control objectives and controls to be implemented. Ini adalah proses
audit dan kontrol yang sama yang dibahas di bagian lain buku ini, seperti
dalam Bab 15 tentang perencanaan dan pelaksanaan audit internal. Untuk
setiap tujuan pengendalian yang ditetapkan, perusahaan harus menentukan
prosedur pengendalian yang tepat.Prepare a statement of applicability. Ini
adalah dokumentasi formal yang diperlukan untuk menyelesaikan proses
dokumentasi ISMS. Dokumentasi tersebut sesuai dengan tujuan
pengendalian dengan prosedur untuk mengelola dan menerapkan ISMS.
d. Service Quality Management: ISO 20000
 ISO 20000 meminta perusahaan untuk mengadopsi dan menyatakan bahwa mereka telah
menerapkan praktik terbaik ITIL yang dibahas di Bab 8. Secara formal, standar ini
"mempromosikan penerapan pendekatan proses terpadu untuk secara efektif
memberikan layanan yang dikelola untuk memenuhi kebutuhan bisnis dan pelanggan."
ISO 20000 adalah standar global pertama untuk pengelolaan layanan TI dan sepenuhnya
kompatibel dan mendukung kerangka kerja ITIL. Ini pasti akan berdampak signifikan
terhadap penggunaan dan penerimaan praktik terbaik ITIL dan keseluruhan lanskap
pengelolaan layanan TI.
 Di tahun-tahun depan, auditor internal harus melihat peningkatan tingkat pengakuan
akan pentingnya standar layanan terkait ISO. Dalam ekonomi global kita yang semakin
meningkat, tidak peduli pembatasan perdagangan dunia nasional apa pun, standar
internal diperlukan untuk mendefinisikan praktik umum dan untuk memfasilitasi
komunikasi dengan lebih baik. Ketika sebuah perusahaan atau organisasi jasa di manapun
di dunia telah mencapai sertifikasi manajemen mutu ISO 9000, pelanggan dan pengguna
dapat mengharapkan tingkat minimum dokumentasi dan standar proses tertentu. Standar
keamanan TI ISO 27001 harus segera mencapai tingkat kepentingan dan pengakuan yang
serupa. Kita harus melihat peningkatan tren konvergensi antara ISO dan standar di bidang
lain. Auditor internal di semua tingkatan harus memahami dan menerapkan standar ISO
yang penting ini.
 Standar audit sistem manajemen mutu ISO 19011 sangat berkaitan dengan standar audit
kualitas ASQ yang dibahas pada Bab 31, dan ini menguraikan empat sumber keputusan /
dukungan penting untuk perencanaan, pelaksanaan, dan evaluasi audit kualitas dan / atau
lingkungan yang efisien:
 o Kebutuhan akan penjelasan yang jelas tentang prinsip-prinsip sistem
manajemen audit
o Bimbingan pengelolaan program audit
o Pedoman pelaksanaan audit internal atau eksternal
o Nasihat mengenai kompetensi dan evaluasi auditor
 Standar ISO ini menguraikan lima prinsip audit:
o Perilaku etis. Auditor yang melakukan audit ISO 19011 harus jujur dan
melakukan hal yang benar.
o Presentasi yang adil. Auditor harus bersikap adil saat melaporkan hasil.
o Latihan karena perawatan profesional. Auditor harus melakukan apa yang
wajar dan biasanya diharapkan.
o Kemerdekaan. Auditor harus menghindari konflik kepentingan untuk
memastikan integritas mereka
o Pendekatan berbasis bukti. Auditor harus menyelidiki terlebih dahulu dan
kemudian melaporkan fakta
MINGGU 13 - FRAUD DETECTION AND PREVENTION (Chapter 25)
 Deinisi
o Fraud/Kecurangan adalah tindakan yang disengaja untuk menipu pihak lain, dimana korban
akan mengalami kerugian dan/atau pelaku mendapatkan keuntungan (Managing the
Business Risk of Fraud, a Practical Guide, the IIA, the AICPA and ACFE, 2008).
o Risiko kecurangan adalah risiko bisnis atas kerugian material seperti uang, aset perusahaan,
pabrik, peralatan, reputasi, dan juga informasi. Risiko kecurangan dapat berasal dari dalam
maupun luar perusahaan dan seringkali melibatkan kolusi antar individual atau grup. Risiko
kecurangan tidak berarti bahwa kecurangan telah timbul, tapi lebih mengarah kepada
situasi yang memungkinkan kecurangan untuk timbul di perusahaan
 Mengapa Fraud menjadi perhatian kita?
o “Kecurangan dapat terjadi dalam berbagai macam organisasi dimanapun di dunia, dan
dalam berbagai sektor kegiatan ekonomi, dan pelaku-pelakunya dapat ditemukan dalam
semua tingkat struktur organisasi. Kecurangan tidak memandang batasan-batasan budaya
dan nasional.” (Confederation of Institutes of Internal Auditing)
 Unsur-unsurKecurangan
o Act/Tindakan
o Deception/Penipuan
o Dishonesty/Ketidakjujuran
o Concealment/Penyembunyian
o Intent/Niat
o Loss & benefit/Kerugian& keuntungan
o Diversion/Pengalihan
o Fraud
 Mengapa kecurangan terjadi? Fraud Awareness
o Banyak studi menemukan bahwa karyawan yang melakukan kecurangan melakukannya
karena faktor kesempatan, tekanan dan rasionalisasi–Segitiga Kecurangan (Fraud
Triangle) Kerangka ini adalah alat bantu yang berguna dalam memahami dan mengelola
risiko kecurangan
o Segituga Kecurangan
 o Fenomena Gunung ES

 Klasifikasi Kecurangan dalam Pekerjaan –ACFE

o Asset Misappropriations, mencakup pencurian dan penggunaan harta organisasi tanpa
otorisasi (Contoh:umum meliputi pencurian persediaan dan kecurangan pembayaran gaji.)
o Corruption, dimana pelaku secara salah menggunakan pengaruhnya dalam transaksi usaha
dalam rangka memperoleh manfaat untuk dirinya atau pihak lain, tetapi tidak sesuai
dengan kewajibannya terhadap pemberi kerja atau hak orang lain. (Contoh: memperoleh
kick backs, dan ikut dalam transaksi dengan unsur benturan kepentingan.)
o Fraudulent Statements, penyajian laporan keuangan organisasi dengan salah. (Contoh:
penggelembungan pendapatan dan pengecilan hutang/biaya.)
 Tiga Jenis Kecurangan dan Tindakan Ilegal
o Perbuatan yang dilakukan oleh petugas/karyawan, dimana manfaat/keuntungan utama
dari tindakannya akan mengalir ke perusahaan
o Perbuatan yang dilakukan oleh petugas/karyawan, dimana manfaat/keuntungan utama
dari tindakannya akan mengalir ke individu
o Perbuatan yang dilakukan oleh pihak ketiga terhadap perusahaan, dimana
manfaat/keuntungannya akan mengalir ke pihak ketiga tersebut.
 Pencegahan Kecurangan
o Struktur dan pengendalian internal
o Pengendalian manajemen
o Struktur organisasi manajemen
o Implementasi Good Corporate Governanceyang mencakup manajemen risiko
kecurangan dan kode etik
 Kenapa Pengendalian Internal Tidak 100% Efektif?
o Pengendalian internal tidak memperhitungkan adanya kolusi, kelalaian atau keahlian
o Manajemen mengesampingkan kontrol
 o Kecurangan dapat dilakukan oleh mereka yang mengetahui sistem lebih baik dar ianda
 Red Flags -Indikasi Terjadinya Fraud (Red Flags Kecurangan-Umum)
o Kebiasaan yang tidak normal
o Pengaduan
o Barang terjual ada dalam rekonsiliasi
o Meningkatnya hal-hal yang direkonsiliasi
o Buku Besar tidak balance
o Pembatalan yang berlebihan
o Kredit Memo yang berlebihan
o Dokumen-dokumen yang hilang
o Nama dan/atau alamat pemasok yang sering digunakan
o Banyak “adjustment” terhadap piutang dan hutang
o Pembelian yang berlebihan
o Duplikasi pembayaran
o Pegawai fiktif
o Lemburan pegawai
o Akun beban pegawai
o Kekurangan Persediaan
o Peningkatan barang-barang sisa
o Pembayaran besar ke individu tertentu
o Penghapusan piutang usaha dalam jumlah besar/tidak ada sama sekali
o Penggunaan PO BOX sebagai alamat pengiriman
 Red Flags -Indikasi Terjadinya Fraud (Red Flags Kecurangan-Manajemen)
o Manajemen mengesampingkan kontrol
o Kegagalan untuk menerima tanggung jawab
o Gaya manajemen yang berlebihan
o Manfaat/keuntungan yang tidak standar
o Hubungan kerja yang dekat
o Kekuasaan/akses yang tidak biasanya
 Red Flags -Indikasi Terjadinya Fraud (Red Flags Kecurangan- Karyawan)
o Gaya hidup tidak sesuai pendapatan
o Memiliki akses ke uang/harta
o Masalah rumah tangga
o Masalah narkoba/judi
o Memiliki banyak hutang
o Tidak/sedikit mengambil cuti
o Bekerja di luar jam kerja normal
o Kesedihan/kekecewaan(real/imagined)
o Bermasalah dalam menangani tekanan
o Bermoral rendah
 Red Flags -Indikasi Terjadinya Fraud (Red Flags Kecurangan- Bagian Pembelian)
o Seringnya kontak sosial dengan pemasok dan kontraktor
o Penyimpangan dari proses kontrak standar
o Bidder berpengalaman tidak diikutsertakan dalam penawaran teknis
o Prosedur dan pengambilan keputusan yang tidak transparan selama proses penawaran
o Tidak diumumkannya konflik kepentingan atau hubungan dengan kontraktor
o Lingkup kontrak diubah setelah kontrak diberikan (misalnya variasi yang berlebihan)
o Kurangnya atau rendahnya tingkat pengawasan realisasi kontrak
o Tidak lengkap atau hilangnya dokumentasi proyek atau kontrak
o Biaya overruns yang tidak dapat dijelaskan
o Kontrol internal yang kurang atau tidak memadai
o Kurangnya tindak lanjut atas keluhan, atau pertanyaan yang telah diterima
 Red Flags -Indikasi Terjadinya Fraud (Red Flags Kecurangan- Bagian Accounts Payable)
o Pembayaran berulang dengan jumlah pembayaran yang sama atau tidak biasa ke
pemasok yang sama
o Pola sistematis untuk penyesuaian hutang (misalnya kredit) untuk barang dikembalikan
o Pembayaran ke pemasok berdasarkan salinan faktur, bukan faktur asli
o Tingginya volume pencairan cek manual
o Akses yang tak terbatas ke cek kosong, templatetanda tangan, dsb.
o Faktur dari pemasok dapat diterima oleh departemen/bagian lain (atau diluar proses
yang berlaku)
o Kurangnya dokumentasi pendukung pembayaran
o Kurangnya pengawasan atas aktivitas di Bagian Accounts Payable
 Red Flags -Indikasi Terjadinya Fraud (Red Flags Kecurangan- BagianKas/Keuangan)
o Proses penyesuaian yang dilakukan last minute.
o Akses ke kas atau buku cek untuk karyawan yang tidak memerlukan akses tersebut.
o Kewenangan yang besar atau tidak terbatas untuk penandatanganan cek oleh
manajemen menengah
o Penandatangan cek tunggal
o Kurangnya penerapan prinsip pemisahan tugas (segregation of duties)
o Hilangnya dokumen pendukung transaksi pembayaran
o Dokumen pembayaran tampak telah dirubah
o Tidak tersedianya dokumen asli, selain dokumen yang telah difotokopi atau
ditransmisikan secara elektronik
o Transaksi penting yang tidak dapat dijelaskan dalam rekonsiliasi bank/kas
o Kekurangan uang tunai(cash shortages) secara konsisten
o Kurangnya pengawasan atas aktivitas sehari-hari kasir
o Proses rekonsiliasi bank/kas dan pelaporan yang selalu terlambat
 Red Flags -Indikasi Terjadinya Fraud (Red Flags Kecurangan- BagianKas/Keuangan)
o Pembayaran tunai dengan jumlah yang besar.
 o Pembayaran menggunakan cek, bukan transfer giro atau bank.
o Penggunaan singkatan perusahaan, sebagai penerima, di cek atau kwitansi.
o Uncrossed check
o Nama dan nomor rekening penerima tidak ditulis pada giro.
o Cek hilang atau pembatalan non-existent
o Hubungan yang dekat dengan petugas marketing bank.
 FRAUD DETECTION AND PREVENTION
o Profil Pelaku Kecurangan
 Pria(biasanya)
 Pintar
 ingin tahu
 Berani ambil risiko
 Pelanggar peraturan
 Pekerja keras
 Serakah
 Royal
 Professional Skepticism
o Kehati-hatian profesional/Professional Skepticism adalah suatu sikap yang mempunyai a
questioning mind dan a critical assessment atas bukti-bukti audit.
 Fraud Menurut Hukum di Indonesia Peraturan Perundangan yang relevan
o KUHP –criminal code
o UU No. 31 tahun 1999 dan UU No. 20 Tahun 2001 tentang Tindak Pidana Korupsi
o UU No. 15 Tahun 2002 dan UU No. 25 Tahun 2003 tentang Tindak Pidana Pencucian
Uang
o Peraturan Pusat Pelaporan dan Analisis Transaksi Keuangan(PPATK)
o UU No. 15 Tahun 2004 tentang Pemeriksaan Pengelolaan dan Tanggung Jawab
Keuangan Negara –UU BPK
o (Diskusi dengan nasihat Hukum sangat dibutuhkan)
 Fraud dalam KUHP
o Pasal362 Pencurian
o Pasal368 Pemerasan dan pengancaman
o Pasal372 Penggelapan
o Pasal378 Perbuatan curang
o Pasal396 Merugikan pemberi piutang dalam keadaan pailit
o Pasal406 Menghancurkan atau merusakkan barang
o Pasal209, 210, 387, 388 dst… yang secara khusus diatur dalam UU Tastipikor
 Fraud dalam Undang-undang yang Spesifik
o 30 Jenis TPK (UU No.31/1999 jo UU No.20/2001 tentang Tastipikor)
o 13 Jenis TP Bidang Perbankan (UU No.7/1992 jo UU No.10/1998 tentang Perbankan)
o TP Bidang Pasar Modal (UU No.8/1995 tentang Pasar Modal)
 o TP Bidang Perpajakan (UU No.6/1983 sebagaimana diubah terakhir dengan UU
No.28/2007 tentang Ketentuan Umum dan Tata Cara Perpajakan)
o Tindak Pidana Pencucian Uang(UU No.15/2002 jo UU No.23/2003 tentang Tindak Pidana
Pencucian Uang, DLL….
 Standar Profesi–SPAP (SA Seksi 110 “Tanggung Jawab dan Fungsi Auditor Independen” (PSA
No. 01)
o Menggambarkan kecurangan dan karakteristiknya.
o Mewajibkan auditor secara khusus menaksir risiko salah saji sebagai akibat kecurangan
dan menyediakan golongan faktor risiko kecurangan.
o Memberikan panduan tentang evaluasi terhadap hasil pengujian audit dalam kaitannya
dengan risiko salah saji material sebagai akibat dari kecurangan.
o Memberikan panduan tentang komunikasi mengenai kecurangan yang perlu dilakukan
oleh auditor kepada manajemen, komite audit, dan pihak lain.
 Standar Profesi–SPAP (Cont’)
o SA Seksi 316 “Pertimbangan atas Kecurangan dalam Audit Laporan Keuangan” (PSA No.
70)
o Seksi ini berfokus ke pertimbangan auditor atas kecurangan dalam audit terhadap
laporan keuangan, manajemen bertanggung jawab untuk mencegah dan mendeteksi
kecurangan.
o SA Seksi 317 “Unsur Tindakan Pelanggaran Hukum oleh Klien” (PSA No. 31) paragraf 2:
o Unsur tindakan melanggar hukum oleh klien adalah unsur tindakan pelanggaran yang
dapat dihubungkan dengan entitas yang laporan keuangannya diaudit, atau tindakan
manajemen atau karyawan yang bertindak atas nama entitas.
 SPAP –SA Seksi 316
o Salah saji yang timbul dari kecurangan dalam pelaporan keuanganadalah salah saji atau
penghilangan secara sengaja jumlah atau pengungkapandalam laporan keuangan untuk
mengelabuhi pemakai laporan keuangan. Kecurangan dalam laporan keuangan dapat
menyangkut tindakan seperti yang disajikan berikut ini:
 Manipulasi, pemalsuan, atau perubahan catatan akuntansi atau dokumen
pendukungnya yang menjadi sumber data bagi penyajian laporan keuangan.
 Representasi yang salah dalam atau penghilangan dari laporan keuangan
peristiwa, transaksi, atau informasi signifikan
 Salah penerapan secara sengaja prinsip akuntansi yang berkaitan dengan
jumlah, klasifikasi, cara penyajian, atau pengungkapan
 SPAP –SA Seksi 316 (Cont’)
o Salah saji yang timbul dari perlakuan tidak semestinya terhadap aktiva (seringkali
disebut dengan penyalahgunaan atau penggelapan) berkaitan dengan pencurian aktiva
entitas yang berakibat laporan keuangan tidak disajikan sesuai dengan prinsip akuntansi
yang berlaku umum di Indonesia.
o Perlakuan tidak semestinya terhadap aktiva entitas dapat dilakukan dengan berbagai
cara, termasuk penggelapan tanda terima barang/uang, pencurian aktiva, atau tindakan
 yang menyebabkan entitas membayar harga barang atau jasa yang tidak diterima oleh
entitas.
o Perlakuan tidak semestinya terhadap aktiva dapat disertai dengan catatan atau
dokumen palsu atau yang menyesatkan dan dapat menyangkut satu atau lebih individu
di antara manajemen, karyawan, atau pihak ketiga.
 5 Prinsip Fraud Risk Management
o Organisasi membentuk dan mengomunikasikan Program FRM yang menunjukkan
ekspektasi dari Dewan Direksi dan Manajemen Senior dan komitmen mereka terhadap
integritas dan nilai etika yang tinggi terkait dengan pengelolaan risiko kecurangan
o Organisasi melakukan penilaian risiko kecurangan yang komprehensif untuk
mengidentifikasi skema dan risiko kecuranganyang spesifik, menilai kemungkinan
terjadinya dan signifikansinya, mengevaluasi kegiatan pencegahan kecurangan yang
telah ada dan mengimplementasikan langkah-langkah untuk memitigasi risiko
kecurangan yang tersisa.
o Organisasi memilih, mengembangkan dan mengimplementasikan strategi pencegahan
dan pendeteksian kecurangan untuk memitigasi risiko kecurangan yang sedang terjadi
atau yang belum terdeteksi pada waktu yang tepat
o Organisasi membentuk proses komunikasi untuk mendapatkan informasi terkait dengan
potensi kecurangan, dan menjalankan pendekatan yang terkoordinasi untuk
pelaksanaan investigasi dan tindakan perbaikan untuk mengatasi kecurangan secara
sesuai dan tepat waktu.
o Organisasi memilih, mengembangkan dan melakukan evaluasi yang berkelanjutan untuk
meyakinkan masing-masing dari 5 Prinsip Fraud Risk Management dilakukan, dan
mengomunikasikan adanya kekurangan dari Program Fraud Risk Management secara
tepat waktu kepada pihak-pihak yang bertanggung jawab untuk melakukan tindakan
korektif, termasuk Manajemen Senior dan Dewan Direksi.
 Framework/KonsepFraud Risk Management
 Kebijakan Anti Kecurangan–Cakupan
MINGGU 14 - HIPAA, GLBA, and Other Compliance Requirements
(Chapter 26)
 Overview
o Health Insurance Portability and Accountability Act (HIPAA). Fokus HIPAA adalah pada
penyedia layanan kesehatan, namun membahas berbagai catatan privasi pribadi yang
mempengaruhi semua perusahaan AS, dan hal itu telah menyebabkan perubahan pada
area seperti keamanan teknologi informasi dan sumber daya manusia (SDM). Setiap
perusahaan yang membawa data asuransi kesehatan karyawan dalam catatan HR-nya
perlu menyadari peraturan HIPAA, dan auditor internal seringkali dapat sangat
membantu manajemen dalam menyoroti potensi kontrol dan pelanggaran HIPAA.
o Gramm-Leach-Bliley Act of 1999 (GLBA). Perundang-undangan ini mewajibkan institusi
keuangan untuk lebih melindungi dan mengaudit data mereka dan untuk berhati-hati
saat membagikan data ini dengan orang lain. Sementara diarahkan ke lembaga
keuangan, GLBA mempengaruhi banyak perusahaan, dan bab ini membahas komponen
utamanya yang mempengaruhi auditor internal.
 HIPAA: Healthcare and Much More (Perundang-undangan HIPAA asli memiliki empat tujuan
utama
o Pastikan portabilitas kesehatan dengan menghilangkan kondisi kesehatan yang sudah
ada sebelumnya. Inilah motivasi asli yang menyebabkan berlalunya HIPAA. Orang-orang
yang didiagnosis dengan beberapa kondisi seringkali tidak dapat memperoleh
pertanggungan asuransi kesehatan baru saat mengganti tempat kerja karena kondisi
yang sudah ada sebelumnya dibagi dengan calon majikan baru, yang tidak ingin
menutupi atau memastikan kondisi tersebut.
 o Kurangi kecurangan dan penyalahgunaan layanan kesehatan. Audiensi kongres yang
mengarah ke undang-undang tersebut menyebutkan contoh dugaan kecurangan dan
pelecehan.
o Terapkan standar untuk informasi kesehatan. Penegakan ini dilindungi oleh aturan
privasi dan keamanan HIPAA yang akan diuraikan dalam bab ini.
o Menjamin keamanan dan privasi informasi kesehatan. Tujuan keseluruhan HIPAA adalah
bahwa informasi perawatan kesehatan adalah masalah pribadi yang tidak boleh
dibagikan secara terbuka kepada orang lain.
 HIPAA: Healthcare and Much More
Aturan HIPAA awalnya diterbitkan dalam bentuk draft. Draf tersebut menghasilkan banyak
komentar, draft revisi dikeluarkan dengan masih memberikan komentar lebih banyak, dan
peraturan terakhir dikeluarkan lebih lambat dari yang direncanakan semula.
a) HIPAA Patient Record Privacy Rules
Peraturan HIPAA dimaksudkan untuk memberikan profesional nonmedis dengan ikhtisar
peraturan baru HIPAA ini:
o Medical records uses and disclosures. Suatu perusahaan yang tunduk pada peraturan
HIPAA harus mengambil langkah-langkah untuk membatasi penggunaan dan
pengungkapan informasi medis pribadi ke "minimum yang diperlukan untuk mencapai
tujuan penggunaan, pengungkapan, atau permintaan yang dimaksudkan" untuk hal-hal
yang tidak terkait dengan perawatan. Kami memulai ikhtisar aturan HIPAA ini dengan
langsung mengutip beberapa kata yang terdapat dalam peraturan ini. Dengan
menggunakan ungkapan-ungkapan seperti "minimum yang diperlukan," undang-undang
tersebut berisi banyak pedoman yang akan tunduk pada praktik khusus perusahaan
yang harus divalidasi melalui keputusan atau litigasi lain dari waktu ke waktu.
o Authorization requirements. Ini adalah bagian dari HIPAA yang banyak pengguna
layanan kesehatan pertama kali temui. Penyedia layanan kesehatan harus memperoleh
persetujuan tertulis untuk mengungkapkan informasi layanan kesehatan mengenai
segala hal kecuali dalam situasi darurat. Seseorang berhak menolak pengungkapan
tersebut, dan penyedia layanan kesehatan harus memiliki persyaratan retensi rekaman
yang kuat untuk melacak semua pengungkapan ini. Ini adalah dokumen, disebutkan
sebelumnya, bahwa individu diminta untuk masuk saat mengunjungi kantor dokter
o Privacy practice communications. Penyedia layanan kesehatan harus menerbitkan
praktik privasi yang harus mereka berikan kepada pengguna layanan kesehatan. Individu
kemudian berhak untuk secara formal meminta pembatasan dalam kebijakan ini, dan
penyedia layanan harus mengakomodasi permintaan yang masuk akal.
o Medical record access and amendment rights. Individu memiliki hak untuk memeriksa
dan menyalin semua atau sebagian dari informasi kesehatan pribadi mereka. Selain itu,
individu memiliki hak untuk meminta amandemen terhadap catatan kesehatan
tersebut. Akhirnya, penyedia layanan kesehatan harus menyimpan catatan semua pihak
lain yang meminta akses ke catatan perawatan pribadi individu untuk jangka waktu
enam bulan.
 o HIPAA privacy administration. Melampaui peraturan akses dan pengungkapan catatan,
HIPAA memiliki seperangkat persyaratan administratif privasi yang berlaku untuk apa
yang disebut "entitas tertutup" - kantor, laboratorium, rumah sakit, dan semua pihak
lainnya yang terkait dengan perawatan kesehatan pribadi. Aturan administrasi privasi ini
meliputi:
 Penyedia harus menunjuk "Pejabat Privasi" yang bertanggung jawab atas
pengembangan dan penerapan kebijakan dan prosedur HIPAA ini.
 Penyedia harus melatih anggota angkatan kerjanya mengenai kebijakan dan
prosedur terkait HIPAA ini dan harus memelihara dokumentasi untuk
menunjukkan bahwa pelatihan telah diberikan.
 Penyedia layanan kesehatan harus memiliki pengamanan administratif, teknis,
dan fisik untuk melindungi privasi informasi kesehatan pribadi.
 Penyedia layanan kesehatan harus menerapkan "sanksi yang sesuai" terhadap
karyawan yang tidak mematuhi kebijakan dan prosedur privasi ini.
 Penyedia harus mengembangkan dan menerapkan kebijakan dan prosedur yang
dirancang untuk mematuhi peraturan HIPAA, dan dokumentasi ini harus
dipelihara dalam bentuk tertulis atau elektronik selama enam tahun.

b) Cryptography, PKI, and HIPAA Security Requirements

c) HIPAA Security Administrative Procedures
 d) Technical Security Services and Mechanisms
Aturan di sini memerlukan kontrol keamanan sistem informasi yang seringkali lebih kuat
daripada yang ditemukan di beberapa perusahaan besar saat ini dan mencakup:
o Kontrol akses. Mekanisme kontrol yang kuat berdasarkan konteks data atau peran /
posisi pengguna yang berwenang harus ditetapkan. Selain itu, proses kontrol harus
selalu ada untuk memungkinkan akses darurat dari operasi pusat data jika diperlukan.
o Kontrol audit. Di sini dan di seluruh aturan HIPAA adalah persyaratan untuk kontrol
audit yang kuat, termasuk hal-hal seperti proses revisi dokumentasi dan jejak audit
tradisional.
o Otentikasi data. Diperlukan kontrol sistem yang kuat atas integritas data. Ini adalah jenis
kontrol aplikasi yang sama yang dibahas dalam Bab 19.
o Otentikasi entitas. Kontrol harus ada sehingga ketika satu workstation mencoba
mengakses yang lain, itu harus diautentikasi. Proses ini mungkin termasuk kata sandi,
panggilan balik telepon, atau bahkan kontrol biometrik. Persyaratan ini melampaui
banyak praktik perusahaan yang ada saat ini di mana informasi sering kali dibagikan
secara bebas melalui catatan email dengan lampiran.
o Komunikasi dan kontrol jaringan. Berbagai macam kontrol disarankan di sini, termasuk
alarm, enkripsi, pelaporan peristiwa, otentikasi pesan, dan lainnya. Perusahaan yang
terkena dampak HIPAA harus menerapkan jaringan yang sangat aman
 Gramm-Leach-Bliley Act Internal Audit Rules
a) GLBA Financial Privacy Rules
Pemberitahuan privasi yang dimandatkan GLBA harus berisi elemen informasi berikut:
o Jenis informasi pribadi nonpublik yang dikumpulkan perusahaan tentang pelanggannya
o Jenis informasi pribadi nonpublik yang akan diungkapkan perusahaan kepada orang lain
tentang pelanggan
o Pihak-pihak yang kepadanya perusahaan mengungkapkan informasi ini, selain di bawah
pengecualian dari larangan kerahasiaan
o Hak pelanggan atau klien untuk "menyisih" dari pengungkapan bersama dengan aturan
sederhana untuk menyisih
 o Kebijakan perusahaan sehubungan dengan berbagi informasi tentang seseorang yang
bukan lagi pelanggan atau klien
o Praktik perusahaan untuk melindungi kerahasiaan dan keamanan informasi pribadi
nonpublik pelanggan atau klien
b) GLBA Safeguards Rule
Auditor internal harus menyadari bagaimana perusahaan yang berbasis di A.S. dapat
menunjukkan kepatuhan dengan aturan upaya perlindungan GLBA melalui lima langkah:
o Analisis risiko lingkungan. Perusahaan harus secara resmi mengidentifikasi risiko internal
dan eksternal terhadap keamanan, kerahasiaan, dan integritas semua informasi pribadi
pelanggan. Pendekatan analisis risiko dibahas dalam Bab 6. Proses ini harus mencakup
risiko kehilangan atau pengungkapan semua sumber informasi pribadi, baik pada sistem
otomatis atau catatan manual.
o Merancang dan menerapkan pengamanan. Pengamanan ini pada dasarnya adalah
prosedur pengendalian internal yang dibahas dalam Bab 3 sebagai bagian dari kerangka
kerja pengendalian internal Komite Organisasi Sponsor (COSO) dan di tempat lain di
seluruh buku ini.
o Pemantauan dan audit. Proses pemantauan asurans audit berkelanjutan, seperti yang
dibahas dalam Bab 29, harus ada. Audit internal dapat memainkan peran pemantauan
dan audit yang penting di sini dengan menjadwalkan tinjauan secara teratur atas
kecukupan rencana keamanan, ditambah dengan uji kepatuhan yang sesuai.
o Program perbaikan konstan. Perusahaan harus memiliki program untuk terus
meningkatkan rencana keamanannya. Program itu harus didokumentasikan dengan baik
untuk menggambarkan kemajuan rencana tersebut di masa mendatang membuktikan
kelemahan yang ditemukan.
o Mengawasi penyedia dan mitra keamanan. Banyak mitra dan perusahaan lain mungkin
memiliki akses ke informasi pribadi yang sama ini atau ke koneksi jaringan sistem di
mana privasi pribadi dapat dilanggar. Kebijakan, kontrol, dan prosedur audit yang
memadai juga perlu diterapkan di sini.
c) GLBA Pretexting Provisions
Berdasarkan Ketentuan Pretexting GLBA, adalah ilegal bagi siapa pun untuk:
 Menggunakan pernyataan atau dokumen palsu, fiktif, atau curang untuk
mendapatkan informasi nasabah dari lembaga keuangan atau langsung dari nasabah
lembaga keuangan.
 Menggunakan dokumen palsu, palsu, hilang, atau dicuri untuk mendapatkan
informasi nasabah dari lembaga keuangan atau langsung dari nasabah lembaga
keuangan.
 Meminta orang lain untuk mendapatkan informasi pelanggan orang lain dengan
menggunakan pernyataan palsu, fiktif, atau curang atau menggunakan dokumen
palsu, fiktif, atau penipuan atau dokumen palsu, palsu, hilang, atau dicuri.

Menurut FTC, bentuk pencurian identitas yang paling umum adalah:

  Penipuan kartu kredit. Akun kartu kredit dibuka atas nama konsumen atau akun
kartu kredit yang ada "diambil alih".
 Penipuan layanan komunikasi. Pencuri identitas membuka telepon, seluler, atau
layanan utilitas lainnya atas nama konsumen.
 Penipuan bank. Pencuri identitas membuka rekening giro atau tabungan atas nama
konsumen dan / atau menulis cek palsu.
 Pinjaman penipuan. Pencuri identitas mendapat pinjaman, seperti pinjaman mobil,
atas nama konsumen.

GLBA Pretexting Provisions (Cont)

MINGGU 15 - BOARD AUDIT COMMITTEE COMMUNICATIONS
(Chapter 23)
 DEFINISI KOMITE AUDIT
o Suatu Komite yang bekerja secara profesional dan independen
o Dibentuk oleh Dewan Komisaris
o Tugasnya adalah membantu dan memperkuat fungsi Dewan Komisaris (atau Dewan
Pengawas) dalam menjalankan fungsi pengawasan
o Fungsi pengawasan (oversight) terdiri atas :
 pengawasan atas pelaporan keuangan,
 manajemen risiko,
 pelaksanaan audit dan
 implementasi dari corporate governance
 DEFINISI OVERSIGHT
o Untuk melaksanakan tugas pengawasan itu Komite Audit melakukan pemantauan atau
monitoring mekanisme checks and balances dalam pengelolaan perusahaan
 KERANGKA DASAR PENGAWASAN KOMITE AUDIT (BASIC OVERSIGHT FRAMEWORK)
o Keberadaan Komite Audit dijustifikasi oleh tuntutan implementasi prinsip GCG,
khususnya untuk memperkuat board accountability di mata shareholders dan
stakeholders yang dituangkan dalam kehandalan laporan keuangan.
o Oleh karena itu, GCG adalah fondasi keberadaan Komite Audit, yang kemudian menjadi
rujukan dan pertimbangan dalam pembentukan organisasi, struktur dan proses kerja
Komite Audit.
o Dalam proses kerja tersebut Komite Audit fokus pada 4 (empat) hal, yaitu implementasi
GCG, manajemen risiko dan internal control, serta proses auditing. Seluruh fokus
oversight Komite Audit ini selanjutnya akan tercermin dari laporan keuangan yang
handal.
o Dalam menjalankan fungsinya, Komite Audit melaporkan aktifitasnya kepada Dewan
Komisaris dan pemegang saham (dalam laporan tahunan Perusahaan).
o Untuk menunjang efektifitas tugasnya, Komite Audit secara berkala melakukan evaluasi
mandiri (self assessment) dan mengikuti pelatihan guna meningkatkan kompetensinya
 Risiko Jika Komite Audit tidak Dibentuk
o Perusahaan dianggap tidak mematuhi peraturan Badan Otoritas, khususnya perusahaan
yang terdaftar di pasar modal, BUMN, Bank serta institusi keuangan yang menghimpun
dana masyarakat
o Ketidakseimbangan kekuasaan karena manajemen memiliki kekuasaan berlebihan, yang
pada akhirnya mengakibatkan kurangnya kepercayaan pihak lain terhadap perusahaan
o Perusahaan dianggap tidak mengimplementasikan GCG
 LEGAL FRAMEWORK
Mandatory – bagi perusahaan publik, BUMN dan Bank Dasar Hukum dan Acuan
o 1.UU No. 40 Tahun 2007 tentang Perseroan Terbatas
o Peraturan OJK No. 55/POJK.04/2015 tentang Pembentukan dan Pedoman Pelaksanaan
Kerja Komite Audit
o Keputusan Direksi Bursa Efek Indonesia : No. Kep-00001/BEI/01-2014
 o Peraturan Menneg BUMN No. PER-12/MBU/2012
o Peraturan Bank Indonesia No. 8/4 dan 8/14 tahun 2006, GCG
o SE BI 15/15/DPNP tgl 29/4/2014 ttg Implementasi GCG bagi Bank Umum
o Pedoman Umum Good Corporate Governance oleh Komite Nasional Kebijakan
Governance tahun 2006
 Pembentukan Komite Audit Piagam Komite Audit
o Secara jelas menetapkan tugas, tanggung jawab dan wewenang Komite Audit,
hubungan Komite dengan Dekom, manajemen dan dengan auditor internal serta
eksternal.
o Piagam Komite juga menjelaskan susunan organisasi, kebijakan penyelenggaraan dan
penyusunan risalah rapat; sistem dan tanggung jawab pelaporan kegiatan; ketentuan
penanganan pengaduan terhadap pelaporan pelanggaran terkait pelaporan keuangan;
tata cara dan prosedur evaluasi kinerja; syarat-syarat peninjauan piagam
o Ditinjau secara berkala, setidaknya setahun sekali dan dirubah sesuai kebutuhan serta
kondisi perusahaan.
o Piagam Komite Audit disiapkan oleh Komite Audit dan disetujui oleh Dewan Komisaris
o Dimuat dalam website perusahaan
o Manfaat piagam bagi Komite Audit :
 Acuan untuk menyiapkan agenda rapat
 Kerangka kerja dan pelaporan kepada Dewan Komisaris
 Acuan untuk mengevaluasi kinerja
 FUNGSI KOMITE AUDIT
o melakukan penelaahan atas informasi keuangan yang akan dikeluarkan Emiten atau
Perusahaan Publik kepada publik dan/atau pihak otoritas antara lain laporan keuangan,
proyeksi, dan laporan lainnya terkait dengan informasi keuangan Emiten atau
Perusahaan Publik;
o melakukan penelaahan atas ketaatan terhadap peraturan perundang-undangan yang
berhubungan dengan kegiatan Emiten atau Perusahaan Publik;
o memberikan pendapat independen dalam hal terjadi perbedaan pendapat antara
manajemen dan Akuntan atas jasa yang diberikannya;
o memberikan rekomendasi kepada Dewan Komisaris mengenai penunjukan Akuntan
yang didasarkan pada independensi, ruang lingkup penugasan, dan imbalan jasa;
o melakukan penelaahan atas pelaksanaan pemeriksaan oleh auditor internal dan
mengawasi pelaksanaan tindak lanjut oleh Direksi atas temuan auditor internal;
o melakukan penelaahan terhadap aktivitas pelaksanaan manajemen risiko yang
dilakukan oleh Direksi, jika Emiten atau Perusahaan Publik tidak memiliki fungsi
pemantau risiko di bawah Dewan Komisaris;
o menelaah pengaduan yang berkaitan dengan proses akuntansi dan pelaporan keuangan
Emiten atau Perusahaan Publik;
o menelaah dan memberikan saran kepada Dewan Komisaris terkait dengan adanya
potensi benturan kepentingan Emiten atau Perusahaan Publik; dan
 o menjaga kerahasiaan dokumen, data dan informasi Emiten atau Perusahaan Publik.
 WEWENANG KOMITE AUDIT
o mengakses dokumen, data, dan informasi Emiten atau Perusahaan Publik tentang
karyawan, dana, aset, dan sumber daya perusahaan yang diperlukan;
o berkomunikasi langsung dengan karyawan, termasuk Direksi dan pihak yang
menjalankan fungsi audit internal, manajemen risiko, dan Akuntan terkait tugas dan
tanggung jawab Komite Audit;
o melibatkan pihak independen di luar anggota Komite Audit yang diperlukan untuk
membantu pelaksanaan tugasnya (jika diperlukan); dan
o melakukan kewenangan lain yang diberikan oleh Dewan Komisaris
 KEDUDUKAN KOMITE AUDIT DALAM STRUKTUR ORGANISASI

 PEMBENTUKAN KOMITE AUDIT

o Kualifikasi anggota Komite Audit :
 Pemikiran yang independen terhadap Manajemen
 Memiliki integritas
 Memiliki waktu dan tenaga
 Memahami bisnis, produk atau layanan perusahaan
 Pengetahuan mengenai risiko dan pengendalian internal
 Kemampuan membaca dan memahami laporan keuangan
 Kemampuan memberikan pendapat yang terbuka dan jujur
 Rasa ingin tahu yang besar dan mampu memberikan judgment yang independen
 Kemampuan memberikan perspektif yang berbeda dan usulan yang konstruktif

o Jumlah dan Komposisi Anggota

  Setidaknya salah satu anggota Komite Audit berlatar belakang pendidikan di
bidang akuntansi dan keuangan
 Selain itu terdiri dari individu-individu dengan :
 pengetahuan tentang industri perusahaan
 latar belakang hukum bisnis
 Pemahaman tentang konsep dan proses audit, baik audit internal
maupun eksternal
 Komite Audit sebaiknya tidak mengandalkan pada kemampuan salah satu
anggotanya saja.
 Komite Audit bertanggung jawab secara kolektif atas kegiatannya
 Badan Otoritas menetapkan Komite Audit sedikitnya terdiri dari tiga orang.
 Berdasarkan praktik terbaik, Komite Audit yang paling efektif terdiri dari tiga
sampai lima orang dan salah seorang mempunyai kapabilitas untuk memahami
Laporan Keuangan
o Peran Ketua Komite
o Memegang peran utama dalam hubungan Komite Audit dengan Dewan
Komisaris, direktur keuangan dan auditor internal serta eksternal.
o Bertanggung jawab untuk :
 memastikan rapat berjalan lancar, pandangan setiap anggota
didengar dan tersedia waktu yang cukup
 merencanakan agenda rapat, disusun bersama-sama dengan
sekretaris atau seluruh anggota Komite
o Indepensi
 Komite perlu mengkritisi judgment Manajemen dan mengambil posisi yang
mungkin berseberangan dengan Manajemen
o Masa Jabatan
 Jangka waktu bervariasi, namun seharusnya ditetapkan berdasarkan kebutuhan
Dewan Komisaris. Perpanjangan masa jabatan diperbolehkan sepanjang
alasannya dikemukakan.
 Pasal 8 POJK 55:
 Anggota KA yang telah menjabat 2 periode, tidak dapat dipilih kembali
(Pasal 8 POJK 55)
 Dua faktor yang dipertimbangkan dalam menentukan jangka waktu :
o Kesinambungan
o Penyegaran
 Untuk menyeimbangkan kedua faktor tersebut, Dewan Komisaris dapat
mempertimbangkan rotasi jangka waktu yang berbeda diantara
anggota-anggota Komite

 MEKANISME HUBUNGAN KERJA

o KOMITE AUDIT DENGAN DEWAN KOMISARIS
 Merupakan hubungan antara organ pemegang otoritas dan tanggung jawab
dengan organ yang dibentuk dan ditunjuk untuk menjalankan sebagian dari
otoritas dan tanggung jawab tersebut
 Komite Audit dibentuk oleh Dewan Komisaris
 Komite Audit menerima pendelegasian wewenang dan tanggung jawab dari
Komisaris
 Komite Audit memberikan laporan secara berkala kepada Dewan Komisaris
 Kinerja Komite Audit dinilai oleh Dewan Komisaris secara berkala
 Berperan sebagai penghubung antara Dewan Komisaris-Eksternal Auditor dan
Kepala Internal Audit
 Memberi masukan profesional dan independen kepada Dewan Komisaris
perihal laporan keuangan dan informasi kuantitatif lainnya serta implementasi
GCG termasuk pengelolaan resiko dan hasil dari proses audit
 Melakukan penugasan khusus yang diberikan Komisaris baik rutin maupun ad
hoc sepanjang terkait dengan fungsinya
o KOMITE AUDIT DENGAN DIREKSI
 Memastikan adanya implementasi corporate governance di perusahaan
 Komite Audit dengan ijin Dewan Komisaris dapat melakukan pertemuan dengan
Direksi secara berkala mengenai isu-isu strategis yang dapat mempengaruhi
kinerja finansial dan non-finansial
 Komite Audit dapat mengundang Direksi dalam pertemuan Komite Audit untuk
mendiskusikan hal-hal strategis terkait dengan keuangan dan keandalan
pengendalian internal
 Komite Audit senantiasa harus menjaga hubungan baik dengan Direksi
 Sebagai mitra dalam menelaah kerja Auditor Internal
 Sebagai mitra dalam menelaah kerja Auditor Eksternal yang ditetapkan dalam
RUPS
 Sebagai mitra dalam memastikan diterapkannya manajemen risiko dan internal
control yang efektif
 Sebagai mitra dalam proses laporan keuangan dan review laporan keuangan itu
sendiri
 Sebagai mitra dalam penerapan GCG
o KOMITE AUDIT DENGAN AUDITOR INTERNAL
 Hubungan kerja yang baik dengan auditor internal dapat membantu Komite
Audit dalam melaksanakan tugasnya
 Auditor Internal dapat menjadi sarana bagi Komite Audit dalam memastikan
apakah pengendalian yang diterapkan oleh Manajemen dapat diandalkan
 Kepala Auditor Internal dapat melapor kepada Komite Audit untuk menjaga
independensi
 Menjembatani hubungan Auditor Internal dengan Dewan Komisaris
  Mengadakan rapat dengan Auditor Internal untuk membahas isu-isu strategis
terkait dengan rencana, pendekatan dan membahas temuan audit
 Memastikan bahwa temuan ditindaklanjuti oleh Direksi
 Komite Audit menilai kinerja Auditor Internal dan terlibat dalam penunjukan
Kepala Auditor Internal
o KOMITE AUDIT DENGAN AUDITOR EKSTERNAL
 Komite Audit memberikan rekomendasi kepada Dewan Komisaris terkait
dengan TOR dan penunjukan Auditor Eksternal dan kepantasan audit fee
 Komite Audit melakukan review terhadap cakupan perencanaan audit Auditor
Eksternal dan memantau pelaksanaannya
 Komite Audit melakukan review tahunan kinerja dan independensi dari Auditor
Eksternal
 Komite Audit mengadakan rapat-rapat khusus dengan Auditor Eksternal pada
jadwal-jadwal yang telah ditetapkan secara regular
 Hubungan kerja dengan Auditor Eksternal, membahas isu-isu strategis terkait
dengan cakupan audit di tahap perencanaan dan memonitor proses audit itu
sendiri
 Menjadi penghubung antara manajemen, Auditor Internal dengan Auditor
Eksternal
 Menjadi fasilitator yang dapat membantu Auditor Eksternal apabila menemui
kesulitan-kesulitan dalam melakukan audit
o KOMITE AUDIT DENGAN KOMITE-KOMITE DEWAN KOMISARIS LAINNYA
 Komite Audit atas permintaan Dewan Komisaris berkoordinasi dengan Komite
lain dibawah Dewan Komisaris dalam penerapan GCG