The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 57

Bab 5
Sistem Pengendalian Internal

5.1. Pengendalian Internal (Internal Control)

Pengendalian internal merupakan suatu proses yang dilaksanakan oleh Direksi dan Komisaris,
manajemen dan Sumber Daya Manusia (SDM) lainnya dalam suatu entitas, dirancang untuk
memberikan jaminan yang wajar berkenaan dengan efektivitas dan efisiensi operasi, keandalan
pelaporan keuangan dan ketaatan terhadap hukum dan peraturan yang berlaku. Pada tahun
1992, COSO (Committee Of Sponsoring Organizations of Treadway Commission) mempublikasikan
Kerangka Pengendalian Internal Terintegrasi atau yang lebih dikenal dengan Kerangka COSO.
Konsep pengendalian internal COSO tersebut mengalami perkembangan dari waktu ke waktu.
Oleh karena itu, diperlukan pemahaman atas konsep pengendalian internal yang menjadi latar
belakang Internal control Versi COSO tersebut. Selain itu, dalam implementasi pengendalian
internal maupun evaluasinya perlu mengacu dan mengadopsi konsep tersebut.

5.2. COSO Framework – Integrated Approach (2013 version)

Pada tanggal 14 Mei 2013, COSO mempublikasikan Kerangka Pengendalian Internal Terintegrasi yang
telah diperbarui (Kerangka 2013) atau Internal Control-Integrated Framework: 2013. Dengan tetap
menggunakan pendekatan prinsipil, kerangka terbaru ini menyediakan tuntunan yang lebih terperinci
dalam mengilustrasikan dan menjelaskan konsep-konsep yang ada dengan tujuan untuk membantu
organisasi beradaptasi dengan lingkungan bisnis yang semakin kompleks dan terus berubah dengan
cepat.
Tujuan COSO melakukan pembaharuan terhadap kerangka dasar sebelumnya adalah agar bisa
merefleksikan perubahan-perubahan yang terjadi di lingkungan bisnis, lebih memformalkan secara
eksplisit prinsip-prinsip yang terkandung dalam kerangka dasar yang mewadahi perkembangan
pengendalian internal yang efektif dan efektifitasnya, dan juga untuk memudahkan penggunaan dalam
penerapannya.
58 Muh. Arief Effendi

Gambar 2 - COSO Cube (2013 Edition)

(Sumber : COSO – Internal Control Integrated Framework, May 2013)

Berdasarkan COSO versi terbaru (2013) tersebut, terdapat 5 (lima) komponen internal control yang
terdiri dari 17 prinsip, seperti terlihat pada tabel berikut :

Tabel 1 – Five Components & 17 Principles of COSO - Internal Control

Integrated Framework (2013 version)

No Components
1 Control Environment
2 Risk Assesment
3 Control Activities
4 Information &
Communication
5 Monitoring Activities
Principles
1. Demonstrates commitment to integrity and ethical values
2. Exercises oversight responsibility
3. Establishes structure, authority and responsibility
4. Demonstrates commitment to competence
5. Enforces accountability
6. Specifies suitable objectives
7. Identifies and analyzes risk
8. Assesses fraud risk
9. Identifies and analyzes significant change
10. Selects and develops control activities
11. Selects and develops general controls over technology
12. Deploys through policies and procedures
13. Uses relevant information
14. Communicates internally
15. Communicates externally
16. Conducts ongoing and/or separate evaluations
17. Evaluates and communicates deficiencies

Sumber : COSO - Internal Control Integrated Framework (2013 version), May 2013.

Penjelasan secara rinci atas 5 (Lima) komponen dan 17 prinsip pengendalian intern menurut kerangka
(framework) COSO versi 2013, sebagai berikut :
The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 59

5.2.1. Lingkungan pengendalian (Control Environment)

Lingkungan pengendalian mencakup faktor-faktor yang menentukan suasana organisasi, yang
mempengaruhi kesadaran pengendalian orang di dalam organisasi tersebut. Digunakan untuk
membangun struktur aktivitas bisnis dan pengendaliannya, menetapkan tujuan, menaksir risiko,
sistem informasi dan komunikasi serta aktivitas pemantauan. Lingkungan pengendalian juga
dipengaruhi oleh sejarah dan kultur entitas.
Faktor lingkungan pengendalian antara lain :

5.2.1.1. Komitmen terhadap integritas dan nilai etika;

Organisasi / manajemen harus berkomitmen untuk menjunjung tinggi integritas dan nilai etika.
Hal yang menjadi fokus perhatian :
a. Keteladanan dari pimpinan puncak (tone at the top).
b. Terdapat standar etika (standard of conduct).
c. Standar etika dievaluasi secara periodik.
d. Apakah terdapat perbedaan (deviasi) antara aktual dengan standar.
Manajemen harus menyampaikan pesan bahwa integritas dan nilai etika tidak dapat dikompromikan,
dan karyawan harus menerima dan memahami pesan tersebut. Manajemen secara berkesinambungan
menjelaskan dan mempraktekan melalui kata dan tindakan suatu komitmen terhadap standar etika
yang tinggi.
Hal yang perlu diperhatikan dalam hal integritas dan nilai etika :
a. Mengadakan dan mengimplementasikan aturan perilaku (code of conduct) dan kebijakan lain
sehubungan dengan praktek bisnis (business practices) yang berlaku, benturan kepentingan
(conflict of interest) atau standar etika (standard of ethic) dan moral yang diharapkan;
b. Memiliki nilai keteladanan dari atas (tone at the top), termasuk secara ekplisit adanya pedoman
moral yang dikomunikasikan ke seluruh organisasi;
c. Manajemen harus menjunjung tinggi nilai etika (ethic value) dalam berhubungan dengan
karyawan, pemasok, pelanggan, investor, kreditor, pesaing, auditor dan sebagainya;
d. Memperbaiki tindakan yang menyimpang dari kebijakan dan prosedur atau melanggar kode
etik. Perbaikan harus dikomunikasikan ke seluruh organisasi;
e. Manajemen harus menyikapi segala bentuk intervensi dan pelanggaran control;
f. Menekankan untuk memenuhi target kinerja jangka pendek yang tidak realitis dan pencapaian
target mempengaruhi insentif.
5.2.1.2. Tanggung jawab Oversight (Komisaris, Dewan Direksi dan Komite Audit);
Komisaris dan Dewan direksi (Board of Director) serta komite audit bertanggungjawab secara aktif dan
efektif untuk menyelenggarakan fungsi pengawasan yang penting untuk menjamin efektivitas
pengendalian internal.
Hal yang perlu diperhatikan :
60 Muh. Arief Effendi

a. Menjaga Independensi komisaris, direksi dan komite audit dalam melakukan penilaian terhadap
manajemen;
b. Memberdayakan Komite Audit apabila diperlukan untuk hal-hal khusus;
c. Menentukan dan menetapkan waktu dan frekuensi rapat dengan CEO, Auditor Internal dan
Auditor Eksternal;
d. Melakukan pengawasan atas kompensasi top manajemen dan Kepala audit internal dan
penunjukan dan pemberhentian individu tersebut;
e. Berperan dalam menetapkan kelayakan ―Tone at the Top‖;
f. Memberikan respon baik dari komisaris dan direksi serta komite dalam mengambil tindakan yang
diperlukan terhadap temuan termasuk melakukan investigasi khusus apabila diperlukan.
5.2.1.3. Struktur Organisasi, Penetapan Wewenang dan Tanggung jawab
Struktur organisasi sebaiknya jangan terlalu sederhana sehingga tidak dapat memantau aktivitas entitas
perusahaan , namun jangan terlalu kompleks karena dapat menghambat arus informasi. Disamping itu
Direksi dan manajemen senior lainnya harus benar-benar memahami tanggung jawab
pengendaliannya dan memiliki pengalaman yang diperlukan serta tingkat pengetahuan yang memadai
sesuai dengan posisinya. Pemberian tanggung jawab, pelimpahan wewenang dan penyesuaian
kebijakan terkait akan memberikan dasar akuntabilitas dan pengendalian serta membentuk peran
setiap individu.
Hal yang perlu diperhatikan :
a. Memiliki kesesuaian struktur organisasi entitas dan kemampuannya untuk menyediakan arus
informasi untuk mengelola aktivitasnya;
b. Memberikan kejelasan dalam menjabarkan definisi tanggung jawab manajer kunci dan
pemahamannya terhadap tanggung jawabnya;
c. Memiliki kecukupan pengetahuan dan pengalaman bagi manajer kunci sehubungan dengan
tanggung jawabnya;
d. Memiliki hubungan pelaporan yang memadai;
e. Melakukan dan menilai modifikasi struktur organisasi bilamana kondisi berubah;
f. Menetapkan tanggung jawab dan delegasi wewenang(authority) terkait dengan tujuan dan sasaran
organisasi, fungsi operasi dan peraturan, termasuk tanggung jawab untuk sistem informasi dan
otorisasi perubahan;
g. Memiliki kelayakan standar dan prosedur pengendalian yang saling terkait termasuk uraian
jabatan (job description);
h. Memiliki pendelegasian wewenang (otorisasi) yang memadai sehubungan dengan pemberian
tanggung jawab.
5.2.1.4. Komitmen terhadap kompentensi;
Manajemen harus menjelaskan level kompetensi yang diperlukan untuk pekerjaan tertentu dan
menjabarkan level kompetensi yang diinginkan ke dalam pengetahuan (knowledge) dan keahlian (skill)
yang diperlukan
The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 61

Hal yang perlu diperhatikan :

a. Menerapkan formal atau informal job description atau cara lain yang perlu diterapkan dalam
menjalankan tugas untuk pekerjaan tertentu;
b. Melakukan analisa pengetahuan (knowledge) dan keahlian (skill) yang diperlukan untuk melakukan
pekerjaan secara cukup profesional.
5.2.1.5. Akuntabilitas individu dalam pengendalian intern yang menjadi tangungjawabnya untuk
mencapai tujuan
Organisasi sangat menghargai akuntabilitas individu terhadap internal control yang menjadi
tanggungjawabnya untuk menjamin rencana entitas dapat dijalankan sehingga tujuan perusahaan
dapat dicapai.
Hal yang perlu diperhatikan :
a. Mengevaluasi dan menilai kebijakan dan prosedur terkait internal control;
b. Menilai seberapa jauh karyawan secara individu menyadari tanggung jawab yang diembannya dan
harapan manajemen kepadanya;
c. Menentukan tindakan perbaikan yang diambil untuk menindaklanjuti penyimpangan dari
kebijakan dan prosedur yang ada;

5.2.2. Penilaian Risiko (Risk Assesment)

Penilaian risiko (risk assesment) merupakan indentifikasi dan analisa risiko yang relevan dengan
pencapaian tujuan, yang menjadi basis untuk menentukan bagaimana risiko tersebut dikelola, dimana
sebelum penilaian risiko harus ada tujuan yang hendak dicapai, yang terkait satu dengan yang lainnya
di berbagai jenjang organisasi, dan secara internal konsisten.
Faktor dalam penilaian risiko antara lain :
a. Tujuan atau sasaran yang ditetapkan;
b. Indentifikasi dan analisa risiko;
c. Penilaian terhadap risiko kecurangan (fraud risk);
d. Identifikasi dan analisa terhadap perubahan yang signifikan.

5.2.3. Aktivitas Pengendalian (Control Activities)

Aktivitas pengendalian merupakan kebijakan dan prosedur yang membantu meyakinkan bahwa
perintah dan petunjuk manajemen dilaksanakan, serta tindakan yang dilaksanakan tertuju pada risiko
untuk mencapai tujuan entitas. Aktivitas pengendalian harus dilakukan secara menyeluruh pada
semua jenjang dalam semua fungsi dan eancakup kisaran berbagai macam aktivitas.
Faktor Aktivitas Pengendalian antara lain:
a. Pemilihan dan pengembangan aktivitas pengendalian.
b. Pelaksanaan Pengendalian Umum atas teknologi (Sistem Informasi);
c. Penyusunan kebijakan dan prosedur;
Hal yang perlu diperhatikan :
62 Muh. Arief Effendi

a. Memiliki prosedur dan kebijakan yang tepat yang diperlukan untuk menjalankan seluruh aktivitas
perusahaan;
b. Mengidentifikasikan penerapan aktifitas pengendalian secara tepat.
c. Menjalankan pengendalian umum atas teknologi (sistem informasi) di perusahaan.

5.2.4. Informasi & Komunikasi (Information & Communication)

5.2.4.1. Informasi (information)
Informasi penting harus didentifikasi, ditangkap dan dikomunikasikan dalam suatu bentuk dan
kerangka waktu untuk memungkinkan sumber daya manusia melaksanakan tanggung jawabnya.
Informasi bisa berasal dari sumber data internal maupun sumber-sumber eksternal.
Hal yang perlu diperhatikan :
a. Mencari informasi ekternal dan internal serta menyediaan laporan yang relevan yang diperlukan
bagi manajemen tentang kinerja entitas dibandingkan dengan tujuan yang telah ditetapkan;
b. Menyediakan informasi kepada orang yang tepat, cukup rinci, dan tepat waktu untuk
memberdayakan mereka dalam melaksanakan tanggung jawab secara efektif dan efisien;

5.2.4.2. Komunikasi (communication)

Komunikasi yang efektif juga harus terjadi dalam pengertian yang lebih luas, mengalir ke bawah,
melintas dan naik ke atas dalam organisasi. Seluruh SDM harus menerima pesan yang jelas dari
manajemen puncak yang mengendalikan pelaksanakaan tanggung jawab secara seius. SDM harus
memahami peranannya dalam sistem pengendalian intern, sebaik pemahaman atas kaitan aktivitas
individu dengan pekerjaan lainnya. SDM juga harus mempunyai sarana untuk mengkomunikasikan
informasi penting kedalam (internal) serta diperlukan adanya komunikasi yang efektif dengan pihak
luar (eksternal) misalnya pelanggan, pemasok, pembuat peraturan, dan pemegang saham.
Hal yang perlu diperhatikan antara lain :
a. Membuat saluran komunikasi yang efektif bagi orang untuk melaporkan ketidakwajaran yang
diduga terjadi, termasuk adanya kecurangan (fraud);
b. Memiliki komunikasi lintas fungsi yang sesuai dalam organisasi dan kelengkapan serta ketepatan
waktu informasi dan kelayakan informasi untuk memberdayakan karyawan secara efektif dalam
menjalankan tanggung jawab mereka;
c. Memiliki keterbukaan (transparency) dan keefektivan saluran komunikasi dari internal maupun
eksternal.
d. Melakukan tindak lanjut (follow up) yang tepat waktu oleh manajemen sebagai hasil komunikasi
yang diterima dari pelanggan (customer), pemasok / rekanan (vendor), badan pengatur (regulator),
atau pihak luar yang lain termasuk informasi tentang perubahan kebutuhan customer;

5.2.5. Pemantauan (Monitoring)

Sistem pengendalian internal perlu dipantau karena merupakan suatu proses penilaian kualitas kinerja
sistem sepanjang waktu. Hal itu dapat dipenuhi melalui aktivitas, antara lain:
The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 63

5.2.5.1. Pemantauan berjalan dan terpisah (on-going monitoring& separate evaluation )

Pemantauan berjalan diterapkan pada kegiatan operasi sehari-hari, yang berjalan berulang, termasuk
kegiatan pengawasan (supervisory activity) serta tindakan petugas lain yang dapat menguji kualitas
kinerja sistem pengawasan internal.
Hal yang harus diperhatikan :
a. Mensyaratkan setiap kegiatan personel didukung oleh dokumen tertulis dalam sistem
pengendalian internal;
b. Menguji keakuratan dan reliability information interval dengan pemanfaatan data dari pihak luar;
c. Memberi tanggapan terhadap rekomendasi auditor intern dan ekstern tentang cara untuk
memperkuat pengendalian internal;
d. Mengevaluasi pelatihan, seminar, rapat perencanaan, dan rapat lain yang memberikan umpan balik
kepada manajemen tentang apakah pengendalian intern beroperasi secara efektif;
e. Membuat laporan personel secara periodik untuk menyatakan bahwa mereka memahami dan
mematuhi kode etik entitas dan secra teratur melaksanakan aktivitas pengendalian yang kritis;
f. Mengefektifitkan aktivitas audit internal (Satuan Pengawasan Internal).
Evaluasi terpisah ini merupakan evaluasi yang dilakukan secara langsung terhadap efektivitas
pengendalian internal, hal ini dilakukan untuk mengetahui apakah pemantauan berjalan masih efektif.
Hal yang harus diperhatikan :
a. Menentukan ruang lingkup dan frekuensi evaluasi terpisah atas sistem pengendalian intenal;
b. Menentukan proses evaluasi yang tepat;
c. Menentukan metodologi untuk mengevaluasi sistem secara logis dan tepat;
d. Menentukan kecukupan dokumentasi

5.2.5.2. Evaluasi dan Komunikasi Penyimpangan

Adanya penyimpangan (deficiencies) perlu dilakukan evaluasi dan dikomunikasikan kepada yang
berhak serta berwenang untuk menidaklanjutinya.

5.3. Keterbatasan Pengendalian Internal

Terdapat beberapa keterbatasan (limitation) dari pengendalian internal, yaitu :
 Kesalahan dalam keputusan (judgment), misalnya karena kurang informasi, kendala waktu, tekanan
dan lain-lain.
 Breakdown (macet karena salah memahami instruksi dan prosedur serta lalai).
 Terdapat kolusi (Collusion), misalnya kerja sama antar karyawan atau antara karyawan dengan
pihak luar.
 Manajemen melanggar pengendalian yang dibuatnya sendiri (Management override).
 Pengendalian ditetapkan secara berlebihan sehingga biaya pembuatan pengendalian lebih besar
dari manfaatnya (Cost versus benefits).
64 Muh. Arief Effendi

5.4. Penyebab Kegagalan dalam Implementasi Pengendalian

Impelementasi pengendalian internal seringkali mengalami kegagalan, antara lain disebabkan :
 Adanya pengendalian internal tidak dihiraukan.
 Terdapat kejenuhan atau kebosanan.
 Pengendalian internal yang dijalankan terlalu kompleks atau rumit.
 Terdapat komunikasi internal yang buruk.
 Terlalu banyak/sering diubah atau dimodifikasi.

 Terdapat penolakan secara frontal.

5.5. Pelaporan Efektivitas Pengendalian Internal

Adanya kelemahan pengendalian internal harus dilaporkan keatas dan untuk masalah tertentu
dilaporkan kepada senior manajemen, direksi, komisaris dan komite audit. Internal Audit Unit (Satuan
Pengawasan Internal) memiliki tugas :
a. Melaporkan tingkat efektivitas disetiap level manajemen dan untuk masalah yang dinilai
mengandung signifikan deficiensies serta material weakness, harus dilaporkan ke direksi dan
tembusannya kepada komite audit;
b. Menyusun mekanisme untuk mengungkapkan dan melaporkan kelemahan pengendalian intern
yang diidentifikasikan;
c. Menyusun SOP pelaporan, yang menjamin penyampaian laporan kepada pejabat yang
bertanggung jawab atas efektivitas dan kepada atasan langsungnya, serta kepada Direksi dan
Komite Audit untuk hal yang khusus;
d. Menyusun mekanisme dan SOP tindak lanjut untuk meyakini :
1) Penyelesaian saran perbaikan / koreksi;
2) Penelitian atas penyebab utama kelemahan;
3) Perbaikan atas penyebab utama secara komprehensif.
Laporan efektivitas pengendalian internal, antara lain harus memuat :
1. Sasaran pengendalian intern yang dituju, seperti keandalan pelaporan keuangan(realibility of
financial reporting);
2. Pernyataan tentang keterbatasan sistem pengendalian internal;
3. Pernyataan tentang adanya mekanisme sistem untuk memantau dan merespon kekurangannya
dalam pengendalian yang teridentifikasi;
4. Pedoman dalam pelaporan pengendalian, yaitu kriteria yang digunakan sebagai basis dalam
mengukur efektivitas sistem pengendalian internal;
a. Kesimpulan tentang efektivitas sistem pengendalian internal, dengan mencantumkan
penjelasan, bila ada, tentang kelemahan material yang mencegah dikeluarkannya pernyataan
tentang efektivitas sistem pengendalian internal;
b. Tanggal dan periode diterbitkannya kesimpulan;
The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 65

c. Nama dan tanda tangan pembuat laporan;

5.6.Sistem Pengendalian Internal

Sistem pengendalian internal merupakan salah satu perwujudan dari GCG, yang seharusnya dapat
diimplementasikan secara konsisten di perusahaan. Tidak berjalannya fungsi dan proses pengendalian
internal dalam suatu perusahaan merupakan salah satu penyebab timbulnya berbagai macam tindak
kecurangan (fraud) di lingkungan perusahaan. Oleh karena itu sistem pengendalian internal memegang
peranan yang cukup penting dalam menjaga keamanan harta (asset) perusahaan dari tindak pencurian
(theft) dan penyalahgunaan wewenang serta Korupsi Kolusi dan Nepotisme (KKN).

5.6.1. Sistem Pengendalian Internal di BUMN

Berdasarkan Peraturan Menteri Negara BUMN No. PER-01/MBU/2011 tanggal 1 Agustus 2011
tentang penerapan tata Kelola Perusahaan yang Baik (Good Corporate Governance) pada BUMN, pada
Bagian Ketujuh, disebutkan tentang Sistem Pengendalian Intern (Internal Control System), sebagai
berikut :
 Direksi harus menetapkan suatu sistem pengendalian intern yang efektif untuk
mengamankan investasi dan aset perusahaan. (Pasal 26, ayat 1).
 Sistem pengendalian intern mencakup hal-hal sebagai berikut (Pasal 26 ayat 2) :
a. Lingkungan pengendalian intern dalam perusahaan yang dilaksanakan dengan disiplin
dan terstruktur, yang terdiri dari :
1) integritas, nilai etika dan kompetensi karyawan;
2) filosofi dan gaya manajemen;
3) cara yang ditempuh manajemen dalam melaksanakan kewenangan dan tanggung
jawabnya;
4) pengorganisasian dan pengembangan sumber daya manusia; dan
5) perhatian dan arahan yang dilakukan oleh Direksi.
b. Pengkajian terhadap pengelolaan risiko usaha (risk assessment), yaitu suatu proses untuk
mengidentifikasi, menganalisis, menilai pengelolaan risiko yang relevan.
c. Aktivitas pengendalian, yaitu tindakan-tindakan yang dilakukan dalam suatu proses
pengendalian terhadap kegiatan perusahaan pada setiap tingkat dan unit dalam struktur
organisasi BUMN, antara lain mengenai kewenangan, otorisasi, verifikasi, rekonsiliasi,
penilaian atas prestasi kerja, pembagian tugas, dan keamanan terhadap aset perusahaan.
d. Sistem informasi dan komunikasi, yaitu suatu proses penyajian laporan mengenai
kegiatan operasional, finansial, serta ketaatan dan kepatuhan terhadap ketentuan
peraturan perundang-undangan oleh BUMN.
e. Monitoring, yaitu proses penilaian terhadap kualitas sistem pengendalian intern,
termasuk fungsi internal audit pada setiap tingkat dan unit dalam struktur organisasi
BUMN, sehingga dapat dilaksanakan secara optimal.
66 Muh. Arief Effendi

 Direksi menyusun ketentuan yang mengatur mekanisme pelaporan atas dugaan

penyimpangan pada BUMN yang bersangkutan (Pasal 27).

5.6.2. Sistem Pengendalian Internal di Perusahaan Publik

Pada praktik bisnis yang baik (best business practice) di dunia internasional telah diatur regulasi bagi
perusahaan yang go public (listed) di pasar modal untuk menerapkan kerangka sistem pengendalian
internal (internal control system framework), mengevaluasi dan melaporkan pengendalian internal secara
tersendiri oleh Chief Executive Officer (CEO). Hal tersebut bertujuan untuk meningkatkan efektivitas
pengendalian internal, transparansi dan akuntabilitas perusahaan kepada publik. Perusahaan yang
telah go public di Indonesia pada saat ini belum banyak yang menyadari arti pentingnya sistem
pengendalian internal bagi peningkatan kinerja perusahaan. Hal ini ditunjukkan dengan adanya
kelemahan sistem pengendalian internal, terutama di perbankan , sehingga beberapa waktu yang lalu
banyak bank-bank yang terpaksa dilikuidasi atau dibekukan usahanya.

5.7. Internal Audit (Satuan Pengawasan Internal)

5.7.1. Paradigma Baru Internal Auditing
Definisi dari internal auditing menurut The Institute of Internal Auditor (2001) adalah suatu aktivitas
independen dalam menetapkan tujuan dan merancang aktivitas konsultasi (consulting activity) yang
bernilai tambah (value added) dan meningkatkan operasi perusahaan. Internal auditing membantu
organisasi mencapai tujuan dengan cara pendekatan yang terarah dan sistematis dalam menilai dan
mengevaluasi keefektivan manajemen risiko (risk management) melalui pengendalian (control) dan
proses tata kelola yang baik (governance processes).
Peran internal auditor sebagai watchdog telah berlangsung lama sekitar tahun 1940-an, sedangkan peran
sebagai konsultan baru muncul sekitar tahun 1970-an. Adapun peran internal auditor sebagai
katalisator (catalist )baru berkembang sekitar tahun 1990-an. Perbedaan pokok ketiga peran internal
auditor tersebut sebagai berikut :
a. Peran watchdog meliputi aktivitas inspeksi, observasi, perhitungan, cek & ricek yang bertujuan
untuk memastikan ketaatan / kepatuhan terhadap ketentuan, peraturan atau kebijakan yang telah
ditetapkan. Audit yang dilakukan adalah audit kepatuhan (compliance audit) dan apabila terdapat
penyimpangan dapat dilakukan koreksi terhadap sistem pengendalian manajemen. Peran watchdog
biasanya menghasilkan saran / rekomendasi yang mempunyai impact jangka pendek, misalnya
perbaikan sistem & prosedur atau internal control.
b. Peran internal auditor sebagai konsultan diharapkan dapat memberikan manfaat berupa nasehat
(advice) dalam pengelolaan sumber daya (resources) organisasi sehingga dapat membantu tugas para
manajer operasional. Audit yang dilakukan adalah audit operasional (operational audit) atau audit
kinerja (performance audit), yaitu meyakinkan bahwa organisasi telah memanfaatkan sumber daya
organisasi secara ekonomis, efisien dan efektif (3E) sehingga dapat dinilai apakah manajemen telah
menjalankan aktivitas organisasi yang mengarah pada tujuannya. Rekomendasi yang dibuat oleh
auditor biasanya bersifat jangka menengah.
c. Peran internal auditor sebagai katalisator (catalyst) berkaitan dengan quality assurance, sehingga
internal auditor diharapkan dapat membimbing manajemen dalam mengenali risiko-risiko yang
The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 67

mengancam pencapaian tujuan organisasi. Quality assurance bertujuan untuk meyakinkan bahwa
proses bisnis yang dijalankan telah menghasilkan produk / jasa yang dapat memenuhi kebutuhan
pelanggan (customer). Dalam peran katalisator, internal auditor bertindak sebagai fasilitator dan
agent of change. Impact dari peran katalisator bersifat jangka panjang, karena fokus catalist adalah
nilai jangka panjang (longterm values) dari organisasi, terutama berkaitan dengan tujuan organisasi
yang dapat memenuhi kepuasan pelanggan (customer satisfaction) dan pemegang saham (stake
holder).
Perkembangan internal auditing saat ini cukup pesat dan internal auditor telah diakui keberadaannya
sebagai bagian dari organisasi perusahaan (corporate governance) yang dapat membantu manajemen
dalam meningkatkan kinerja perusahaan, terutama dari aspek pengendalian. Pada abad 21 ini internal
auditor lebih berorientasi untuk memberikan kepuasan kepada jajaran manajemen sebagai pelanggan
(customer satisfaction). Internal auditor tidak dapat lagi hanya berperan sebagai watchdog, namun harus
dapat berperan sebagai mitra bisnis bagi manajemen.

5.7.2. Internal Audit (Pengawasan Intern) pada BUMN

Berdasarkan Peraturan Menteri Negara BUMN No. PER-01/MBU/2011 tanggal 1 Agustus 2011
tentang penerapan tata Kelola Perusahaan yang Baik (Good Corporate Governance) pada BUMN, Bagian
Kedelapan, Pengawasan Intern, Pasal 28 disebutkan bahwa :
 Direksi wajib menyelenggarakan pengawasan intern.
 Pengawasan intern dilakukan, dengan membentuk Satuan Pengawasan Intern; dan membuat
Piagam Pengawasan Intern.
 Satuan Pengawasan Intern dipimpin oleh seorang kepala yang diangkat dan diberhentikan oleh
Direktur Utama berdasarkan mekanisme internal perusahaan dengan persetujuan Dewan
Komisaris/Dewan Pengawas.
 Fungsi pengawasan intern, adalah:
a. Evaluasi atas efektifitas pelaksanaan pengendalian intern, manajemen risiko, dan proses
tata kelola perusahaan, sesuai dengan peraturan perundang-undangan dan kebijakan
perusahaan;
b. Pemeriksaan dan penilaian atas efisiensi dan efektifitas di bidang keuangan, operasional,
sumber daya manusia, teknologi informasi, dan kegiatan lainnya;
 Direksi wajib menyampaikan laporan pelaksanaan fungsi pengawasan intern secara periodik
kepada Dewan Komisaris/Dewan Pengawas.
 Direksi wajib menjaga dan mengevaluasi kualitas fungsi pengawasan intern di perusahaan.

5.7.3. Internal Audit di Perusahaan Publik

Berdasarkan Keputusan Badan Pengawas Pasar Modal –Lembaga Keuangan (Bapepam-LK) melalui
Peraturan Nomor IX.1.7 no Kep-496/BL/2008 tanggal 28 Nopember 2008 tentang Pembentukan dan
Pedoman Penyusunan Piagam Unit Internal Audit, antara lain disebutkan bahwa :
1. Dalam peraturan ini yang dimaksud dengan:
68 Muh. Arief Effendi

a. Audit Internal adalah suatu kegiatan pemberian keyakinan (assurance) dan konsultasi
yang bersifat independen dan obyektif, dengan tujuan untuk meningkatkan nilai dan
memperbaiki operasional perusahaan, melalui pendekatan yang sistematis, dengan cara
mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses
tata kelola perusahaan.
b. Unit Audit Internal adalah unit kerja dalam Emiten atau Perusahaan Publik yang
menjalankan fungsi Audit Internal. Penggunaan nama atau istilah untuk Unit Audit
Internal tersebut dapat ditetapkan oleh masing-masing Emiten atau Perusahaan Publik.
2. Emiten atau Perusahaan Publik wajib memiliki Unit Audit Internal.
3. Jumlah auditor internal dalam Unit Audit Internal sebagaimana dimaksud dalam angka 2
disesuaikan dengan besaran dan tingkat kompleksitas kegiatan usaha Emiten atau
Perusahaan Publik dan paling kurang terdiri dari satu orang auditor internal. Dalam hal Unit
Audit Internal terdiri dari satu orang auditor internal, maka auditor internal tersebut
bertindak pula sebagai kepala Unit Audit Internal.
4. Emiten atau Perusahaan Publik wajib memiliki piagam Audit Internal (internal audit charter),
yang paling kurang meliputi:
a. struktur dan kedudukan Unit Audit Internal;
b. tugas dan tanggung jawab Unit Audit Internal;
c. wewenang Unit Audit Internal;
d. kode etik Unit Audit Internal yang mengacu pada kode etik yang ditetapkan oleh asosiasi
Audit Internal yang ada di Indonesia atau kode etik Audit Internal yang lazim berlaku
secara internasional;
e. persyaratan auditor yang duduk dalam Unit Audit Internal;
f. pertanggungjawaban Unit Audit Internal; dan
g. larangan perangkapan tugas dan jabatan auditor dan pelaksana yang duduk dalam Unit
Audit Internal dari pelaksanaan kegiatan operasional perusahaan baik di Emiten atau
Perusahaan Publik maupun anak perusahaannya.
5. Piagam Unit Audit Internal ditetapkan oleh direksi setelah mendapat persetujuan dewan
komisaris.
6. Struktur dan kedudukan Unit Audit Internal sebagaimana dimaksud dalam angka 4 huruf a
adalah sebagai berikut:
a. Unit Audit Internal dipimpin oleh seorang kepala Unit Audit Internal.
b. Kepala Unit Audit Internal diangkat dan diberhentikan oleh direktur utama atas
persetujuan dewan komisaris.
c. Direktur utama dapat memberhentikan kepala Unit Audit Internal, setelah mendapat
persetujuan dewan komisaris, jika kepala Unit Audit Internal tidak memenuhi
persyaratan sebagai auditor Unit Audit Internal sebagaimana diatur dalam peraturan ini
dan atau gagal atau tidak cakap menjalankan tugas.
The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 69

d. Kepala Unit Audit Internal bertanggung jawab kepada direktur utama.

e. Auditor yang duduk dalam Unit Audit Internal bertanggung jawab secara langsung
kepada kepala Unit Audit Internal.
7. Persyaratan auditor internal yang duduk dalam Unit Audit Internal sebagaimana dimaksud
dalam angka 4 huruf e paling kurang meliputi:
a. memiliki integritas dan perilaku yang profesional, independen, jujur, dan obyektif dalam
pelaksanaan tugasnya;
b. memiliki pengetahuan dan pengalaman mengenai teknis audit dan disiplin ilmu lain yang
relevan dengan bidang tugasnya;
c. memiliki pengetahuan tentang peraturan perundang-undangan di bidang pasar modal
dan peraturan perundang-undangan terkait lainnya;
d. memiliki kecakapan untuk berinteraksi dan berkomunikasi baik lisan maupun tertulis
secara efektif;
e. wajib mematuhi standar profesi yang dikeluarkan oleh asosiasi Audit Internal;
f. wajib mematuhi kode etik Audit Internal;
g. wajib menjaga kerahasiaan informasi dan/atau data perusahaan terkait dengan
pelaksanaan tugas dan tanggung jawab Audit Internal kecuali diwajibkan berdasarkan
peraturan perundang-undangan atau penetapan/putusan pengadilan;
h. memahami prinsip-prinsip tata kelola perusahaan yang baik dan manajemen risiko; dan
i. bersedia meningkatkan pengetahuan, keahlian dan kemampuan profesionalismenya
secara terus-menerus.
8. Tugas dan tanggung jawab Unit Audit Internal sebagaimana dimaksud dalam angka 4 huruf
b paling kurang meliputi:
a. menyusun dan melaksanakan rencana Audit Internal tahunan;
b. menguji dan mengevaluasi pelaksanaan pengendalian interen dan sistem manajemen
risiko sesuai dengan kebijakan perusahaan;
c. melakukan pemeriksaan dan penilaian atas efisiensi dan efektivitas di bidang keuangan,
akuntansi, operasional, sumber daya manusia, pemasaran, teknologi informasi dan
kegiatan lainnya;
d. memberikan saran perbaikan dan informasi yang obyektif tentang kegiatan yang
diperiksa pada semua tingkat manajemen;
e. membuat laporan hasil audit dan menyampaikan laporan tersebut kepada direktur utama
dan dewan komisaris;
f. memantau, menganalisis dan melaporkan pelaksanaan tindak lanjut perbaikan yang telah
disarankan;
g. bekerja sama dengan Komite Audit;
70 Muh. Arief Effendi

h. menyusun program untuk mengevaluasi mutu kegiatan audit internal yang

dilakukannya; dan
i. melakukan pemeriksaan khusus apabila diperlukan.
9. Wewenang Unit Audit Internal sebagaimana dimaksud dalam angka 4 huruf c meliputi
antara lain:
a. mengakses seluruh informasi yang relevan tentang perusahaan terkait dengan tugas dan
fungsinya;
b. melakukan komunikasi secara langsung dengan direksi, dewan komisaris, dan/atau
Komite Audit serta anggota dari direksi, dewan komisaris, dan/atau Komite Audit;
c. mengadakan rapat secara berkala dan insidentil dengan direksi, dewan komisaris,
dan/atau Komite Audit; dan
d. melakukan koordinasi kegiatannya dengan kegiatan auditor eksternal.
10. Setiap pengangkatan, penggantian, atau pemberhentian kepala Unit Audit Internal segera
diberitahukan kepada Bapepam dan LK.
11. Dengan tidak mengurangi ketentuan pidana di bidang Pasar Modal, Bapepam dan LK berwenang
mengenakan sanksi terhadap setiap pelanggaran ketentuan peraturan ini, termasuk pihak-pihak
yang menyebabkan terjadinya pelanggaran tersebut.

5.7.4. Risk Based Audit Approach

Pendekatan risk based audit memerlukan keterlibatan internal auditor dalam risk assessment. Risk
assessment menyoroti peran internal auditor dalam identifikasi dan analisis risiko-risiko bisnis yang
dihadapi perusahaan. Oleh karena itu diperlukan sikap proaktif dari internal auditor dalam mengenali
risiko-risiko yang dihadapi manajemen dalam mencapai tujuan organisasinya. Internal auditor dapat
menjadi mitra manajemen dalam meminimalkan risiko kerugian (loss) serta memaksimalkan peluang
(opportunity) yang dimiliki perusahaan. Penentuan tujuan dan ruang lingkup audit serta alokasi sumber
daya internal auditor sepenuhnya didasarkan pada prioritas tingkat risiko bisnis yang dihadapi
organisasi. Dalam risk assessment terdapat 3 (tiga) konsep penting yaitu tujuan (goal), risiko (risk) dan
pengendalian (control). Tujuan merupakan outcome yang diharapkan dapat dihasilkan oleh suatu proses
atau bisnis. Risiko adalah kemungkinan suatu kejadian / tindakan akan menggagalkan atau
berpengaruh negatif terhadap kemampuan organisasi dalam mencapai tujuan bisnisnya, sedangkan
control merupakan elemen–elemen organisasi yang mendukung manajemen dan karyawan dalam
mencapai tujuan organisasi.
Agar risk based audit dapat berhasil dengan baik diperlukan kerjasama antara internal auditor dengan
manajemen dalam melakukan control self assessment. Control self assessment merupakan proses dimana
manajemen melakukan self assessment terhadap pengendalian atas aktivitas pada unit operasional
masing-masing dengan bimbingan internal auditor. Dalam hal ini, manajemen melakukan identifikasi
risiko bisnis serta mengevaluasi apakah telah ada pengendalian yang dapat mengurangi resiko tersebut
serta mengembangkan action plan untuk meningkatkan pengendalian yang ada. Manfaat utama dari
control self assessment oleh manajemen adalah adanya kesadaran bahwa tanggungjawab untuk menilai
The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 71

resiko dan pengendalian aktivitas suatu organisasi berada ditangan manajemen sendiri sehingga dapat
meningkatkan ownership of control.

5.7.5. Value Added Internal Auditing

Internal auditor perlu membangun & menjaga hubungan baik (relationship) dengan pihak auditee
melalui monitoring tindak lanjut serta menerima umpan balik (feedback) yang dilakukan oleh auditee.
Ruang lingkup dari value added internal auditing meliputi :
 Audit sistem informasi (Information System Audit).
 Audit kepatuhan (Compliance audit).
 Audit laporan keuangan & pengendalian (Financial reporting & control audit).
 Audit program & kinerja (Program & performance audit).
Agar internal auditor dapat berfungsi sebagai auditor yang bernilai tambah (value added), maka para
internal auditor hendaknya dapat melakukan assesment atas :
 Operational & quality efectiveness.
 Business risk.
 Business & process control.
 Process & business efficiencies.
 Cost reduction opportunities.
 Waste elimination opportunities.
 Corporate governance efectiveness.
Tujuan dari value added audit adalah agar internal auditor dapat :
 Memberikan analisis operasional secara obyektif & independen.
 Menguji berbagai fungsi, proses dan aktivitas suatu organisasi serta external value chain.
 Membantu organisasi dalam merancang strategi bisnis yang obyektif.
 Melakukan assesment secara sistematis dengan pendekatan multidisiplin.
 Melakukan evaluasi & menilai efektivitas risk management , control & governance processes.
Eksistensi internal auditor sebagai konsultan merupakan suatu perubahan besar yang diharapkan oleh
The Institute of Internal Auditing Standard (IIAS) agar menjadi internal auditor yang berkualitas (quality
internal auditor), sehingga dapat memberikan jasa & konsultansi dalam business process kepada
manajemen operasional. Terdapat kecenderungan (trend) dalam internal auditing, seperti outsourcing
internal auditing. Dalam outsourcing internal auditing, dimungkinkan audit dilakukan oleh eksternal
auditor yang bertindak sebagai internal auditor. Ditinjau dari sisi independensi, auditor tersebut
memang lebih independen karena bukan karyawan dari perusahaan yang diaudit, namun yang perlu
diperhatikan adalah masalah kompetensi / kualitas dari auditor tersebut. Oleh karena itu apabila suatu
perusahaan akan memutuskan untuk melakukan outsourcing internal auditor, perlu dipertimbangkan
masalah cost & benefit. Apakah biaya yang dikeluarkan oleh perusahaan untuk membayar jasa
outsourcing internal auditor tersebut sebanding dengan manfaat yang akan diperolehnya. Agar internal
auditor dapat memberikan nilai tambah (value added) bagi organisasi (perusahaan) maka para internal
72 Muh. Arief Effendi

auditor perlu meningkatkan kualitasnya secara terus menerus melalui pendidikan profesi
berkelanjutan (continuing professional education).

5.7.6. Peran Auditor Internal dalam Kecurangan (Fraud)

Auditor internal berfungsi membantu manajemen dalam pencegahan (prevention), pendeteksian
(detection) dan penginvestigasian (investigation) kecurangan (fraud) yang terjadi di suatu organisasi
(perusahaan). Sesuai Interpretasi Standar Profesional Audit Internal (SPAI) – standar 120.2 tahun 2004,
tentang pengetahuan mengenai kecurangan, dinyatakan bahwa auditor internal harus memiliki
pengetahuan yang memadai untuk dapat mengenali, meneliti dan menguji adanya indikasi
kecurangan. Selain itu, menurut Statement on Internal Auditing Standards (SIAS) No. 3, tentang Deterrence,
Detection, Investigation, and Reporting of Fraud (1985), memberikan pedoman bagi auditor internal tentang
bagaimana auditor internal melakukan pencegahan, pendeteksian dan penginvestigasian terhadap
fraud. SIAS No. 3 tersebut juga menegaskan tanggung jawab auditor internal untuk membuat laporan
audit tentang fraud.

5.7.6.1. Pencegahan Kecurangan

Salah satu cara yang paling efektif untuk mencegah timbulnya fraud adalah melalui peningkatan sistem
pengendalian intern (internal control system) selain melalui struktur / mekanisme pengendalian intern.
Dalam hal ini, yang paling bertanggung jawab atas pengendalian intern adalah pihak manajemen suatu
organisasi. Dalam rangka pencegahan fraud, maka berbagai upaya harus dikerahkan untuk membuat
para pelaku fraud tidak berani melakukan fraud. Apabila fraud terjadi, maka dampak (effect) yang timbul
diharapkan dapat diminimalisir. Auditor internal bertanggungjawab untuk membantu pencegahan
fraud dengan jalan melakukan pengujian (test) atas kecukupan dan kefektivan sistem pengendalian
intern, dengan mengevaluasi seberapa jauh risiko yang potensial (potential risk) telah diidentifikasi.
Dalam pelaksanaan audit reguler (rutin), misalnya audit kinerja (performance audit), audit keuangan
(financial audit) maupun audit operasional (operational audit), auditor internal harus mengidentifikasi
adanya gejala kecurangan (fraud symptom) berupa red flag atau fraud indicator. Hal ini menjadi sangat
penting, sehingga apabila terjadi fraud, maka memudahkan auditor internal melakukan audit
investigasi.

5.7.6.2. Pendeteksian Kecurangan

Deteksi fraud mencakup identifikasi indikator-indikator kecurangan (fraud indicators) yang
memerlukan tindaklanjut auditor internal untuk melakukan investigasi. Auditor internal perlu
memiliki keahlian (skill) dan pengetahuan (knowledge) yang memadai dalam mengidentifikasi indikator
terjadinya fraud. Auditor internal harus dapat mengetahui secara mendalam mengapa seseorang
melakukan fraud termasuk penyebab fraud, jenis-jenis fraud, karakterisitik fraud, modus operandi
(teknik-teknik) fraud yang biasa terjadi. Apabila diperlukan dapat menggunakan alat bantu (tool)
berupa ilmu akuntansi forensik (forensic accounting) untuk memperoleh bukti audit (audit evidence) yang
kuat dan valid. Forensic accounting merupakan suatu integrasi dari akuntansi (accounting), teknologi
informasi (information technology) dan keahlian investigasi ( investigation skill).
The Power of Good Corporate Governance : Teori & Implementasi – Edisi Kedua 2016 73

5.7.6.3. Penginvestigasian Kecurangan

Investigasi merupakan pelaksanaan prosedur lebih lanjut bagi auditor internal untuk mendapatkan
keyakinan yang memadai (reasonable assurance) apakah fraud yang telah dapat diidentifikasi tersebut
memang benar-benar terjadi. Pelaksanaan audit investigasi mengikuti work instruction serta ketentuan
yang telah ditetapkan oleh Standar Profesi Audit Internal (SPAI) maupun organisasi Institute of Internal
Auditor (IIA).

5.7.7. Peran Auditor Internal dalam mewujudkan GCG

Auditor internal dapat berperan dalam mendorong terwujudnya GCG di perusahaan. Beberapa hal
yang perlu mendapat dukungan penuh dari auditor internal, misalnya :
 Mendorong transparansi (transparency) dan integritas (integrity) dalam pelaporan keuangan
(financial reporting) perusahaan.
 Mendorong akuntabilitas (accountability) dalam pengelolaan aset perusahaan.
 Mendorong pertanggungjawaban (responsibility) perusahaan kepada public melalui Corporate Social
Responsibility /CSR, Community Development atau Program Kemitraan & Bina Lingkungan (PKBL).
 Mendorong independensi (independency) perusahaan terhadap pihak-pihak terkait, termasuk
pemegang saham minoritas.
 Mendorong kewajaran (fairness) dalam pengadaan barang & jasa termasuk dipastikannya tidak
ada pelanggaran terhadap UU anti monopoli & persaingan usaha yang sehat.