Week 2: Code of Ethics & Standards

Diperlukan standar untuk mengatur prosedur dan etika pekerja profesional. Standar membantu
para orang untuk bersikap profesional pada profesinya dengan mengikuti standar yang terbaik,
terpandang, dan konsisten.

Standar utama bagi auditor internal dapat ditemukan dalam Standar Internasional untuk Praktik
Profesional Audit Internal (standar IIA) atau yang dikenal sebagai Buku Merah. Setelah melalui
banyak revisi, standar tersebut menjadi International Professional Practices Framework (IPPF)
pada tahun 2015.

Standar auditor tidak diwajibkan memakai IPPF, adapun lainnya menggunakan standar Amerika
Serikat AICPA. Standar IPPF mencakup ketentuan yang diwajibkan untuk auditor internal
ataupun yang hanya sekadar direkomendasikan. Standar dari IIA merupakan dasar standar
auditor internal, yang walaupun begitu banyak modifikasi tergantung wilayah dan waktu.

1. What Is The IPPF?

International Professional Practices Framework (IPPF) atau pedoman yang mengikat untuk para
auditor internal profesional merupakan kerangka kerja konseptual yang mengatur pedoman resmi
praktik auditor internal yang terdiri dari ketentuan wajib dan disarankan.
Adapun komponen IPPF:

a. Pernyataan misi audit internal. Yaitu untuk meningkatkan dan melindungi nilai
organisasi dengan memberikan jaminan, saran, dan wawasan yang obyektif dan dapat
diandalkan kepada pemangku kepentingan.
b. Prinsip-prinsip inti audit internal.
i. Menunjukkan integritas.
ii. Menunjukkan kompetensi dan kehati-hatian profesional.
iii. Bersikap objektif dan bebas dari pengaruh yang tidak semestinya (independen).
iv. Selaras dengan strategi, tujuan, dan risiko organisasi.
v. Memiliki posisi yang tepat dan sumber daya yang memadai.
vi. Menunjukkan kualitas dan perbaikan berkelanjutan.
vii. Berkomunikasi secara efektif.
viii. Memberikan jaminan berbasis risiko.
 ix. Berwawasan luas, proaktif, dan fokus pada masa depan.
x. Mempromosikan perbaikan organisasi.
c. Definisi audit internal. Audit internal adalah fungsi penilaian independen yang dibentuk
dalam suatu organisasi untuk memeriksa dan mengevaluasi aktivitasnya sebagai layanan
kepada organisasi.
d. Standar Internasional Praktik Profesional Audit Internal. Berupa standar atribut dan
standar kinerja dalam melakukan audit internal.
e. Penerapan dan panduan tambahan. Panduan Tambahan memberikan panduan rinci
untuk melakukan aktivitas audit internal. Hal ini mencakup bidang-bidang topikal, isu-isu
spesifik sektor, serta proses dan prosedur, teknik, program, pendekatan langkah demi
langkah, dan contoh hasil yang dapat dicapai.
f. Panduan masalah yang muncul. Sedang diusung untuk dimasukkan dengan
pertimbangan auditor internal harus siap beradaptasi dengan isu teknis, bisnis, ataupun
legal yang selalu berevolusi.

2. The Internal Auditing Professional Practice Standards: A Key IPPF Component

Auditor internal dapat bekerja di lingkup bisnis yang luas sehingga diperlukan standar untuk
tetap melakukan pekerjaan secara kompeten dan konsisten. International Standards for the
Professional Practice of Internal Auditing didesain untuk:
a. Menggambarkan prinsip-prinsip dasar untuk praktik audit internal.
b. Memberikan kerangka kerja untuk melakukan dan mempromosikan berbagai aktivitas
audit internal yang bernilai tambah.
c. Menetapkan dasar pengukuran kinerja audit internal.
d. Mendorong peningkatan proses dan operasi organisasi.
Standar-standar tersebut memberikan pedoman bagi komite audit dan manajemen untuk
mengukur auditor internal mereka serta pedoman bagi auditor internal untuk mengukur diri
mereka sendiri.

Latar Belakang Standar IIA

IIA pertama kali menerbitkan Standar Praktik Profesional Audit Internal pada tahun 1978 dengan
tujuan untuk “melayani seluruh profesi di semua jenis bisnis” yang sebelum melalui proses revisi
berupa Pernyataan Tanggung Jawab Audit Internal.

Kata pengantar standar IIA tahun 1978 menggambarkan standar tersebut sebagai “kriteria yang
digunakan untuk mengevaluasi dan mengukur operasi departemen audit internal.” Pernyataan
tersebut selanjutnya menyatakan, “Kepatuhan terhadap konsep yang dinyatakan dalam Standar
sangatlah penting sebelum tanggung jawab auditor internal dapat dipenuhi.”

Standar ini dikembangkan oleh Komite Standar Profesional IIA berdasarkan keahlian
profesionalnya serta komentar yang diterima dari anggota IIA dan pihak berkepentingan lainnya.
Beberapa standar dan pedoman individual mungkin masih mempunyai interpretasi yang
berbeda-beda akibat batasan bahasa.

Auditor internal menjalankan tugasnya berdasarkan prinsip Standar IIA, atau apapun yang setara
dengannya. Ketika terdapat konflik dan ketika individu yang mempertanyakan konflik tersebut
 bekerja sebagai auditor internal, standar IIA akan diutamakan dibandingkan standar profesional
yang bertentangan.

3. Codes of Ethics: The IIA and ISACA

Institute of Internal Auditors (IIA) menerbitkan standar kode etik pada tahun 2000 yang
telah digunakan hingga sekarang. Tujuan kode etik ini adalah untuk mendorong budaya etis
dalam profesi audit internal dengan mencakup prinsip integritas, objektivitas, kerahasiaan, dan
kompetensi ketika memberikan assurance manajemen risiko, kontrol, dan governance. Kode etik
IIA diterapkan oleh individu maupun entitas yang mempraktikan internal auditing, terlepas dari
keanggotaan IIA. Bagi anggota IIA atau kandidat sertifikasi profesi IIA, pelanggaran terhadap
kode etik akan dievaluasi dan dikenakan tindakan disiplin.
ISACA merupakan profesi audit yang mewakili IT Auditors yang awalnya dikenal
sebagai the Electronic Data Processing Auditors Association (EDPAA). ISACA ditemukan pada
1969 karena IIA dianggap tidak memberikan perhatian pada kepentingan internal kontrol dalam
sistem IT. Meskipun secara historis anggotanya berasal dari spesialis audit IT dan firma
akuntansi publik, kode etik ISACA berfokus pada masalah yang terkait dengan teknologi, tetapi
selaras dengan prinsip kode IIA yang menekankan perilaku etis dalam praktik audit IT

4. Internal Audit Principles

Tujuan IIA untuk prinsip-prinsip ini adalah memudahkan profesi audit internal untuk
memahami dan fokus pada hal-hal yang paling penting. Prinsip-prinsip ini seharusnya
memfasilitasi komunikasi yang lebih efektif dengan stakeholders seperti regulator, mengenai
prioritas yang menentukan efektivitas audit internal. Hal ini menunjukkan bahwa ketika seorang
auditor internal sedang meninjau atau merekomendasikan internal control, auditor harus selalu
mempertimbangkan prinsip internal audit. Sebagai contoh, salah satu prinsip IPPF adalah
aktivitas individu auditor internal menyatakan bahwa seorang auditor internal harus
menunjukkan “objektivitas dalam pikiran dan pendekatan”. Ini memberikan kesempatan pada
auditor internal untuk bertanya apakan sebuah audit benar-benar objektif saat merekomendasikan
suatu pendekatan.
 Week 3: COSO Internal Control Framework

3.1 Understanding Internal Control

Lima prinsip dasar yang mendukung internal kontrol COSO perusahaan:
1. Organisasi harus menunjukkan komitmen terhadap integritas dan nilai-nilai etika
2. Dewan harus menunjukkan independensi dari manajemen dan melakukan pengawasan
terhadap pengembangan dan kinerja internal kontrol
3. Manajemen harus menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan
otoritas serta tanggung jawab yang tepat dalam mencapai tujuan
4. Organisasi harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten agar sejalan dengan tujuan
5. Organisasi harus menuntut individu untuk bertanggung jawab atas kewajiban internal
kontrol mereka dalam mencapai tujuan

3.2 Revised COSO Framework Business and Operating Environment Changes

Framework Internal kontrol COSO yang terbaru dan bahan pedoman pendukung yang
memuat perubahan dalam bidang-bidang sebagai berikut:
1. Ekspektasi yang diperluas untuk pengawasan tata kelola
2. Meningkatnya globalisasi pasar dan operasi
3. Perubahan dan kompleksitas yang lebih besar dalam operasi bisnis perusahaan
4. Peningkatan tuntutan dan kompleksitas dalam hukum, aturan, regulasi, dan standar
5. Penggunaan dan ketergantungan yang terus meningkat pada teknologi
6. Meningkatnya kebutuhan untuk mencegah dan mendeteksi korupsi
Key Role IA: Auditor internal harus melakukan evaluasi terhadap apa yang telah dilakukan
di masa lalu dan membuat perubahan yang diperlukan untuk mematuhi COSO Framework.
3.3 The Revised COSO Internal Control Framework

3.4 COSO Internal Control Principles

Key Points:
 1. Merupakan tambahan dalam versi revisi COSO Internal Control Framework untuk
meningkatkan pemahaman manajemen terkait efektivitas Internal control
2. Principles digunakan oleh manajemen untuk merancang, mengimplementasi, dan
mengevaluasi proses Internal Control dalam perusahaan
3. Digunakan juga sebagai Assessment Criteria untuk menilai efektivitas Internal Control
yang diterapkan dalam perusahaan

3.5 Internal Control Components: Control Environment

Control Environment: seperangkat standar, proses, dan struktur yang menjadi dasar untuk
melaksanakan aktivitas pengendalian internal yang efektif
Apa yang dibahas?
1. Parameter yang memungkinkan BoD untuk melaksanakan tanggung jawab
pengawasannya
2. struktur organisasi dan pembagian wewenang dan tanggung jawab
3. proses untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten
4. ketelitian dalam ukuran kinerja, insentif, dan reward untuk mendorong akuntabilitas
performa
Prinsip:
1. Organisasi menunjukkan komitmen terhadap integritas dan nilai etik
2. BoD menunjukkan indepedensi dari manajemen dan melakukan pengawasan terhadap
perkembangan serta performa dari pengendalian internal
3. Manajemen menetapkan struktur, reporting lines, dan wewenang serta tanggung jawab
yang sesuai dengan pengawasan dari BoD
4. Organisasi menunjukkan komitmennya untuk untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten dan sesuai dengan tujuan yang ingin dicapai
5. Organisasi mengajak individu di dalamnya untuk bertanggung jawab dalam pengendalian
internal demi mencapai tujuan organisasi

3.6 Internal Control Components: Risk Assessment

Definisi: proses untuk menentukan bagaimana risiko akan dikelola
Prinsip:
1. Menetapkan tujuan dengan cukup jelas.
2. Mengidentifikasi risiko untuk pencapaian tujuan.
3. Mempertimbangkan potensi kecurangan.
4. Mengidentifikasi dan menilai perubahan yang dapat mempengaruhi sistem pengendalian
internal
Risk Identification and Analysis
1. Manajemen di semua level mengidentifikasi semua kemungkinan risiko.
2. Identifikasi dan analisis risiko dilakukan secara terus-menerus untuk meningkatkan
kemampuan mencapai tujuan.
3. Manajemen mempertimbangkan risiko di semua level dan mengambil langkah
mengelolanya.
4. Penilaian risiko harus mempertimbangkan faktor-faktor yang mempengaruhi risiko,
seperti tingkat keparahan, kecepatan, kemungkinan kerugian, dan dampak pada operasi,
pelaporan, dan kepatuhan
 5. Perusahaan perlu memahami toleransi risiko mereka dan kemampuan mereka beroperasi
dalam tingkat tersebut.
Tipe Enterprise Business Risks

Risk Response Strategy

1. Avoidance: Strategi ini bertujuan untuk menjauh dari risiko. Contohnya: Menjual unit
bisnis yang menimbulkan risiko, keluar dari area geografis yang menjadi perhatian,
menghentikan lini produk
2. Reduction
Strategi ini bertujuan untuk mengurangi kemungkinan atau dampak risiko. Contohnya:
Diversifikasi lini produk, Membagi pusat operasi IT menjadi dua lokasi, Melatih silang
karyawan
3. Sharing
Strategi ini bertujuan untuk berbagi risiko dengan pihak lain. Contohnya: Membeli
asuransi dan Melakukan operasi lindung nilai
4. Acceptance
Strategi ini berarti menerima risiko dan menanggung konsekuensinya. Contohnya:
Memutuskan untuk "memastikan sendiri" daripada membeli asuransi dan Menerima
risiko tertentu berdasarkan toleransi risiko perusahaan

3.7 Internal Control Components: Internal Control Activities

Control Activities are actions established through policies and procedures to help
management mitigate risk of achieving objectives by considering the Internal control system,
IT system, and other business processes.

Transaction Controls: Most fundamental control activities → merespon risiko secara

langsung dengan business process

Control Activities element uses Information-Processing Objectives:

 Tipe

3.8 Internal Control Components: Communication

Komunikasi: proses yang terus menerus dan berulang dalam menyediakan, berbagi, dan
memperoleh informasi yang diperlukan

Proses Komunikasi
a. Internal: sarana dimana informasi disebarluaskan ke seluruh perusahaan, mengalir ke
atas, ke bawah, dan ke seluruh entitas

Tujuan
- Untuk memahami tujuan perusahaan
- Untuk memberi tahu pentingnya tanggungjawab pengendalian
- Berbagi komunikasi secara vertikal dan horizontal
b. Eksternal: sarana mendapatkan/memberi informasi dari/kepada pihak eksternal sebagai
respons terhadap persyaratan dan harapan

Tujuan
- Mendapat informasi ekternal yang relevan
- Memperoleh dan berbagi informasi antar perusahaan (eksternal) mengenai risiko,
regulasi, keadaan, pelanggan, dan informasi lainnya
 Importance:
- Komunikasi internal dimulai dengan komunikasi tujuan melalui prosedur/kebijakan yang
efektif. Manajemen senior harus mengkomunikasikan tujuan dan sub-tujuan perusahaan
dengan jelas sehingga manajemen dan personel lainnya dapat memahami peran,
tanggungjawab dan tindakan terkait pekerjaan
- Informasi yang dibagikan melalui komunikasi internal membantu manajemen dan
personel lainnya mengenali masalah atau potensi masalah/kelemahan. Setelah temuan
audit internal ini dikonfirmasi, kelemahan pengendalian harus disampaikan ke bagian lain
untuk ditelusuri dan diperbaiki secara keseluruhan
- Komunikasi antara manajemen dan dewan direksi memberikan informasi yang
dibutuhkan dewan untuk melaksanakan tanggung jawab pengawasannya terhadap
pengendalian internal. Anggota dewan direksi harus memiliki akses langsung ke
karyawan tanpa mengacu pada manajemen

3.9 Internal Control Components: Monitoring Activities

Aktivitas pemantauan menilai apakah masing-masing dari lima komponen pengendalian
internal COSO ada dan berfungsi.
1. The organization selects, develops, and performs ongoing and/or separate evaluations to
ascertain whether the components of internal control are present and functioning
POINT OF FOCUS
a. Consider a mix of ongoing and seperate evaluations and objectively evaluates
b. Considers rate of change
c. Establishes baseline understanding
d. Uses knowledgable personnel
e. Adjusts scope and frequency
2. The organization evaluates and communicates internal control deficiencies in a timely
manner to those parties responsible for taking corrective action, including senior
management and the board of directors, as appropriate.
POINT OF FOCUS
a. Assess results
b. Communicate deficiencies
c. Monitors corrective actions
 Risk Management
7.1 Risk Management Fundamentals
Setiap entitas diharapkan memberikan nilai kepada stakeholders. Semua entitas menghadapi
ketidakpastian. Tantangan membuat manajemen menentukan berapa besarnya ketidakpastian
yang akan dan harus dihadapi dalam upaya mengembangkan nilai kepada stakeholders.
Selanjutnya, dilakukan sebuah survei terhadap beberapa pendekatan risk management modern
dengan tujuan untuk membantu menciptakan prosedur risk management yang efektif untuk
perusahaan. Proses risk management yang efektif membutuhkan empat tahapan:
1. Risk identification
2. Quantitative or qualitative assessment of the document
3. Risk prioritization and response planning
4. Risk monitoring
Tahapan risk management ini harus diimplementasikan pada semua level perusahaan dan dengan
partisipasi dari banyak orang.

Risk Identification
Manajemen harus mengidentifikasi semua kemungkinan risiko yang dapat berdampak
pada keberhasilan perusahaan. Proses identifikasi risiko membutuhkan pendekatan yang
dipelajari dan direncanakan untuk melihat potensi risiko pada setiap area operasi dan
mengidentifikasi area dengan risiko signifikan yang dapat berdampak pada setiap operasi dalam
jangka waktu tertentu. Gambar berikut ini menunjukkan beberapa jenis risiko utama yang
berdampak ke perusahaan, termasuk berbagai risiko strategis, operasi, dan keuangan.

Manajemen perusahaan kemudian harus mengambil daftar risiko perusahaan potensial dan
bertanya :
1. Apakah risiko umum di seluruh perusahaan atau unik untuk satu grup bisnis?
2. Akankah perusahaan menghadapi risiko ini karena peristiwa internal atau eksternal?
3. Apakah risiko berkaitan, sehingga satu risiko dapat menyebabkan risiko lain terjadi?
Manajemen harus meninjau risiko-risiko yang teridentifikasi ini dan menandai risiko-risiko yang
tampaknya penting bagi perusahaan. Karena sudut pandang dan perspektif akan bervariasi di
seluruh perusahaan, risiko yang teridentifikasi ini harus dibagi dengan manajemen operasi dan
keuangan yang bertanggung jawab, memberi mereka kesempatan untuk memberikan umpan
balik.

Key Risk Assessments

Setelah melakukan identifikasi risiko signifikan, langkah selanjutnya adalah menilai
kemungkinan dan signifikansi relatif perusahaan. Hal ini dilakukan dengan mengedarkan
kuesioner dan harus diisi secara independen. Pendekatan ini dilakukan dengan mengambil daftar
risiko yang teridentifikasi yang telah dibahas pada bagian sebelumnya. Lalu, menanyakan hal
berikut ini pada setiap risiko:
1. Apa kemungkinan risiko ini terjadi selama periode satu tahun ke depan?
2. Apa pentingnya risiko dalam hal biaya untuk perusahaan?
Selanjutnya akan ada penilaian dengan skor 1-9 dimana skor 1 artinya hampir tidak ada peluang
terjadinya risiko, skor 9 hampir pasti terjadi risiko, dan skor 2-8 didasarkan pada kemungkinan
berada di dalam kisaran ini disesuaikan dengan responden. Penilaian harus bergantung pada
signifikansi finansial dari risiko tersebut. Risiko yang biayanya dapat menurunkan laba per
saham mungkin sebesar 1 dollar mungkin memenuhi syarat untuk skor maksimum 9.
Selanjutnya berikut adalah kuadran untuk analisis risk assessment

Pada kuadran ini bisa dilihat bahwa kuadran II merupakan contoh high-likelihood dan
high-significant risks. Hal ini berarti risiko besar kemungkinan terjadi dan risiko sangat
signifikan.

Probability and Uncertainty

Ketika sejumlah risiko telah teridentifikasi, manajemen harus memikirkan estimasi kemungkinan
dan kemunculan risiko. Risiko tersebut memiliki estimasi antara 0,01 hingga 0,99. Kemungkinan
tersebut tidak akan pernah 0% atau 100%, karena tidak mungkin tidak ada risiko. Risiko yang
akurat tidak bisa asal diestimasikan dengan menyatakan angka dari 1-9 atau dua digit persentase.
Manajemen perusahaan harus memperhatikan dengan baik risiko yang telah mereka identifikasi
dan harus mengumpulkan lebih banyak informasi.
Dua buah atau lebih risiko yang independen tidak bisa langsung ditambahkan untuk
menghasilkan satu probabilitas kejadian. Contoh : A 60% dan B 60%. Jika A dan B probabilitas
keduanya bersama bukan 120%. Namun, perhitungan menjadi seperti berikut :
Pr(Event 1) x Pr(Event 2) = Pr(Both Events)
Pr(A) x Pr(B) = 60% x 60% = 36%
Namun, sebuah proses risk assessment yang akurat harus melihat risiko yang teridentifikasi dan
harus mengumpulkan lebih banyak informasi. Contohnya, seorang manajer mungkin berpikir
bahwa kebijakan tarif baru akan menjadi risiko yang serius (subjektif). Namun, manajer yang
baik akan mencoba untuk benar-benar mencari tahu terkait dengan dampak nyata dari kebijakan
baru (objektif). Maka, semua risiko yang telah diidentifikasi mungkin memerlukan informasi
tambahan sebelum dapat dinilai dengan tepat.

Risk Interdependencies
Pembahasan mengenai risiko selama ini berfokus pada unit organisasi individual, namun
keterkaitan antar risiko (risk independencies) harus selalu dipertimbangkan. Keterkaitan ini perlu
dievaluasi di seluruh struktur organisasi. Setiap entitas perlu waspada terhadap risiko di semua
level organisasi, tetapi hanya memiliki kontrol terhadap risiko yang berada dalam lingkupnya
sendiri. Setiap unit operasional bertanggung jawab untuk mengelola risikonya sendiri, namun
tetap dapat terkena dampak dari peristiwa risiko yang terjadi pada unit di atas atau di bawahnya
dalam struktur organisasi.

Risk Ranking
Setelah mengidentifikasi risiko, langkah selanjutnya adalah menentukan peringkatnya
berdasarkan dampak (signifikansi) dan kemungkinan (likelihood) terjadinya. Risiko dengan
peringkat tertinggi perlu menjadi fokus utama dalam pengelolaan risiko perusahaan. Metode
pemeringkatan risiko adalah dengan mengkalikan skor dampak dan kemungkinan untuk
mendapatkan skor peringkat risiko. Risiko dengan skor tertinggi merupakan yang paling
signifikan.

Peringkat risiko perlu dilakukan pada setiap unit bisnis untuk memastikan estimasi dampak dan
kemungkinan akurat. Risiko yang terjadi di unit terpencil pun dapat berdampak besar, contohnya
bencana kebocoran gas beracun di pabrik Union Carbide, India, yang menyebabkan kematian
ribuan penduduk. Oleh karena itu, setiap unit perlu mengenali dan mengelola risikonya
masing-masing untuk mencegah dampak buruk bagi seluruh perusahaan.

Quantitative Risk Analysis: Expected Value & Response Planning

Mengelola risiko secara efektif tidak hanya mengidentifikasi risiko yang signifikan, tetapi juga
memiliki rencana tindakan awal jika risiko tersebut terjadi. Analisis Risiko Kuantitatif membantu
memperkirakan dampak biaya dari suatu risiko dan menerapkannya pada probabilitas faktor
risiko untuk mendapatkan nilai harapan risiko tersebut. Perkiraan biaya dampak dapat dilakukan
oleh staf di berbagai level perusahaan yang memiliki pengetahuan baik terkait area atau
implikasi risiko. Apabila waktu terbatas, fokuslah pada risiko utama. Risiko yang dibahas
biasanya melibatkan hal-hal seperti kegagalan komponen perangkat keras, penurunan pangsa
pasar, atau dampak peraturan pemerintah baru.

Terdapat empat Estimasi Biaya:

1. Biaya kasus terbaik jika risiko terjadi (dampak terbatas).
2. Estimasi biaya dari orang yang berpengetahuan
3. Nilai harapan atau biaya yang diharapkan dari risiko tersebut.
4. Biaya terburuk jika risiko terjadi ("apa yang terjadi jika semuanya salah").
 Pilih satu estimasi terbaik dari keempatnya, biasanya antara estimasi 2 dan 3. Dokumentasikan
estimasi dan pekerjaan pendukung, serta masukkan estimasi biaya yang dipilih ke dalam jadwal
perencanaan tindakan respon risiko. Auditor internal harus berhati-hati terhadap estimasi
probabilitas risiko yang tidak didukung. Estimasi tersebut terkadang menjadi "beku" seiring
berjalannya waktu.

Quantitative Risk Analysis: Risk Monitoring

Identifikasi risiko utama bukanlah proses sekali jalan. Lingkungan risiko dapat berubah seiring
berjalannya waktu. Beberapa risiko dapat menjadi ancaman yang lebih besar, misalnya risiko
politik di negara berkembang yang situasinya bisa berubah cepat. Oleh karena itu, perusahaan
memerlukan mekanisme untuk memantau risiko yang telah diidentifikasi. Identifikasi risiko
biasanya dilakukan secara tahunan atau kuartalan, berbeda dengan pembuatan anggaran yang
mungkin direvisi triwulanan. Setelah diidentifikasi, risiko perlu dipantau dan disesuaikan secara
berkelanjutan. Pemantauan dapat dilakukan oleh pemilik proses atau peninjau independen,
seperti audit internal.
Audit internal memiliki kredibilitas dan otoritas untuk memantau status risiko. Ketika auditor
internal menanyakan status risiko, orang yang bertanggung jawab cenderung memberikan
informasi akurat. Jika informasi sulit diperoleh, audit internal dapat menjadwalkan kunjungan
untuk memahami risiko lebih baik. Mengetahui adanya potensi kunjungan auditor internal,
orang-orang di perusahaan akan cenderung memberikan jawaban akurat tentang status risiko.

7.2 Coso ERM: Enterprise Risk Management

COSO ERM (Enterprise Risk Management) adalah kerangka kerja untuk membantu perusahaan
memiliki definisi risiko yang konsisten. COSO ERM juga merupakan alat penting untuk
memahami dan meningkatkan pengendalian internal SOx.

Definisi dan Konsep Utama COSO ERM:

- ERM adalah sebuah proses. ERM tidak statis seperti prosedur, melainkan serangkaian
langkah terdokumentasi untuk meninjau dan mengevaluasi potensi risiko serta
mengambil tindakan berdasarkan berbagai faktor di seluruh perusahaan.
- ERM dijalankan oleh orang-orang di perusahaan. Proses ERM tidak akan efektif jika
hanya diterapkan melalui seperangkat aturan dari kantor pusat. Orang yang mengelola
ERM harus memahami berbagai faktor yang terkait dengan risiko.
- ERM diterapkan melalui penetapan strategi di seluruh perusahaan. ERM harus diterapkan
di seluruh perusahaan dengan pendekatan portofolio yang menggabungkan aktivitas
berisiko tinggi dan rendah.
- Pertimbangan terhadap selera risiko perusahaan. Selera risiko adalah jumlah risiko yang
bersedia diterima perusahaan dan manajer individual dalam mencapai tujuan. ERM
membantu menetapkan strategi alternatif dengan mempertimbangkan selera risiko ini.
- ERM memberikan keyakinan yang wajar, bukan jaminan positif, atas pencapaian tujuan.
ERM tidak dapat memberikan jaminan pasti atas hasil, tetapi membantu pencapaian
tujuan dengan lebih baik.
- ERM dirancang untuk membantu pencapaian tujuan. ERM membantu perusahaan
mencapai tujuan bersama tingkat tinggi, seperti reputasi positif, pelaporan keuangan yang
handal, dan kepatuhan terhadap hukum dan peraturan.
7.3 Coso ERM Key Elements
COSO ERM Framework divisualisasi dengan bentuk kubus yang memiliki komponen
1. Empat kolom yang merepresentasikan strategic objectives of enterprise risk
2. Delapan baris horizontal merepresentasikan risk components
3. Levels dalam perusahaan, semakin besar organisasinya, pembagiannya akan semakin banyak
COSO ERM Key Elements akan membahas terkait komponen horizontalnya saja. COSO ERM
Framework memiliki kemiripan dengan COSO Internal Control Framework, tetapi COSO ERM
Framework memiliki perbedaan objektif dan kegunaan sehingga bukan dianggap sebagai tambahan atau
perbaikan dari COSO Internal Control Framework.

COSO ERM: The Internal Environment Component

Internal environment merupakan pondasi bagi komponen lain dalam ERM Model karena mempengaruhi
bagaimana strategi dan objektif harus ditetapkan dan bagaimana risiko dalam business activities
diidentifikasi dan ditindak. Elemen dalam COSO ERM Internal environment mencakup:
1. Risk Management Philosophy: Pandangan bersama dan keyakinan yang menggambarkan
bagaimana perusahaan mempertimbangkan risiko dalam segala hal yang dilakukannya. filosofi
manajemen risiko adalah sikap yang seharusnya memungkinkan para pemangku kepentingan di
semua tingkatan untuk merespons proposal berisiko tinggi
2. Risk Appetite: jumlah risiko yang perusahaan bersedia terima dalam mencapai tujuannya. Selera
risiko dapat diukur dalam istilah kuantitatif maupun kualitatif, tetapi semua tingkat manajemen
seharusnya memiliki pemahaman umum tentang selera risiko keseluruhan perusahaan mereka
3. Board of Directors’ Attitudes: Peran penting BOD dalam mengawasi lingkungan risiko
perusahaan dan mengajukan pertanyaan yang tepat, berperan sebagai check and balance control
4. Integrity and Ethical Values: Lebih dari sekadar kode etik, melibatkan pernyataan misi dan
standar integritas yang kuat.
5. Commitment to Competence: Kompetensi mengacu pada pengetahuan dan keterampilan yang
diperlukan untuk melakukan tugas yang diberikan. Manajemen menentukan bagaimana
tugas-tugas kritis ini akan diselesaikan melalui pengembangan strategi dan penugasan orang yang
tepat untuk melaksanakannya.
6. Organizational Structure: Sebuah perusahaan seharusnya mengembangkan struktur organisasi
dengan garis otoritas, tanggung jawab, dan pelaporan yang jelas. Setiap profesional pernah
melihat situasi di mana organisasi tidak memungkinkan jalur komunikasi yang tepat. Misalnya,
sebelum SOx, banyak fungsi audit internal memiliki bagan organisasi yang menunjukkan mereka
melapor kepada komite audit dewan mereka, tetapi hubungan ini sering hanya ada di atas kertas
dengan komunikasi terbatas di luar pertemuan komite audit yang periodik tetapi sangat singkat.
Meskipun SOx telah mengubah hal ini, masih ada lingkungan di mana komite audit masih
memiliki interaksi yang sangat terbatas dengan fungsi audit internal mereka, yang merupakan
kegagalan dalam struktur organisasi.
7. Assignments of Authority and Responsibility: Tingkat di mana otoritas dan tanggung jawab
diberikan atau didelegasikan. Tren di banyak perusahaan saat ini adalah mendorong tanggung
jawab otoritas persetujuan ke bawah diagram organisasi, memberikan lower-level atau first-line
employee otoritas persetujuan yang lebih besar. Kecenderungan terkait telah menjadi mendatar
organisasi dengan menghilangkan tingkat manajemen menengah. Struktur ini biasanya
mendorong kreativitas karyawan, waktu tanggap yang lebih cepat, dan kepuasan pelanggan yang
lebih besar. Namun, jenis organisasi yang menghadap pelanggan ini memerlukan prosedur dan
aturan yang kuat bagi staf serta manajemen yang berkelanjutan sehingga keputusan staf tingkat
rendah dapat ditolak jika diperlukan. Semua individu seharusnya mengetahui bagaimana tindakan
mereka berinteraksi dan berkontribusi terhadap tujuan keseluruhan perusahaan. Kode etik
perusahaan yang kuat merupakan elemen penting di sini.
8. Human Resource Standards: Praktik terkait perekrutan, pelatihan, kompensasi, promosi,
disiplin, dan semua tindakan lain mengirimkan pesan mengenai apa yang difavoritkan,
 ditoleransi, atau dilarang. Standard yang kuat harus ditetapkan untuk memastikan peraturan
dikomunikasikan dan diimplementasikan

COSO ERM Objective Setting

Objective Setting menggambarkan bagaimana kondisi penting yang membantu manajemen
menciptakan ERM proses yang efektif. Objective setting yang ditetapkan oleh perusahaan harus sejalan
dengan visi dan misi perusahaan serta mencakup objektif kegiatan operasional, pelaporan, dan kepatuhan.
Mission statement merupakan elemen yang krusial untuk menentukan objektif sehingga harus
mencakup bagaimana perusahaan bertindak pada risiko yang dihadapi. Objektif kegiatan operasional
berkaitan dengan efektivitas dan efisiensi dalam mencapai profit dan kinerja tinggi, sedangkan pelaporan
dan kepatuhan berkaitan dengan peraturan dan kebijakan.
Komponen lingkungan internal ERM yang memahami filosofi manajemen risiko perusahaan dan
selera risikonya menuntut komponen penetapan tujuan untuk secara formal mendefinisikan selera risiko
tersebut dalam hal toleransi terhadap risiko. Toleransi merupakan guideline yang digunakan perusahaan
untuk menentukan seberapa jauh mereka dapat menerima risiko.

COSO ERM Event Identification

Events (peristiwa) merupakan kejadian atau insiden yang terjadi dalam perusahaan secara internal atau
eksternal yang mempengaruhi pengimplementasian ERM strategy dan pencapaian objektif-objektifnya.
Perusahaan harus mempertimbangkan risk events dan memonitor secara rutin agar dapat mengambil
tindakan yang cepat. Dalam proses menentukan tingkat risiko, monitoring harus mempertimbangkan:
1. Peristiwa ekonomi eksternal: peristiwa jangka pendek maupun panjang dapat mempengaruhi
tujuan strategis perusahaan;
2. Peristiwa alamiah: bencana alam dapat mengganggu jalannya proses bisnis, terutama pada rantai
nilai perusahaan;
3. Peristiwa politik: regulasi pasti akan memengaruhi bisnis, baik secara operasional ataupun
ekonomis;
4. Peristiwa sosial: perubahan demografi dapat mengubah preferensi pelanggan terkait produk
perusahaan;
 5. Peristiwa infrastruktur internal: hal ini merupakan hubungan antara proses bisnis perusahaan
dan proses belanja pelanggan, akan terjadi beberapa masalah untuk mencapai keefisienan dan
kepuasan yang lebih tinggi dari sebelumnya;
6. Peristiwa proses internal: hal ini lebih berfokus pada risiko atas sistem atau proses baru yang
diterapkan;
7. Peristiwa teknologi eksternal dan internal: disrupsi atas teknologi pasti akan membawa
perubahan sekaligus risiko ke perusahaan.

Sebuah perusahaan perlu dengan jelas mendefinisikan peristiwa risiko signifikan dan kemudian memiliki
proses yang ditempatkan untuk memantau mereka untuk mengambil tindakan yang sesuai jika diperlukan,
baik yang segera ataupun yang akan terjadi di masa depan.

Perusahaan seharusnya menetapkan proses untuk meninjau risiko-risiko yang mungkin signifikan dan
kemudian dipertimbangkan. Beberapa pendekatan yang dapat digunakan sebagai berikut:
1. Identifikasi peristiwa yang umum terjadi di industri: Manajemen harus mengembangkan
daftar risiko peristiwa yang umum terjadi dalam industri dan area fungsional khusus perusahaan.
Hal ini mendukung solusi yang belum ditemukan dan mencegah terjadi peristiwa yang tidak
diinginkan terjadi kembali.
2. Workshop yang difasilitasi: berupa proses bertukar pendapat dengan fungsi/departemen lain di
perusahaan untuk membagikan informasi yang mungkin menimbulkan risiko.
3. Wawancara, kuesioner, dan survei: mengumpulkan informasi secara langsung dari pengguna
pertama, baik pelanggan, karyawan, ataupun atasan.
4. Identifikasi peristiwa dari pemicunya: menetapkan serangkaian pengukuran unit bisnis untuk
memantau tujuan toleransi risiko dan menyarankan tindakan solusi pada tingkatan pemicu
tertentu.
5. Pelacakan data peristiwa kerugian: melacak data peristiwa kerugian dengan mengacu pada
penggunaan sumber basis data internal dan publik mencakup berbagai area mulai dari indikator
ekonomi utama hingga tingkat kegagalan peralatan internal.

Hal ini memerlukan analisis data yang baik serta penyusunan rencana tindakan, baik untuk
melindungi diri dari risiko atau memanfaatkan peluang potensial.

COSO ERM Risk Assessment

Merupakan inti dari kerangka ERM COSO yaitu menilai risiko yang telah diidentifikasi dari dampak
risiko tersebut terhadap tujuan perusahaan. Penilaian terdiri dari “kemungkinan terjadi” dan “dampak
peristiwa”. Adapun konsep risiko yang harus diperhatikan:
1. Risiko inheren: risiko terjadinya kerugian perusahaan yang disebabkan oleh sifat dari suatu
kegiatan itu sendiri
2. Risiko residu: risiko yang tersisa setelah respons terhadap ancaman dan tindakan pencegahan
risiko diterapkan.

Setelah manajemen menilai dan menetapkan strategi pencegahan/penanganan risiko, masih ada risiko
residu yang harus dikelola, dan mungkin risiko inheren yang masih tidak dapat ditangani.

Menilai kemungkinan terjadinya peristiwa biasa dilakukan dengan tingkatan low, medium, high.
Sedangkan untuk dampak, dinilai secara detail dan akurat, kecil atau besar, berbekas atau dapat hilang
sepenuhnya. Walaupun begitu, perhitungan risiko dapat diserahkan kepada ahli, manajemen cukup fokus
pada kerangka penanganannya.

Penilaian risiko dan penanganannya dapat dinilai dengan 3 tingkatan tadi atau secara ranking untuk
mempermudah pembuatan prioritas. Maka dari itu, manajemen dapat menetapkan strategi merespon
penilaian risiko tersebut secara efektif, tentunya penilaian dilakukan dengan riset yang menyeluruh dan
lengkap serta relevan.

COSO ERM Risk Response Elements

Penilaian harus dilakukan secara seksama, cermat, dan memberikan konsiderasi penuh terhadap dampak
terhadap tujuan perusahaan. Adapun respon terhadap risiko:
1. Penghindaran: biasa dilakukan dengan tidak mengambil proyek atau diserahkan ke unit lain
2. Pengurangan: biasa dilakukan dengan perencanaan seksama terkait pelaksanaan proyek
3. Penyebaran: biasa dilakukan dengan melakukan asuransi
4. Penerimaan: hanya melakukan proyek tanpa ada respon terhadap risiko

Perusahaan harus mengembangkan strategi respon risiko secara umum untuk tiap jenis risiko untuk
mempermudah penilaian. Pengembangan respon terhadap risiko memerlukan perencanaan dan pemikiran
strategi yang komprehensif. Hal ini ditujukan untuk menjadi dasar penilaian risiko.

COSO ERM Control Activities

Akitivitas kontrol adalah kebijakan dan prosedur yang diperlukan untuk memastikan penerapan tindakan
terhadap respons risiko yang teridentifikasi secara tepat waktu dan berjalan efektif. Aktivitas kontrol
berhubungan dengan strategi untuk merespon risiko, bahkan bisa terjadi untuk lintas fungsi di dalam
perusahaan.

COSO menyarankan pendekatan atas identifikasi, dokumentasi, pengujian, dan validasi kontrol. Adapun
langkah untuk melakukan identifikasi, asesmen, proses respon, dan pemantauan:
1. Mengembangkan pemahaman yang kuat mengenai risiko-risiko signifikan dan menetapkan
prosedur pengendalian untuk memantau atau memperbaikinya.
2. Membuat prosedur pengujian untuk menentukan apakah prosedur pengendalian terkait risiko
tersebut bekerja secara efektif.
3. Melakukan pengujian terhadap proses pemantauan risiko untuk menentukan apakah proses
tersebut berjalan efektif dan sesuai harapan.
4. Melakukan penyesuaian jika diperlukan untuk meningkatkan proses pemantauan risiko.

Keempat langkah tersebut harus dipantau dan direspon seperlunya. Beberapa kontrol terhadap langkah
tersebut seperti:
1. Pemisahan tugas: orang yang memulai transaksi tidak boleh menjadi orang yang sama yang
mengotorisasi transaksi tersebut.
2. Jejak audit: roses harus dapat dengan mudah ditelusuri kembali ke transaksi yang menciptakan
hasil tersebut.
3. Keamanan dan integritas: proses pengendalian harus memiliki prosedur pengendalian yang
sesuai sehingga hanya orang yang berwenang yang dapat meninjau atau memodifikasinya.
4. Dokumentasi: proses harus didokumentasikan dengan tepat.

Walaupun dapat diperluas area kontrol dan pemantauannya, direkomendasikan untuk menggunakan:
1. Ulasan tingkat atas. Manajemen senior harus sangat menyadari peristiwa risiko yang
teridentifikasi dalam unit organisasi dan melakukan tinjauan tingkat atas secara berkala terhadap
status risiko yang teridentifikasi.
2. Manajemen fungsional atau aktivitas langsung. Manajer unit fungsional dan langsung harus
memiliki peran kunci dalam pemantauan aktivitas pengendalian risiko. Hal ini sangat penting
ketika aktivitas pengendalian dilakukan dalam unit operasi yang terpisah, dengan kebutuhan akan
komunikasi dan resolusi risiko di seluruh saluran perusahaan.
 3. Pemrosesan informasi. Pemrosesan informasi merupakan komponen kunci dalam aktivitas
pengendalian terkait risiko suatu perusahaan. Prosedur pengendalian yang tepat harus ditetapkan
dengan penekanan pada proses dan risiko teknologi informasi perusahaan.
4. Kontrol fisik. Perusahaan harus menerapkan prosedur aktivitas pengendalian fisik berbasis risiko
yang sesuai.
5. Indikator kinerja. Perusahaanmenggunakan berbagai alat pelaporan keuangan dan operasional
yang dapat mendukung pelaporan kinerja terkait peristiwa risiko. Alat kinerja dapat dimodifikasi
untuk mendukung komponen aktivitas pengendalian ERM yang penting ini.
6. Pemisahan tugas. Tetap, orang yang memulai tindakan tertentu tidak boleh sama dengan orang
yang menyetujuinya.

COSO ERM Information and Communication

Komunikasi harus mempertimbangkan cakupan informasi dan keterhubungan komunikasi antar pihaknya
dalam mengimplementasikannya ke dalam sebuah prosedur atau aplikasi. Perencanaan dilakukan untuk
menjadi dasar sistem informasi, tetapi diperlukan beberapa penyesuaian untuk diimplemetasikan dalam
perusahaan. Semua informasi harus tersampaikan, terutama pada pemegang kepentingan.

COSO ERM Monitoring

Pemantauan diperlukan untuk memastikan bahwa sistem ERM yang telah diaplikasikan bekerja secara
efektif. Hal ini dapat dilakukan dengan melakukan tinjauan berkala dan penilaian setelah terjadi peristiwa
signifikan, termasuk
1. Penerapan mekanisme pelaporan manajemen yang berkelanjutan;
2. Proses pelaporan peringatan terkait risiko secara berkala yang memantau aspek-aspek utama dari
kriteria risiko yang telah ditetapkan;
3. Pelaporan status terkini dan berkala atas temuan terkait risiko dan rekomendasi dari laporan audit
internal dan eksternal;
4. Memperbarui informasi terkait risiko dari sumber seperti peraturan yang direvisi pemerintah, tren
industri, dan berita ekonomi umum.

Pemantauan evaluasi terpisah atau individual mengacu pada tinjauan rinci atas proses risiko individual
mencakup seluruh proses ERM untuk suatu unit perusahaan oleh peninjau yang berkualifikasi seperti
audit internal.
7.4 Other Dimensions of COSO ERM: Enterprise Risk Objectives
Operations RIsk Management Objectives
Mengikuti kerangka ERM tiga dimensi, objektif risiko tingkat operasi memerlukan
identifikasi risiko untuk setiap unit atau komponen perusahaan. Identifikasi objektif risiko
tingkat operasi ini sering kali memerlukan pengumpulan dan analisis informasi terperinci,
khususnya untuk perusahaan besar yang mencakup berbagai wilayah geografis, lini produk, atau
proses bisnis. Direct manager dari masing-masing unit biasanya memiliki pemahaman terbaik
mengenai risiko operasional mereka, dan informasi tersebut dapat hilang ketika dikonsolidasikan
untuk pelaporan tingkat yang lebih tinggi. Untuk mengumpulkan informasi latar belakang yang
lebih rinci mengenai potensi risiko operasi, informasi dapat dikumpulkan melalui tinjauan audit
internal atau survei terhadap orang-orang yang terkena dampak langsung oleh risiko-risiko
tersebut.
Apapun tingkat hierarki organisasi atau lokasi geografisnya, manajer di semua tingkat
harus menyadari bahwa mereka bertanggung jawab untuk menerima dan mengelola risiko dalam
unit operasional mereka sendiri. Pentingnya COSO ERM dan manajemen risiko operasi harus
dikomunikasikan ke seluruh tingkatan perusahaan. Auditor internal harus bertindak sebagai mata
dan telinga dan melaporkan semua risiko operasi yang diamati.

Reporting Risk Management Objectives

Tujuan ERM ini mencakup keandalan pelaporan suatu perusahaan, termasuk pelaporan
data keuangan dan nonkeuangan internal dan eksternal. Pelaporan yang akurat sangat penting
bagi keberhasilan suatu perusahaan dalam banyak dimensi. Apa pun industrinya, suatu
perusahaan menghadapi risiko besar akibat pelaporan yang tidak akurat di unit atau area mana
pun. Unit operasi harus memastikan bahwa hasil yang dilaporkan sudah benar sebelum
diteruskan ke tingkat berikutnya dalam organisasi, dan angka konsolidasi harus akurat, baik
dalam laporan keuangan, laporan pajak, atau berbagai bidang lainnya. Meskipun pengendalian
internal yang baik diperlukan untuk memastikan pelaporan yang akurat, ERM mengkhawatirkan
risiko otorisasi dan penerbitan laporan yang tidak akurat. Pengendalian internal yang kuat harus
meminimalkan risiko kesalahan, dan perusahaan harus selalu mempertimbangkan risiko yang
terkait dengan pelaporan yang tidak akurat. Risiko pelaporan yang tidak akurat harus menjadi
perhatian di semua tingkatan perusahaan.

Legal and Regulatory Compliance Risk Objectives

Semua perusahaan menghadapi berbagai persyaratan kepatuhan hukum dan peraturan,
yang sebagian berdampak pada hampir semua perusahaan dan sebagian lainnya hanya terkait
dengan satu unit bisnis di sektor industri khusus. Sifat risiko kepatuhan tersebut perlu
dikomunikasikan dan dipahami melalui seluruh tingkatan perusahaan. Ini adalah area di mana
suatu perusahaan dapat menerima tingkat risiko tertentu sehubungan dengan kekhawatirannya
mengenai kepatuhan hukum.
Perusahaan harus selalu mengambil pendekatan yang masuk akal terhadap risiko sesuai
dengan keseluruhan filosofi dan risk appetite. Untuk mengelola dan menetapkan tujuan risiko
hukum dan peraturan, dewan direksi, CEO dan anggota manajemen perlu memiliki pemahaman
tentang sifat dan tingkat seluruh risiko peraturan yang dihadapi perusahaan. Departemen hukum,
manajer kunci, audit internal, dan pihak lain dapat membantu mengumpulkan informasi ini.
Terdapat banyak risiko peraturan di tingkat perusahaan, mulai dari risiko besar hingga kecil,
namun risiko peraturan tidak pernah dianggap “kecil” ketika suatu perusahaan diketahui
melakukan pelanggaran terhadap salah satu risiko tersebut.
7.5 Entity-Level Risks
Pada dimensi ketiga dalam COSO ERM Framework, risiko harus dipertimbangkan dalam level organisasi
atau entitas. COSO ERM Framework membagi menjadi 4 bagian dalam kubus tersebut, yaitu entity-level,
division, business unit, dan subsidiary risk. Risiko COSO ERM perlu diidentifikasi dan dikelola dalam
masing-masing unit organisasi, termasuk risiko dalam organisasi secara keseluruhan, maupun secara
individual. COSO ERM tidak memberikan standar atau ketentuan mengenai seberapa banyak risiko dan
materialitas unit-level yang harus dipertimbangkan, tetapi setiap divisi dalam perusahaan harus berefleksi
terhadap ERM Framework dalam pencapaian objektifnya dan manajemen harus menetapkan risiko level
organisasi dalam tingkat detail yang dapat membantu pengelolaan risikonya.
7.6 Audit Risk and COSO ERM Processes
Kerangka COSO ERM menguraikan pendekatan manajemen risiko yang berlaku untuk
semua industri dan mencakup semua jenis risiko. Dengan fokusnya pada mengenali risk appetite
suatu perusahaan, kebutuhan untuk melihat portofolio risiko suatu perusahaan secara
keseluruhan, dan kebutuhan untuk menerapkan manajemen risiko dalam konteks penetapan
strategi secara keseluruhan.
Dengan fokus pada kerangka COSO ERM serta praktik manajemen risiko umum yang
baik, audit internal dapat memberikan layanan kepada perusahaan mereka dengan merencanakan
dan melakukan peninjauan terhadap proses manajemen risiko tingkat perusahaan. Baik bertindak
sebagai peninjau kontrol audit internal atau konsultan manajemen, auditor internal harus
mendapatkan pemahaman yang baik tentang kerangka COSO ERM. Selain itu, setiap tinjauan
audit internal terhadap proses ERM perusahaan harus direncanakan melalui pendekatan
perencanaan proyek audit internal berbasis risiko, dengan menggunakan beberapa alat berikut:
- Diagram alur proses. Sebagai bagian dari setiap proses ERM yang teridentifikasi,
diagram alur proses dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi di suatu perusahaan. Hal ini memerlukan peninjauan terhadap dokumentasi
yang disiapkan untuk proses terkait risiko, menentukan apakah dokumentasi tersebut
benar berdasarkan kondisi saat ini, dan menjelaskan kecukupan keseluruhan dari semua
tingkat proses risiko perusahaan.
- Tinjauan materi risiko dan pengendalian. Proses ERM sering kali menghasilkan
sejumlah besar materi panduan, prosedur terdokumentasi, format laporan, dan sejenisnya.
Seringkali ada manfaat bagi audit internal untuk meninjau materi risiko dan pengendalian
dari perspektif efektivitas.
- Benchmarking. Meskipun istilah ini sering disalahgunakan, benchmarking di sini adalah
proses melihat fungsi-fungsi di lingkungan lain untuk menilai operasinya dan
mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik dari lingkungan
lain. Meskipun pengumpulan informasi komparatif seringkali merupakan tugas yang sulit
karena keengganan perusahaan pesaing untuk membagikannya, kepatuhan terhadap moto
dan tradisi “Progress Through Sharing” IIA harus mendorong praktik ini.
- Kuesioner. Sebuah metode yang baik untuk mengumpulkan informasi mengenai
efektivitas ERM dari banyak orang, kuesioner dapat dikirim ke pemangku kepentingan
yang ditunjuk dengan permintaan informasi spesifik.

Audit internal harus mempertimbangkan efektivitas proses COSO ERM di

perusahaannya, mengumpulkan data implementasi yang terperinci, dan kemudian menilai
efektivitas COSO ERM secara keseluruhan di perusahaan dengan tujuan sebagai alat untuk
mendukung dan meningkatkan pengendalian internal SOx dan COSO. Gambar 7.10 memberikan
panduan untuk mengaudit dan menilai status proses COSO ERM. Area mana pun yang
prosesnya tampak lemah harus menjadi sinyal peringatan bagi manajemen senior.
 Corporate Governance
Chapter 25
25.1 Role of The Audit Committee
Untuk menjalankan internal audit yang efektif, dibutuhkan otorisasi dan persetujuan dari audit committee.
Audit Committee memberikan otorisasi yang luas untuk fungsi internal audit seperti persetujuan rencana
internal audit melalui audit charter document formal. Anggota dari komite audit harus berasal dari luar
Board of Directors agar memiliki independensi dari manajemen perusahaan. Anggota juga harus
memahami, dapat memonitor, berkoordinasi, dan menginterpretasi internal control dan aktivitas finansial
sesuai dengan peraturan SOx untuk board of directors perusahaan. Untuk memenuhi tanggung jawabnya
kepada board of directors, pemegang saham, dan publik, komite audit harus membuat dan mengelola
fungsi internal audit yang independen.
Internal auditor memiliki tanggung jawab yang berbeda dari auditor eksternal karena harus
menilai internal control perusahaan, apakah operasional perusahaan efektif dan efisien serta memastikan
kepatuhan pada kebijakan dan peraturan. Sebelum SOx, tanggung jawab audit komite terbatas pada
mengikuti quarterly brief session yang hanya menyetujui perencanaan eksternal auditor dan menilai
aktivitas internal audit hanya sebagai perfunctory basis. Peraturan New York Stock Exchange (NYSE)
sebelum SOx mengharuskan anggota komite audit harus berasal dari luar directors. Walaupun begitu,
banyak anggota komite audit yang memiliki relasi dengan anggota direksi perusahaan sehingga tidak bisa
dibuktikan independensinya.
Skandal finansial yang terjadi pada awal abad ini, seperti runtuhnya Enron, menyoroti kurangnya
tindakan independen dalam tata kelola perusahaan oleh dewan direksi dan komite audit. Komite audit
Enron sering dikritik karena minimnya keterlibatan dan perhatian, dengan hanya bertemu selama sekitar
30 menit per kuartal sebelum kejatuhan perusahaan. Sebelum kejatuhan Enron, SEC sudah tertarik untuk
melihat komite audit bertindak lebih independen dan efektif dalam mengelola auditor eksternal dan
internal sebuah perusahaan. Berbagai inisiatif seperti pembentukan Komite Pita Biru untuk Meningkatkan
Efektivitas Komite Audit Perusahaan dilakukan untuk meningkatkan independensi, operasi, dan
efektivitas komite audit. Namun, kegagalan finansial setelahnya menunjukkan bahwa inisiatif-inisiatif
sebelumnya tidak cukup, sehingga munculnya peraturan seperti Sarbanes-Oxley (SOx). Saat ini, komite
audit memiliki tanggung jawab yang jauh lebih luas, dan internal audit memiliki tanggung jawab yang
lebih besar dalam melayani komite audit. Penting bagi seluruh auditor internal untuk memahami
hubungan yang sangat penting ini.

25.2 Audit Committee Organization and Charters

Komite audit merupakan komponen dari dewan direksi dengan tanggungjawab kontrol internal
dan pemantauan pelaporan keuangan. Anggota komite audit harus independen tanpa memiliki relasi
dengan manajemen perusahaan. Komite audit akan mengadakan rapat dan sesekali akan mengundang
jajaran dewan untuk melaporkan hasilnya secara langsung. Komite audit berjalan dengan dasar piagam
komite audit.
Piagam komite audit menjelaskan mengenai tanggung jawab komite audit, antara lain:
1. Menentukan bahwa pengendalian internal perusahaan efektif dan secara formal
melaporkan status pengendalian tersebut setiap tahun dengan pembaruan triwulanan.
2. Merekomendasikan auditor eksternal untuk dipilih setiap tahun melalui pemungutan
suara oleh pemegang saham.
3. Mengambil tindakan, jika diperlukan, terhadap kelemahan pengendalian signifikan yang
dilaporkan oleh audit internal, auditor eksternal, dan pihak lain.
4. Menyetujui rencana dan anggaran tahunan yang diajukan oleh auditor eksternal.
5. Menyetujui rencana audit tahunan yang akan disampaikan oleh auditor luar maupun audit
internal.
6. Menyetujui penunjukan dan masa jabatan Kepala Eksekutif Audit Internal Audit.
 7. Menyetujui rencana audit internal tahunan dan merekomendasikan area untuk pekerjaan
audit internal tambahan jika diperlukan.
8. Menelaah dan mendistribusikan laporan keuangan auditan yang diserahkan oleh auditor
luar.
9. Membangun program pelapor pelanggaran perusahaan yang memungkinkan pejabat,
karyawan, dan pemangku kepentingan lainnya untuk melaporkan kesalahan akuntansi
keuangan atau tindakan yang tidak pantas dan untuk menyelidiki dan menyelesaikan
panggilan pelapor tersebut tanpa imbalan apa pun kepada pelapor asli.
10. Menyebarkan Kode Etik kepada pejabat senior dan mendapatkan persetujuan mereka
setiap triwulan.
11. Memulai tindakan yang tepat berdasarkan rekomendasi auditor luar atau Direktur Audit
Internal.
12. Menyimpan catatan kegiatan konsultasi lainnya sebagaimana diamanatkan oleh
Sarbanes‐Oxley Act
13. Melakukan rapat rutin dengan audit internal dan/atau dewan perusahaan

Piagam komite audit bertujuan untuk menjelaskan tanggung jawab komite audit, antara lain:
1. Identifikasi, penilaian, dan pengelolaan risiko dan ketidakpastian keuangan
2. Perbaikan sistem keuangan yang berkelanjutan
3. Integritas laporan keuangan dan pengungkapan keuangan
4. Kepatuhan terhadap persyaratan hukum dan peraturan
5. Kualifikasi, independensi, dan kinerja auditor luar yang independen
6. Kemampuan, sumber daya, dan kinerja departemen audit internal
7. Komunikasi penuh dan terbuka dengan dan di antara akuntan independen, manajemen,
auditor internal, penasihat, karyawan, komite audit, dan dewan

Piagam komite audit biasanya berisikan:

1. Tujuan dan wewenang komite audit
2. Komposisi komite audit
3. Jadwal rapat
4. Prosedur komite audit
5. Kegiatan utama komite audit:
a. Tata kelola perusahaan
b. Pelaporan publik
c. Akuntan independen
d. Audit dan akuntansi
e. Aktivitas lain
6. Kegiatan diskresi:
a. Akuntan independen
b. Audit internal
c. Akuntansi
d. Kontrol dan sistem
e. Pelaporan publik
f. Tanggung jawab pengawasan kepatuhan
g. Penilaian risiko
h. Tanggung jawab pengawasan keuangan
i. Tunjangan karyawan merencanakan tanggung jawab fidusia investasi
7. Keterbatasan komite audit
25.3 Audit Committee’s Financial Expert and Internal Audit
Seorang ahli keuangan bisa menjadi sekutu yang paling dekat dengan komite audit internal, dan
bisa menjadi titik awal bagi CAE (Chief Audit Executive) untuk mengikat audit internal dengan komite
audit. Anggota komite audit yang terlibat saat ini dan ahli keuangan, berada dalam situasi menantang
dengan mandat hukum serta tekanan tinggi. SOx telah menyebabkan banyak perubahan dalam tata kelola
perusahaan, dewan direksi, dan komite audit. Dalam banyak situasi, CAE dan audit internal dapat menjadi
benang merah unik dalam kontinuitas tata kelola perusahaan, dan audit internal dapat membantu komite
audit dalam era baru ini melalui pendekatan tiga langkah:
1. Melalui laporan dan presentasi, memberikan rangkuman rinci tentang proses audit internal saat ini
untuk penilaian risiko, perencanaan dan pelaksanaan audit, serta pelaporan hasil melalui laporan
audit.
2. Bekerja dengan sumber daya manusia dan sumber daya lainnya, untuk menyajikan rencana
kepada komite audit untuk membantu meluncurkan program etika dan pelapor pelanggaran yang
dibutuhkan oleh SOx.
3. Mengembangkan rencana rinci untuk meninjau dan menilai kontrol internal dalam perusahaan.
Audit internal harus mampu untuk menjelaskan proses dan prosedurnya kepada komite audit,
dewan direksi secara keseluruhan, dan kepada manajemen senior dengan penekanan pada persyaratan
audit internal SOx. Setelah presentasi ini diluncurkan, hal tersebut harus menjadi bagian dari proses
perencanaan audit internal tahunan dengan perubahan yang dilaporkan secara berkelanjutan. Namun,
sebelum meluncurkan presentasi, audit internal tetap harus menjalani proses internalnya sendiri dan
melakukan penilaian atas praktik audit internal saat ini, dan dilakukan untuk memperlihatkan ruang yang
memerlukan peningkatan audit internal. Gambar dibawah ini menunjukkan survei penilaian pemeriksaan
kesehatan audit internal yang dapat diperluas atau dimodifikasi tergantung pada kondisi saat ini.

Setelah audit internal melakukan asesmen di atas, proses audit dan kegiatan lainnya harus
dipresentasikan kepada komite audit serta dewan direksi dan manajemen secara keseluruhan. Hal ini
dilakukan untuk memastikan bahwa semua pihak mengetahui proses audit internal serta masalah yang
sedang berlangsung.

25.4 Audit Committee Responsibilities for Internal Audit

Komite audit memiliki tanggung jawab terhadap fungsi audit internal sebuah perusahaan. Fungsi
audit internal modern seharusnya memiliki hubungan yang aktif yang ditentukan dalam piagam dengan
komite audit perusahaan. Piagam ini secara spesifik menjelaskan mengenai hubungan dengan audit
internal dan umumnya mengharuskan komite audit untuk:
 1. Meninjau sumber daya, rencana, aktivitas, staf, dan struktur organisasi dari audit internal.
2. Meninjau penunjukan, kinerja, dan penggantian CAE.
3. Meninjau semua audit dan laporan yang disiapkan oleh audit internal bersama dengan tanggapan
manajemen.
4. Meninjau dengan manajemen, CAE, dan akuntan independen mengenai kecukupan sistem
pelaporan keuangan dan kontrol internal. Tinjauan tersebut harus berisi cakupan dan hasil dari
program audit internal serta kerjasama yang diberikan atau batasan, jika ada, yang diberlakukan
oleh manajemen pada pelaksanaan program audit internal.
Hasil tinjauan ini telah menjadi bagian dari hubungan antara internal audit dan komite audit,
tetapi keberadaan piagam komite audit ini mematenkan susunan yang ada. Selanjutnya, SOx mewajibkan
audit internal untuk menyediakan informasi mengenai semua laporan audit dan tanggapan manajemen
yang mendukungnya kepada komite audit. Komite audit harus menerima informasi detail tentang semua
audit yang dilakukan. Meskipun terdapat laporan ringkasan, laporan lengkap tetap harus disediakan.

Appointment of The Chief Audit Executive

CAE memiliki tugas untuk melaporkan administrasi kepada manajemen perusahaan dan komite
audit sendiri bertugas untuk merekrut atau memberhentikan CAE. Selain itu, komite kompensasi dewan
juga dapat terlibat jika CAE ditunjuk sebagai pejabat perusahaan. Tujuan dari hal ini adalah untuk
memastikan keindependensian fungsi audit internal ketika ada isu terkait reviu atau kontrol internal.
Dalam memilih CAE, komite audit akan melakukan reviu dan wawancara. Sementara itu,
manajemen akan melakukan konsultasi dengan komite audit. Manajemen juga dapat merekomendasikan
untuk melakukan outsource, tapi keputusan akhir tetap berada di tangan komite audit. Meskipun begitu,
komite audit tidak akan ikut campur dalam kegiatan administrasi CAE dan fungsi audit internal lainnya,
tetapi mereka akan tetap menjamin kualitas dari fungsi tersebut. Untuk melakukan hal tersebut, komite
audit bergantung pada manajemen untuk detail-detail dari kegiatan yang ada. Maka dari itu, CAE juga
harus mendengarkan permintaan dari dari pihak manajemen.

Approval of Internal Audit Charter

Piagam audit internal merupakan dasar atau otorisasi untuk setiap program audit internal yang
efektif. Piagam yang memadai penting untuk menentukan peran dan tanggung jawab audit internal serta
keterkaitannya dengan komite audit dan manajemen senior. Piagam ini juga harus jelas memberikan
pelayanan kepada komite audit dan manajemen senior serta menjelaskan standar yang diikuti. Hubungan
yang baik antara komite audit dan audit internal juga penting untuk memastikan masalah yang signifikan
atau masalah kontrol internal dapat diatasi dengan cepat dan efektif.
Komite audit bertanggung jawab untuk menyetujui piagam audit internal ini, sama seperti tugas
dewan direksi untuk menyetujui piagam komite audit. Siapa yang bertanggung jawab untuk menyusun
piagam audit internal ini? Secara teori, mungkin saja komite audit menyusun dokumen ini sebagai
aktivitas komite dewan. Namun, pada kenyataannya, CAE biasanya akan memimpin penyusunan piagam
ini dan/atau menyarankan pembaruan yang tepat pada piagam yang sudah ada kepada ketua komite audit.
Meskipun piagam audit internal memberikan otorisasi atas pekerjaan yang harus dilakukan, CAE
biasanya yang akan mengambil peran utama dalam menyusun dokumen ini. Selain itu, sifat dan ruang
lingkup tanggung jawab pelayanan audit internal kepada komite audit harus diformalkan dan dijelaskan
secara jelas. Pernyataan piagam audit internal tentang hubungan audit internal dengan komite audit ini
sangat penting karena audit internal juga memiliki hubungan pelaporan khusus di dalam perusahaan.
Kebutuhan akan piagam audit internal yang memadai kadang-kadang diabaikan oleh manajemen
perusahaan dengan alasan tidak ada pembatasan pada kemandirian audit internal, namun piagam audit
internal yang kuat dan disetujui oleh komite audit merupakan ketentuan penting dari tata kelola
perusahaan.

Approval of Internal Audit Plans and Budgets

 Komite audit secara ideal harus telah mengembangkan keseluruhan pemahaman dari total
kebutuhan audit dari perusahaan. Penilaian tingkat tinggi ini mencakup beragam pengendalian khusus dan
isu laporan keuangan, mengizinkan komite audit untuk menentukan porsi dari audit atau risk assessment
harus dikerjakan oleh entah internal ataupun provider lainnya. Komite audit bertanggung jawab untuk
meninjau dan menyetujui seluruh internal control mengenai higher-level plans and budgets. Tanggung
jawab ini konsisten dengan perannya sebagai koordinator langsung dari upaya total audit tersebut. Ketika
manajemen dapat memiliki ide-idenya sendiri tentang total audit effort dan bagaimana hal tersebut harus
dibawakan, dan CAE memiliki pandangan terhadap kebutuhan apa yang harus diselesaikan., ini adalah
tanggung jawab komite audit. Hal tersebut esensial dimana berbagai pandangan dari pihak utama secara
bersama dipertimbangkan dan secara tepat direkonsiliasi.
Peninjauan seluruh internal audit plans oleh komite itu esensial jika kebijakan dan rencana untuk
masa depan ditentukan secara paling efektif. Meskipun audit internal harus melaporkan kegiatannya
kepada komite audit, summary reporting dari aktivitas masa lalu memberikan kesimpulan atas area masa
lalu untuk penekanan audit sebagaimana meng-highlight beberapa potential gaps di dalam audit
coverage.
Di beberapa perusahaan, annual audit plan dikembangkan melalui analisis risiko audit internal
dan diskusi bersama dengan manajemen senior dan komite audit. Manajemen dan komite dapat
menyarankan area area yang berpotensi untuk dilakukan peninjauan audit internal, dan audit internal
harus mengembangkan rencana dengan batas anggaran dan keterbatasan sumber daya. Jika komite audit
sudah menyarankan peninjauan dari area yang terspesialisasi tapi audit internal tidak mampu mengerjakan
planned audit karena constraints yang diketahui, CAE harus memperjelas komunikasi kalau adanya
defisiensi kepada komite audit.

25.5 Audit Committee Review and Action on Significant Audit Findings

Tanggung jawab komite audit yang paling penting adalah meninjau dan mengambil
tindakan atas temuan audit signifikan yang dilaporkan oleh auditor internal dan eksternal,
manajemen, dan pihak lain. Adapun audit internal perlu melaporkan semua temuan penting
kepada komite audit secara teratur dan cepat. Hal ini sebagian akan terjadi melalui
pendistribusian seluruh laporan audit oleh audit internal kepada komite audit sebagai bagian dari
persyaratan Sarbanes-Oxley act. Audit internal dan pihak lain tidak boleh menyaring temuan
audit dan hanya memberi tahu komite audit apa yang mereka rasa “signifikan,” kepentingan dan
efisiensi semua pihak akan terlayani dengan lebih baik jika audit internal secara teratur
melaporkan temuan audit yang signifikan, serta status dan disposisi temuan tersebut. Gambar
25.5 adalah contoh laporan temuan penting dari perusahaan contoh Produk Komputer Global
kami.
Merespon temuan audit yang signifikan memerlukan kombinasi pemahaman, kompetensi,
dan kerja sama dari semua pihak yang berkepentingan—audit internal, manajemen, auditor
eksternal, dan komite audit itu sendiri. Dalam wilayah tanggung jawabnya, audit internal harus
bertindak agresif tidak hanya melaporkan temuan-temuan signifikan dan berhenti di situ, namun
juga melakukan tindakan pemantauan berkelanjutan untuk menilai apakah tindakan perbaikan
yang tepat telah diambil.
25.6 Audit Committee and Its External Auditor
Komite audit memiliki tanggung jawab untuk hiring perusahaan audit eksternal,
menyetujui usulan anggaran dan rencana audit, dan merilis laporan keuangan yang telah diaudit.
Sebagaimana dibahas dalam Bab 5 tentang penilaian pengendalian internal SOx Bagian 404,
auditor eksternal tidak lagi dapat melakukan dan menyetujui penilaian pengendalian internal dan
juga tidak ada badan konsultan dari kantor akuntan publik yang diizinkan untuk menginstal
aplikasi keuangan yang akan tunduk pada tinjauan audit eksternal. Kantor akuntan publik besar
tidak lagi memiliki divisi konsultasi ini, dan kantor akuntan publik dilarang melakukan
outsourcing jasa audit internal untuk perusahaan yang mereka audit.
SOx mengharuskan komite audit menyetujui semua layanan audit eksternal, termasuk
comfort letter, serta layanan nonaudit apa pun yang diberikan oleh auditor eksternal. Auditor
eksternal masih diperbolehkan untuk memberikan jasa perpajakan serta pengecualian layanan de
minimus tertentu, namun mereka dilarang memberikan jasa nonaudit berikut bersamaan dengan
audit laporan keuangannya:
● Pembukuan dan jasa lain yang berkaitan dengan catatan akuntansi atau laporan keuangan
klien audit
● Desain dan implementasi IT keuangan
● Layanan appraisal atau valuation, opini kewajaran, atau laporan kontribusi dalam bentuk
natura
● Layanan outsourcing audit internal
● Fungsi manajemen atau kegiatan pendukung sumber daya manusia
● Pialang atau dealer, penasihat investasi, atau layanan perbankan investasi
● Jasa hukum dan jasa ahli lainnya yang tidak berkaitan dengan audit
● Jasa lain apa pun yang ditetapkan oleh Dewan Pengawas Akuntansi Perusahaan Publik
tidak diperbolehkan. Meskipun auditor eksternal dilarang melakukan aktivitas ini,
perusahaan masih perlu mengontrak dan memperoleh banyak dari jenis layanan ini. Hal
ini harus diperlakukan sebagai perjanjian kontrak khusus, yang dilaporkan sebagai bagian
dari laporan keuangan tahunan. Meskipun perusahaan audit eksternal sebaiknya tidak
terlibat dengan jasa non-audit tersebut, audit internal harus mempertimbangkan untuk
menawarkan jasanya jika diperlukan dan konsisten dengan piagam audit internal.
25.7 Whistleblower Programs and Codes of Conduct
Peraturan SOx menyatakan bahwa komite audit harus menetapkan prosedur untuk penerimaan,
penyimpanan, dan penanganan laporan pelanggaran terkait akuntansi, kontrol internal, atau
masalah audit. Dokumentasi ini penting karena harus disimpan dengan aman dan rahasia. Kepala
Audit Eksekutif (CAE) dan penasihat hukum perusahaan seringkali menjadi penghubung
non-CEO dan CFO antara komite audit dan perusahaan. Audit internal harus menawarkan
jasanya kepada komite audit, seringkali kepada penasihat keuangan yang ditunjuk, untuk
menetapkan prosedur dokumentasi dan komunikasi dalam area berikut:
● Pencatatan Laporan Pelanggaran
SOx mewajibkan komite audit untuk membentuk program pelaporan pelanggaran formal
tempat karyawan dapat melaporkan kekhawatiran mereka tentang masalah audit dan
kontrol yang tidak tepat tanpa takut dibalas. Perusahaan besar mungkin sudah memiliki
fungsi etikadi mana masalah ini dapat ditangani dengan aman. Ketika perusahaan kecil
tidak memiliki sumber daya tersebut, audit internal harus menawarkan fasilitasnya untuk
mencatat komunikasi pelaporan pelanggaran tersebut, mencatat tanggal, waktu, dan nama
penelepon untuk penyelidikan dan penyelesaian. Mengingat pengalaman menangani
laporan audit internal yang aman, audit internal seringkali menjadi sumber daya terbaik
dalam perusahaan untuk menangani masalah tersebut. Bagaimanapun, SOx memberikan
tanggung jawab kepada komite audit untuk meluncurkan dan mengelola program
pelaporan pelanggaran tersebut.
● Penyelesaian Masalah Pelaporan Pelanggaran
Lebih penting daripada mencatat panggilan pelaporan pelanggaran awal, dokumentasi
harus dipelihara untuk mencatat sifat dari setiap penyelidikan lanjutan dan penyelesaian
terkait. Meskipun program pelaporan pelanggaran yang diwajibkan SOx tidak memiliki
program hadiah uang tunai, dokumentasi lengkap yang mencakup tindakan yang diambil
serta penghematan bersih harus dipelihara. Sekali lagi, dengan tradisinya menangani
masalah rahasia, audit internal harus menawarkan untuk memberikan layanan yang aman
dan rahasia di sini. Ini bisa menjadi aktivitas yang sangat penting, karena jika seorang
karyawan melaporkan masalah pelanggaran di mana kemudian terbukti bahwa informasi
yang dilaporkan ini keluar dan pelapor menjadi sasaran pembalasan, karyawan yang
melaporkan dapat mengambil tindakan hukum terhadap perusahaan.
● Kode Etik
SOx memberikan tanggung jawab kepada komite audit untuk menerapkan kode etik bagi
pejabat senior perusahaan seperti CEO dan CFO. Konsepnya adalah untuk menguraikan
serangkaian aturan untuk perilaku yang tepat dan meminta pejabat senior ini untuk
mengakui bahwa mereka telah membaca, memahami, dan setuju untuk mematuhinya.
Audit internal harus memainkan peran utama dalam membantu komite audit untuk
menerapkan program tersebut, tidak hanya untuk sekelompok kecil pejabat senior tetapi
untuk seluruh perusahaan

25.8 Other Audit Committee Roles

Audit internal dapat membantu komite audit dalam menangani berbagai tugas administratif
terkait SOx. Dalam lingkungan regulasi yang semakin kompleks, audit internal dapat menjadi
sekretaris bagi komite audit, membantu dalam mendokumentasikan dan menangani masalah
akuntansi dan audit. Meskipun anggota komite audit mungkin sedikit dan terdiri dari individu
yang sibuk, audit internal, dipimpin oleh Kepala Audit Eksekutif (CAE), dapat menyediakan
sumber daya alami untuk mendukung komite audit. Terutama di bawah SOx, di mana komite
audit memiliki tanggung jawab baru yang signifikan, audit internal memiliki kesempatan untuk
memfasilitasi peran tersebut melalui komunikasi erat dan tawaran bantuan dalam tugas
dokumentasi komite audit. Meskipun tantangan dan peluang hadir dengan harapan sosial dan
perubahan dalam tugas komite audit, audit internal dapat menjadi mitra yang berharga.
 Fraud Detection and Prevention
Chapter 27
27.1 Understanding and Recognizing Fraud
Definisi fraud berdasarkan Common Law
“Memperoleh uang atau properti dengan cara menggunakan token, simbol, atau perangkat
palsu." Dengan kata lain, seseorang secara tidak sah mengotorisasi dokumen tertentu yang
menyebabkan transfer uang.

Detection and Investigation of Fraud through Internal Control

Untuk mendeteksi fraud, internal control harus diimplementasikan sepenuhnya dan dimonitor
secara rutin agar dapat segera dicegah dan dideteksi kerugian yang diakibatkan dari fraud
tersebut. Internal auditor memiliki tanggung jawab untuk melakukan investigasi untuk
menentukan menentukan sejauh mana fraud yang dilaporkan. Dalam situasi lain, internal auditor
menemukan tindakan fraud melalui scheduled audits dan menginvestigasinya agar dapat
dilaporkan ke manajemen senior, penasihat perusahaan, atau otoritas legal.

Increased Responsibilities of Internal Auditor

Internal auditor memiliki tanggung jawab yang semakin bertambah untuk mendeteksi
kecurangan dalam kegiatan peninjauan mereka serta merekomendasikan kontrol yang tepat untuk
mencegah kecurangan di masa depan. Materi panduan bersama tentang dampak kecurangan
dalam audit juga telah dirujuk oleh materi panduan sebelumnya dari AICPA, IIA, dan ACFE
mengenai pentingnya pertimbangan kecurangan bagi auditor internal dan pihak lainnya.

27.2 Red Flags: Fraud Detection Signs for Internal Auditor

Banyak kegiatan fraud diidentifikasi dengan mudah setelah fraud terungkap. Internal
auditor dan manajemen harus melihat indikator terkait fraud dengan sikap skeptis. Indikator ini
disebut dengan ‘Red Flags’.
Contoh perusahaan yang terungkap tindakan fraudnya adalah Healthsouth. Healthsouth
melaporkan pendapatan fiktif yang tinggi sebesar $1.4 miliar dalam periode 6 tahun untuk
memenuhi estimasi analis investasi serta menjaga harga saham yang tinggi. Red flags yang
ditemukan adalah
1. Pendapatan sebelum pajak Healthsouth pada tahun 2020 meningkat hingga $559 juta
padahal penjualan hanya tumbuh sebesar 3%. Pendapatan tersebut meningkat pada tahun
2001 dengan persentase pertumbuhan penjualan yang kecil juga yaitu sebesar 8%.
2. Pada tahun 2002, Internal auditor tidak diberikan akses untuk laporan keuangan utama
perusahaan. Internal auditor telah melaporkan indikasi ini ke auditor eksternal dan komite
audit, tetapi tidak digubris oleh kedua pihak.
3. CEO Healthsouth menghabiskan waktunya menonton pertandingan olahraga dan konser,
serta membayarkan staf manajemen untuk pergi dan mengundang atlet bintang untuk
bekerja dengan perusahaan.

Acara sosial yang disponsori oleh perusahaan menimbulkan pertanyaan tentang

bagaimana perusahaan mengelola sumber dayanya daripada menunjukkan adanya kecurangan.
Namun, jenis kegiatan seperti itu bisa mencurigakan. Di HealthSouth, seorang mantan karyawan
mengirimkan email kepada auditor eksternal menyarankan mereka untuk memeriksa tiga akun
 tertentu untuk aktivitas penipuan. Ini lebih dari sekadar tanda bahaya; ini adalah upaya untuk
melakukan whistle-blowing.
Apa yang kami sebut red flags di sini adalah sinyal peringatan bagi pengamat yang tidak
terlibat ada yang tidak beres. Peningkatan besar dalam keuntungan yang dilaporkan dengan tidak
sebanyak itu peningkatan penjualan unit mungkin terdengar bagus dan sangat masuk akal.
Namun, kapan dihadapkan dengan jenis data atau indikator red flags ini, auditor atau pemeriksa
kecurangan harus bertanya pertanyaan “Tampaknya ini tidak biasa—bagaimana bisa begitu?”.
red flags biasanya merupakan indikasi pertama dari potensi penipuan. Berikut adalah beberapa
contoh red flags yang berpotensi adanya aktivitas fraud, aktivitas ini diadopsi dari website
AICPA:
a. Kurangnya kebijakan perusahaan tertulis dan prosedur operasi standar
b. Kebijakan pengendalian intern yang lemah, terutama dalam pembagian tugas
c. Cek tulisan tangan di lingkungan komputer
d. Pemindahan aset pribadi yang tidak biasa
e. Dan lain-lain
Untuk membantu mendeteksi penipuan, auditor perlu memiliki pemahaman tentang
mengapa orang melakukan tipuan. Suatu perusahaan dapat menampilkan bendera merah yang
dijelaskan di bagian sebelumnya, tetapi itu akan tidak harus tunduk pada kegiatan penipuan
kecuali satu atau lebih karyawan memutuskan untuk melakukannya terlibat dalam penipuan. Ini
semua adalah alasan di mana kontrol internal yang kuat ada dan kecurangan hanya dilakukan
oleh satu orang. Deteksi penipuan jauh lebih sulit ketika ada kolusi antara beberapa orang. Selain
itu auditor internal terkadang gagal dalam mendeteksi fraud dikarenakan beberapa hal yaitu:
a. Ada keengganan untuk mencari fraud
b. Terlalu banyak kepercayaan ditempatkan pada auditee
c. Tidak cukup penekanan ditempatkan pada masalah penipuan potensial dalam temuan
audit
d. Kekhawatiran penipuan sering menerima dukungan yang tidak memadai dari manajemen
e. Auditor terkadang gagal untuk fokus pada area penipuan berisiko tinggi.
27.3 Public Accounting’s Role in Fraud Detection
Pembahasan mengenai tanggung jawab auditor eksternal dalam mendeteksi penipuan
dalam laporan keuangan telah berlangsung lama. Pernyataan pertama AICPA tentang Standar
Audit (SAS No.1) menyatakan bahwa auditor eksternal hanya bertanggung jawab untuk
menentukan apakah laporan keuangan sudah disajikan secara benar, dan tidak ada tanggung
jawab untuk mendeteksi kesalahan atau penipuan. Standar audit ini tidak berubah sampai 1997
ketika tanggung jawab mengenai penipuan direvisi pada SAS No. 82 menjadi: “Auditor memiliki
tanggung jawab untuk merencanakan dan melakukan audit untuk mendapatkan keyakinan yang
jelas apakah laporan keuangan bebas dari kesalahan saji material, baik disebabkan oleh
kesalahan atau penipuan.” Hal ini direvisi, tapi standar yang lebih ketat dikeluarkan, ketika
masyarakat dinilai lebih fokus kepada keberhasilan investasi daripada penipuan.
Pada awal abad ke-21 dengan kegagalan yang terjadi pada Enron, WorldCom, dan
beberapa perusahaan lain, kekhawatiran mengenai penipuan berubah. Kemudian, AICPA merilis
SAS No.99 pada Desember 2002 mengenai tanggung jawab auditor untuk mendeteksi penipuan
pada pelaporan keuangan. Pada masa ini, diganti menjadi standard AU-C section 240, yang
menyatakan bahwa auditor eksternal bertanggung jawab untuk memberikan keyakinan yang jelas
bahwa laporan keuangan yang sudah diaudit bebas dari kesalahan saji yang material, baik
disebabkan oleh kesalahan dan penipuan.”. Standar akuntansi publik ini meminta auditor
eksternal untuk memiliki sikap skeptis dan profesional terhadap kemungkinan penipuan dan
mengesampingkan segala kepercayaan mengenai kejujuran manajemen agar bisa bertukar ide
bagaimana penipuan bisa terjadi di perusahaan yang mereka audit. Diskusi ini harus
mengidentifikasi risiko penipuan dan harus mengingat karakteristik munculnya penipuan:
insentif, kesempatan, dan kemampuan untuk rasionalisasi. Melalui diskusi ini, tim audit eksternal
harus bisa membuat rancangan tes audit yang responsif terhadap risiko penipuan.
Selanjutnya, tim auditor eksternal diharapkan untuk melakukan wawancara kepada
manajemen dan karyawan lain di perusahaan mengenai persepsi mereka terhadap risiko penipuan
dan apakah mereka mengetahui adanya penyelidikan penipuan yang sedang berlangsung atau
masalah terbuka lainnya. Auditor eksternal harus memberikan kesempatan dan mendorong
mereka untuk menyampaikan kebenaran. Selama proses audit eksternal, tim keterlibatan audit
harus merancang tes yang tidak dapat diprediksi oleh klien. Selain standar audit mengenai
deteksi penipuan yang ketat, AICPA telah mengambil langkah untuk membantu auditor eksternal
agar lebih cepat dalam menangkap situasi yang mendorong penipuan dan memberikan edukasi
melalui materi dan studi kasus. Contohnya, pada gambar di bawah ini yang menunjukkan
checklist untuk auditor mengenai penyalahgunaan aset.
 Dari organisasi audit dan akuntan profesional yang menghindari keterlibatan pada
pencegahan penipuan dan deteksi bertahun-tahun, Standar Akuntansi AICPA mengenai penipuan
dan panduan anti-penipuan telah meningkatkan standar untuk seluruh akuntan publik
bersertifikat (CPA). Auditor internal akan menemukan panduan audit mengenai penipuan lebih
banyak di masa depan.
27.4 IIA Standards for Detecting and Investigating Fraud
Auditor internal sering kali mempunyai posisi yang lebih baik dalam mendeteksi
kecurangan dalam operasional perusahaan dibandingkan auditor eksternal. Hanya melalui
pengamatan mereka sendiri, auditor internal mungkin berada dalam posisi yang lebih baik untuk
melihat tanda bahaya yang dapat dengan mudah terlewatkan oleh auditor eksternal, meskipun
ada standar penipuan AICPA.
Auditor internal menghadapi banyak masalah kesadaran dan potensi masalah penipuan
dalam peninjauan terjadwal mereka. Mereka juga biasanya terlibat dalam tinjauan tingkat
transaksi yang jauh lebih rinci dibandingkan rekan audit eksternal mereka dan lebih sering
melihat dokumen atau transaksi yang meragukan. Jika manajemen merasa mungkin ada potensi
penipuan di beberapa unit perusahaan, langkah pertama yang harus dilakukan adalah
menghubungi audit internal, yang juga memiliki koneksi dan komunikasi dengan departemen
hukum perusahaan mereka. Mereka dapat mendiskusikan potensi kekhawatiran apa pun di sana
dan mendapatkan pendapat cepat mengenai apakah suatu kekhawatiran memerlukan perhatian
lebih. Jika ada tanda-tanda kuat adanya penipuan aktif, bagian hukum perusahaan dapat
menangani masalah ini dan membantu.
Standar internasional IIA menekankan bahwa meskipun audit internal mempunyai peran
terkait deteksi dan pencegahan penipuan, tanggung jawab utama ada pada manajemen. Meskipun
secara teori hal ini terdengar sederhana, masalahnya terletak pada penyampaian pesan tersebut
kepada manajemen. Auditor internal akan memperhatikan hal-hal seperti kemungkinan
terjadinya kesalahan dan harus mempertimbangkan bukti adanya aktivitas yang tidak patut atau
ilegal dalam suatu audit. Menyadari bahwa mungkin sulit untuk mendeteksi penipuan, standar
IIA 1210.A2 memberikan panduan : “Auditor internal harus memiliki pengetahuan yang cukup
untuk mengidentifikasi indikator fraud, tetapi tidak diharapkan memiliki keahlian seperti orang
yang tanggung jawab utama adalah mendeteksi dan menyelidiki penipuan.” Hal ini merupakan
pengakuan bahwa auditor internal mungkin tidak memiliki keahlian yang memadai untuk
beberapa masalah penipuan.
Standar fraud yang sama ini didukung oleh IIA Practice Advisories 1210.A2‐1 dan
1210.A2‐2, tentang identifikasi dan investigasi fraud. Meskipun terdapat pernyataan dalam
standar bahwa auditor internal tidak diharapkan memiliki keahlian tersebut, Penasihat Praktik
pendukung memberikan beberapa panduan kepada auditor internal dalam mendeteksi dan
menyelidiki fraud. “Deterrence of fraud terdiri dari tindakan-tindakan yang diambil untuk
mencegah terjadinya fraud dan membatasi kemungkinan terjadinya fraud. Mekanisme utama
untuk mencegah fraud adalah pengendalian. Tanggung jawab utama untuk membangun dan
mempertahankan pengendalian terletak pada manajemen”.
Auditor internal bertanggung jawab untuk membantu pencegahan fraud dengan
memeriksa dan mengevaluasi kecukupan dan efektivitas sistem pengendalian internal, sepadan
dengan besarnya potensi paparan/risiko di berbagai segmen operasi perusahaan. Dalam
melaksanakan tanggung jawab ini, auditor internal harus, misalnya, menentukan apakah:
- Lingkungan organisasi menumbuhkan kesadaran pengendalian, tujuan, dan sasaran
perusahaan yang realistis ditetapkan.
 - Ada kebijakan tertulis, seperti kode etik, yang menjelaskan aktivitas terlarang dan
tindakan yang diperlukan bila ditemukan pelanggaran.
- Kebijakan otorisasi yang sesuai untuk transaksi ditetapkan dan dipelihara.
- Kebijakan, praktik, prosedur, laporan, dan mekanisme lainnya dikembangkan untuk
memantau aktivitas dan menjaga aset, khususnya di area berisiko tinggi.
- Saluran komunikasi memberikan informasi yang memadai dan dapat diandalkan kepada
manajemen.
- Rekomendasi perlu dibuat untuk pembentukan atau peningkatan pengendalian yang
hemat biaya untuk membantu mencegah penipuan.

Jika auditor internal mencurigai adanya potensi aktivitas fraud, otoritas perusahaan yang
berwenang, biasanya penasihat umum perusahaan, harus diberitahu. Auditor internal hanya boleh
merekomendasikan penyelidikan apa pun yang diperlukan dalam kondisi tersebut, namun harus
bergantung pada rekomendasi penasihat umum. Setelah itu, auditor harus menindaklanjuti untuk
memastikan bahwa tanggung jawab aktivitas audit internal telah dipenuhi.
Saran Praktik IIA yang dirujuk sebelumnya tidak benar-benar mendidik auditor internal
tentang jenis kondisi yang mungkin menunjukkan potensi aktivitas fraud. Sebaliknya, mereka
berpendapat bahwa jika suatu perusahaan tidak memiliki kebijakan dan prosedur yang baik atau
tidak memiliki kode etik, hal ini dapat mengindikasikan adanya lingkungan yang mendorong
terjadinya fraud. Hal ini sering kali benar. Namun kurangnya kode etik saat ini atau pernyataan
kebijakan yang disusun dengan buruk seharusnya tidak menjadi alasan utama bagi auditor
internal untuk mencari potensi aktivitas fraud. Red flag yang dijelaskan pada Gambar 27.2
merupakan indikator yang lebih baik.
27.5 Fraud Investigation for Internal Auditor
Selain membantu membangun dan meninjau kontrol untuk mencegah dan mendeteksi
kecurangan, auditor internal terkadang menjadi sangat terlibat dalam investigasi kecurangan.
Audit internal sering kali terlibat dalam potensi masalah terkait kecurangan karena beberapa
informasi yang meresahkan ditemukan selama audit atau tip anonim melalui panggilan telepon
atau pesan email. Ketika menghadapi informasi potensi kecurangan, langkah pertama audit
internal harus selalu berkonsultasi dengan penasihat hukum perusahaan. Karena sifat tuduhan
serta sejauh mana informasi awal, masalah tersebut mungkin juga diserahkan kepada pihak
berwenang, seperti kantor kejaksaan distrik federal atau jaksa penuntut negara bagian.

Dalam beberapa kasus, nasihat hukum akan menyarankan agar pihak berwenang lain dilibatkan
dalam masalah tersebut. Dalam masalah yang lebih kecil dan tampaknya kurang besar, audit
internal terkadang diminta untuk mengambil tanggung jawab atas investigasi. Dalam banyak
kasus, investigasi semacam ini hanya melibatkan tinjauan dokumen secara mendetail. Bukti yang
dikumpulkan dari tinjauan dokumen tersebut akan menjadi dasar untuk tindakan selanjutnya.
Investigasi terkait kecurangan mengharuskan auditor internal untuk beroperasi secara berbeda
dibandingkan dengan audit internal keuangan atau operasional normal.

Dalam tinjauan terkait kecurangan apa pun, auditor internal harus memiliki tiga tujuan utama:

1. Membuktikan kerugian. Tinjauan terkait kecurangan biasanya dimulai dengan temuan

bahwa seseorang telah mencuri sesuatu atau melakukan sesuatu yang melanggar aturan
yang ditetapkan. Tinjauan investigasi yang dipimpin audit internal harus mengumpulkan
materi relevan sebanyak yang diperlukan untuk menentukan keseluruhan ukuran dan
ruang lingkup kerugian.
2. Menetapkan tanggung jawab dan niat. Ini adalah langkah "Siapa yang melakukannya?".
Sebisa mungkin, tim audit harus berusaha mengidentifikasi semua orang yang
bertanggung jawab atas masalah tersebut dan apakah ada maksud khusus atau berbeda
yang terkait dengan tindakan kecurangan.
3. Membuktikan metode investigasi audit yang digunakan. Tim investigasi perlu dapat
membuktikan bahwa kesimpulan terkait kecurangan mereka didasarkan pada proses
investigasi langkah demi langkah yang terperinci, bukan hanya perburuan penyihir yang
tidak terkoordinasi. Tinjauan harus didokumentasikan menggunakan proses tinjauan audit
internal terbaik. Yang paling penting di sini adalah semua dokumen yang akan digunakan
harus diamankan.

27.6 Information Technology Fraid Prevention Process

Merupakan poin penting karena kebanyakan proses bisnis sekarang menggunakan basis digital
untuk mengalirkan informasinya.
Berikut merupakan kecurangan yang biasa terjadi di dimensi teknologi:
1. Masalah akses internet. Pembatasan akses internet untuk karyawan dalam
menggunakan perangkat kantor agar tidak melakukan aktivitas di luar kerja (pemborosan
manfaat aset perusahaan).
2. Penggunaan sumber daya TI secara pribadi secara tidak benar. Pembatasan
pemakaian perangkat untuk karyawan dalam menggunakan perangkat kantor agar tidak
melakukan aktivitas di luar kerja (pemborosan manfaat aset perusahaan) dan pencegahan
 kerusakan aset akibat file yang disimpan oleh karyawan (peningkatan biaya perawatan
aset).
3. Penggunaan perangkat lunak secara ilegal. Karyawan sering kali mengunduh file
ataupun perangkat lunak dari internet, dan beberapanya secara illegal, sehingga dapat
merugikan perusahaan dalam urusan lisensi dan perawatan aset atas virus.
4. Masalah penipuan keamanan dan kerahasiaan komputer. Tindakan yang disengaja
walaupun tidak disengaja oleh karyawan dalam mengakses informasi perusahaan yang
dikunci merupakan tindakan melanggar peraturan jika tidak memiliki wewenang atas hal
tersebut.
5. Pencurian informasi melalui perangkat USB. Pemindahan informasi melalui perangkat
penyimpanan kecil untuk menghindari batasan akses internet.
6. Pencurian informasi atau penyalahgunaan data lainnya dalam penipuan komputer.
Menyalahgunakan informasi yang diakses secara illegal dan memanipulasinya.
7. Penggelapan atau transfer dana elektronik tanpa izin. Pemindahan dana secara illegal
melalui dimensi digital.
Beberapa tindakan fraud tidak dicari tahu seluk beluknya, karena tidak terlalu signifikan efeknya
ke operasional perusahaan. Sedangkan, tindakan fraud yang cukup signifikan sering terlewat
dalam pemeriksaan karena tidak adanya bukti atas kejadian fraud tersebut sehingga dibutuhkan
ahli forensik di bidang komputer untuk memastikan kejadian fraud tersebut.
Ahli forensik komputer memiliki kemampuan untuk memulihkan semua file yang telah dihapus,
hilang, atau rusak. Mereka juga mengerti aliran file tersebut. Mereka dibantu oleh perangkat
lunak dalam investigasinya. Dokumen yang dibutuhkan untuk pembuktian fraud dapat berupa
dokumen digital.

27.7 Fraud Detection and Internal Auditor

Dengan mengkonsiderasi etika dan norma, tindakan fraud masih tetap ada makanya diperlukan
kontrol. AICPA dan auditor eksternal, sebagai pihak independen, bertanggungjawab besar dalam
meregulasikan kontrol ini.
Auditor internal berperan sebagai investigator yang menjurus ke perusahaan masing-masing.
Diperlukan pemikiran kritis di luar regulasi kontrol yang sudah ada untuk mendeteksi kejadian
kecurangan.
Auditor internal harus memiliki tingkat pemahaman umum CBOK mengenai tanda bahaya yang
mengindikasikan kemungkinan terjadinya kecurangan serta prosedur peninjauan audit internal
secara umum yang mencakup penyelidikan atas kecurangan dalam seluruh audit internal.
 Ethics & Whistle Blowing Program
Chapter 26

26.1 Enterprise Ethics, Compliance, and Governance

Key points terkait etika, tata kelola, dan kepatuhan perusahaan:
● Sejarah Kegagalan Etika: Kegagalan etika dalam bisnis telah ada selama berabad-abad,
tetapi dampaknya diperbesar saat ini karena akses yang luas terhadap informasi dan
taruhan keuangan yang lebih besar bagi individu terutama dalam investasi pasar modal,
uang pensiun, atau financial interest lain
● Pentingnya Kepatuhan dan Tata Kelola: Dalam masyarakat saat ini, kepatuhan terhadap
aturan dan regulasi, serta pematuhan terhadap standar etika dan praktik tata kelola, sangat
penting bagi bisnis.
● Peran Auditor Internal: Auditor internal memainkan peran penting dalam meningkatkan
program etika dalam perusahaan, memastikan kepatuhan terhadap standar profesional,
dan memberikan saran mengenai masalah tata kelola.
● Mandat SOx dan Insentif Kepatuhan: Undang-Undang Sarbanes-Oxley (SOx)
mensyaratkan pernyataan etika dari pejabat senior dan program whistleblowing, didukung
oleh langkah-langkah kepatuhan yang kuat seperti denda atau hukuman penjara.
● Program Etika di Seluruh Perusahaan: Program etika yang efektif melampaui sekadar
publikasi kode etik; mereka memerlukan komitmen formal dari perusahaan dan karyawan
untuk menjunjung tinggi standar etika.
● Elemen Program Etika yang Efektif: Memahami lingkungan risiko, meluncurkan kode
perilaku perusahaan, dan memastikan komitmen dari semua pemangku kepentingan
adalah komponen penting dari program etika yang efektif.
● Peran Auditor Internal dalam Program Etika: Auditor internal adalah pendukung alami
untuk praktik bisnis yang etis dan seharusnya terlibat dalam meluncurkan dan
meningkatkan program etika di seluruh perusahaan.
● Pengalaman dengan Standar Profesional: Program etika tingkat perusahaan tidak boleh
bertentangan dengan standar profesional auditor internal sendiri, tetapi seharusnya
melengkapinya, memastikan pengendalian internal yang efektif.
● Evaluasi dan Peningkatan Berkelanjutan: Auditor internal harus terus mengevaluasi dan
merekomendasikan perbaikan untuk kode perilaku dan program etika tingkat perusahaan.

26.2 Ethics First Steps

Setiap perusahaan, apa pun ukurannya, harus memiliki pernyataan misi formal untuk
menjelaskan tujuan dan nilai keseluruhannya. Pernyataan misi yang efektif dapat menjadi aset
besar bagi perusahaan, memungkinkannya untuk lebih mencapai tujuan dan sasaran organisasi.
Krisis Tylenol Johnson & Johnson pada awal 1980-an memberikan contoh yang baik tentang
pentingnya pernyataan misi perusahaan yang kuat sebagai kompas untuk memberikan arahan.
Dalam krisis ini, Johnson & Johnson dengan cepat menarik semua produk Tylenol dari rak toko
di seluruh dunia meskipun mereka tahu itu bukan kesalahan mereka. Keputusan ini didasarkan
pada kredo perusahaan, yang menyatakan bahwa tanggung jawab pertama perusahaan adalah
memasokkan produk berkualitas tinggi kepada pelanggannya.

Audit internal dapat membantu mengevaluasi pernyataan misi atau menulis ulang dan
meluncurkan pernyataan misi yang baru. Survei etika pemangku kepentingan dapat membantu
mengidentifikasi potensi masalah dalam pernyataan misi yang ada. Pernyataan misi yang baik
harus membuat pernyataan positif tentang perusahaan, menginspirasi pemangku kepentingan
perusahaan untuk memanfaatkan energi, semangat, dan komitmen mereka untuk mencapai tujuan
dan sasaran, dan menciptakan rasa tujuan dan arahan yang akan dibagikan di seluruh perusahaan.
Salah satu contoh terbaik dari pernyataan misi yang baik adalah pernyataan yang diungkapkan
oleh presiden AS John F. Kennedy pada awal 1960-an yaitu bangsa ini harus mendedikasikan
dirinya untuk mencapai tujuan, sebelum dekade ini berakhir, untuk mendaratkan manusia di
bulan dan mengembalikannya dengan selamat ke Bumi.

26.3 Understanding The Ethics Risk Environment

Ethics‐Related Findings from Past Audits or Special Audits
Jika audit internal telah menyelesaikan sejumlah besar audit operasional dan keuangan terkait
kepatuhan selama beberapa tahun terakhir, pemeriksaan ulang kertas kerja dan temuan laporan
audit atau bahkan tanggapan laporan audit dapat memberikan wawasan tentang sikap etis
perusahaan secara keseluruhan. Temuan kertas kerja yang konsisten yang mencakup pelanggaran
"minor" dapat menunjukkan kecenderungan keseluruhan dalam sikap etis. Contoh di sini
terdapat kegagalan karyawan yang berkelanjutan untuk mengikuti beberapa proses atau prosedur
yang relatif kecil seperti mengamankan tanda tangan persetujuan kedua pada transaksi bernilai
lebih kecil, meskipun ada kebijakan yang meminta tanda tangan kedua ini, atau kegagalan untuk
mendokumentasikan aplikasi TI baru, meskipun persyaratan dokumentasi pengembangan sistem.
Tim audit yang bertanggung jawab mungkin telah memutuskan bahwa masalah tersebut “terlalu
kecil” untuk disertakan dalam ringkasan laporan audit akhir, namun temuan tersebut sering
menunjukkan potensi masalah sikap etis. Lebih buruk lagi, terkadang jenis temuan ini dilaporkan
dalam laporan audit hanya untuk disingkirkan dalam tanggapan laporan. Beberapa temuan
“minor” yang sedang berlangsung yang disebutkan mungkin tidak mengarah pada pelanggaran
etika yang sedang berlangsung, tetapi pada area di mana peraturan hanya perlu diubah. Beberapa
perusahaan, misalnya, mungkin memiliki aturan biaya perjalanan yang mengharuskan setiap
biaya perjalanan dilaporkan dengan kuitansi, bahkan jika ini termasuk tarif tol masing-masing
sebesar 50 sen. Pengemudi bisa mendapatkan kwitansi tol sebesar perangko ini hanya dengan
menunggu di antrian kasir daripada melewati antrean yang lebih cepat yang menerima koin tanpa
kuitansi. Karena manajer dan pihak lain mungkin merasa bahwa aturan yang mewajibkan seperti
itu tidak menambah nilai, laporan pengeluaran yang tidak memiliki kuitansi ini mungkin sering
diajukan dan disetujui tanpa kuitansi. Hal tersebut dapat dicatat tetapi tidak dilaporkan dalam
laporan audit. Dari perspektif audit internal, apakah situasi ini merupakan pelanggaran etika bagi
perusahaan? Pada satu tingkat, jawabannya mungkin ya, karena peraturan adalah peraturan.
Namun, auditor internal yang meninjau laporan audit sebelumnya dan kertas kerja untuk masalah
etika mungkin paling baik bekerja dengan unit yang tepat di perusahaan untuk mengubah
prosedur aturan yang tidak masuk akal tersebut.
Audit internal juga dapat mempertimbangkan untuk meluncurkan audit khusus untuk menilai
sikap etis tersebut. Ini akan menjadi tinjauan kepatuhan yang kuat yang mencakup beberapa
bidang utama di seluruh perusahaan atau tinjauan yang sangat terfokus pada satu departemen
atau grup. Jenis tinjauan yang diprakarsai audit internal tersebut akan memberikan penilaian
menyeluruh atas sikap etis dalam perusahaan.

Employee and Stakeholder Ethics Attitude Surveys

Survei karyawan, pejabat, dan pemangku kepentingan yang dilakukan dengan benar dapat
menjadi cara terbaik untuk menilai sikap etis perusahaan. Survei tersebut dilakukan untuk
mengumpulkan informasi sebanyak mungkin tentang sikap dan praktik etis dari kelompok besar
di perusahaan, seperti pekerja pabrik (jika perlu), staf kantor, manajer senior, vendor, dan
lainnya. Sementara survei sikap etika akan mencakup beberapa pertanyaan umum, setiap
kelompok juga akan menerima pertanyaan khusus yang diarahkan pada tanggung jawab mereka.
Kelompok petugas senior, misalnya, akan menerima serangkaian pertanyaan sikap organisasional
yang sama yang diberikan kepada semua, tetapi juga mendapatkan pertanyaan spesifik terkait
pengendalian internal SOx. Menyusun survei pengumpulan fakta yang menerima tingkat respons
tinggi tidak pernah mudah, dan penggunaan bantuan khusus harus dipertimbangkan. Persyaratan
utama dari jenis survei ini adalah harus dibuat seanonim mungkin. Survei harus dikirim langsung
ke rumah karyawan bersama dengan surat pengantar dari chief executive officer (CEO) yang
menjelaskan maksud dan tujuan latihan survei. Amplop pengembalian, perangko, ke kotak pos
khusus harus disertakan. Dokumen survei akan ditetapkan dengan tujuan utama untuk mensurvei
sikap etika; namun, jika perusahaan telah membentuk fungsi hotline whistleblower, seperti yang
akan dibahas selanjutnya, survei tersebut juga memungkinkan orang untuk melaporkan masalah
tersebut. Meringkas hasil survei bisa menjadi tantangan besar dengan jenis survei ini, terutama
jika responden telah memberikan tanggapan bentuk bebas. Audit internal atau pejabat etika akan
bertanggung jawab untuk menyiapkan laporan tersebut, dengan tujuan meninjau hasilnya
bersama komite audit dan manajemen senior. Untuk alasan kerahasiaan, responden tidak akan
menerima ringkasan laporan ini dan responden hanya menerima surat terima kasih telah mengisi
survei tersebut.

26.4 Summarizing Ethics Survey

Hasil survei atau penilaian terkait perilaku etika yang dilakukan oleh internal audit memberikan
keyakinan terhadap perusahaan bahwa aktivitas bisnisnya berjalan dengan baik. Namun, hal tersebut juga
memberikan tanda-tanda bahaya seperti ketidakpatuhan seperti heavy-handed negotiation dengan vendor
hingga pegawai mencari celah dalam peraturan. Oleh sebab itu, internal audit dan enterprise’ ethics
officer harus bertemu dengan manajemen senior untuk memikirkan cara pencegahan munculnya red flags
tersebut.
Untuk menangani potensi red flag, dapat dilakukan langkah-langkah ini:
1. Survei sebagai Sistem Peringatan Dini: Survei berfungsi sebagai sistem peringatan dini untuk
potensi sinyal bahaya dalam etika organisasi. Temuan yang mengkhawatirkan harus mendorong
perluasan proses survei untuk mengumpulkan data yang lebih komprehensif.
2. Perluasan Kelompok Penilaian: Kekhawatiran yang muncul dalam survei awal mungkin
memerlukan perluasan penilaian untuk melibatkan kelompok pemangku kepentingan tambahan
seperti pelanggan, agen, atau vendor. Perspektif yang lebih luas ini memberikan pemahaman yang
lebih mendalam tentang lanskap etika organisasi.
3. Pemanfaatan Focus Group Discussion: Pada kasus di mana hasil survei tidak jelas atau
bertentangan, mengatur focus group discussion dapat memberikan wawasan yang lebih
 mendalam. Sesi ini melibatkan kelompok kecil karyawan dan pemangku kepentingan yang
bertemu di luar lokasi untuk mendiskusikan persepsi mereka terhadap nilai-nilai etika perusahaan
dalam lingkungan yang anonim dan terbuka.
4. Fasilitasi oleh Profesional Terampil: Fasilitator terampil memimpin diskusi kelompok fokus,
memastikan anonimitas dan mendorong dialog terbuka. Data yang dikumpulkan dari sesi-sesi ini
dapat menginformasikan pengembangan atau perbaikan program etika perusahaan.
5. Komponen Program Etika: Program etika yang efektif memerlukan kode perilaku yang kuat yang
menjelaskan perilaku dan nilai-nilai yang diharapkan, serta proses pelaporan pelanggaran etika.
Komponen-komponen ini mempromosikan transparansi, integritas, dan akuntabilitas dalam
organisasi.
6. Manfaat Melampaui Kepatuhan Regulasi: Meskipun regulasi seperti Undang-Undang
Sarbanes-Oxley (SOx) pada dasarnya berfokus pada pejabat keuangan senior dan penipuan
keuangan, program etika yang kuat memberi manfaat bagi seluruh perusahaan dengan
membangun budaya perilaku etika dan kepatuhan.
7. Peran Audit Internal: Audit internal memainkan peran penting dalam menetapkan dan memantau
efektivitas program etika. Auditor internal dapat membantu memastikan keselarasan dengan
standar profesional dan memberikan dukungan berkelanjutan dalam meningkatkan praktik etika
dalam organisasi.

26.5 Enterprise Codes of Conduct

Perusahaan yang efektif harus mengembangkan dan menegakkan kode etik yang
mencakup aturan etika, bisnis, dan hukum yang berlaku untuk semua pemangku kepentingan
perusahaan. Meskipun audit internal biasanya bukan perancang utama kode etik tersebut, audit
internal dapat menjadi partisipan kunci dalam membantu peluncuran dan penentuan kode etik
yang efektif yang mendorong praktik bisnis yang etis.
Kode etik harus berupa seperangkat aturan atau panduan yang jelas dan tidak ambigu
yang menguraikan apa yang diharapkan dari seluruh pemangku kepentingan perusahaan, baik
karyawan, kontraktor, vendor, atau lainnya. Kode etik ini harus didasarkan pada nilai-nilai dan
permasalahan hukum yang melingkupi suatu perusahaan. Kode etik ini harus berlaku bagi semua
anggota perusahaan, mulai dari tingkat paling senior hingga karyawan bagian administrasi paruh
waktu. Misalnya, aturan kode etik yang melarang pelaporan keuangan yang salah adalah sama,
baik ditujukan kepada CFO untuk pelaporan keuangan triwulanan atau kepada pekerja paruh
waktu.
Jika perusahaan telah mempunyai kode etik, audit internal mungkin ingin menjadwalkan
review dari waktu ke waktu untuk meninjau kembali kode etik tersebut. Audit internal dapat
memeriksa kode etik yang ada untuk menentukan apakah peraturan tersebut masih sesuai dengan
era SOx saat ini (versi US) dengan bekerja sama dengan anggota senior manajemen dan komite
audit.
Sebuah tim gabungan dari berbagai bagian manajemen, termasuk hukum dan sumber
daya manusia, harus dibentuk untuk mengembangkan kode etik ini. Tim tersebut harus mengkaji
permasalahan bisnis yang dihadapi perusahaan dan kemudian menyusun seperangkat aturan yang
dapat diterapkan pada perusahaan tersebut. Kode tersebut harus ditulis dengan jelas sehingga
poin-poinnya mudah dipahami oleh semua orang. Gambar 26.2 mencantumkan beberapa contoh
topik kode etik. Kode etik yang baik juga sebaiknya mencantumkan respon dan tindakan yang
bisa diambil jika terjadi dugaan pelanggaran kode etik.
Perusahaan juga dapat menambahkan serangkaian pertanyaan umum (FAQ) ke dalam
kode etik, beserta jawaban yang disarankan. Hal ini memungkinkan karyawan/pembaca kode
untuk lebih memahami masalah serta jenis pertanyaan sederhana yang mungkin sering
ditanyakan. Kunci dari seperangkat aturan kode etik yang jelas adalah bahwa aturan tersebut
harus dipahami oleh semua orang.

Perusahaan berskala global mempunyai permasalahan lain ketika mengembangkan kode

etik. Sebuah perusahaan mungkin berkantor pusat di Amerika Serikat, namun perusahaan
tersebut mungkin mempunyai operasi yang signifikan di seluruh dunia di mana manajer utama,
karyawan, dan pemangku kepentingan lainnya tidak menggunakan bahasa Inggris sebagai bahasa
utama mereka. Meskipun ada biaya tambahan untuk penerjemahan, perusahaan harus
mempertimbangkan untuk memproduksi versi kode setidaknya dalam bahasa utama yang
digunakan dalam operasi perusahaan. Jika terdapat banyak lokasi dan hanya sejumlah kecil
pemangku kepentingan yang berbahasa asing, mungkin lebih tepat untuk memberikan ringkasan
kode etik utama dalam masing-masing bahasa lokal.
Communication to Stakeholders and Assuring Compliance
Jika terdapat kode etik baru atau bahkan revisi besar, perusahaan harus melakukan upaya
untuk menyampaikan salinannya kepada seluruh karyawan dan pemangku kepentingan. Langkah
pertama yang baik adalah dengan memperkenalkan secara resmi kode etik baru/revisi tersebut
kepada para manajer puncak perusahaan, dan khususnya para officers keuangan.
Kode etik di masa lalu terkadang hanya diterima begitu saja oleh pejabat senior, yang
merasa bahwa kode etik tersebut hanya untuk staf dan bukan untuk mereka. Baik Enron maupun
WorldCom mempunyai kode etik perusahaan yang memadai, namun directors perusahaan
mereka jelas tidak merasa bahwa peraturan kode etik berlaku bagi mereka.
Kelompok manajemen senior harus secara formal mengakui bahwa mereka telah
membaca, memahami, dan akan mematuhi kode etik. Dengan dukungan tim manajemen,
perusahaan selanjutnya harus menerapkan dan menyampaikan kode etik kepada seluruh
pemangku kepentingan perusahaan. Hal ini dapat dilakukan dalam beberapa tahap, dengan
pengiriman ke fasilitas lokal atau fasilitas yang lebih besar terlebih dahulu, diikuti oleh unit yang
lebih kecil, lokasi di luar negeri, dan pemangku kepentingan lainnya dengan cara yang dapat
menarik perhatian.
Kode etik yang baru dapat dikomunikasikan melalui video oleh CEO, webcast, sesi
pelatihan, atau cara lain untuk mengkomunikasikan pentingnya dan maknanya. Hal ini dapat
dicapai melalui sistem respons internet atau telepon yang mana setiap pemangku kepentingan
perusahaan diminta untuk menjawab tiga pertanyaan berikut:
1. Apakah Anda sudah menerima dan membaca salinan kode etik? Jawab ya atau tidak.
2. Apakah Anda memahami isi kode etik? Jawab ya jika Anda memahami kode etik ini atau
tidak jika Anda memiliki pertanyaan.
3. Apakah Anda setuju untuk mematuhi kebijakan dan pedoman kode etik ini? Jawab ya jika
Anda setuju untuk mematuhi kode etik dan tidak jika tidak setuju
Tanggapan harus dicatat pada database yang mencantumkan nama karyawan dan tanggal
peninjauan dan penerimaan atau penolakannya. Segala pertanyaan yang timbul dari pertanyaan
nomor 2 dapat ditangani melalui program whistleblower yang dijelaskan selanjutnya. Idenya
adalah agar semua orang, semua pemangku kepentingan, memperhatikan kode etik dan
menyetujui ketentuan-ketentuannya. Jika seseorang menolak menerima kode etik ini karena ada
pertanyaan, supervisor atau orang lain harus mendiskusikan masalah tersebut dengan orang
tersebut untuk mendapatkan penyelesaian akhir. Inti dari persyaratan pengakuan kode ini adalah
untuk menghindari alasan “Saya tidak tahu itu aturannya” ketika ditemukan pelanggaran kode.

Code Violations and Corrective Actions

Perusahaan perlu membangun mekanisme yang memungkinkan karyawan atau bahkan
pihak luar melaporkan potensi pelanggaran kode etik dengan cara yang aman dan rahasia.
Sebagian besar mekanisme pelaporan tersebut dapat ditangani melalui fasilitas pelapor
pelanggaran (whistleblower). Potensi pelanggaran lainnya dapat ditangani pada tingkat yang
berbeda. Suatu proses harus ditetapkan untuk melaporkan semua jenis pelanggaran etika.
Selain fasilitas pelaporan pelanggaran (whistleblower), perusahaan harus membentuk
mekanisme lain untuk melaporkan potensi pelanggaran kode etik. Karena beberapa orang
mungkin tidak ingin menghubungi fungsi hotline etika, alamat kotak pos yang dipublikasikan
secara luas terkadang sangat efektif. Pemangku kepentingan dapat didorong untuk menulis surat
ke alamat tersebut, secara anonim atau tidak, untuk melaporkan pelanggaran etika. Berdasarkan
tanggapan ini, fungsi etika, sumber daya manusia, atau fungsi lain yang sesuai di perusahaan
harus menyelidiki masalah ini dan mengambil tindakan yang diperlukan.
Sebagian besar pelanggaran kode etik dapat ditangani melalui prosedur sumber daya
manusia yang normal di perusahaan, seperti menetapkan proses dimana pelanggaran pertama
dapat mengakibatkan konseling lisan atau masa percobaan, dan penghentian jika pelanggaran
berulang. Beberapa hal harus dilaporkan kepada pihak berwenang di luar. Pelanggaran terhadap
peraturan SOx, seperti pengaturan off-balance-sheet yang tidak terdokumentasi, akan dilaporkan
ke Securities and Exchange Commission (SEC); pencurian barang dari gudang mungkin
dilaporkan ke jaksa wilayah setempat.

Keeping the Code of Conduct Current

Banyak aturan dasar perilaku etis yang baik serta banyak aturan khusus perusahaan tidak
akan berubah dari tahun ke tahun. Misalnya, aturan tentang perlindungan aset perusahaan.
Namun aturan etika lainnya dapat berubah karena bisnis atau kondisi lainnya. Perusahaan harus
meninjau kode etik yang diterbitkan secara berkala dan setidaknya sekali setiap dua tahun untuk
memastikan pedoman tersebut masih berlaku dan terkini. Hal ini dapat mencakup pernyataan
kode etik mengenai perlunya pelaporan keuangan yang akurat dan tepat waktu di semua
tingkatan atau komitmen perusahaan untuk menghindari segala jenis penipuan keuangan.
Setiap revisi harus melalui proses pengumuman dan peluncuran yang sama seperti yang
dijelaskan sebelumnya untuk pengenalan kode. Kode yang direvisi harus dikeluarkan untuk
semua pemangku kepentingan bersama dengan penjelasan tentang perubahan dan persyaratan
untuk mengakui kembali kode revisi tersebut.
Ketika karyawan baru dan pemangku kepentingan lainnya bergabung dengan perusahaan,
mereka harus diberikan kode etik yang ada dengan persyaratan yang sama seperti mereka
membaca dan menegaskan dokumen tersebut. Seiring dengan pernyataan misi, suatu perusahaan
harus selalu menjaga kode etik dan prinsip-prinsip pendukungnya di hadapan semua pemangku
kepentingan. Hal ini dapat dicapai melalui referensi terus-menerus terhadap kode etik, seperti
pada poster papan buletin di semua fasilitas, tanya jawab instruktif dalam publikasi, atau sebagai
segmen dalam kelas pelatihan karyawan. Audit internal harus memainkan peran kunci dalam
mempromosikan kode etik dan memantau kepatuhan melalui tinjauan audit. Auditor internal
harus sangat menyadari kode etik perusahaan dan menggunakannya sebagai dasar untuk
melaporkan pelanggaran dan membuat rekomendasi dalam pelaksanaan semua audit internal
lainnya.

26.6 Whistleblower and Hotline

Perlindungan terhadap Whistleblower telah menjadi bagian dari peraturan ketenagakerjaan untuk
membantu regulator untuk mengungkap pelanggaran dan kesalahan. Secara definisi,
whistleblower atau pelapor pelanggaran adalah fasilitas dimana karyawan atau pemangku
kepentingan yang melihat suatu bentuk pelanggaran dapat melaporkannya secara independen dan
anonim kepada perusahaan atau pihak berwenang tanpa harus merasa takut akan balas dendam.
Sementara itu, menurut PP No.71 Tahun 2000, whistleblower adalah orang yang memberi suatu
informasi kepada penegak hukum atau komisi mengenai terjadinya suatu tindak pidana korupsi
dan bukan bagian dari pelaku kejahatan yang dilaporkan. Dalam penerapan di perusahaan,
prosedur program ini dibuat oleh komite audit, tapi teknis pelaksanaan diserahkan kepada
masing-masing divisi untuk disesuaikan. Dalam program ini, auditor internal memiliki peran
untuk meninjau proses, merekomendasikan kontrol yang sesuai, memberikan panduan kepada
komite audit, dan membantu komite audit dalam membangun program yang efektif dan dapat
dipatuhi.

Federal Whistleblower Rules

The U.S. Department of Labor (DOL) merupakan payung hukum utama yang bertanggung jawab
mengatur mengenai whistleblower. Selain itu, SOx telah memperluas perlindungan pelapor
melalui Section 806 yang menetapkan perlindungan terhadap whistleblower bagi stakeholder di
perusahaan publik. SOx berusaha untuk menghindari pengaduan yang tidak serius dengan
mengharuskan pelapor memiliki keyakinan dan mengharuskan komite audit untuk menetapkan
proses penerimaan dan penanganan terhadap keluhan mengenai akuntansi, kontrol internal
akuntansi, atau masalah audit.
Sementara itu, di Indonesia, UU No. 31 Tahun 2014 menjadi payung hukum whistleblower.
Undang-undang ini secara tersirat membahas mengenai perlindungan untuk saksi dan korban.
Berdasarkan pasal 5 ayat 3 UU No.31 Tahun 2014, whistleblower mendapatkan hak yang sama
dengan saksi dan korban. Selain itu, pada pasal 10 dijelaskan bahwa whistleblower tidak dapat
dituntut, baik secara pidana maupun perdata atas kesaksiannya tersebut. Peraturan terkait
whistleblower juga tercantum pada SE Mahkamah Agung No. 04 Tahun 2011. Pada pedoman ini
dikatakan bahwa whistleblower merupakan pihak yang mengetahui dan melaporkan tindak
pidana tertentu dan bukan merupakan bagian dari pelaku kejahatan yang dilaporkan.

SOx Whistleblower Rules and Internal Audit

Apabila auditor internal menemukan temuan audit yang tidak disertakan dalam laporan audit
formal, maka auditor internal tidak boleh bergerak secara independen sebagai independent
whistleblower. Dalam hal ini, auditor internal harus tetap melakukan prosedur audit internal,
yaitu melakukan dokumentasi pada kertas kerja audit dan mengkomunikasikan terhadap kepala
auditor internal atau komite audit untuk penyelesaian. Apabila pada saat dokumentasi temuan
pihak manajemen memilih untuk mengabaikan, maka auditor internal memiliki hak untuk
melaporkan kepada SEC atau komite audit.

Launching and Enterprise Help or Hotline Function

Fungsi ini dapat dimanfaatkan oleh karyawan atau stakeholder lain untuk melakukan panggilan
secara anonim, baik untuk bertanya, melaporkan masalah, atau mengungkap suatu kejadian. Pada
umumnya, fungsi ini terdapat pada bagian departemen ethics, human resources, atau independent
party. Selanjutnya, penyedia fungsi ini akan melanjutkan pelaporan atau pengaduan ke
departemen lain (seperti legal) untuk mendapatkan penyelesaian. Berdasarkan Undang-undang
perlindungan pelapor, maka orang yang melakukan panggilan akan disembunyikan sampai
laporan diselesaikan.

Guideline for A Setting Up A Whistleblower Call Center

1. Menyediakan fasilitas panggilan independen. Dalam artian tidak boleh melewati saluran
perusahaan lain.
2. Memberikan pelatihan dan menyediakan skenario kepada operator untuk dapat
menanggapi panggilan sesuai dengan bentuk panggilan.
3. Memberikan sosialisasi kepada seluruh perusahaan mengenai cara kerja call centre.
4. Melakukan dokumentasi atas informasi, waktu, tanggal, dan identifikasi pelapor secara
tertulis.
 5. Menyimpan pencatatan tersebut dalam database yang aman.
6. Menerapkan basis anonim dalam operasi.
7. Mengembangkan proses untuk menutup semua panggilan pelapor.

26.7 Auditing The Enterprise’s Ethics Function

Berfokus pada penerapan kode etik perusahaan dan pelaksanaan fungsi whistleblower. Audit
internal berfungsi untuk memantau dan meninjau pelaksanaan kode etik dan proses
whistleblower yang berfokus pada penilaian apakah kelompok etika tersebut mengikuti prosedur
pengendalian internal yang baik, memanfaatkan sumber dayanya secara efektif, mematuhi
prosedur kerahasiaan yang baik, dan mengikuti piagam departemen yang mengesahkan fungsi
etika.
Berikut Langkah-Langkah Audit untuk Tinjauan Etika dan Fungsi Whistleblower
1. Pernyataan Misi Perusahaan
a. Tinjau pernyataan misi perusahaan untuk menilai apakah pernyataan tersebut
dikomunikasikan secara aktif dan menekankan pentingnya tata kelola dan praktik
etika bisnis.
b. Jika pernyataan misi tampaknya kurang atau perlu diperbarui, diskusikan
bidang-bidang atau rencana perbaikan dengan komite audit.
c. Bertemu dengan anggota manajemen yang tepat untuk menilai program yang
sedang berjalan untuk mempromosikan pernyataan misi di seluruh perusahaan.
2. Administrasi Fungsi Etika
a. Tentukan apakah perusahaan telah membentuk fungsi etika formal, baik unit
terpisah, bagian dari sumber daya manusia, hukum, atau fungsi lainnya, dan
kembangkan pemahaman tentang kepemimpinan dan tanggung jawab fungsi
tersebut.
b. Menentukan siapa yang bertanggung jawab untuk mengelola program etika secara
keseluruhan di perusahaan dan bertemu dengan fungsi tersebut untuk menilai
kegiatan dan program yang sedang berjalan.
c. Mengembangkan pemahaman dan mendokumentasikan struktur fungsi etika,
termasuk struktur dan hubungan pelaporannya.
d. Tinjau piagam fungsi etika dan dokumentasi proses penting lainnya dan tentukan
apakah hal tersebut konsisten dengan inisiatif perusahaan lainnya.
e. Tentukan apakah terdapat fungsi hotline dan kaji rentang aktivitasnya.
f. Menilai fungsi etika prosedur keamanan untuk kecukupan hal-hal seperti
keamanan catatan, arsip, dan tempat kerja.
g. Jika kontraktor luar digunakan untuk memberikan layanan etika atau hotline,
tinjau dan dokumentasikan pengaturan kontrak.
3. Proses Kode Etik.
a. Dapatkan salinan kode etik yang berlaku saat ini.
i. Tentukan apakah kode terkini dan diperbarui secara berkala.
ii. Diskusikan kode etik ini dengan sampel staf perusahaan untuk
memastikan bahwa mereka memahami dokumen kode tersebut.
iii. Diskusikan kode etik ini dengan manajer terpilih di semua tingkatan untuk
menentukan apakah ada kekhawatiran mengenai isu atau konten kode etik
tersebut.
b. Menilai kecukupan proses untuk memperoleh pengakuan kode.
 i. Pilih sampel karyawan dan pastikan bahwa mereka mengakui penerimaan
kode tersebut.
ii. Tentukan bahwa semua petugas telah menerima kode tersebut.
iii. Menilai kecukupan prosedur bagi setiap karyawan yang gagal/menolak
pengakuan kode.
iv. Menilai kecukupan catatan pengakuan kode.
c. Menilai kecukupan proses pemutakhiran kode etik sesuai kebutuhan.
d. Menilai proses yang ada untuk mendistribusikan kode ke seluruh pemangku
kepentingan perusahaan, termasuk lokasi terpencil, vendor, dan lainnya.
4. Proses Hotline/Pelapor.
a. Mengembangkan pemahaman umum tentang proses pelaporan pelanggaran yang
ada dan menentukan apakah proses tersebut mencakup persyaratan SOx komite
audit.
b. Menilai kecukupan prosedur untuk mengkomunikasikan program whistleblower
kepada seluruh pemangku kepentingan.
c. Menilai kecukupan proses untuk mencatat pesan atau panggilan pelapor yang
diterima dan mendokumentasikan interaksinya.
d. Tinjau proses untuk disposisi panggilan dan pilih sampel panggilan terakhir untuk
menentukan apakah prosesnya tampak memadai.
e. Meninjau keseluruhan proses keamanan yang ada, termasuk perlindungan
terhadap dokumen-dokumen penting dan pemangku kepentingan individu yang
melapor.
f. Bertemu dengan sumber daya manusia untuk menentukan apakah ada prosedur
yang memadai untuk melindungi/menampung setiap pelapor.
5. Tanggung jawab komite audit. Bertemu dengan perwakilan komite audit untuk
mengetahui pengetahuan dan pemahaman tentang etika dan program whistleblower yang
ada.

26.8 Improving Corporate Governance

Program etika yang kuat, berdasarkan pernyataan misi yang bermakna dan kode etik, merupakan
elemen kunci untuk keseluruhan program tata kelola perusahaan. Skandal akuntansi yang
memicu SOx sebagian besar merupakan skandal di tingkat puncak perusahaan, apakah
disebabkan oleh pejabat keuangan yang licik, CEO yang tamak, atau firma akuntansi publik yang
tidak kritis. Tim eksekutif di perusahaan menetapkan aturan mereka sendiri, dengan sedikit
pertimbangan untuk seluruh perusahaan. Hasilnya adalah SOx, yang sangat berfokus pada
kelompok senior yang sama ini. Namun, program etika keseluruhan yang kuat akan
meningkatkan praktik tata kelola perusahaan untuk seluruh perusahaan, bukan hanya
orang-orang di ruang eksekutif.

Sebagai pemimpin etika di perusahaan mereka, auditor internal harus sangat menyadari
kebutuhan akan kebijakan tata kelola dan etika perusahaan secara keseluruhan. Auditor internal
harus memiliki program etika dan kepatuhan yang kuat di dalam kelompok audit internal mereka
sendiri, dan mereka harus mencari praktik serupa di seluruh perusahaan. Ini termasuk pernyataan
kebijakan manajemen senior perusahaan untuk menekankan bahwa semua pemangku
kepentingan didorong, bahkan memiliki kewajiban, untuk menyampaikan keprihatinan tentang
praktik akuntansi dan keuangan kepada manajemen. Pernyataan kebijakan tersebut juga harus
menekankan bahwa manajemen tidak akan mentolerir pembalasan terhadap karyawan yang
menyampaikan keprihatinan. Kebijakan tersebut dapat membantu mendorong proses pintu
terbuka untuk mengatasi masalah, yang pada akhirnya merupakan pendekatan manajemen yang
paling efektif.
STANDAR INTERNASIONAL PRAKTIK PROFESIONAL
AUDIT INTERNAL
(STANDAR)

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 1 dari 32
© 2016 The Institute of Internal Auditors
 DAFTAR ISI
PENDAHULUAN ........................................................................................................................ 1
STANDAR ATRIBUT.................................................................................................................. 1
1000 - Tujuan, Kewenangan, dan Tanggung Jawab .............................................................. 1
1010 - Mengakui Panduan yang Diwajibkan pada Piagam Audit Internal .......................... 1
1100 - Independensi dan Objektivitas .................................................................................... 1
1110 - Independensi Organisasi ......................................................................................... 2
1120 - Objektivitas Individual .............................................................................................. 3
1130 - Pelemahan terhadap Independensi atau Objektivitas .............................................. 3
1200 - Kecakapan dan Kecermatan Profesional..................................................................... 4
1210 - Kecakapan .............................................................................................................. 4
1220 - Kecermatan Profesional (Due Professional Care) ................................................... 5
1230 - Pengembangan Profesional Berkelanjutan .............................................................. 6
1300 - Program Asurans dan Peningkatan Kualitas ............................................................... 6
1310 - Persyaratan Program Asurans dan Peningkatan Kualitas ....................................... 6
1320 - Pelaporan Program Asurans dan Peningkatan Kualitas .......................................... 7
1321 - Penggunaan frasa “Kesesuaian dengan Standar Internasional Praktik Profesional
Audit Internal” ..................................................................................................................... 8
1322 - Pengungkapan Ketidaksesuaian ............................................................................. 8
STANDAR KINERJA .................................................................................................................. 9
2010 – Perencanaan .......................................................................................................... 9
2020 - Komunikasi dan Persetujuan ..................................................................................10
2030 - Pengelolaan Sumber Daya .....................................................................................10
2040 - Kebijakan dan Prosedur .........................................................................................10
2050 Koordinasi dan Penyandaran ...................................................................................10
2060 - Laporan kepada Manajemen Senior dan Dewan ....................................................11
2070 - Penyedia Jasa Eksternal dan Tanggung Jawab Organisasi pada Audit Internal .....11
2100 - Sifat Dasar Pekerjaan ................................................................................................11
2110 - Tata Kelola .............................................................................................................12
2120 - Manajemen Risiko ..................................................................................................12
2130 – Pengendalian ........................................................................................................13
2200 - Perencanaan Penugasan ...........................................................................................14
2210 - Tujuan Penugasan .................................................................................................14
2220 - Ruang Lingkup Penugasan ....................................................................................15
2230 - Alokasi Sumber Daya Penugasan ..........................................................................15
2240 - Program Kerja Penugasan .....................................................................................16
2300 - Pelaksanaan Penugasan

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 2 dari 32
© 2016 The Institute of Internal Auditors
 ...........................................................................................16 2310 - Pengidentifikasian
Informasi ...................................................................................16
2340 - Supervisi Penugasan .............................................................................................17
2400 - Komunikasi Hasil Penugasan .....................................................................................17
2410 - Kriteria Komunikasi ................................................................................................17
2410 - Kriteria Komunikasi ................................................................................................17
2420 - Kualitas Komunikasi ...............................................................................................18
2421 - Kesalahan dan Kealpaan .......................................................................................18
2430 - Penggunaan frasa “Dilaksanakan sesuai dengan Standar Internasional Praktik
Profesional Audit Internal” .................................................................................................18
2431 - Pengungkapan atas Penugasan yang Tidak Patuh terhadap Standar ....................19
2440 - Penyampaian Hasil Penugasan ..............................................................................19
2450 - Opini Umum ...........................................................................................................19
2600 - Komunikasi Penerimaan Risiko ..................................................................................20
2500 - Pemantauan Perkembangan ......................................................................................20
DAFTAR ISTILAH .....................................................................................................................22

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 3 dari 32
© 2016 The Institute of Internal Auditors
 STANDAR INTERNASIONAL PRAKTIK PROFESIONAL AUDIT INTERNAL
(STANDAR)

PENDAHULUAN

Audit internal diselenggarakan pada berbagai lingkungan hukum dan budaya; untuk berbagai
organisasi yang memiliki beraneka ragam tujuan, ukuran, kompleksitas, dan struktur; dan oleh
berbagai pihak, baik di dalam maupun di luar organisasi. Walaupun perbedaan dapat
mempengaruhi praktik audit internal pada setiap lingkungannya, kesesuaian terhadap Standar
Internasional Praktik Profesional Audit Internal dari IIA (selanjutnya disebut “Standar”) merupakan
hal yang esensial dalam pemenuhan tanggung jawab audit internal dan aktivitas audit internal.

Tujuan Standar adalah untuk:

1. Memberikan panduan dalam memenuhi unsur-unsur yang diwajibkan dalam Kerangka

Kerja Praktik Profesional Internasional
2. Memberikan suatu kerangka kerja dalam melaksanakan dan mengembangkan berbagai
layanan audit internal yang benilai tambah.
3. Menetapkan dasar untuk mengevaluasi kinerja audit internal.
4. Mendorong proses dan operasional organisasi yang lebih baik.

Standar didasarkan pada rangkaian prinsip-prinsip dan persyaratan yang diwajibkan (mandatory)
yang mencakup:

• Pernyataan atas persyaratan pokok dalam praktik profesional audit internal dan evaluasi
efektivitas kinerjanya, yang berlaku secara internasional pada tingkatan organisasi dan
individual.
• Interpretasi, yang menjelaskan lebih lanjut istilah dan konsep yang digunakan dalam
Standar.

Standar, bersama dengan Kode Etik, mencakup seluruh unsur yang diwajibkan dari Kerangka
Kerja Praktik Profesional Internasional, oleh karena itu, kesesuaian dengan Kode Etik dan
Standar menunjukkan kesesuaian dengan seluruh unsur yang diwajibkan dalam Kerangka Kerja
Praktik Profesional Internasional.

Standar menggunakan istilah-istilah sebagaimana didefinisikan secara khusus dalam Daftar

Istilah. Untuk memahami dan menerapkan Standar secara benar, perlu dipertimbangkan
maknamakna spesifik dalam Daftar Istilah. Lebih lanjut, Standar menggunakan istilah ‘harus’
untuk persyaratan yang mutlak harus dipenuhi, dan istilah ‘semestinya’, untuk kesesuaian yang
sangat dianjurkan (kecuali apabila berdasarkan pertimbangan profesional, keadaan yang ada
membenarkan perlunya deviasi).

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 1 dari 32
© 2016 The Institute of Internal Auditors
Standar terdiri dari dua kelompok utama: Standar Atribut dan Standar Kinerja. Standar Atribut
mengatur atribut organisasi dan individu yang melaksanakan audit internal. Standar Kinerja
mengatur sifat audit internal dan menyediakan kriteria mutu untuk mengukur kinerja jasa audit
internal tersebut. Standar Atribut dan Standar Kinerja diterapkan pada seluruh jenis jasa audit
internal.

Standar Implementasi merinci Standar Atribut dan Standar Kinerja dengan menyajikan
persyaratan yang sesuai untuk setiap jenis jasa audit internal, yaitu dengan kode (A) untuk
asurans/Assurance, dan kode (C) untuk konsultansi/Consulting.

Jasa assurance (asurans) merupakan kegiatan penilaian bukti secara obyektif oleh auditor
internal untuk memberikan pendapat atau simpulan mengenai suatu entitas, operasi, fungsi,
proses, sistem, atau permasalahan-permasalahan lainnya. Sifat dan ruang lingkup suatu
penugasan asurans ditentukan oleh auditor internal. Pada umumnya, terdapat tiga pihak
berperan serta dalam pelaksanaan jasa asurans, yaitu (1) seorang atau sekelompok orang yang
terlibat secara langsung dengan entitas, operasi, fungsi, proses, sistem, atau permasalahan
lainnya – disebut pemilik proses; (2) seorang atau sekelompok orang yang melakukan
penilaian/assessment – disebut auditor internal; (3) seorang atau sekelompok orang yang
memanfaaatkan hasil penilaian/assessment – disebut pengguna.

Jasa consulting/konsultansi adalah jasa yang bersifat pemberian nasihat, yang pada umumnya
diselenggarakan berdasarkan permintaan spesifik dari klien. Sifat dan ruang lingkup jasa
konsultansi didasarkan atas kesepakatan dengan klien. Jasa konsultansi pada umumnya
melibatkan dua pihak, yaitu (1) seorang atau sekelompok orang yang memberikan nasihat –
auditor internal; dan (2) seorang atau sekelompok orang yang menerima nasihat – klien
penugasan. Ketika melaksanakan jasa konsultansi, auditor internal harus selalu mempertahankan
obyektivitas dan tidak menerima/mengambil alih tanggungjawab manajemen.

Standar diterapkan pada individu auditor internal dan aktivitas audit internal secara keseluruhan.
Seluruh individu auditor internal bertanggungjawab untuk mematuhi Standar terkait dengan
tanggung jawab individu dalam hal obyektivitas, profisiensi (kecakapan), kecermatan professional
dan standar-standar yang terkait dengan pelaksanaan tanggung jawab pekerjaannya. Kepala
Satuan Audit Internal juga bertanggungjawab atas kesesuaian aktivitas audit internal terhadap
seluruh Standar.

Dalam hal auditor internal atau aktivitas audit internal dilarang oleh hukum atau peraturan
perundang-undangan untuk mematuhi bagian tertentu dari Standar, maka kesesuaian terhadap
seluruh bagian lain dari Standar dan pengungkapan yang memadai sangat diperlukan.

Jika Standar dipergunakan bersama dengan ketentuan yang diterbitkan oleh badan lain yang
memiliki kewenangan, komunikasi audit internal dapat menyebutkan juga penggunaan ketentuan
lain, jika diperlukan. Dalam kasus ketika aktivitas audit internal menunjukkan kesesuaian dengan
Standar dan terdapat inkonsistensi antara Standar dan ketentuan-ketentuan lain, auditor internal
dan aktivitas audit internal harus memenuhi Standar dan dapat memenuhi ketentuan lain jika
ketentuan itu lebih mengikat.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 2 dari 32
© 2016 The Institute of Internal Auditors
Reviu dan pengembangan Standar merupakan proses yang berkelanjutan. Badan Standar Audit
Internal Internasional ditugaskan untuk melakukan konsultansi dan diskusi yang mendalam
sebelum penerbitan suatu Standar. Hal tersebut mencakup perolehan pendapat publik di seluruh
dunia melalui penyusunan exposure draft. Seluruh exposure draft diunggah dalam website The
IIA serta dikirimkan ke seluruh afiliasi The IIA.

Saran dan komentar terkait Standar ini dapat disampaikan ke:

The Institute of Internal Auditors

Standards and Guidance
247 Maitland Avenue
Altamonte Springs, FL 32701-4201, USA
E-mail: guidance@theiia.org Web: www.globaliia.org

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 3 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

STANDAR INTERNASIONAL PRAKTIK PROFESIONAL AUDIT INTERNAL

(STANDAR)

STANDAR ATRIBUT

1000 - Tujuan, Kewenangan, dan Tanggung Jawab

Tujuan, kewenangan, dan tanggung jawab aktivitas audit internal harus didefinisikan secara
formal dalam suatu piagam audit internal, dan harus sesuai dengan Misi Audit Internal dan
unsurunsur yang diwajibkan dalam Kerangka Kerja Praktik Profesional (Prinsip-prinsip Pokok
untuk Praktik Profesional Audit Internal, Kode Etik, Standar dan Definisi Audit Internal). Kepala
Audit Internal (KAI) harus mengkaji secara periodik piagam audit internal dan menyampaikannya
kepada Manajemen Senior dan Dewan untuk memperoleh persetujuan.

Interpretasi:

Piagam audit internal merupakan dokumen resmi yang mendefinisikan tujuan, kewenangan dan
tanggung jawab aktivitas audit internal. Piagam audit internal menetapkan posisi aktivitas audit
internal dalam organisasi, termasuk sifat hubungan pelaporan fungsional Kepala Audit Internal
kepada Dewan; memberikan kewenangan untuk mengakses catatan, personil, dan properti fisik
yang berkaitan dengan pelaksanaan penugasan; dan mendefinisikan ruang lingkup aktivitas audit
internal. Persetujuan akhir atas piagam audit internal berada pada Dewan.
1000.A1 - Sifat jasa asurans yang diberikan kepada organisasi harus didefinisikan dalam
piagam audit internal. Apabila jasa asurans juga diberikan kepada pihak di luar organisasi,
sifat jasa asurans tersebut juga harus didefinisikan dalam piagam audit internal.

1000.C1 - Sifat jasa konsultansi harus didefinisikan dalam piagam audit internal.

1010 - Mengakui Panduan yang Diwajibkan pada Piagam Audit Internal

Sifat wajib Prinsip-prinsip Pokok untuk Praktik Profesional Audit Internal, Kode Etik, Standar dan
Definisi Audit Internal harus dinyatakan pada piagam audit internal. Kepala Audit Internal harus
mendiskusikan Misi Audit Internal dan unsur-unsur yang diwajibkan dari Kerangka Kerja Praktik
Profesional Internasional dengan Manajemen Senior dan Dewan.

1100 - Independensi dan Objektivitas

Aktivitas audit internal harus independen dan auditor internal harus obyektif dalam melaksanakan
tugasnya.

Interpretasi:
Independensi adalah kondisi bebas dari situasi yang dapat mengancam kemampuan aktivitas
auditor internal untuk dapat melaksanakan tanggung jawabnya secara tidak memihak. Untuk
mencapai tingkat independensi yang dibutuhkan dalam rangka melaksanakan tanggung jawab
aktivitas audit internal, Kepala Audit Internal harus memiliki akses langsung dan tak terbatas
kepada Manajemen Senior dan Dewan. Hal tersebut dapat dicapai melalui hubungan pelaporan

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 1 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

ganda kepada Manajemen Senior dan Dewan. Ancaman terhadap independensi harus dikelola
dari tingkat individu auditor internal, penugasan, fungsional, dan organisasi.
Objektivitas adalah suatu sikap mental tidak memihak yang memungkinkan auditor internal
melaksanakan tugas sedemikian rupa sehingga mereka memiliki keyakinan terhadap hasil kerja
mereka dan tanpa kompromi dalam mutu. Objektivitas mensyaratkan auditor internal untuk tidak
menempatkan pertimbangannya mengenai permasalahan audit lebih rendah dari hal lainnya.
Ancaman terhadap objektivitas harus dikelola dari tingkat individu auditor internal, penugasan,
fungsional, dan level organisasi.

1110 - Independensi Organisasi

Kepala Audit Internal harus bertanggungjawab kepada suatu level dalam organisasi yang
memungkinkan aktivitas audit internal untuk melaksanakan tanggung jawabnya. Kepala Audit
Internal harus melaporkan independensi organisasi atas aktivitas audit internal kepada Dewan,
paling tidak setahun sekali.

Interpretasi:

Independensi organisasi dapat terpenuhi secara efektif apabila Kepala Audit Internal melapor
secara fungsional kepada Dewan. Contoh laporan fungsional kepada Dewan meliputi
keterlibatan Dewan dalam:

• Persetujuan terhadap piagam audit internal;

• Persetujuan terhadap perencanaan audit internal berbasis risiko;
• Persetujuan terhadap anggaran dan sumber daya audit internal;
• Penerimaan laporan dari Kepala Audit Internal atas kinerja aktivitas audit internal
dibandingkan dengan rencana dan hal-hal lainnya;
• Persetujuan keputusan terkait dengan penunjukan dan pemberhentian Kepala Audit
Internal;
• Persetujuan terhadap remunerasi Kepala Audit Internal; dan
• Permintaan penjelasan kepada manajemen dan Kepala Audit Internal untuk meyakinkan
apakah terdapat ketidakcukupan ruang lingkup atau pembatasan sumber daya.

1110.A1--Aktivitas audit internal harus bebas dari campur tangan dalam penentuan ruang lingkup
audit internal, pelaksanaan penugasan, dan pelaporan hasilnya. Kepala Audit Internal harus
mengungkapkan campur tangan itu kepada Dewan dan mendiskusikan implikasinya.

1111-Interaksi Langsung dengan Dewan

Kepala Audit Internal harus berkomunikasi dan berinteraksi langsung dengan Dewan.

1112-Peran-peran Kepala Audit Internal di Luar Audit Internal

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 2 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

Ketika Kepala Audit Internal memiliki atau diharapkan memiliki peran dan/atau tanggung jawab
yang berada di luar audit internal, pengaman-pengaman harus disiapkan untuk membatasi
pelemahan terhadap independensi dan obyektivitas.

Interpretasi:

Kepala audit internal mungkin diminta untuk menjalankan peran-peran dan tanggung jawab di luar
audit internal, seperti tanggung jawab untuk kegiatan kepatuhan atau manajemen risiko.
Peranperan dan tanggung jawab ini dapat menjadi pelemahan atau terkesan menjadi pelemahan,
terhadap independensi organisasional dari kegiatan audit internal atau obyektivitas individual dari
auditor internal. Pengaman-pengaman atas potensi gangguan ini berupa kegiatan-kegiatan
pengawasan, lazimnya dilakukan oleh Dewan, terhadap peran dan tanggung jawab di atas dan
dapat mencakup kegiatan-kegiatan seperti evaluasi secara periodik atas jalur pelaporan dan
pertanggungjawaban serta mengembangkan proses-proses alternatif untuk mendapatkan
assurance terkait area-area dari tanggung jawab tambahan.

1120 - Objektivitas Individual

Auditor Internal harus memiliki sikap mental tidak memihak dan tanpa prasangka, serta
senantiasa menghindarkan diri dari kemungkinan timbulnya pertentangan kepentingan.

Interpretasi:

Pertentangan kepentingan adalah suatu situasi di mana auditor, yang dalam posisi mengemban
kepercayaan, memiliki pertentangan antara kepentingan profesional dan kepentingan pribadi.
Pertentangan kepentingan tersebut dapat menimbulkan kesulitan bagi auditor internal untuk
melaksanakan tugas secara tidak memihak. Pertentangan kepentingan dapat muncul, meski
tanpa adanya kegiatan yang tidak etis atau tidak sesuai ketentuan. Pertentangan kepentingan
dapat menimbulkan suatu perilaku yang tidak pantas yang dapat merusak kepercayaan kepada
auditor internal, aktivitas audit internal, dan profesi. Pertentangan kepentingan dapat
mempengaruhi kemampuan individu untuk melaksanakan tugas dan tanggung jawabnya secara
objektif.

1130 - Pelemahan terhadap Independensi atau Objektivitas

Jika independensi atau objektivitas terlemahkan, baik dalam fakta maupun dalam penampilan
(appearance), detail dari pelemahan tersebut harus diungkapkan kepada pihak yang berwenang.
Bentuk pengungkapan tergantung pada bentuk pelemahan tersebut.

Interpretasi:

Pelemahan terhadap independensi organisasi dan objektivitas individu dapat mencakup, namun
tidak terbatas pada, pertentangan kepentingan personal, pembatasan ruang lingkup, pembatasan
akses terhadap catatan, personil, dan properti, serta pembatasan sumber daya, seperti
pendanaan.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 3 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

Penentuan mengenai pihak-pihak yang sesuai atau berhak untuk menerima laporan terjadinya
pelemahan independensi dan objektivitas, tergantung pada harapan atas aktivitas audit internal
serta tanggung jawab Kepala Audit Internal kepada Manajemen Senior dan Dewan sebagaimana
tersebut pada piagam audit internal, dan juga tergantung pada sifat pelemahan tersebut.

1130.A1 – Auditor Internal harus menolak melaksanakan penugasan penilaian kegiatan yang
pada masa sebelumnya pernah menjadi tanggung jawabnya. Objektivitas auditor internal
dianggap terlemahkan apabila auditor memberikan jasa asurans atas kegiatan yang pernah
menjadi tanggung jawabnya pada tahun sebelumnya.

1130.A2 – Penugasan asurans yang dilakukan terhadap aktivitas yang pernah menjadi
tanggung jawab Kepala Audit Internal, harus diawasi oleh pihak lain di luar aktivitas audit
internal.

1130.A3 – Aktivitas audit internal dapat memberikan jasa asurans pada aktivitas yang
sebelumnya telah diberikan jasa konsultansi, jika sifat dari konsultansi tidak menimbulkan
pelemahan objektivitas dan jika objektivitas individual dikelola pada saat menugaskan
sumber daya untuk penugasan itu.

1130.C1 – Auditor Internal dapat memberikan jasa konsultansi terhadap kegiatan yang
sebelumnya pernah menjadi tanggung jawabnya.

1130.C2 – Jika auditor internal memiliki potensi pelemahan independensi atau objektivitas
pada penugasan jasa konsultansi yang diusulkan, hal tersebut harus diungkapkan sebelum
penugasan diterima.

1200 - Kecakapan dan Kecermatan Profesional

Penugasan harus dilaksanakan dengan menggunakan keahlian/kecakapan dan kecermatan

profesional (due professional care).

1210 - Kecakapan

Auditor Internal harus memiliki pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan
dalam melaksanakan tugas dan tanggung jawabnya. Aktivitas audit internal, secara kolektif, harus
memiliki atau memperoleh pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan
untuk melaksanakan tanggung jawabnya.

Interpretasi:

Kecakapan merupakan istilah kolektif yang menunjukkan pengetahuan, keterampilan, dan

kompetensi lain yang diperlukan auditor internal untuk melaksanakan tanggungjawabnya secara
efektif. Hal ini meliputi pertimbangan terhadap aktivitas saat ini, trend, dan
permasalahanpermasalahan yang berkembang untuk menghasilkan saran dan rekomendasi
yang relevan. Auditor Internal didorong untuk menunjukkan keahlian/kecakapannya melalui

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 4 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

perolehan sertifikasi dan kualifikasi profesi yang sesuai, seperti CIA (Certified Internal Auditor)
atau sertifikasi lain yang ditawarkan oleh The IIA dan organisasi profesi yang sesuai lainnya.

1210.A1 – Kepala Audit Internal harus mendapatkan bantuan saran dan asistensi yang
kompeten apabila auditor internal tidak memiliki pengetahuan, keterampilan, atau
kompetensi yang memadai untuk melaksanakan seluruh atau sebagian penugasan.

1210.A2 – Auditor Internal harus memiliki pengetahuan memadai untuk dapat mengevaluasi
risiko kecurangan, dan cara organisasi mengelola risiko tersebut, namun tidak diharapkan
memiliki keahlian seperti layaknya seseorang yang tanggungjawab utamanya adalah
mendeteksi dan menginvestigasi kecurangan.

1210.A3 – Auditor Internal harus memiliki pengetahuan memadai mengenai risiko dan
pengendalian kunci / utama, serta teknik audit berbasis teknologi informasi yang dapat
digunakan untuk melaksanakan tugasnya. Namun tidak seluruh auditor internal diharapkan
memiliki keahlian sebagaimana layaknya auditor internal yang tanggung jawab utamanya
adalah mengaudit teknologi informasi.

1210.C1 – Kepala Audit Internal harus menolak penugasan konsultansi atau mendapatkan
saran dan bantuan yang kompeten, jika auditor internalnya tidak memiliki pengetahuan,
keterampilan, atau kompetensi untuk melaksanakan seluruh atau sebagian penugasan
tersebut.

1220 - Kecermatan Profesional (Due Professional Care)

Auditor internal harus menggunakan kecermatan dan keahlian sebagaimana diharapkan dari
seorang auditor internal yang cukup bijak (reasonably prudent) dan kompeten. Cermat secara
profesional tidak berarti tidak akan terjadi kekeliruan.

1220.A1 – Auditor Internal harus menerapkan kecermatan profesionalnya dengan

mempertimbangkan hal-hal sebagai berikut:

• Luasnya cakupan pekerjaan yang diperlukan untuk mencapai tujuan penugasan;

• Kompleksitas, materialitas, atau signifikansi yang relatif dari permasalahan, yang
prosedur penugasan asurans akan dilaksanakan terhadapnya;
• Kecukupan dan efektivitas proses tata kelola, manajemen risiko, dan pengendalian;
Peluang terjadinya kesalahan signifikan, kecurangan, atau ketidakpatuhan; dan
Biaya penugasan asurans dalam kaitannya dengan potensi manfaat.

1220.A2 – Dalam menerapkan kecermatan profesional, auditor internal harus

mempertimbangkan penggunaan teknik audit berbasis teknologi dan analisis data lainnya.

1220.A3 – Auditor Internal harus waspada terhadap risiko signifikan yang dapat
mempengaruhi tujuan, operasi, atau sumber daya. Namun, prosedur asurans saja, sekalipun
telah dilaksanakan dengan menggunakan kecermatan profesional, tidak menjamin bahwa
seluruh risiko signifikan dapat teridentifikasi.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 5 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

1220.C1 – Auditor Internal harus menerapkan kecermatan profesional dalam melaksanakan

penugasan konsultansi dengan memperhatikan hal-hal sebagai berikut:

• Kebutuhan dan harapan klien, mencakup sifat, saat, dan komunikasi hasil penugasan;
• Kompleksitas relatif dan luasnya cakupan pekerjaan yang diperlukan untuk mencapai
tujuan penugasan; dan
• Biaya penugasan konsultansi dalam hubungannya dengan potensi manfaat.

1230 - Pengembangan Profesional Berkelanjutan

Auditor Internal harus meningkatkan pengetahuan, keterampilan, dan kompetensi lainnya melalui
pengembangan profesional yang berkelanjutan.

1300 - Program Asurans dan Peningkatan Kualitas

Kepala Audit Internal harus mengembangkan dan memelihara program asurans dan peningkatan
kualitas yang mencakup seluruh aspek aktivitas audit internal.

Interpretasi:

Program asurans dan peningkatan kualitas dirancang untuk memungkinkan dilakukannya

evaluasi kesesuaian aktivitas audit internal terhadap Standar, dan evaluasi penerapan Kode Etik
oleh auditor internal. Program tersebut juga menilai efisiensi dan efektivitas aktivitas audit internal
serta mengidentifikasi peluang peningkatannya. Kepala Audit Internal semestinya mendorong
pengawasan Dewan dalam program asurans dan peningkatan tersebut.

1310 - Persyaratan Program Asurans dan Peningkatan Kualitas

Program asurans dan peningkatan kualitas harus mencakup baik penilaian Internal maupun
eksternal.

1311-Penilaian Internal

Penilaian Internal harus mencakup:

• Pemantauan berkelanjutan atas kinerja aktivitas audit internal; dan

• Penilaian berkala secara self-assessment atau oleh pihak lain dalam organisasi yang
memiliki pengetahuan memadai tentang standar dan praktik audit internal.

Interpretasi:

Pemantauan berkelanjutan merupakan bagian tidak terpisahkan dari supervisi, reviu, dan
pengukuran aktivitas audit internal. Pemantauan berkelanjutan tercakup dalam praktik dan
kebijakan rutin dalam mengelola aktivitas audit internal dan dalam penggunaan proses, alat, dan

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 6 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

informasi yang dipertimbangkan penting dalam mengevaluasi kesesuaian terhadap Kode Etik,
dan Standar.
Penilaian berkala dilakukan untuk mengevaluasi kesesuaian terhadap Kode Etik, dan Standar.
Pengetahuan memadai tentang praktik audit internal mensyaratkan paling tidak adanya
pemahaman atas seluruh elemen dalam Kerangka Kerja Praktik Profesional Internasional
(International Professional Practices Framework).

1312-Penilaian Eksternal

Penilaian eksternal harus dilakukan sekurang-kurangnya sekali dalam lima tahun oleh penilai atau
tim penilai independen yang memenuhi kualifikasi yang berasal dari luar organisasi. Kepala Audit
Internal harus mendiskusikan dengan Dewan Pengawas mengenai:

• Bentuk dan frekuensi penilaian eksternal

• Kualifikasi dan independensi (tim) penilai eksternal, termasuk kemungkinan terjadinya
pertentangan kepentingan.

Interpretasi:

Penilaian eksternal dapat dilakukan melalui penilaian eksternal menyeluruh, atau penilaian sendiri
(self-assessment) dengan validasi eksternal yang independen. Asesor eksternal harus
memberikan kesimpulan mengenai kesuaian dengan Kode Etik dan Standard, namun demikian
asesmen eksternal juga dapat mencakup komentar-komentar operasional atau strategis. Penilai
atau tim penilai yang kompeten menunjukkan kompetensinya dalam dua area: praktik profesional
audit internal dan proses penilaian eksternal. Kompetensi dapat ditunjukkan melalui gabungan
antara pengalaman dan pembelajaran teori. Pengalaman yang diperoleh dari organisasi dengan
ukuran, kompleksitas, sektor industri, dan isu teknis yang setara lebih berharga dari pada
pengalaman yang kurang relevan. Dalam hal dilaksanakan oleh tim penilai, tidak seluruh anggota
tim harus memiliki seluruh kompetensi yang dibutuhkan; tetapi tim secara keseluruhan harus
memiliki kualifikasi. Kepala Audit Internal menggunakan pertimbangan profesionalnya ketika
mengevaluasi apakah seorang/tim penilai memiliki kompetensi yang memadai untuk dapat
disebut memiliki kualifikasi. Penilai atau tim penilai yang independen artinya, baik secara nyata
maupun kesan, tidak memiliki pertentangankepentingan, dan tidak menjadi bagian dari, atau di
bawah pengendalian, organisasi yang membawahi aktivitas audit internal. Kepala Audit Internal
semestinya mendorong pengawasan Dewan dalam penilaian eksternal untuk mengurangi
pertentangan kepentingan yang potensial atau dianggap terjadi.

1320 - Pelaporan Program Asurans dan Peningkatan Kualitas

Kepala Audit Internal melaporkan program asurans dan peningkatan kualitas kepada Manajemen
Senior dan Dewan. Pengungkapan seharusnya mencakup:

• Ruang lingkup dan frekuensi, baik atas penilaian internal dan eksternal
• Kualifikasi dan independensi (para) penilai atau tim penilai, termasuk potensi benturan
kepentingan

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 7 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

• Kesimpulan para penilai

• Rencana tindak perbaikan

Interpretasi:

Bentuk, isi, dan frekuensi komunikasi hasil Program Asurans dan Peningkatan Kualitas ditetapkan
berdasarkan hasil diskusi dengan Manajemen Senior dan Dewan, dan mempertimbangkan
tanggung jawab aktivitas audit internal dan Kepala Audit Internal sebagaimana tercantum pada
piagam audit internal. Untuk menunjukkan kepatuhan terhadap Kode Etik, dan Standar, hasil
penilaian eksternal dan penilaian internal berkala dikomunikasikan segera setelah penugasan,
dan hasil pemantauan berkelanjutan dikomunikasikan paling tidak setahun sekali. Hasil tersebut
termasuk hasil penilaian dari penilai atau tim penilai terhadap tingkat kepatuhan.

1321 - Penggunaan frasa “Kesesuaian dengan Standar Internasional Praktik Profesional

Audit Internal”

Menunjukkan bahwa aktivitas audit internal telah sesuai dengan Standar Internasional Praktik
Profesional Audit Internal yang dapat dilakukan hanya jika didukung dengan hasil dari program
asurans dan peningkatan kualitas.

Interpretasi:

Aktivitas audit internal telah sesuai dengan Kode Etik dan Standar apabila dapat memberikan
hasil sebagaimana dimaksud di dalamnya. Hasil program asurans dan peningkatan kualitas
mencakup hasil penilaian internal maupun eksternal. Seluruh aktivitas audit internal akan
memperoleh penilaian internal. Aktivitas audit internal paling telah dibentuk setidaknya dalam lima
tahun juga akan memperoleh hasil penilaian eksternal.

1322 - Pengungkapan Ketidaksesuaian

Apabila terdapat ketidaksesuaian terhadap Kode Etik dan Standar yang mempengaruhi ruang
lingkup operasi aktivitas audit internal secara umum, Kepala Audit Internal harus mengungkapkan
ketidaksesuaian tersebut dan dampaknya kepada Manajemen Senior dan Dewan.

STANDAR KINERJA

2000 - Mengelola Aktivitas Audit Internal

Kepala Audit Internal harus mengelola aktivitas audit internal secara efektif untuk meyakinkan
bahwa aktivitas tersebut memberikan nilai tambah bagi organisasi.

Interpretasi:

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 8 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

Aktivitas audit internal telah dikelola secara efektif apabila:

• Mencapai tujuan dan tanggung jawab sebagaimana tercantum pada piagam audit internal;
• Sesuai dengan Definisi Audit Internal dan Standar;
• Anggota individual menunjukkan kesesuaiannya terhadap Kode Etik dan Standar;
• Mempertimbangkan trend dan permasalahan-permasalahan yang timbul yang dapat
mempengaruhi organisasi.

Aktivitas audit internal dikatakan memberi nilai tambah bagi organisasi dan pemangku
kepentingannya apabila mempertimbangkan strategi, tujuan dan risiko-risiko; berupaya keras
dalam menyediakan cara untuk mengembangkan proses tata kelola, manajemen risiko, dan
pengendalian; dan secara objektif memberikan asurans yang relevan.

2010 – Perencanaan

Kepala Audit Internal harus menyusun perencanaan berbasis risiko (risk-based plan) untuk
menetapkan prioritas kegiatan aktivitas audit internal sesuai dengan tujuan organisasi.

Interpretasi:

Untuk membangun perencanaan berbasis risiko, Kepala Audit Internal menanyakan kepada
manajemen senior dan Dewan serta memperoleh suatu pemahaman mengenai strategi
organisasi, tujuan kegiatan kunci, risiko-risiko terkait, dan proses manajemen risiko. Kepala Audit
Internal harus mengkaji dan menyesuaikan perencanaan seperlunya untuk merespon perubahan
dalam berbagai hal: usaha, risiko, operasi, program, sistem, dan pengendalian organisasi.

2010.A1 – Perencanaan penugasan sebagai aktivitas audit internal harus didasarkan atas
penilaian risiko yang terdokumentasikan, yang dilakukan sekurang-kurangnya setahun
sekali. Masukan dari Manajemen Senior dan Dewan harus diperhatikan dalam proses
tersebut.

2010.A2 – Kepala Audit Internal harus mengidentifikasi dan mempertimbangkan harapan

manajemen senior, Dewan, dan pemangku kepentingan lain untuk menjadi opini auditor
internal dan kesimpulan lainnya.

2010.C1 – Kepala Audit Internal harus mempertimbangkan penerimaan rencana penugasan

konsultansi berdasarkan potensi peningkatan manajemen risiko, nilai tambah, dan
peningkatan kegiatan operasional yang dapat diberikan dari penugasan tersebut.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 9 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

Penugasan yang diterima harus tercakup dalam perencanaan.

2020 - Komunikasi dan Persetujuan

Kepala Audit Internal mengkomunikasikan rencana aktivitas audit internal dan kebutuhan sumber
daya, termasuk perubahan interim yang signifikan, kepada Manajemen Senior dan Dewan untuk
dikaji dan disetujui. Kepala Audit Internal juga harus mengkomunikasikan dampak dari
keterbatasan sumber daya.

2030 - Pengelolaan Sumber Daya

Kepala Audit Internal harus memastikan bahwa sumber daya audit internal telah sesuai, memadai,
dan dapat digunakan secara efektif dalam rangka pencapaian rencana yang telah disetujui.

Interpretasi:

Sesuai, dalam hal ini, mengacu pada gabungan dari pengetahuan, kecakapan/keahlian, dan
kompetensi lain yang diperlukan untuk melaksanakan rencana. Memadai mencakup kuantitas
sumber daya yang diperlukan untuk mencapai rencana. Sumber daya digunakan secara efektif
apabila digunakan dengan cara yang dapat mengoptimalkan pencapaian tujuan yang telah
disetujui.

2040 - Kebijakan dan Prosedur

Kepala Audit Internal harus menetapkan kebijakan dan prosedur untuk mengarahkan/memandu
aktivitas audit internal.

Interpretasi:

Bentuk dan isi kebijakan dan prosedur tergantung pada ukuran dan struktur aktivitas audit internal,
serta kompleksitas pekerjaannya.

2050 Koordinasi dan Penyandaran

Kepala Audit Internal harus berbagi informasi, mengkoordinasikan kegiatannya dan

mempertimbangkan penyandaran terhadap hasil pekerjaan penyedia jasa asurans dan
konsultansi eksternal dan internal lain, untuk memastikan bahwa lingkup penugasan telah sesuai
dan meminimalkan duplikasi aktivitas.

Interpretasi:

Dalam mengkoordinir aktivitas-aktivitas, Kepala Audit Internal dapat bersandar kepada pekerjaan
para penyedia jasa asurans dan konsultansi lainnya. Suatu proses yang konsisten sebagai dasar
penyandaran semestinya ditetapkan, dan Kepala Audit Internal semestinya mempertimbangkan
kompetensi, objektivitas, dan penerapan keahlian dari para penyedia jasa asurans dan
konsultansi. Kepala Audit Internal semestinya juga mempunyai pemahaman yang jelas mengenai

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 10 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

lingkup, tujuan dan hasil pekerjaan yang dilaksanakan oleh para penyedia jasa asurans dan
konsultansi lainnya. Ketika penyandaran ditempatkan terhadap pekerjaan dari pihak lain, Kepala
Audit Internal masih akuntabel dan bertanggung jawab untuk meyakinkan dukungan yang
memadai untuk kesimpulan dan pendapat yang dicapai oleh aktivitas audit internal.

2060 - Laporan kepada Manajemen Senior dan Dewan

Kepala Audit Internal harus melaporkan secara periodik tujuan, kewenangan, tanggung jawab,
dan kinerja aktivitas audit internal terhadap rencananya dan kesesuaiannya dengan Kode Etik
dan Standar. Laporan tersebut juga harus mencakup risiko signifikan, pemasalahan tentang
pengendalian, risiko terjadinya kecurangan, masalah tata kelola, dan hal lainnya yang meminta
perhatian dari Manajemen Senior dan/atau Dewan.

Interpretasi:

Frekuensi dan isi laporan ditentukan secara kolaboratif oleh Kepala Audit Internal, Manajemen
Senior dan Dewan.Frekuensi dan isi dari pelaporan tergantung pada tingkat kepentingan
informasi yang dikomunikasikan, serta tingkat urgensinya dikaitkan dengan tindakan yang harus
dilakukan oleh Manajemen Senior dan/atau Dewan.
Laporan dan komunikasi Kepala Audit Internal kepada Manajemen Senior dan Dewan harus
mencakup informasi mengenai:

• Piagam audit.
• Independensi aktivitas audit internal.
• Rencana audit dan kemajuan dibandingkan rencana.
• Kebutuhan sumber daya.
• Kesesuaian dengan Kode Etik dan Standar, serta rencana aksi untuk mengatasi
permasalahan kesesuaian signifikan yang ada.
• Respon manajemen terhadap risiko yang, dalam penilaian Kepala Audit Internal, mungkin
tidak dapat diterima bagi organisasi.

Hal-hal di atas dan persyaratan komunikasi Kepala Audit Internal lainnya dijelaskan di seluruh
Standar.

2070 - Penyedia Jasa Eksternal dan Tanggung Jawab Organisasi pada Audit Internal

Apabila terdapat penyedia jasa eksternal yang memberikan jasa audit internal pada aktivitas audit
internal organisasi, penyedia jasa tersebut harus dapat memberikan pemahaman bahwa
organisasi memiliki tanggung jawab untuk memelihara aktivitas audit internal yang efektif.

Interpretasi:

Tanggung jawab tersebut ditunjukkan melalui program asurans dan peningkatan kualitas yang
menilai kesesuaiannya terhadap Kode Etik dan Standar.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 11 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

2100 - Sifat Dasar Pekerjaan

Aktivitas audit internal harus melakukan evaluasi dan memberikan kontribusi dalam peningkatan
proses tata kelola, manajemen risiko, dan pengendalian organisasi dengan menggunakan
pendekatan yang sistematis, teratur berbasis risiko. Kredibilitas dan nilai audit internal terwujud
ketika auditor bersikap proaktif dan evaluasi mereka menawarkan pandangan baru dan
mempertimbangkan dampak masa depan.

2110 - Tata Kelola

Aktivitas audit internal harus menilai dan memberikan rekomendasi yang sesuai untuk
meningkatkan proses tata kelola orgaanisasi untuk:

• Membuat keputusan strategis dan operasional

• Mengawasi manajemen risiko dan pengendalian
• Pengembangan etika dan nilai-nilai yang sesuai dalam organisasi;
• Memastikan bahwa pengelolaan dan akuntabilitas kinerja organisasi telah efektif;
• Mengkomunikasikan informasi risiko dan pengendalian pada area yang sesuai dalam
organisasi; dan
• Mengkoordinasikan kegiatan dan mengkomunikasikan informasi secara efektif diantara
Dewan Pengawas, auditor eksternal dan internal, para penyedia jasa asurans lainnya,
serta manajemen.

2110.A1 – Aktivitas audit internal harus mengevaluasi rancangan, penerapan, dan efektivitas
sasaran, program, dan kegiatan terkait etika organisasi.

2110.A2 – Aktivitas audit internal harus menilai apakah tata kelola teknologi informasi
organisasi telah mendukung strategi dan tujuan organisasi.

2120 - Manajemen Risiko

Aktivitas audit internal harus mengevaluasi efektivitas dan memberikan kontribusi pada
peningkatan proses manajemen risiko.

Interpretasi:

Penilaian efektivitas proses manajemen risiko merupakan suatu pendapat berdasarkan evaluasi
dari auditor bahwa:

• Tujuan organisasi telah mendukung dan terkait dengan misi organisasi;

• Risiko signifikan telah diidentifikasi dan dinilai;
• Respon risiko yang sesuai telah dipilih dan sesuai dengan selera risiko organisasi; dan
• Informasi yang relevan mengenai risiko telah diperoleh dan dikomunikasikan dalam
waktu yang tepat ke seluruh unit organisasi, yang membuat staf, Manajemen, dan
Dewan dapat melaksanakan tanggung jawabnya.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 12 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

Aktivitas audit internal dapat memperoleh informasi untuk mendukung penilaian tersebut dari
berbagai penugasan. Hasil berbagai penugasan tersebut, apabila dilihat secara bersamaan, akan
memberikan pemahaman proses manajemen risiko organisasi dan efektivitasnya. Proses
manajemen risiko dipantau melalui aktivitas manajemen yang berkelanjutan, evaluasi terpisah,
atau keduanya.

2120.A1 – Aktivitas audit internal harus mengevaluasi paparan risiko terkait dengan tata
kelola, operasi, dan sistem informasi organisasi, mencakup:

• Pencapaian tujuan strategis organisasi;

• Reliabilitas dan integritas informasi keuangan dan operasi;
• Efektivitas dan efisiensi operasi dan program;
• Pengamanan aset; dan
• Ketaatan terhadap hukum, peraturan perundang-undangan, kebijakan, prosedur dan
kontrak.

2120.A2 – Aktivitas audit internal harus mengevaluasi potensi timbulnya kecurangan dan
bagaimana organisasi mengelola risiko tersebut.

2120.C1 – Selama penugasan konsultansi, auditor internal harus memperhatikan risiko yang
terkait dengan tujuan penugasan serta harus waspada terhadap risiko lain yang signifikan.

2120.C2 – Auditor Internal harus menerapkan pengetahuan mengenai risiko yang

diperolehnya melalui penugasan konsultansi dalam penugasan evaluasi proses manajemen
risiko organisasi.

2120.C2 – Auditor Internal harus menerapkan pengetahuan mengenai risiko yang

diperolehnya melalui penugasan konsultansi dalam penugasan evaluasi proses manajemen
risiko organisasi.

2120.C3 – Ketika membantu manajemen dalam penyusunan atau peningkatan proses

manajemen risiko, auditor internal harus menolak menerima tanggung jawab manajemen
yang sebenarnya melakukan pengelolaan risiko.

2130 – Pengendalian

Aktivitas audit internal harus membantu organisasi memelihara pengendalian yang efektif dengan
cara mengevaluasi efisiensi dan efektivitasnya serta mendorong pengembangan berkelanjutan.

2130.A1 – Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas

pengendalian dalam merespon risiko dalam proses governance, operasi, dan sistem
informasi organisasi, yang mencakup:

• Pencapaian tujuan strategis organisasi;

• Reliabilitas dan integritas informasi keuangan dan operasi;
• Efektivitas dan efisiensi operasi dan program;

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 13 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

• Pengamanan aset; dan

• Ketaatan terhadap hukum, peraturan, kebijakan, prosedur dan perjanjian kontrak.

2130.C1 – Auditor Internal harus menerapkan pengetahuannya mengenai pengendalian

yang diperolehnya melalui penugasan konsultansi dalam penugasan evaluasi proses
pengendalian organisasi.

2200 - Perencanaan Penugasan

Auditor Internal harus menyusun dan mendokumentasikan rencana untuk setiap penugasan yang
mencakup tujuan penugasan, ruang lingkup, waktu, dan alokasi sumber daya. Rencana
penugasan harus mempertimbangkan strategi organisasi, tujuan dan risiko-risiko yang relevan
untuk penugasan itu.

2201 - Pertimbangan Perencanaan

Dalam merencanakan penugasan, auditor internal harus mempertimbangkan:

• Strategi dan sasaran dari kegiatan yang sedang diperiksa dan mekanisme yang digunakan
dalam mengendalikan kinerjanya
• Risiko signifikan atas sasaran, sumber daya, dan operasi aktivitas yang diperiksa, dan
bagaimana menurunkan dampak risiko tersebut sampai pada tingkat yang dapat diterima,
• Kecukupan dan efektivitas tata kelola, manajemen risiko dan proses pengendalian
dibandingkan dengan kerangka kerja atau model yang relevan,
• Peluang untuk meningkatkan secara signifikan tata kelola, manajemen risiko, dan proses
pengendalian.

2201.A1 – Sewaktu menyusun rencana penugasan yang akan diberikan kepada pihak di luar
organisasi, auditor internal harus membuat kesepahaman dengan mereka tentang tujuan,
ruang lingkup, tanggung jawab masing-masing pihak, dan harapan lainnya, termasuk
pembatasan distribusi hasil penugasan dan akses terhadap catatan penugasan.

2201.C1 – Auditor Internal harus membuat nota kesepahaman dengan klien penugasan
konsultansi yang memuat tujuan, ruang lingkup, tanggung jawab masing-masing pihak, dan
harapan lain klien. Untuk penugasan yang signifikan, nota kesepahaman ini harus
didokumentasikan.

2210 - Tujuan Penugasan

Tujuan harus ditetapkan untuk setiap penugasan.

2210.A1 – Auditor Internal harus melakukan penilaian pendahuluan terhadap risiko yang
relevan atas kegiatan yang dikaji. Tujuan penugasan harus mencerminkan hasil penilaian
tersebut.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 14 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

2210.A2 – Auditor Internal harus mempertimbangkan kemungkinan timbulnya kesalahan yang

signifikan, kecurangan, ketidaktaatan, dan eksposur lain pada saat menyusun tujuan
penugasan.
2210.A3 – Kriteria yang memadai diperlukan untuk mengevaluasi tata kelola, manajemen
risiko, dan pengendalian. Auditor Internal harus memastikan seberapa jauh manajemen
dan/atau Dewan telah menetapkan kriteria memadai untuk menilai apakah tujuan dan
sasaran telah tercapai. Apabila memadai, auditor internal harus menggunakan kriteria
tersebut dalam evaluasinya. Apabila tidak memadai, auditor internal harus mengidentifikasi
kriteria evaluasi yang sesuai melalui diskusi dengan manajemen dan/atau Dewan.

Interpretasi:

Jenis-jenis kriteria dapat meliputi:

• Internal (misalnya, kebijakan dan prosedur organisasi)

• Eksternal (misalnya, hukum dan peraturan yang ditetapkan oleh lembaga-lembaga yang
berwenang)
• Praktik yang dianjurkan (misalnya, panduan industri dan profesional)

2210.C1 – Tujuan penugasan konsultansi harus diarahkan pada proses tata kelola, risiko, dan
pengendalian, sesuai dengan kesepakatan yang dibuat dengan klien.

2210.C2 – Tujuan penugasan konsultansi harus konsisten dengan nilai, strategi, dan tujuan
organisasi.

2220 - Ruang Lingkup Penugasan

Ruang lingkup penugasan yang ditetapkan harus memadai untuk dapat mencapai tujuan
penugasan.

2220.A1 – Ruang lingkup penugasan harus mempertimbangkan sistem, catatan, personel dan
properti fisik yang relevan, termasuk yang berada dibawah pengelolaan pihak ketiga.

2220.A2 – Jika timbul peluang dilakukannya jasa konsultansi yang signifikan pada saat
penugasan asurans, nota kesepahaman tertulis khusus yang mencakup tujuan, ruang
lingkup, tanggung jawab masing-masing pihak, dan harapan lain harus dibuat dan hasil
penugasan konsultansi dikomunikasikan berdasarkan standar penugasan konsultansi.

2220.C1 – Dalam penugasan konsultansi, auditor internal harus memastikan bahwa ruang
lingkup penugasan telah memadai untuk mencapai tujuan yang telah disepakati. Jika
Auditor Internal merasa berkeberatan tentang ruang lingkup selama penugasan, keberatan
tersebut harus didiskusikan dengan klien untuk menentukan kelanjutan penugasan.

2220.C2 – Selama penugasan konsultansi, auditor internal harus memperhatikan

pengendalian yang terkait dengan tujuan penugasan serta waspada terhadap berbagai
permasalahan pengendalian yang signifikan.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 15 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

2230 - Alokasi Sumber Daya Penugasan

Auditor Internal harus menentukan sumber daya yang sesuai dan memadai untuk mencapai
tujuan penugasan, berdasarkan evaluasi atas sifat dan tingkat kompleksitas setiap penugasan,
keterbatasan waktu, dan sumber daya yang dapat digunakan.

Interpretasi:

Sesuai dalam hal ini mengacu kepada campuran pengetahuan, keterampilan dan
kompetensikompetensi lain yang diperlukan untuk melaksanakan penugasan. Cukup dalam hal
ini mengacu kepada jumlah sumber daya yang diperlukan untuk mencapai penugasan dengan
kecermatan profesional.

2240 - Program Kerja Penugasan

Auditor Internal harus menyusun dan mendokumentasikan program kerja untuk mencapai tujuan
penugasan.

2240.A1 – Program kerja harus mencakup prosedur untuk mengidentifikasi, menganalisis,

mengevaluasi, dan mendokumentasikan informasi selama penugasan. Program kerja ini
harus memperoleh persetujuan sebelum dilaksanakan dan apabila terjadi perubahan harus
segera dimintakan persetujuan.

2240.C1 – Program kerja penugasan konsultansi berbeda dalam bentuk dan isinya,
tergantung pada sifat setiap penugasan.

2300 - Pelaksanaan Penugasan

Auditor Internal harus mengidentifikasi, menganalisis, mengevaluasi, dan mendokumentasikan

informasi yang memadai untuk mencapai tujuan penugasan.

2310 - Pengidentifikasian Informasi

Auditor Internal harus mengidentifikasi informasi yang memadai, handal, relevan, dan berguna
untuk mencapai tujuan penugasan.

Interpretasi:

Informasi yang memadai adalah informasi yang faktual, cukup, dan meyakinkan sehingga
seseorang yang memiliki sifat kehati-hatian (prudent) akan mencapai kesimpulan yang sama
dengan auditor. Informasi yang handal adalah informasi terbaik yang dapat diperoleh melalui
penggunaan teknik-teknik penugasan yang tepat. Informasi yang relevan adalah informasi yang
mendukung observasi dan rekomendasi penugasan dan konsisten dengan tujuan penugasan.
Informasi yang berguna membantu organisasi mencapai tujuannya.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 16 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

2320 - Analisis dan Evaluasi

Auditor Internal harus mendasarkan kesimpulan dan hasil penugasannya pada analisis dan
evaluasi yang sesuai.

2330 - Pendokumentasian Informasi

Auditor Internal harus mendokumentasikan informasi yang memadai, handal, relevan dan
berguna untuk mendukung kesimpulan dan hasil penugasan.

2330.A1 – Kepala Audit Internal harus mengontrol akses atas dokumentasi penugasan.
Kepala Audit Internal harus memperoleh persetujuan dari manajemen senior dan/atau,
apabila diperlukan, pendapat ahli hukum sebelum menyampaikan catatan/dokumentasi ke
pihak eksternal.

2330.A2 – Kepala Audit Internal harus menetapkan kebutuhan retensi penyimpanan catatan
penugasan, tanpa tergantung pada media penyimpanannya.. Ketentuan tersebut harus
konsisten dengan ketentuan organisasi dan peraturan perundang-undangan yang berlaku.

2330.C1 – Kepala Audit Internal harus menetapkan kebijakan kustodian dan retensi
penyimpanan dokumentasi penugasan konsultansi, termasuk penyampaiannya kepada
pihak internal maupun eksternal organisasi. Kebijakan tersebut harus konsisten dengan
ketentuan organisasi dan peraturan perundang-undangan yang berlaku serta ketentuan
lainnya.

2340 - Supervisi Penugasan

Setiap penugasan harus disupervisi dengan tepat untuk memastikan bahwa sasaran tercapai,
kualitas terjamin, dan staf dapat berkembang.

Interpretasi:

Tingkat supervisi yang diperlukan tergantung kepada kemampuan dan pengalaman Auditor
Internal dan kompleksitas penugasan. Kepala Audit Internal bertanggungjawab secara
menyeluruh untuk melakukan supervisi penugasan, baik dilaksanakan oleh atau untuk aktivitas
audit internal, namun dapat juga menunjuk anggota aktivitas audit internal yang berpengalaman
untuk melaksanakan pemeriksaan tersebut. Bukti yang sesuai harus didokumentasikan dan
disimpan.

2400 - Komunikasi Hasil Penugasan

Auditor Internal harus mengomunikasikan hasil penugasannya.

2410 - Kriteria Komunikasi

Komunikasi harus mencakup tujuan, ruang lingkup dan hasil penugasan.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 17 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

2410 - Kriteria Komunikasi

Komunikasi harus mencakup tujuan, ruang lingkup dan hasil penugasan.

2410.A1 – Komunikasi akhir hasil penugasan harus memuat kesimpulan yang dapat
diterapkan, sebagaimana rekomendasi dan/atau tindak perbaikan yang dapat diterapkan.
Apabila memungkinkan, opini auditor internal semestinya diberikan. Suatu opini harus
mempertimbangkan ekspektasi Manajemen Senior dan Dewan, serta pemangku
kepentingan lain, dan harus didukung dengan informasi yang cukup, handal, relevan dan
bermanfaat.

Interpretasi:

Opini dapat berupa tingkat rating, kesimpulan, atau uraian hasil audit dalam bentuk lain.
Penugasan tersebut dapat mencakup pengendalian terhadap proses tertentu, risiko atau unit
bisnis. Formulasi pendapat tersebut dilakukan dengan mempertimbangkan hasil penugasan
dan tingkat signifikansinya.

2410.A2 – Auditor Internal didorong untuk dapat mengakui kinerja yang memuaskan dalam
laporan hasil penugasannya.

2410.A3 – Bilamana hasil penugasan disampaikan kepada pihak di luar organisasi, maka
harus disebutkan pembatasan distribusi dan penggunaan hasil penugasan.

2410.C1 – Bentuk dan isi komunikasi progres dan hasil akhir penugasan konsultansi bervariasi
dalam bentuk dan isinya, tergantung pada sifat penugasan dan kebutuhan klien.

2420 - Kualitas Komunikasi

Komunikasi yang disampaikan harus akurat, objektif, jelas, ringkas, konstruktif, lengkap, dan tepat
waktu.

Interpretasi:

Komunikasi yang akurat berarti bebas dari kesalahan dan distorsi, dan didasarkan atas fakta.
Komunikasi yang objektif berarti adil, tidak memihak, tidak berat sebelah, dan merupakan hasil
dari pemikiran adil dan seimbang atas seluruh fakta dan keadaan yang relevan. Komunikasi yang
jelas berarti mudah dipahami dan logis, terhindar dari pemakaian istilah teknis yang tidak penting
dan menyajikan seluruh informasi yang signifikan dan relevan. Komunikasi yang ringkas berarti
langsung pada masalahnya, dan menghindari uraian yang tidak perlu, detail yang berlebihan,
pengulangan, dan terlalu panjang. Komunikasi yang konstruktif berarti memiliki sifat membantu
klien penugasan dan organisasi, dan tertuju pada upaya perbaikan yang diperlukan. Komunikasi
yang lengkap berarti tidak meninggalkan hal-hal penting bagi pengguna hasil penugasan dan
telah mencakup seluruh informasi dan observasi signifikan dan relevan untuk mendukung
kesimpulan dan rekomendasi. Komunikasi yang tepat waktu berarti pada waktunya dan

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 18 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

bermanfaat dengan mempertimbangkan tingkat signifikansi isu, sehingga memungkinkan

manajemen dapat melakukan tindakan koreksi yang tepat.

2421 - Kesalahan dan Kealpaan

Jika komunikasi akhir mengandung kesalahan atau kealpaan, Kepala Audit Internal harus
mengkomunikasikan informasi yang telah dikoreksi kepada semua pihak yang sebelumnya telah
menerima komunikasi asli.

2430 - Penggunaan frasa “Dilaksanakan sesuai dengan Standar Internasional Praktik

Profesional Audit Internal”

Menunjukkan bahwa hasil penugasan “Dilaksanakan sesuai dengan Standar Internasional Praktik
Profesional Audit Internal”, dapat dilakukan hanya jika didukung dengan hasil program asurans
dan peningkatan kualitas.

2431 - Pengungkapan atas Penugasan yang Tidak Patuh terhadap Standar

Apabila ketidakpatuhan terhadap Kode Etik, atau Standar mempengaruhi suatu penugasan,
komunikasi hasil penugasan harus mengungkapkan:

• Prinsip(-prinsip) atau aturan(-aturan) perilaku pada Kode Etik, atau Standar yang tidak
sepenuhnya dipatuhi;
• Alasan ketidakpatuhan,
• Dampak ketidakpatuhan tersebut terhadap penugasan dan hasil penugasan yang
dikomunikasikan.

2440 - Penyampaian Hasil Penugasan

Kepala Audit Internal harus mengkomunikasikan hasil penugasan kepada pihak yang
berkepentingan.

Interpretasi:

Kepala Audit Internal bertanggungjawab memeriksa dan menyetujui komunikasi final penugasan
sebelum diterbitkan, serta menentukan bagaimana dan kepada siapa komunikasi tersebut akan
disampaikan. Apabila Kepala Audit Internal mendelegasikan tugas tersebut, dia tetap
bertanggungjawab sepenuhnya atas hal tersebut.

2440.A1 – Kepala Audit Internal bertanggungjawab mengkomunikasikan hasil akhir

penugasan kepada pihak-pihak yang yang dapat memastikan bahwa hasil penugasan akan
dipertimbangkan.

2440.A2 – Apabila tidak ditentukan lain oleh hukum, ketentuan, atau peraturan
perundangundangan yang berlaku, sebelum menyampaikan hasil penugasan kepada pihak
di luar organisasi, Kepala Audit Internal harus:

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 19 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

• Menilai potensi risiko yang dihadapi organisasi;

• Berkonsultansi dengan manajemen senior dan/atau ahli hukum apabila diperlukan;
dan
• Membatasi penyampaian hasil penugasan dengan melakukan pembatasan
penggunaan hasil penugasan.
.
2440.C1 – Kepala Audit Internal bertanggungjawab mengkomunikasikan hasil akhir
penugasan konsultansi kepada klien.

2440.C2 – Dalam penugasan konsultansi, permasalahan tata kelola, manajemen risko, dan
pengendalian, dapat sekaligus diidentifikasi. Apabila isu tersebut berpengaruh signifikan
terhadap organisasi, maka hal tersebut harus dikomunikasikan kepada Manajemen Senior
dan Dewan.

2450 - Opini Umum

Apabila terdapat opini umum, maka opini tersebut harus memperhatikan strategi, sasaran, dan
risiko-risiko organisasi dan ekspektasi Manajemen Senior dan Dewan, serta pemangku
kepentingan lainnya. Opini umum harus didukung oleh informasi yang cukup, reliabel, relevan
dan bermanfaat.

Interpretasi:

Komunikasi penugasan meliputi:

• Ruang lingkup, termasuk periode waktu yang terkait dengan pendapat umum tersebut;
Batasan ruang lingkup;
• Pertimbangan terhadap proyek terkait lainnya termasuk keterkaitannya dengan penyedia
jasa asurans lain;
• Ikhtisar dari informasi yang mendukung opini;
• Kerangka kerja risiko atau pengendalian, atau kriteria lain yang dipergunakan sebagai
dasar pengungkapan opini umum;
• Opini, pertimbangan, atau kesimpulan yang bersifat umum yang dapat ditarik.

Alasan atas opini umum yang tidak memuaskan harus dijelaskan.

2600 - Komunikasi Penerimaan Risiko

Dalam hal Kepala Audit Internal menyimpulkan bahwa manajemen telah menanggung tingkat
risiko yang mungkin tidak dapat diterima oleh organisasi, Kepala Audit Internal harus membahas
masalah ini dengan manajemen senior. Jika Kepala Audit Internal meyakini bahwa permasalahan
tersebut belum terselesaikan, maka Kepala Audit Internal harus mengkomunikasikan hal tersebut
kepada Dewan Pengawas.

Interpretasi:

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 20 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

Identifikasi atas risiko yang diterima oleh manajemen dapat dilakukan melalui penugasan asurans
maupun konsultansi, monitoring perkembangan atas tindakan yang dilakukan manajemen atas
hasil penugasan sebelumnya, atau melalui media lainnya. Mengatasi risiko bukan merupakan
tanggung jawab dari Kepala Audit Internal.

2500 - Pemantauan Perkembangan

Kepala Audit Internal harus menetapkan dan memelihara sistem untuk memantau disposisi atas
hasil penugasan yang telah dikomunikasikan kepada manajemen.

2500.A1 – Kepala Audit Internal harus menetapkan proses tindak lanjut untuk memantau dan
memastikan bahwa manajemen senior telah melaksanakan tindakan perbaikan secara
efektif, atau menerima risiko untuk tidak melaksanakan tindakan perbaikan.

2500.C1 – Aktifitas audit internal harus memantau disposisi hasil penugasan konsultansi untuk
memantau tindakan perbaikan yang telah dilakukan oleh klien sesuai dengan hasil
kesepakatan penugasan konsultansi.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 21 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

DAFTAR ISTILAH

1. Aktivitas Audit Internal (Internal Audit Activity)

Departemen, divisi, tim konsultan atau praktisi lainnya yang memberikan jasa asurans dan
konsultansi yang independen dan objektif, yang dirancang untuk memberikan nilai tambah
dan meningkatkan kegiatan operasi organisasi. Aktivitas audit internal membantu organisasi
mencapai tujuannya, melalui pendekatan yang sistematis dan teratur dalam mengevaluasi
dan meningkatkan efektivitas proses manajemen risiko, pengendalian, dan tata kelola.

2. Dewan (Board)
Badan tertinggi yang mengatur jalannya organisasi (misalnya, suatu dewan direksi, suatu
dewan pengawas, atau suatu dewan gubernur atau wali amanat), yang bertanggungjawab
untuk memerintah dan/atau mengawasi aktivitas organisasi dan memegang akuntabilitas
manajemen senior. Walaupun susunan tata kelola dapat berbeda-beda antara berbagai
yurisdiksi dan sektor, pada umumnya dewan mencakup anggota-anggota yang bukan
merupakan bagian dari manajemen. Apabila dewan tidak ada, maka istilah “Dewan” di dalam
Standar merujuk kepada kelompok atau orang yang diberikan tanggung jawab mengenai tata
kelola organisasi. Lebih lanjut, “dewan” dalam Standar dapat juga diartikan sebagai komite
atau suatu badan lain yang memperoleh delegasi fungsi tertentu dari lembaga yang
mengelola (misalnya, suatu komite audit)

3. Harus (Must) Standar menggunakan kata ‘harus’ untuk menjelaskan suatu persyaratan yang
mutlak dipenuhitanpa pengecualian.

4. Independensi (Independence)
Bebas dari situasi yang dapat mengancam kemampuan kegiatan auditor internal untuk dapat
melaksanakan tanggung jawab audit internal secara tidak memihak.

5. Jasa Asurans (Assurance Services)

Suatu pengujian objektif terhadap bukti dengan maksud untuk memberikan penilaian yang
independen atas proses tata kelola (governance), pengelolaan risiko, dan proses-proses
pengendalian untuk organisasi. Contoh kegiatan asurans mencakup penugasan bidang
keuangan, kinerja, kepatuhan, keamanan sistem, dan due diligence.

6. Jasa Konsultansi (Consulting Services)

Kegiatan pemberian advis (nasihat) dan jasa lain terkait yang dibutuhkan klien, yang sifat dan
ruang lingkup penugasannya telah disepakati dengan klien, ditujukan untuk menambah nilai
dan meningkatkan proses tata kelola organisasi, manajemen risiko, dan proses-proses
pengendalian, tanpa adanya pengalihan tanggung jawab dari manajemen kepada auditor
internal. Contohnya termasuk: pemberian nasihat, fasilitasi, dan pelatihan.

7. Kecurangan (Fraud)
Setiap tindakan ilegal yang bercirikan penipuan, penyembunyian, atau penyalahgunaan
kepercayaan. Tindakan tersebut tidak terbatas pada ancaman atau pelanggaran dalam bentuk
kekuatan fisik saja. Kecurangan dapat dilakukan oleh pihak-pihak dan organisasi untuk

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 22 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

mendapatkan uang, aset, atau jasa; untuk menghindari pembayaran atau kerugian atas jasa;
atau untuk memperoleh keuntungan pribadi atau bisnis.

8. Kepala Audit Internal/KAI (Chief Audit Executive/CAE)

Adalah peran dari seseorang yang dalam kapabilitas sebagai pejabat senior, bertanggung
jawab mengelola aktivitas audit internal secara efektif, sesuai dengan piagam audit internal dan
unsur-unsur wajib dalam Kerangka Kerja Praktik Profesional Internasional. KAI dan pihak lain
yang bertanggung jawab kepada KAI harus memiliki sertifikasi dan kualifikasi yang sesuai. Nama
jabatan dan/atau tanggung jawab dari KAI dapat berbeda-beda pada setiap organisasi. 9.
Pelemahan (Impairment)
Pelemahan terhadap independensi organisasi dan objektivitas individual organisasi mencakup
pertentangan kepentingan personil, pembatasan ruang lingkup, pembatasan akses terhadap
catatan, personil, dan properti, serta pembatasan sumber daya (pendanaan).

10. Kepatuhan (Compliance)

Adalah ketaatan kepada kebijakan, rencana, prosedur, peraturan hukum, peraturan
perundang-undangan lain, kontrak, atau ketentuan lainnya.

11. Kerangka Kerja Praktik Profesional International (International Professional Practices

Framework)
Kerangka kerja konseptual yang mengatur tentang pedoman resmi yang diterbitkan oleh The
IIA. Pedoman resmi ini terdiri dari dua kategori – (1) wajib, dan (2) direkomendasikan.

12. Kode Etik (Code of Ethics)

Adalah prinsip-prinsip yang relevan terhadap profesi audit internal, serta aturan perilaku yang
menjelaskan perilaku yang diharapkan dari seorang auditor internal. Kode etik berlaku bagi
pihak-pihak dan lembaga yang memberikan jasa audit internal. Kode etik bertujuan untuk
mengembangkan budaya etis dalam profesi audit internal secara global.

13. Lingkungan Pengendalian (Control Environment)

Merupakan perilaku dan tindakan Dewan dan manajemen yang berhubungan dengan
peningkatan pengendalian organisasi. Lingkungan pengendalian memfasilitasi disiplin dan
struktur dalam upaya pencapaian tujuan utama sistem pengendalian internal. Lingkungan
pengendalian mencakup elemen-elemen sebagai berikut:

• Integritas dan nilai etika;

• Filosofi manajemen dan gaya operasional;
• Struktur organisasi;
• Pemberian kewenangan dan tanggung jawab; Praktik dan kebijakan sumber daya
manusia; Kompetensi personil.

14. Manajemen Risiko (Risk Management)

Adalah proses mengidentifikasi, menilai, mengelola, dan mengendalikan peristiwa atau situasi
untuk memberikan asurans yang cukup untuk pencapaian tujuan organisasi

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 23 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

15. Nilai Tambah (Add Value)

Aktivitas audit internal memberi nilai tambah kepada organisasi (dan para pemangku
kepentingannya) pada saat memberikan asurans yang objektif dan relevan, serta memberi
kontribusi pada peningkatan efektivitas dan efisiensi proses tata kelola, manajemen risiko, dan
pengendalian.

16. Objektivitas (Objectivity)

Sebuah perilaku mental tidak memihak yang memungkinkan auditor internal dapat
melaksanakan tugas sedemikian rupa sehingga hasil kerja mereka dapat dipercaya, dan
tanpa kompromi dalam hal mutu. Objektivitas mengharuskan auditor internal untuk tidak
mensubordinasi pertimbangannya terkait permasalahan audit kepada hal lainnya.

17. Opini/Pendapat Umum (Overall Opinion (Opini/Pendapat Umum)

Penilaian, kesimpulan, dan/atau uraian lainnya tentang hasil penugasan yang diberikan oleh
Kepala Audit Internal (KAI) yang secara menyeluruh mengomentari tata kelola, manajemen
risiko, dan/atau proses pengendalian organisasi. Opini/pendapat umum tersebut merupakan
pendapat profesional dari Kepala Audit Internal berdasarkan hasil-hasil beberapa penugasan
dan aktivitas lainnya pada rentang waktu tertentu.

18. Opini Penugasan (Engagement Opinion)

Penilaian, kesimpulan, dan/atau uraian lain sebagai hasil penugasan audit internal terkait
dengan aspek-aspek yang menjadi tujuan dan ruang lingkup penugasan.

19. Pengendalian (Control)

Adalah kegiatan yang dilakukan oleh manajemen, Dewan, dan pihak-pihak lain dalam
mengelola risiko dan meningkatkan kemungkinan pencapaian sasaran dan tujuan organisasi.
Manajemen merencanakan, mengatur, dan mengarahkan kinerja menuju tindakan-tindakan
yang dapat memberikan jaminan bahwa tujuan dan sasaran organisasi akan tercapai.

20. Pengendalian yang Memadai (Adequate Control)

Terwujud jika manajemen telah merencanakan dan mengatur (merancang) dengan tatanan
yang dapat memberikan asurans yang cukup bahwa risiko organisasi telah dikelola secara
efektif, dan tujuan serta sasaran organisasi dapat dicapai secara efisien dan ekonomis.

21. Pengendalian Teknologi Informasi (Information Technology Controls)

Pengendalian untuk mendukung pengelolaan bisnis, melalui pengendalian umum dan
pengendalian teknik berbasis infrastruktur teknologi informasi, seperti aplikasi, informasi,
infrastruktur dan manusia.

22. Pertentangan Kepentingan (Conflict of Interest)

Setiap hubungan yang, atau sepertinya, bukan merupakan hal yang terbaik bagi organisasi.
Pertentangan kepentingan menimbulkan keraguan terhadap kemampuan seseorang untuk
dapat melaksanakan tugas dan tanggung jawabnya secara objektif.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 24 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

23. Penugasan (Engagement)

Mencakup penugasan khusus dalam audit internal, kegiatan pemeriksaan dalam lingkup
audit internal, pemeriksaan penilaian sendiri atas pengendalian, pengujian kecurangan, atau
konsultansi. Penugasan dapat mencakup beberapa jenis tugas atau kegiatan yang didesain
untuk mencapai satu atau beberapa tujuan tertentu.

24. Penyedia Jasa Eksternal (External Service Provider)

Seseorang atau perusahaan diluar organisasi yang memiliki pengetahuan, keahlian dan
pengalaman khusus dalam disiplin ilmu tertentu.

25. Piagam (Charter)

Piagam audit internal merupakan dokumen formal yang mendefinisikan tujuan, kewenangan,
dan tanggung jawab aktivitas audit internal. Piagam audit internal menetapkan posisi aktivitas
audit internal dalam organisasi; memberikan kewenangan akses terhadap catatan, personil,
dan properti fisik yang relevan dengan penugasan; dan mendefinisikan ruang lingkup aktivitas
audit internal.

26. Program Kerja Penugasan (Engagement Work Program)

Dokumen yang berisi prosedur yang harus dilaksanakan selama penugasan, yang dirancang
untuk mencapai tujuan penugasan.

27. Proses/Kegiatan Pengendalian (Control Processes)

Kebijakan, prosedur (baik manual maupun yang telah diotomatisasi), dan kegiatan sebagai
bagian dari kerangka kerja pengendalian yang dirancang dan dioperasikan untuk menjamin
bahwa risiko yang ada telah diturunkan sampai pada suatu level yang dapat diterima
organisasi.

28. Prinsip-prinsip Pokok (Core Principles)

Prinsip-prinsip Pokok untuk Praktik Profesional Audit Internal adalah dasar dari Kerangka
Kerja Praktik Profesional Internasional dan mendukung efektivitas audit internal.

29. Risiko (Risk)

Adalah kemungkinan terjadinya suatu peristiwa yang berpengaruh terhadap pencapaian
tujuan. Risiko diukur dari aspek dampak dan kemungkinan terjadinya.

30. Tata Kelola (Governance)

Kombinasi proses dan struktur yang diterapkan oleh Dewan dalam rangka menginformasikan,
mengarahkan, mengelola, dan memantau aktivitas organisasi untuk mencapai sasaran.

31. Tata Kelola Teknologi Informasi (Information Technology Governance)

Terdiri dari kepemimpinan, struktur, dan proses organisasi yang mampu menjamin teknologi
informasi organisasi dapat mendukung strategi dan tujuan organisasi.

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 25 dari 32
© 2016 The Institute of Internal Auditors
 Standar Internasional Praktik Profesional Audit Internal (Standar)

32. Tujuan Penugasan (Engagement Objectives)

Uraian rinci yang disusun oleh auditor internal untuk mendefinisikan sasaran penugasan yang
ingin dicapai.

33. Semestinya (Should)

Standar menggunakan kata ‘semestinya’ apabila diharapkan adanya kesesuaian, kecuali bila
berdasarkan pertimbangan profesional dapat diberikan deviasi.

34. Selera Risiko (Risk Appetite)

Tingkat kesediaan suatu organisasi menerima risiko.

35. Signifikansi (Significance)

Tingkat kepentingan relatif sesuatu hal dalam konteks tertentu yang sedang dipertimbangkan,
mencakup aspek kuantitatif dan kualitatif, seperti besaran, sifat, akibat, keterkaitan, dan
dampak. Pertimbangan profesional membantu auditor dalam mengevaluasi tingkat
kepentingan suatu hal dalam konteks tujuan yang relevan.

36. Standar (Standards)

Adalah pernyataan profesional yang dikeluarkan oleh Dewan Standar Audit Internal yang
menguraikan persyaratan-persyaratan rinci dalam melakukan aktivitas audit internal dan
dalam mengevaluasi kinerja aktivitas audit internal.

37. Teknik Audit Berbasis Teknologi (Technology-based Audit Techniques)

Segala alat bantu audit yang terotomatisasi, seperti piranti lunak audit umum (generalized
audit software), generator data pengujian, program audit berbasis komputer, perangkat
khusus untuk audit, dan teknik audit berbantuan komputer (Computer-Assisted Audit
Techniques/CAATs).

***

Direvisi : Oktober 2016

Efektif : Januari 2017 Halaman 26 dari 32
© 2016 The Institute of Internal Auditors