Audit & Risk Management 5 - 3 - 24
Audit & Risk Management 5 - 3 - 24
proses sistematis untuk mengevaluasi apakah kegiatan yang dilakukan sudah sesuai
dengan standar
Jenis audit:
- audit kepatuhan / compliance
- audit laporan keuangan / financial reporting
- audit operasional/ operations -> standarnya SOP atau ketentuan yang dibuat
perusahaan
Degree of conformity
- audit kepatuhan -> closeness
- audit laporan keuangan -> kewajaran
- audit operasional ->correctness
eksternal auditor akan bekerjasama dengan internal auditor dalam proses audit, krn
dianggap internal auditor lebih memahami proses audit di organisasinya.
internal control adalah rangkaian aturan atau prosedur yang dikembangkan oleh organisasi
agar proses bisnis di perusahaan mencapai degree of conformity dan tujuan yang
diharapkan. internal control adalah titik awal yang menjadi dasar bagi internal/eksternal
auditor dalam melaksanakan tugasnya.
pada tahun 80-90an, audit dilaksanakan atas dasar akun (account based) dalam laporan
keuangan. hanya memeriksa akun2 tertentu dalam laporan keuangan
2 kementrian awal yang menerapkan risk management adalah kemenkeu dan kemenBUMN.
—------------------------------------------------
Fokus internal auditor adalah memastikan pengendalian internal yang dirancang sudah
sesuai dengan regulasi.
Namun makin kesini, paradigma peran internal audit diubah menjadi strategic partner,
yang fungsinya kemudian berperan sebagai konsultan dan partner yang solutif atas masalah
yang terjadi di perusahaan.
Role internal audit (menurut Institute of Internal Audit / IIA) yang dipakai saat ini:
- assurance services
-> menjamin penilaian yang objektif dari auditor internal atas bukti-bukti untuk
memberikan opini independen atau, kesimpulan mengenai suatu proses, sistem,
atau pokok bahasan lainnya.
-> memastikan pengendalian internal dalam organisasi berjalan dengan baik
- consulting services
-> memberi nasihat, dan umumnya dilakukan atas permintaan khusus dari klien
perikatan.
Tujuan dari Internal Auditor adalah untuk membantu semua anggota manajemen dalam
melaksanakan tanggung jawab mereka secara efektif, dengan memberikan analisis,
penilaian, rekomendasi, dan komentar yang objektif mengenai aktivitas yang ditinjau.
Hal ini mencakup kegiatan-kegiatan seperti:
- Meninjau dan menilai kesehatan, kecukupan dan penerapan pengendalian
akuntansi, keuangan dan operasi.
- Memastikan tingkat kepatuhan terhadap kebijakan, rencana, dan prosedur yang
telah ditetapkan.
- Memastikan sejauh mana aset perusahaan dipertanggungjawabkan, dan dilindungi
dari segala jenis kerugian.
- Memastikan keandalan data akuntansi dan data lainnya yang dikembangkan dalam
organisasi.
- Menilai kualitas kinerja dalam melaksanakan tanggung jawab yang diberikan
Tujuh Dimensi dalam peran Auditor Internal (Donna 1985) yang dulu dipakai:
- Akuntan
- Polisi
- Pengawas
- Guru
- Konsultan
- Komunikator
- Manajer Masa Depan
ERP (Enterprise Resources Planning) yang biasa dipakai di office adalah software SAP
yang mana sangat membantu dalam proses merecord dan memproses data transaksi.
Software ini memudahkan dan meminimalisir kesalahan, maka peran akuntan dalam hal ini
adalah memastikan bahwa data yang disediakan sudah benar, proses pengerjaannya benar,
ERP hanya membantu memudahkan.
Accounting always follow the process -> accounting akan mengikuti proses bisnisnya. maka
dari itu proses pengendalian sebaiknya didasarkan pada aktivitas dan risiko yang mungkin
muncul dari aktivitas tsb.
—-----------------------------------------------------------------------
Control Environment :
- Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika
- BOD menunjukkan independensi dari manajemen dan melakukan pengawasan
terhadap pengembangan dan kinerja pengendalian internal
- Manajemen menetapkan, dengan pengawasan dewan direksi, struktur, jalur
pelaporan, wewenang dan tanggung jawab yang tepat dalam pencapaian tujuan
- Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten yang selaras dengan tujuan
- Organisasi meminta pertanggungjawaban individu atas tanggung jawab
pengendalian internal mereka dalam mencapai tujuan
Control Activities :
- Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi
pada mitigasi risiko terhadap pencapaian tujuan ke tingkat yang dapat diterima
- Organisasi memilih dan mengembangkan aktivitas pengendalian umum atas
teknologi untuk mendukung pencapaian tujuan
- Organisasi menerapkan aktivitas pengendalian melalui kebijakan yang menetapkan
apa yang diharapkan dan dalam prosedur yang menerapkan kebijakan ke dalam
tindakan
Governance ke Internal Control (from Soft to Hard/ Dari yang Abstrak ke yang Teknikal)
Governance ->Budaya
Internal Control -> SOP
—-----------------------------------------------------------------------------------------------------------
ERM adalah suatu proses, yang dilakukan oleh dewan direksi, manajemen, dan personil
lainnya, yang diterapkan dalam penetapan strategi dan di seluruh perusahaan, yang
dirancang untuk mengidentifikasi kejadian-kejadian potensial yang dapat mempengaruhi
perusahaan, dan mengelola risiko agar sesuai dengan risk appetite, untuk memberikan
keyakinan yang memadai terkait pencapaian tujuan perusahaan.
ERM:
- Sebuah proses, yang sedang berlangsung dan mengalir melalui suatu entitas
- Dilakukan oleh orang-orang di setiap tingkat organisasi
- Diterapkan dalam perumusan strategi
- Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk
mengambil pandangan portofolio tingkat entitas tentang risiko
- Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi, akan
mempengaruhi entitas dan untuk mengelola risiko sesuai dengan risk appetite-nya
- Mampu memberikan asurans/ keyakinan yang wajar kepada manajemen dan dewan
direksi entitas
- Diarahkan pada pencapaian tujuan dalam satu atau lebih kategori yang terpisah
namun saling tumpang tindih
1. Internal Environment -> (poin 2,3,4 adalah bagian dari risk management)
2. Objective Setting
3. Event Identification
4. Risk Assessment
5. Risk Response -> menentukan apakah hasil dari risk assessment sesuai dengan risk
appetite. apakah risiko tsb diterima, dimitigasi atau dihilangkan.
6. Control Activities
7. Information and communication
8. Monitoring
Objective Setting - Tujuan harus ada sebelum manajemen dapat mengidentifikasi kejadian
potensial yang mempengaruhi pencapaiannya. Manajemen risiko perusahaan memastikan
bahwa manajemen telah memiliki proses untuk menetapkan tujuan dan bahwa tujuan yang
dipilih mendukung dan selaras dengan misi entitas dan konsisten dengan selera risiko.
Event Identification - Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan
entitas harus diidentifikasi, dengan membedakan antara risiko dan peluang. Peluang
disalurkan kembali ke strategi manajemen atau proses penetapan tujuan.
Control Activities - Kebijakan dan prosedur dibuat dan diimplementasikan untuk membantu
memastikan bahwa respon risiko dilakukan secara efektif.
Informasi dan Komunikasi - Informasi yang relevan diidentifikasi, dicatat, dan
dikomunikasikan dalam bentuk dan jangka waktu yang memungkinkan orang untuk
melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti yang
lebih luas, mengalir ke bawah, ke atas, dan ke dalam entitas.
Kerangka kerja manajemen risiko perusahaan ini diarahkan untuk mencapai tujuan entitas,
yang ditetapkan dalam empat kategori:
a. Strategis - tujuan tingkat tinggi, selaras dengan dan mendukung misinya
b. Operasi - penggunaan sumber daya secara efektif dan efisien
c. Pelaporan - keandalan pelaporan
d. Kepatuhan - kepatuhan terhadap hukum dan peraturan yang berlaku.
—-------------------------------------------------------------------------------------------------
Note: sering kali, atas nama menghindari risiko, objektif/ tujuannya sering kali dikorbankan.
—-----------------------------------------------------------------------------------------------
Bedanya COSO 1 & COSO ERM
COSO 1-> potential eventnya muncul dulu, baru tujuannya ditentukan
COSO ERM -> tujuannya ditentukan dulu,baru identifikasi potential event
—----------------------------------------------------------------------------------------------
Keterkaitan internal auditor dan ERM
- aktor utama dalam ERM adalah team risk management
- auditor akan membantu melengkapi informasi yang dibutuhkan oleh team risk
management
Internal Auditor memiliki peran strategis sebagai jembatan antara top level management
dengan lower level management (pelaksana proses bisnis internal).
Internal auditor harus dapat memahami bahwa saat ini, perusahaan akan berorientasi pada
stakeholder. Dimana salah satu stakeholder dalam perusahaan adalah karyawan
perusahaan itu sendiri. dalam kaitannya dengan hal ini, internal auditor berfungsi sebagai:
Audit committee board -> memastikan kegiatan yang dilaksanakan oleh team operations
sudah didasarkan pada mekanisme ekstraksi data yang baik dan selaras dengan tujuan
yang sudah ditetapkan
BOC (Board of Commissioner) -> Dewan Komisaris mengharapkan peran aktif auditor .
Pertanyaannya, bagaimana memenuhi harapan manajemen dan pemangku kepentingan?
- Peran auditor internal harus ditetapkan dengan piagam yang disetujui dan ditinjau
setiap tahun di tingkat dewan direksi.
- Piagam audit internal harus menjelaskan peran audit internal dalam organisasi yang
dilayaninya, termasuk tujuan, wewenang, tanggung jawab, dan hubungannya
dengan organisasi eksternal.
- Piagam audit internal harus disosialisasikan di seluruh organisasi di semua tingkatan
dan sebagaimana mestinya di seluruh rantai pasokan dan kepada para pemangku
kepentingan.
- Audit internal harus memiliki ukuran untuk menunjukkan tingkat kinerjanya kepada
organisasi.
- Kesenjangan ekspektasi di tingkat organisasi dan pelanggan individu harus
diidentifikasi, dan semua ukuran kinerja terus dipantau jika nilai tambah penuh dari
peran audit internal ingin dicapai.
- Dimensi-dimensi baru dari peran audit internal dalam suatu organisasi harus terus
dieksplorasi untuk memastikan bahwa audit internal berada di ujung tombak dari
atribut-atribut profesional dan kinerjanya.
Salah satu strategic risk: IA dalam merumuskan strategi pengendalian, biasanya bersifat
retrospektif (berdasarkan pengalaman terdahulu). BOD biasanya visioner, ingin melakukan
sesuatu yang belum pernah dilakukan dan belum ada regulasi terdahulunya, sehingga perlu
di re-regulasi sehingga perlu analisa risk utk mengatasi ini.
Audit plan
1. merancang rencana kerja (representatif, responsif, konstruktif)
2. pelaksanaan penugasan profesi (paling tidak mengikuti 3 standar: standar umum,
standar lapangan, standar pelaporan)
3. laporan periodik (timingnya pas, contentnya jelas, ada follow up atas apa yang pelu
dilakukan selanjutnya)
—--------------------------------------------------------------------------------------------------------
Diskusi
1. Pahami komponen ERM dan standar manajemen risiko lain (jika ada) yang relevan
2. lakukan evaluasi mengenai struktur/bentuk pengendalian internal manajemen risiko
yang sudah ada pada departemen/bagian yang menjadi lingkup tanggung jawab
3. Dalam evaluasi, gunakan struktur berikut sebagai panduan:
a. departemen/bagian
b. identifikasi struktur pengendalian
c. kekuatan dan kelemahan struktur yang telah ada (existing) gunakan
komponen kerangka kerja IC/ERM
d. identifikasi gap/kesenjangan dengan standar atau tujuan organisasi
e. rumuskan rencana aksi atau tindak lanjut
Jawab:
- Departemen: Account Payable Verifikasi Pembayaran
- Kelebihan: Dengan adanya opsi scan barcode pajak, maka kesalahan penginputan
secara manual dapat diminimalisir.
- Kekurangan: Proses scan barcode yang mudah dan cepat ini, dapat menimbulkan
kemungkinan disalahgunakan oleh oknum yang tidak bertanggung jawab.
- Rencana Aksi: Perlu dirumuskan standar pengendalian berupa SOP terkait verifikasi
dokumen berupa otorisasi user.