Definisi audit

proses sistematis untuk mengevaluasi apakah kegiatan yang dilakukan sudah sesuai
dengan standar

Jenis audit:
- audit kepatuhan / compliance
- audit laporan keuangan / financial reporting
- audit operasional/ operations -> standarnya SOP atau ketentuan yang dibuat
perusahaan

Degree of conformity
- audit kepatuhan -> closeness
- audit laporan keuangan -> kewajaran
- audit operasional ->correctness

Sejarah audit internal

Salah satu upaya agar proses audit bisa lebih efisien maka dibentuklah internal auditor.
internal auditor melekat (embedded) pada organisasi tertentu. internal auditor tidak
terbataskan waktu (bersifat continue) terus menerus melakukan evaluasi, sementara
eksternal auditor melakukan audit dalam waktu yang terbatas

eksternal auditor akan bekerjasama dengan internal auditor dalam proses audit, krn
dianggap internal auditor lebih memahami proses audit di organisasinya.

internal control adalah rangkaian aturan atau prosedur yang dikembangkan oleh organisasi
agar proses bisnis di perusahaan mencapai degree of conformity dan tujuan yang
diharapkan. internal control adalah titik awal yang menjadi dasar bagi internal/eksternal
auditor dalam melaksanakan tugasnya.

pada tahun 80-90an, audit dilaksanakan atas dasar akun (account based) dalam laporan
keuangan. hanya memeriksa akun2 tertentu dalam laporan keuangan

90an - 2000an, audit berbasis siklus (cycle based)

-> keterkaitan antar akun, jadi juga memeriksa hubungan antar akun
-> piutang akan berkaitan dengan pendapatan, utang akan berkaitan dengan produksi

2000an - skrg, Risk based (audit berbasis risiko)

-> melakukan program audit berdasarkan risiko
-> audit dengan basis ini terjadi karena adanya keterbatasan waktu dan sumberdaya,
sehingga perlu dirumuskan area audit mana yang perlu difokuskan dengan berdasarkan risk
potential.
-> contoh:
1. di perbankan ada risiko kredit, maka akan ditelusuri akun-akun yang berkaitan
dengan kegiatan kredit ini. seperti: kas, giro dll. auditor tidak akan terlalu fokus pada
akun aset tetap seperti aset berwujudnya.
2. di PLN, auditor akan lebih fokus untuk memperhatikan bagaimana PLN melakukan
utilisasi aset berwujudnya.
Risk Management baru dicetuskan pada tahun 2004 pada proses tata kelola organisasi. Hal
ini berkaitan dengan keputusan pemerintah di thn 2009-2014 dalam hubungan bilateral
dengan negara lain, yang mengharuskan indonesia memiliki risk management apabila ingin
mendapatkan bantuan dana dari luar negri.

2 kementrian awal yang menerapkan risk management adalah kemenkeu dan kemenBUMN.

—------------------------------------------------

Fungsi pengawasan internal:

- evaluasi efisiensi dan efektivitas pencapaian tujuan perusahaan
- menyediakan tools internal control/monitoring
- memberikan info tentang kesesuaian antara proses bisnis dengan regulasi yang
berlaku

- monitoring perbaikan atas efektivitas pengendalian risiko

- evaluasi kepatuhan perusahaan terhadap peraturan perusahaan, pelaksanaan GCG
dan perundang undangan
- memfasilitasi kelancaran pelaksanaan audit oleh auditor eksternal

Fokus internal auditor adalah memastikan pengendalian internal yang dirancang sudah
sesuai dengan regulasi.

Internal auditor seringkali diasosiasikan dengan watchdog (anjing pengawas). Internal

auditor biasa tidak disukai oleh auditee (peserta audit), karena tugasnya yang kerap mencari
kesalahan rekan.

Namun makin kesini, paradigma peran internal audit diubah menjadi strategic partner,
yang fungsinya kemudian berperan sebagai konsultan dan partner yang solutif atas masalah
yang terjadi di perusahaan.

Role internal audit (menurut Institute of Internal Audit / IIA) yang dipakai saat ini:
- assurance services
-> menjamin penilaian yang objektif dari auditor internal atas bukti-bukti untuk
memberikan opini independen atau, kesimpulan mengenai suatu proses, sistem,
atau pokok bahasan lainnya.
-> memastikan pengendalian internal dalam organisasi berjalan dengan baik
- consulting services
-> memberi nasihat, dan umumnya dilakukan atas permintaan khusus dari klien
perikatan.

Tujuan dari Internal Auditor adalah untuk membantu semua anggota manajemen dalam
melaksanakan tanggung jawab mereka secara efektif, dengan memberikan analisis,
penilaian, rekomendasi, dan komentar yang objektif mengenai aktivitas yang ditinjau.
Hal ini mencakup kegiatan-kegiatan seperti:
- Meninjau dan menilai kesehatan, kecukupan dan penerapan pengendalian
akuntansi, keuangan dan operasi.
 - Memastikan tingkat kepatuhan terhadap kebijakan, rencana, dan prosedur yang
telah ditetapkan.
- Memastikan sejauh mana aset perusahaan dipertanggungjawabkan, dan dilindungi
dari segala jenis kerugian.
- Memastikan keandalan data akuntansi dan data lainnya yang dikembangkan dalam
organisasi.
- Menilai kualitas kinerja dalam melaksanakan tanggung jawab yang diberikan

Tujuh Dimensi dalam peran Auditor Internal (Donna 1985) yang dulu dipakai:
- Akuntan
- Polisi
- Pengawas
- Guru
- Konsultan
- Komunikator
- Manajer Masa Depan

ERP (Enterprise Resources Planning) yang biasa dipakai di office adalah software SAP
yang mana sangat membantu dalam proses merecord dan memproses data transaksi.
Software ini memudahkan dan meminimalisir kesalahan, maka peran akuntan dalam hal ini
adalah memastikan bahwa data yang disediakan sudah benar, proses pengerjaannya benar,
ERP hanya membantu memudahkan.

Accounting always follow the process -> accounting akan mengikuti proses bisnisnya. maka
dari itu proses pengendalian sebaiknya didasarkan pada aktivitas dan risiko yang mungkin
muncul dari aktivitas tsb.
—-----------------------------------------------------------------------

Internal control menurut COSO (Committee of Sponsoring Organizations of the Treadway

Commission) adalah suatu proses yang dijalankan oleh dewan direksi, manajemen,
dan staff, untuk membuat reasonable assurance mengenai:
- Efektifitas dan efisiensi operasional (audit operasional)
- Reliabilitas pelaporan keuangan (audit laporan keuangan)
- Kepatuhan atas hukum dan peraturan yang berlaku (audit kepatuhan)

Komponen internal control: -> top to bottom

- Monitoring (aktivitas yang dilakukan oleh top manajemen)
- Information and communication (memastikan pengendalian internal dikomunikasikan
dengan baik)
- Control Activities (prosedur, SOP)
- Risk Assessment (identifikasi / penilaian risiko)
 - Control Environment

Internal control dilakukan pada setiap lini/unit/aktivitas bisnis di perusahaan.

Control Environment :
- Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika
- BOD menunjukkan independensi dari manajemen dan melakukan pengawasan
terhadap pengembangan dan kinerja pengendalian internal
- Manajemen menetapkan, dengan pengawasan dewan direksi, struktur, jalur
pelaporan, wewenang dan tanggung jawab yang tepat dalam pencapaian tujuan
- Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten yang selaras dengan tujuan
- Organisasi meminta pertanggungjawaban individu atas tanggung jawab
pengendalian internal mereka dalam mencapai tujuan

Risk Assessment (penilaian risiko) :

Internal auditor harus memahami risiko berdasarkan pemahaman terhadap karakteristik atau
nature dari suatu aktivitas bisnis. Maka kemudian internal auditor dapat melakukan:
- Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan
identifikasi dan penilaian risiko yang berkaitan dengan tujuan
- Organisasi mengidentifikasi risiko terhadap pencapaian tujuan di seluruh entitas dan
menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko harus
dikelola
- Organisasi mempertimbangkan potensi kecurangan dalam menilai risiko terhadap
pencapaian tujuan
- Organisasi mengidentifikasi dan menilai perubahan yang dapat berdampak signifikan
terhadap sistem pengendalian internal.

Control Activities :
- Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi
pada mitigasi risiko terhadap pencapaian tujuan ke tingkat yang dapat diterima
- Organisasi memilih dan mengembangkan aktivitas pengendalian umum atas
teknologi untuk mendukung pencapaian tujuan
- Organisasi menerapkan aktivitas pengendalian melalui kebijakan yang menetapkan
apa yang diharapkan dan dalam prosedur yang menerapkan kebijakan ke dalam
tindakan

Informasi dan Komunikasi:

- Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang
relevan dan berkualitas untuk mendukung berfungsinya pengendalian internal
- Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan
tanggung jawab pengendalian internal, yang diperlukan untuk mendukung
berfungsinya pengendalian internal
- Organisasi berkomunikasi dengan pihak eksternal mengenai hal-hal yang
mempengaruhi fungsi pengendalian internal
Monitoring :
- Organisasi memilih, mengembangkan, dan melakukan evaluasi yang sedang
berlangsung dan/atau terpisah untuk memastikan apakah komponen-komponen
pengendalian internal ada dan berfungsi
- Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian
internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk
mengambil tindakan perbaikan, termasuk manajemen senior dan dewan direksi,
sebagaimana mestinya
—---------------------------------------------------------------------------------------------------
Internal Auditor & Governance

Governance ke Internal Control (from Soft to Hard/ Dari yang Abstrak ke yang Teknikal)
Governance ->Budaya
Internal Control -> SOP

—-----------------------------------------------------------------------------------------------------------

COSO ERM Framework (INI YANG DIPAKAI SAAT INI)

Enterprise Risk Management (ERM)

ERM adalah suatu proses, yang dilakukan oleh dewan direksi, manajemen, dan personil
lainnya, yang diterapkan dalam penetapan strategi dan di seluruh perusahaan, yang
dirancang untuk mengidentifikasi kejadian-kejadian potensial yang dapat mempengaruhi
perusahaan, dan mengelola risiko agar sesuai dengan risk appetite, untuk memberikan
keyakinan yang memadai terkait pencapaian tujuan perusahaan.

ERM:
- Sebuah proses, yang sedang berlangsung dan mengalir melalui suatu entitas
- Dilakukan oleh orang-orang di setiap tingkat organisasi
- Diterapkan dalam perumusan strategi
- Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk
mengambil pandangan portofolio tingkat entitas tentang risiko
- Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi, akan
mempengaruhi entitas dan untuk mengelola risiko sesuai dengan risk appetite-nya
- Mampu memberikan asurans/ keyakinan yang wajar kepada manajemen dan dewan
direksi entitas
- Diarahkan pada pencapaian tujuan dalam satu atau lebih kategori yang terpisah
namun saling tumpang tindih
 1. Internal Environment -> (poin 2,3,4 adalah bagian dari risk management)
2. Objective Setting
3. Event Identification
4. Risk Assessment
5. Risk Response -> menentukan apakah hasil dari risk assessment sesuai dengan risk
appetite. apakah risiko tsb diterima, dimitigasi atau dihilangkan.
6. Control Activities
7. Information and communication
8. Monitoring

Internal Environment - Lingkungan internal mencakup suasana organisasi, dan menetapkan

dasar bagaimana risiko dipandang dan ditangani oleh orang-orang dalam suatu entitas,
termasuk filosofi manajemen risiko dan selera risiko, integritas dan nilai-nilai etika, dan
lingkungan tempat mereka beroperasi.

Objective Setting - Tujuan harus ada sebelum manajemen dapat mengidentifikasi kejadian
potensial yang mempengaruhi pencapaiannya. Manajemen risiko perusahaan memastikan
bahwa manajemen telah memiliki proses untuk menetapkan tujuan dan bahwa tujuan yang
dipilih mendukung dan selaras dengan misi entitas dan konsisten dengan selera risiko.

Event Identification - Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan
entitas harus diidentifikasi, dengan membedakan antara risiko dan peluang. Peluang
disalurkan kembali ke strategi manajemen atau proses penetapan tujuan.

Risk Assessment - Risiko dianalisis, dengan mempertimbangkan kemungkinan dan

dampaknya, sebagai dasar untuk menentukan bagaimana risiko tersebut harus dikelola.
Risiko dinilai secara inheren dan residual.

Risk Response - Manajemen memilih respon terhadap risiko - menghindari, menerima,

mengurangi, atau membagi risiko - mengembangkan serangkaian tindakan untuk
menyelaraskan risiko dengan toleransi risiko dan selera risiko entitas.

Control Activities - Kebijakan dan prosedur dibuat dan diimplementasikan untuk membantu
memastikan bahwa respon risiko dilakukan secara efektif.
Informasi dan Komunikasi - Informasi yang relevan diidentifikasi, dicatat, dan
dikomunikasikan dalam bentuk dan jangka waktu yang memungkinkan orang untuk
melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti yang
lebih luas, mengalir ke bawah, ke atas, dan ke dalam entitas.

Monitoring - Keseluruhan manajemen risiko perusahaan dipantau dan modifikasi dilakukan

jika diperlukan. Pemantauan dilakukan melalui kegiatan manajemen yang sedang
berlangsung, evaluasi terpisah, atau keduanya.
—--------------------------------------------------------------------------------------------

Kerangka kerja manajemen risiko perusahaan ini diarahkan untuk mencapai tujuan entitas,
yang ditetapkan dalam empat kategori:
a. Strategis - tujuan tingkat tinggi, selaras dengan dan mendukung misinya
b. Operasi - penggunaan sumber daya secara efektif dan efisien
c. Pelaporan - keandalan pelaporan
d. Kepatuhan - kepatuhan terhadap hukum dan peraturan yang berlaku.

—-------------------------------------------------------------------------------------------------
Note: sering kali, atas nama menghindari risiko, objektif/ tujuannya sering kali dikorbankan.
—-----------------------------------------------------------------------------------------------
Bedanya COSO 1 & COSO ERM
COSO 1-> potential eventnya muncul dulu, baru tujuannya ditentukan
COSO ERM -> tujuannya ditentukan dulu,baru identifikasi potential event
—----------------------------------------------------------------------------------------------
Keterkaitan internal auditor dan ERM
- aktor utama dalam ERM adalah team risk management
- auditor akan membantu melengkapi informasi yang dibutuhkan oleh team risk
management

Three Line Defense dalam Framework ERM COSO

Ekspektasi Manajemen Terhadap Internal Auditor

Internal Auditor memiliki peran strategis sebagai jembatan antara top level management
dengan lower level management (pelaksana proses bisnis internal).

Internal auditor harus dapat memahami bahwa saat ini, perusahaan akan berorientasi pada
stakeholder. Dimana salah satu stakeholder dalam perusahaan adalah karyawan
perusahaan itu sendiri. dalam kaitannya dengan hal ini, internal auditor berfungsi sebagai:

Audit committee board -> memastikan kegiatan yang dilaksanakan oleh team operations
sudah didasarkan pada mekanisme ekstraksi data yang baik dan selaras dengan tujuan
yang sudah ditetapkan

BOC (Board of Commissioner) -> Dewan Komisaris mengharapkan peran aktif auditor .
Pertanyaannya, bagaimana memenuhi harapan manajemen dan pemangku kepentingan?

- Peran auditor internal harus ditetapkan dengan piagam yang disetujui dan ditinjau
setiap tahun di tingkat dewan direksi.
- Piagam audit internal harus menjelaskan peran audit internal dalam organisasi yang
dilayaninya, termasuk tujuan, wewenang, tanggung jawab, dan hubungannya
dengan organisasi eksternal.
- Piagam audit internal harus disosialisasikan di seluruh organisasi di semua tingkatan
dan sebagaimana mestinya di seluruh rantai pasokan dan kepada para pemangku
kepentingan.
- Audit internal harus memiliki ukuran untuk menunjukkan tingkat kinerjanya kepada
organisasi.
- Kesenjangan ekspektasi di tingkat organisasi dan pelanggan individu harus
diidentifikasi, dan semua ukuran kinerja terus dipantau jika nilai tambah penuh dari
peran audit internal ingin dicapai.
- Dimensi-dimensi baru dari peran audit internal dalam suatu organisasi harus terus
dieksplorasi untuk memastikan bahwa audit internal berada di ujung tombak dari
atribut-atribut profesional dan kinerjanya.

Metodologi Risk Based Audit

- memahami ekspektasi komisaris dan dewan direksi
- risk assessment
- audit plan

Role of SPI to Review Risk

- Controllable Risk
- Strategic Risk
- Uncontrollable Risk

Salah satu strategic risk: IA dalam merumuskan strategi pengendalian, biasanya bersifat
retrospektif (berdasarkan pengalaman terdahulu). BOD biasanya visioner, ingin melakukan
sesuatu yang belum pernah dilakukan dan belum ada regulasi terdahulunya, sehingga perlu
di re-regulasi sehingga perlu analisa risk utk mengatasi ini.
Audit plan
1. merancang rencana kerja (representatif, responsif, konstruktif)
2. pelaksanaan penugasan profesi (paling tidak mengikuti 3 standar: standar umum,
standar lapangan, standar pelaporan)
3. laporan periodik (timingnya pas, contentnya jelas, ada follow up atas apa yang pelu
dilakukan selanjutnya)

—--------------------------------------------------------------------------------------------------------

Diskusi
1. Pahami komponen ERM dan standar manajemen risiko lain (jika ada) yang relevan
2. lakukan evaluasi mengenai struktur/bentuk pengendalian internal manajemen risiko
yang sudah ada pada departemen/bagian yang menjadi lingkup tanggung jawab
3. Dalam evaluasi, gunakan struktur berikut sebagai panduan:
a. departemen/bagian
b. identifikasi struktur pengendalian
c. kekuatan dan kelemahan struktur yang telah ada (existing) gunakan
komponen kerangka kerja IC/ERM
d. identifikasi gap/kesenjangan dengan standar atau tujuan organisasi
e. rumuskan rencana aksi atau tindak lanjut

Jawab:
- Departemen: Account Payable Verifikasi Pembayaran

- Identifikasi struktur IC/ERM:

Dalam proses verifikasi dokumen pembayaran dilakukan pemeriksaan kelengkapan
dokumen tagihan yang salah satunya merupakan faktur pajak. Proses input faktur
pajak dapat dilakukan dengan cara scan barcode faktur pajak yang ada pada
dokumen.

- Kelebihan: Dengan adanya opsi scan barcode pajak, maka kesalahan penginputan
secara manual dapat diminimalisir.

- Kekurangan: Proses scan barcode yang mudah dan cepat ini, dapat menimbulkan
kemungkinan disalahgunakan oleh oknum yang tidak bertanggung jawab.

- Komponen IC/ERM: Event Identification & Risk Assessment

- Rencana Aksi: Perlu dirumuskan standar pengendalian berupa SOP terkait verifikasi
dokumen berupa otorisasi user.