Soal ujian 5 soal masing-masing bobot 20%

Week 1 - Internal Audit (wina)

a. Peran dan fungsi internal audit hubungannya dengan three lines of defense
(jawabannya dikaitkan dengan three lines of defense, kira2 di three line of defense ada
risk owner, risk management, dan fungsi internal audit → punya kapasitas independen
dan capability, independen → struktur organisasi yang ideal (di lehernya dirut), lebih
bagus sejajar dengan BOC, apa ideal untuk struktur internal audit, kalo dirut ga baik
melakukan tindakan governance, dia melaporkan ke dirut tp ga bener juga, Kapasitas
independen (struktur organisasi ideal harus di bawah Direktur Utama/BOC) & kapabilitas)

Jawaban :
Menurut IIA three lines model memiliki beberapan prinsip, yakni :
1. Tata Kelola
Tata kelola organisasi membutuhkan struktur dan proses yang memadai dan yang
memungkinkan: Akuntabilitas oleh organ pengurus kepada pemangku kepentingan dalam
melakukan pengawasan organisasi dengan integritas, kepemimpinan dan keterbukaan.
Tindakan-tindakan (termasuk mengelola risiko) oleh manajemen untuk mencapai tujuan
organisasi melalui pengambilan keputusan berbasis risiko dan penerapan sumberdaya.
Asurans dan advis oleh fungsi audit internal yang independen untuk memberikan kejelasan
dan keyakinan serta mempromosikan dan memfasilitasi pengembangan berkelanjutan melalui
tanya-jawab yang mendalam dan komunikasi yang berwawasan.
2. Peran organ pengurus
Organ pengurus memastikan: Struktur dan proses-proses yang memadai telah tersedia untuk
pelaksanaan tata kelola yang efektif. Tujuan dan aktivitas organisasi telah selaras dengan
kepentingan utama para pemangku kepentingan. Organ Pengurus: Mendelegasikan tanggung
jawab dan menyediakan sumberdaya kepada manajemen untuk mencapai tujuan organisasi
serta memastikan terpenuhinya kepatuhan terhadap hukum, ketentuan perundang-undangan
dan nilai-nilai etika. Membentuk dan mengawasi fungsi audit internal yang independen,
objektif, dan kompeten, guna memberikan kejelasan dan keyakinan atas progres terhadap
pencapaian tujuan organisasi.
3. Peran Manajemen dan Lini Pertama dan Kedua
Tanggung jawab manajemen untuk mencapai tujuan organisasi mencakup peran lini pertama
dan kedua. Peran-peran lini pertama secara langsung selaras dengan pemberian produk dan
jasa kepada pelanggan organisasi, termasuk fungsi-fungsi pendukung. Peran-peran lini kedua
memberikan bantuan terkait dengan pengelolaan risiko. Peran lini pertama dan lini kedua
 dapat dibentuk menjadi satu atau terpisah. Beberapa peran lini kedua dapat ditugaskan kepada
para spesialis yang akan memberikan keahlian pelengkap, dukungan, pemantauan, dan kritik
kepada mereka yang menjalankan peran lini pertama. Peran lini kedua dapat fokus pada
tujuan manajemen risiko yang spesifik, misalnya: kepatuhan terhadap hukum, peraturan, dan
perilaku yang etis; pengendalian internal; keamanan teknologi dan informasi; keberlanjutan;
dan asurans kualitas. Alternatif lainnya, peran lini kedua dapat mencakup tanggung
jawab yang lebih luas dari manajemen risiko, seperti manajemen risiko secara
keseluruhan entitas (ERM – enterprise risk management). Namun demikian, tanggung
jawab untuk mengelola risiko tetap merupakan bagian dari peran lini pertama dan
berada dalam ruang lingkup manajemen. Peran lini kedua dapat mencakup pemantauan,
pemberian advis, bimbingan, pengujian, analisis, dan pelaporan tentang hal-hal yang
berkaitan dengan manajemen risiko. Meskipun peran ini memberikan dukungan dan
tantangan (challenge) bagi mereka yang memiliki peran lini pertama dan merupakan bagian
integral dari keputusan dan tindakan manajemen, peran lini kedua adalah bagian dari
tanggung jawab manajemen dan tidak pernah sepenuhnya independen dari manajemen,
terlepas bagaimanapun jalur pelaporan dan akuntabilitas dari peran lini kedua.
4. Peran Lini Ketiga Audit Internal memberikan asurans dan advis yang independen dan objektif
mengenai kecukupan dan efektivitas tata kelola dan manajemen risiko . Hal ini dapat tercapai
melalui penerapan yang kompeten dari proses-proses, keahlian, dan wawasan yang sistematis
dan terstruktur. Auditor internal melaporkan temuannya kepada manajemen dan organ
pengurus untuk mendorong dan memfasilitasi pengembangan berkelanjutan. Dalam
melaksanakan hal ini, audit internal dapat memepertimbangkan asurans dari penyedia asurans
internal maupun eksternal. Karakteristik yang menentukan dari peran lini ketiga adalah
adanya independensi dari manajemen. Prinsip Prinsip dari Model Tiga Lini menggambarkan
sifat dan arti penting dari independensi audit internal, menetapkan audit internal terpisah
dari fungsi-fungsi lain serta memungkinkan nilai tersendiri dari asurans dan advis yang
diberikan. Independensi audit internal terlindungi dengan tidak membuat keputusan
atau mengambil tindakan yang merupakan bagian dari tanggung jawab manajemen
(termasuk manajemen risiko) dan dengan menolak untuk memberikan asurans atas kegiatan
dimana audit internal memiliki tanggung jawab saat ini, maupun yang baru-baru saja.
Misalnya, di beberapa organisasi, CAE diminta untuk menjalankan tanggung jawab
pengambilan keputusan tambahan atas kegiatan yang menggunakan kompetensi serupa,
seperti aspek kepatuhan hukum atau manajemen risiko perusahaan (ERM). Dalam keadaan
seperti itu, audit internal tidak independen terhadap kegiatan-kegiatan tersebut maupun
hasil-hasilnya, dan oleh karena itu, ketika organ pengurus membutuhkan asurans dan
advis yang independen dan objektif terkait dengan bidang bidang tersebut, maka
pemberian advis tersebut harus dilakukan oleh pihak ketiga yang memiliki kualifikasi
5. Independensi Audit Internal dari tanggung jawab manajemen adalah krusial terkait
keobjektifan, kewenangan, dan kredibilitasnya. Independensi ini dibangun melalui:
akuntabilitas kepada organ pengurus; akses tak terbatas pada sumber daya manusia, sumber
daya organisasi, dan data yang dibutuhkan untuk menyelesaikan pekerjaannya; dan bebas dari
bias atau campur tangan pihak lain dalam perencanaan dan menjalankan kegiatan audit.
6. Menciptakan dan Melindungi Nilai
Semua peran bekerja Bersama secara kolektif berkontribusi dalam menciptakan dan menjaga
nilai dimana semua selaras satu sama lain dan dengan kepentingan yang menjadi prioritas
pemangku kepentingan. Keselarasan aktivitas dicapai melalui komunikasi, kerja sama, dan
kolaborasi. Hal ini memastikan keandalan. Keterkaitan, dan transparansi dari informasi yang
dibutuhkan dalam pembuatan keputusan berbasis risiko.
Secara garis besar peran-peran berikut ini dapat digunakan untuk menekankan Prinsip-prinsip Three
lines model
1. Organ pengurus
● Memiliki akuntabilitas kepada pemangku kepentingan untuk melakukan pengawasan
terhadap organisasi.
● Terlibat dengan pemangku kepentingan untuk memantau kepentingan mereka dan
secara transparan mengkomunikasikan pencapaian tujuan-tujuan organisasi.
● Menumbuhkan budaya yang mengedepankan perilaku etis dan akuntabilitas.
● Membangun struktur dan proses-proses tata kelola, termasuk komite penunjang yang
dipersyaratkan.
● Mendelegasikan tanggung jawab dan menyediakan sumberdaya kepada manajemen
untuk dapat mencapai tujuan organisasi.
● Menentukan selera risiko organisasi dan menjalankan pengawasan manajemen risiko
(termasuk pengendalian internal)
● Menjaga pengawasan atas kepatuhan terhadap hukum, peraturan dan nilai-nilai etika.
● Membangun dan mengawasi fungsi audit internal yang independen, objektif dan
kompeten.
2. Manajemen
- Manajemen Peran Lini Pertama
● Memimpin dan mengarahkan tindakan-tindakan (termasuk pengelolaan
risiko) dan penerapan sumberdaya untuk mencapai tujuan-tujuan organisasi.
● Menjaga dialog yang berkelanjutan dengan organ pengurus dan melaporkan
rencana, realisasi dan hasil yang diharapkan dihubungkan dengan pencapaian
tujuan organisasi dan risikonya.
● Mengembangkan dan memelihara struktur dan proses-proses yang memadai
untuk pengelolaan operasional dan risiko (termasuk pengendalian internal).
● Memastikan kepatuhan terhadap hukum, peraturan dan nilai-nilai etika.
- Manajemen Peran Lini Kedua
● Memberikan keahlian penunjang, dukungan, pemantauan dan tantangan
dalam proses mengelola risiko, termasuk: Pengembangan, penerapan, dan
peningkatan berkelanjutan dari praktik-praktik manajemen risiko (termasuk
pengendalian internal) pada level proses, sistem dan entitas. Pencapaian
tujuan manajemen risiko, seperti: kepatuhan terhadap hukum, peraturan, dan
perilaku yang etis; pengendalian internal; keamanan teknologi dan informasi;
keberlanjutan; dan asurans qualitas.
● Memberikan analisis dan laporan-laporan mengenai kecukupan dan
efektivitas manajemen risiko (termasuk pengendalian internal).
3. Internal Audit
● Menjaga akuntabilitas utama kepada organ pengurus dan independensinya dari
pelaksanaan pekerjaan yang menjadi tanggung jawab manajemen.
● Mengkomunikasikan asurans dan advis yang independen dan objektif kepada
manajemen dan organ pengurus mengenai kecukupan dan efektivitas tata kelola dan
manajemen risiko (termasuk pengendalian internal) untuk mendukung pencapaian
tujuan-tujuan organisasi, serta mempromosikan dan memfasilitasi peningkatan yang
berkelanjutan.
● Melaporkan kerusakan independensi dan objektivitas kepada organ pengurus dan
menerapkan pengamanan yang dipersyaratkan.
 4. External Assurance Providers
● Penyedia asurans eksternal memberikan asurans tambahan untuk:
- Memenuhi ekspektasi ketentuan legislatif dan peraturan dalam rangka
melindungi kepentingan pemangku kepentingan.
- Memenuhi permintaan manajemen dan organ pengurus untuk melengkapi
sumber asurans internal
Adapun masing-masing hubungan menurut IIA atas peran diatas, yakni :
1. Antara organ pengurus dan manajemen (Peran Lini Pertama dan Kedua)
Organ pengurus umumnya menetapkan arah organisasi dengan mendefinisikan visi, misi,
nilai-nilai, dan selera organisasi terhadap risiko. Organ pengurus kemudian mendelegasikan
tanggung jawab untuk pencapaian tujuan-tujuan organisasi kepada manajemen, berikut
dengan sumberdaya yang diperlukan. Organ pengurus menerima laporan dari manajemen
tentang hasil-hasil yang direncanakan, realisasi (aktual), dan yang diharapkan, serta laporan
tentang risiko dan pengelolaan risiko. Berbagai organisasi memiliki keragaman dalam tingkat
tumpang-tindih dan pemisahan antara organ pengurus dan manajemen. Organ pengurus dapat
lebih ataupun kurang "campur tangan" terhadap hal-hal yang bersifat strategis dan
operasional. Organ pengurus ataupun manajemen dapat mengambil peran dalam memimpin
pengembangan rencana strategis, atau menjadikannya sebagai tugas bersama. Dalam beberapa
yurisdiksi, direktur utama atau kepala eksekutif (CEO, Chief Executive Officer) dapat
menjadi anggota organ pengurus dan bahkan mungkin menjadi ketuanya. Bagaimanapun
bentuknya, perlu ada komunikasi yang kuat antara manajemen dan organ pengurus. Direktur
utama (kepala eksekutif) umumnya menjadi titik fokal guna terciptanya komunikasi ini.
Namun, anggota direksi lainnya dapat juga mempunyai interaksi yang sering dengan organ
pengurus. Organisasi mungkin menginginkan, dan regulatornya mungkin mensyaratkan,
pemimpin peran lini kedua seperti direktur manajemen risiko (CRO, Chief Risk Officer) dan
direktur kepatuhan (CCO, Chief Compliance Officer) untuk memiliki jalur pelaporan
langsung kepada organ pengurus. Kondisi ini sepenuhnya konsisten dengan Prinsip-prinsip
dari Model Tiga Lini.
2. Antara manajemen (Peran Lini Pertama maupun Lini Kedua) dan Audit Internal
Independensi audit internal atas manajemen memastikan audit internal bebas dari hambatan
dan bias dalam merencanakan dan melaksanakan pekerjaannya, memiliki akses tanpa batas
terhadap orang, sumberdaya, dan informasi yang diperlukannya. Audit internal bertanggung
jawab kepada organ pengurus. Namun, independensi bukan berarti menyiratkan isolasi atau
tidak ada hubungan antara keduanya. Harus terdapat interaksi yang regular antara audit
internal dan manajemen untuk memastikan pekerjaan audit internal relevan dan selaras
dengan kebutuhan strategis dan operasional organisasi. Melalui semua kegiatannya, audit
internal membangun pengetahuan dan pemahaman tentang organisasi, yang menyumbang
terhadap asurans dan advis yang diberikan sebagai Terminologi penting Direktur
utama/Kepala eksekutif (CEO, Chief executive officer) - Individu paling senior dalam
organisasi yang bertanggung jawab atas kegiatan operasional sebagai penasihat terpercaya
(trusted advisor) dan mitra strategis (strategic partner). Terdapat kebutuhan untuk
berkolaborasi dan berkomunikasi dari peran-peran lini pertama maupun lini kedua manajemen
dengan audit internal untuk memastikan tidak terjadi duplikasi, tumpang tindih, atau
celah-celah yang tidak diperlukan. Manajemen dan audit internal perlu melakukan interaksi
guna memastikan pekerjaan audit internal relevan dan selaras dengan kebutuhan strategis dan
operasional organisasi.
3. Antara Audit Internal dan organ pengurus
 Audit internal bertanggung jawab kepada, dan terkadang dikatakan sebagai "mata dan telinga"
dari, organ pengurus. Organ pengurus berkewajiban mengawasi audit internal, mencakup:
memastikan dibentuknya fungsi audit internal yang independen, termasuk pengangkatan dan
pemberhentian Chief Audit Executive (CAE) menyediakan diri sebagai jalur pelaporan utama
dari CAE; menyetujui rencana audit dan menyediakan sumberdaya; menerima dan
memperhatikan laporan-laporan dari CAE; dan memberikan akses tanpa batas dari CAE
kepada organ pengurus, termasuk sesi privat tanpa kehadiran manajemen.
CAE merupakan individu paling senior dalam organisasi dengan tanggung jawab
menjalankan fungsi audit internal, seringkali disebut sebagai Kepala Audit Internal atau nama
jabatan yang sama.
4. Di antara semua peran
Organ pengurus, manajemen, dan audit internal memiliki tanggung jawab yang berbeda, akan
tetapi semua kegiatannya perlu diselaraskan dengan tujuan organisasi. Syarat untuk koherensi
yang berhasil adalah koordinasi, kolaborasi, dan komunikasi yang teratur dan efektif

Hubungan risk owner, risk management, dan Internal Auditor

Model IIA three lines of defense Sebuah model yang menyajikan tiga garis pertahanan pertahanan
yang bertujuan untuk memastikan bahwa risiko diidentifikasi dan dikelola dengan efektif. Ketiga garis
tersebut adalah:
1. Risk Owner (Pemilik Risiko): Orang atau kelompok yang bertanggung jawab untuk
mengelola risiko dalam suatu organisasi atau disebut pertahanan lapis pertama. Pertahanan
lapis pertama dilaksanakan oleh unit atau komponen atau fungsi bisnis yang melakukan
aktivitas operasional perusahaan sehari-hari, terutama yang merupakan garis depan atau ujung
tombak organisasi. Dalam hal ini mereka diharapkan untuk:
● Memastikan adanya lingkungan pengendalian (control environment) yang kondusif di unit
bisnis mereka.
● Menerapkan kebijakan manajemen risiko yang telah ditetapkan sewaktu menjalankan peran
dan tanggung jawab mereka terutama dalam mengejar pertumbuhan perusahaan. Mereka
diharapkan secara penuh kesadaran mempertimbangkan faktor risiko dalam
keputusan-keputusan dan tindakan-tindakan yang dilakukannya.
● Mampu menunjukkan adanya pengendalian internal yang efektif di unit bisnis mereka, dan
juga adanya pemantauan dan transparansi terhadap efektivitas pengendalian internal tersebut
2. Risk Management (Manajemen Risiko): Proses pengidentifikasian, penilaian, dan
pengendalian risiko dalam organisasi. Pertahanan lapis kedua dilaksanakan oleh fungsi-fungsi
manajemen risiko dan kepatuhan, terutama fungsi-fungsi manajemen risiko dan kepatuhan
yang sudah terstruktur misal: departemen atau unit manajemen risiko dan kepatuhan. Dalam
hal ini, mereka diharapkan untuk:
 ● Bertanggung jawab dalam mengembangkan dan memantau implementasi manajemen risiko
perusahaan secara keseluruhan.
● Melakukan pengawasan terhadap bagaimana fungsi bisnis dilaksanakan dalam koridor
kebijakan manajemen risiko dan prosedur-prosedur standard operasionalnya yang telah
ditetapkan oleh perusahaan.
● Memantau dan melaporkan risiko-risiko perusahaan secara menyeluruh kepada organ yang
memiliki akuntabilitas tertinggi di perusahaan.
3. Internal Audit (Audit Internal): Proses independen dan objektif yang dilakukan oleh internal
audit dalam organisasi untuk mengevaluasi efektivitas dari sistem pengendalian internal dan
memberikan rekomendasi untuk perbaikan.
Dalam hal ini, fungsi internal audit adalah untuk memberikan jaminan dan pendapat
independen terhadap efektivitas manajemen risiko yang diimplementasikan oleh risk owner
dan risk management. Internal audit juga membantu risk owner dan risk management untuk
memperbaiki kelemahan dalam manajemen risiko dan sistem pengendalian internal. Dengan
memberikan pendapat independen dan rekomendasi perbaikan, internal audit dapat membantu
organisasi untuk mengurangi risiko dan meningkatkan kinerja. Melakukan reviu dan evaluasi
terhadap rancang bangun dan implementasi manajemen risiko secara keseluruhan, dan
Memastikan bahwa pertahanan lapis pertama dan lapis kedua berjalan sesuai dengan yan
diharapkan.

Dalam hal direktur utama terlibat fraud, maka internal auditor dapat melapor kepada komite
audit yang terdiri dari anggota independen dari Dewan Komisaris. Komite audit memiliki
tanggung jawab untuk memastikan bahwa keuangan perusahaan dilaporkan secara transparan dan
akuntabel, serta bahwa manajemen risiko dan sistem pengendalian internal berfungsi dengan baik.
Setelah menerima laporan dari internal auditor, komite audit harus segera mengambil tindakan untuk
menyelidiki dugaan fraud tersebut. Jika terbukti bahwa direktur utama memang terlibat dalam fraud,
maka komite audit harus memberitahu Dewan Komisaris agar mereka dapat mengambil tindakan yang
tepat, termasuk memberhentikan direktur utama dan melaporkan kasus tersebut kepada pihak
berwenang. Di Indonesia, internal auditor juga dapat melapor langsung ke Otoritas Jasa Keuangan
(OJK) jika dugaan fraud yang dilakukan oleh direktur utama berkaitan dengan kegiatan perbankan
atau lembaga keuangan. OJK memiliki wewenang untuk melakukan investigasi lebih lanjut dan
mengambil tindakan yang diperlukan sesuai dengan peraturan perundang-undangan yang berlaku.

b. Peran risk owner dan risk management dalam membuat internal audit
berdasarkan audit plan → risk-based Audit
Jawaban
Risk Owner dan Risk Management memiliki peran penting dalam membuat Audit Plan atau
rencana audit internal. Risk Owner bertanggung jawab untuk mengidentifikasi, mengevaluasi,
dan mengelola risiko yang terkait dengan unit kerja atau area fungsional yang mereka pimpin.
Risk Owner harus memahami risiko-risiko yang terkait dengan unit kerja mereka dan
memberikan kontribusi untuk menyusun Audit Plan dengan memprioritaskan risiko-risiko
yang harus diaudit. Risk Management, di sisi lain, bertanggung jawab untuk menyusun
kebijakan manajemen risiko perusahaan serta menyediakan panduan dan prosedur terkait
dengan manajemen risiko. Risk Management juga harus memantau dan mengevaluasi
efektivitas dari kebijakan dan prosedur tersebut secara berkala. Dalam membuat Audit Plan,
 Risk Management juga harus memberikan masukan terkait risiko-risiko yang harus diaudit.
Kedua stakeholder tersebut harus bekerja sama dengan tim audit internal dalam menyusun
Audit Plan. Risk Owner dan Risk Management dapat memberikan informasi dan masukan
yang diperlukan untuk memprioritaskan risiko-risiko yang harus diaudit serta memberikan
pandangan yang lebih luas terkait dengan proses bisnis dan risiko-risiko yang terkait dengan
perusahaan secara keseluruhan. Dalam menciptakan manajemen risiko yang efektif bagi
organisasi, fungsi manajemen risiko berkolaborasi dengan fungsi internal audit. Dalam
konteks ini, Audit Plan harus disusun secara terintegrasi dan didasarkan pada risiko-risiko
yang diidentifikasi dan dinilai secara matang oleh Risk Owner dan Risk Management. Audit
Plan juga harus disusun dengan mempertimbangkan prioritas dan sumber daya yang tersedia
agar dapat memberikan hasil yang efektif dan efisien. Tugas inti auditor internal berkaitan
dengan manajemen risiko adalah untuk memberikan kepastian bahwa kegiatan manajemen
risiko telah berjalan dengan efektif dalam memberikan jaminan yang wajar terhadap
pencapaian sasaran organisasi. Dua cara penting untuk menjalankan tugasnya adalah dengan:
memastikan bahwa risiko utama dari bisnis telah ditangani dengan baik, memastikan bahwa
kegiatan manajemen risiko dan pengendalian internal telah berjalan dengan efektif.

Hal yang perlu disoroti dari Gambar adalah “tanggung jawab kegiatan manajemen
risiko yang tidak boleh didelegasikan kepada internal audit”. Untuk menjaga
efektivitas kegiatan audit internal, tanggung jawab yang diberikan terhadap auditor
internal terkait kegiatan manajemen risiko harus didesain agar tidak mengganggu
independensinya. Hal ini dikarenakan internal audit memiliki peran penting dalam
melakukan pengawasan, pemantauan, dan penilaian terhadap efektivitas pengendalian
internal dan kegiatan manajemen risiko organisasi. Pemberian tanggung jawab kepada
auditor internal untuk menentukan risk appetite, membentuk risk management
process, dan sebagainya dapat menimbulkan clash of interest yang berpotensi untuk
mengganggu penilaian mereka pada efektivitas manajemen risiko.

Week 2&3 - Internal control dan Risk Management (celle)

a. Dari komponen internal control COSO, knp control environment menjadi
fondasi bagi perusahaan
- jelasin control environment, bahas ethics dan governance
 - sifatnya berjenjang, tambahkan segitiga entity level control, hubungan BOD
dan BOC, serta operational atau technical control
- Mungkin kasus → biasanya ada case hubungan antara internal control dan
risk management
- baca COSO ERM
- minimal paham risk identifikasi, risk register, risk profiling, risk appetite,
mitigasi risk → kemungkinan akan diterapkan di tingkat departemen yg
sifatnya presume risk (contoh : sales/revenue), harus tau konsep risk control
matrix (RCM) untuk pengembangan audit program

Components of Internal Control:

1. Control environment: Keseluruhan sikap, kesadaran, dan tindakan direksi
dan manajemen terhadap sistem pengendalian internal dan pentingnya dalam
entitas. Control environment atau lingkungan pengendalian merujuk pada
budaya, nilai, dan praktik manajemen yang membentuk dasar sistem
pengendalian internal suatu perusahaan. Control environment sangat penting
bagi perusahaan karena menjadi fondasi atau dasar bagi sistem pengendalian
internal yang efektif. Control environment dapat meningkatkan akuntabilitas
dalam perusahaan. Lingkungan pengendalian yang kuat dan positif mendorong
karyawan untuk bertanggung jawab atas tindakan mereka dan memastikan
bahwa setiap keputusan yang diambil sesuai dengan standar etika dan nilai
perusahaan. Control environment yang efektif dapat membantu mencegah
penipuan dan kecurangan di dalam perusahaan. Hal ini terjadi karena
perusahaan telah menetapkan standar etika yang tinggi, memberikan pelatihan
kepada karyawan tentang risiko penipuan dan kecurangan, serta menetapkan
prosedur yang ketat dalam melakukan transaksi keuangan.
2. Risk assessment: Manajemen menilai risiko sebagai bagian dari kegiatan
internal control-nya. Auditor menilai risiko untuk menentukan bukti apa saja
yang dibutuhkan untuk menjalankan audit. Ketika manajemen melakukan
internal control dengan efektif,auditor bisa meminimalkan bukti audit yang
diperlukan karena control risk menjadi lebih rendah.
3. Control activities (procedures): Ada berpotensi banyak kegiatan pengendalian,
tapi mereka umumnya jatuh ke dalam lima kategori:
a. Performance reviews
b. Pengolahan informasi (otorisasi yang tepat dari transaksi dan
kegiatan), Kontrol Umum
c. Informasi: akurasi, dokumen yang memadai dan catatan, kontrol
aplikasi;
d. Kontrol fisik atas aset dan catatan;
e. Pemisahan tugas yang memadai.
4. Monitoring control: Proses ini merupakan penilaian desain kontrol dan operasi
secara tepat waktu dan mengambil tindakan perbaikan yang diperlukan.
Ongoing monitoring information berasal dari beberapa sumber: pengecualian
 pelaporan pada kegiatan pengendalian, laporan oleh regulator pemerintah,
umpan balik dari karyawan, keluhan dari pelanggan, dan yang paling penting
dari laporan auditor internal.
5. Information system, communication, and related business process: Informasi
harus relevan dan disampaikan kepada orang yang membutuhkannya dalam
bentuk dan kerangka waktu yang memungkinkan mereka untuk melaksanakan
kendali dan tanggung jawab lainnya.

Ethics & Governance

Entity Level Control

Pengendalian tingkat entitas (entity level controls), juga dikenal sebagai pengendalian
level perusahaan, adalah proses yang didesain oleh atau dibawah kendali pengawasan
manajemen untuk menerapkan lingkungan yang memiliki dampak meluas (pervasive)
pada efektivitas pengendalian pada proses, transaksi atau level aplikasi.

Tipe pengendalian tingkat entitas:

a. Pengendalian tidak langsung tingkat entitas (indirect)
Pengendalian yang penting namun tidak berhubungan langsung dengan kemungkinan
dapat
dicegahnya atau terdeteksinya salah saji yang material secara tepat waktu.
Contoh: code of conduct, tata kelola, kebijakan dan prosedur, proses rekrutmen pegawai.
b. Pemantauan pengendalian tingkat entitas (monitoring)
Pengendalian yang dilakukan untuk memonitor efektivitas pengendalian lainnya, namun
tingkat
ketepatan pengendalian ini belum cukup memadai memitigasi risiko pelaporan
keuangan.
Contoh: pemantauan periodik atas pelaksanaan rekonsiliasi untuk memastikan ketepatan
waktu
rekonsiliasi, item yang direkonsiliasi dan tindak lanjut hasil rekonsiliasi.
c. Pengendalian langsung tingkat entitas (direct)
Pengendalian yang dirancang dan dilaksanakan dengan tingkat ketepatan yang memadai
untuk
mencegah atau mendeteksi secara tepat waktu.

BOC & BOD

Singkatnya BOD bertanggung jawab atas pengambilan keputusan strategis dan
operasional, sedangkan BOC bertanggung jawab untuk mengawasi dan mengevaluasi
kinerja BOD serta memberikan saran kepada BOD. BOC dapat memberikan saran dan
masukan kepada BOD terkait keputusan strategis dan operasional. BOC juga dapat
membantu memastikan bahwa BOD menjalankan tugasnya sesuai dengan hukum dan
peraturan yang berlaku serta mematuhi etika bisnis yang tinggi.
Hirarki struktur perusahaan di Indonesia adalah seperti berikut:

- Pemegang saham
- Dewan Komisaris (BOC)

BOC mengawasi manajemen perusahaan terkait kebijakan perusahaan dan memberikan

nasihat dan saran kepada dewan direksi. Efektivitas kebijakan juga akan dipantau oleh
BOC secara terus-menerus.

- Dewan Direksi (BOD)

 Dewan direksi, atau BOD dalam bahasa Inggris, merupakan pemegang saham
perusahaan. Mereka memperoleh nasihat dari BOC dan bertanggung jawab akan
keseluruhan kegiatan operasi dan manajemen perusahaan agar mematuhi hukum
perusahaan di Indonesia. Kepatuhan dicapai melalui keputusan operasional dan strategis
oleh BOD.

Pemegang saham menunjuk BOD untuk menangani kegiatan sehari-hari perusahaan.

Seringkali BOD bertindak secara kolektif tetapi mereka juga dapat memberikan
kekuasaan atau otoritas tertentu kepada anggota BOD.

Hubungan:
BOC

○ Memantau kegiatan operasional dan mengawasi direktur

○ Menganalisis anggaran untuk tahun finansial selanjutnya
○ Memeriksa dan menyetujui laporan keuangan

BOD

Setidaknya harus ada satu direktur warga negara Indonesia atau lokal yang ada di BOD

Menghadapi pihak ketiga dan menjaga kemitraan dengan pemangku kepentingan

Mewakili dan menangani perusahaan

Melapor kepada BOC

Menangani pencatatan dan agenda rapat RUPS dan BOD

Mempersiapkan laporan tahunan dan dokumen keuangan lainnya

Menjaga pencatatan pemegang saham

Membuat keputusan mewakili perusahaan (penawaran pinjaman tidak termasuk)

Operational/Technical Audit
Tujuan umum dari audit adalah untuk mereview efektivitas, efisiensi dan nilai ekonomi
aktivitas manajemen. Selain audit keuangan, yang sudah menjadi kebutuhan mendarat
bagi suatu organisasi, manajemen juga perlu merencanakan Technical (Operational)
Audit. Technical Audit bertujuan untuk memastikan keberlangsungan
(sustainability) dari aktivitas produksi dan distribusi perusahaan.
Berbeda dengan audit atas laporan keuangan yang telah mapan dengan berbagai
ketentuan accounting dan auditing standard, Technical Audit saat ini masih berapa dalam
proses pengembangan. Technical audit adalah audit yang dilakukan oleh auditor,
insinyur, atau ahli bidang studi yang mengevaluasi kekurangan atau bidang
perbaikan dalam suatu proses, sistem, atau proposal.

COSO ERM & Internal Control

Analisis LENGKAP:
https://repository.uksw.edu/bitstream/123456789/5840/3/T1_232010005_Full%20text.pd
f
Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk
Management (ERM) adalah rujukan manajemen risiko yang banyak diadopsi oleh perusahaan dari
berbagai belahan dunia. Kedua rujukan tersebut menyediakan panduan penerapan manajemen
risiko dengan tujuan mendukung efektivitas manajemen risiko bagi para penggunanya.

Modul COSO ERM terbaru dikeluarkan pada Juni 2017 dengan Judul COSO Enterprise Risk
Management – ​Integrating with Strategy and Performance.

Pada modul terbaru ini dijelaskan COSO ERM 2017 memiliki tiga topik besar diantaranya:
pengintegrasian strategi dengan kinerja, pentingnya strategi sinkronisasi dengan kinerja, serta
pengukuran perbedaan ERM dengan pengendalian internal.

COSO ERM 2017 memiliki fokus pada beberapa aspek, diantaranya:

1. Integrasi
Mengintegrasikan ERM dengan bisnis praktis akan menjadikan sebuah informasi lebih
baik untuk meningkatkan kualitas keputusan dan mengarah pada peningkatan kinerja.
COSO ERM membantu organisasi mengantisipasi sedini mungkin, membuka peluang
dalam memitigasi risiko, menawarkan pilihan serta peluang baru, meningkatkan rasa
kepercayaan atas informasi yang diterima serta kualitas laporan yang dihasilkan lebih
komprehensif.
 2. Penekanan pada Nilai
Penekanan pada nilai sebagaimana entitas/ perusahaan menciptakan dan merealisasikan
nilai tersebut. Nilai yang dimaksud adalah menjiwai kerangka kerja seperti: menonjolkan
fungsi ERM, memiliki prinsip diskusi yang luas, memiliki hubungan dengan potensi
risiko, fokus pada kemampuan untuk mengelola tingkat risiko.
3. Strategi
Melakukan eksplorasi pada strategi menggunakan tiga perspektif yang berbeda yaitu:
Strategi yang memungkinkan dan sesuai dengan bisnis, penerapan strategi yang telah
ditentukan dan risiko atas strategi.
4. Kinerja
Fokus bagaimana risiko secara integral berdampak pada kinerja yang disebabkan oleh
identifikasi ERM dan penilaian risiko atas kinerja. Mendiskusikan tingkat daya atas
kinerja.
5. Kesadaran Pentingnya Budaya
Mengarah pada peningkatan perhatian dan budaya menggunakan ERM hingga pada level
dimana melakukan eksplor atas kolaborasi budaya individu dengan entitas.
6. Kualitas Keputusan
Mengeksplorasi bagaimana ERM mengatur keputusan untuk pengambilan keputusan.
Memberikan gambaran bagaimana peringatan risiko memiliki dampak pada kinerja.
7. Membentuk Pengendalian Internal
Pengendalian internal dan pengawasan dilakukan untuk meningkatkan kepastian dan
jaminan bahwa seluruh proses sistem telah berjalan sesuai dengan ketentuan dan aturan
yang berlaku.

Selain itu dengan melakukan pengendalian internal bisa mendorong informasi yang berjalan
secara transparan serta bersifat akuntabel yang dikerjakan berdasarkan pedoman yang ada, oleh
sebab itu diperlukan pengendalian internal yang menggunakan pedoman berupa COSO Internal
Control – Integrated Framework.

Risk
Risiko adalah bahaya, akibat atau konsekuensi yang dapat diperkirakan untuk terjadi selama
waktu tertentu akibat sebuah kejadian yang membahayakan (contoh: kecelakaan) atau kejadian
yang akan datang. Dalam prakteknya, biasanya jumlah risiko dikategorikan ke sejumlah
tingkatan kecil karena probabilitas maupun bahaya tidak dapat diperkirakan dengan akurat dan
presisi.

Secara statistikal, risiko merupakan kombinasi dari likelihood dan consequence. Likelihood ialah
kemungkinan dalam suatu periode waktu dari suatu resiko akan muncul. Perhitungan
kemungkinan yang sering digunakan adalah frekuensi. Consequence ialah akibat dari suatu
kejadian yang biasanya dinyatakan sebagai kerugian dari suatu resiko. Oleh karena itu,
perhitungan resiko dilakukan dengan mengalikan nilai likelihood dengan consequence.

Risks = Likelihood x Consequence

dimana :
Consequence = konsekuensi untuk suatu resiko ( contoh: Rp.)
Likelihood = frekuensi kegagalan untuk suatu resiko (contoh: per tahun)

Lalu apa itu Risk Matrix? Risk Matrix adalah matriks yang digunakan selama risk assesment
untuk menentukan berbagai berbagai tingkatan risiko sebagai produk dari kategori probabilitas
bahaya atau keparahan.[2 59] Risk matrix adalah alat yang sangat efektif yang dapat berhasil
digunakan Manajemen Senior untuk meningkatkan kesadaran dan visibilitas risiko, sehingga
pengambilan keputusan suatu risiko dapat dibuat.

Risk Matrix

Ada dua dimensi dalam Risk Matrix. Dimensi tersebut menunjukkan seberapa parah dan
kemungkinan suatu kejadian tidak diinginkan. Dua dimensi ini kemudian membentuk matriks.
Kombinasi probabilitas dan tingkat keparahan akan memberikan kejadian apapun sebuah tempat
di dalam Risk Matrix[3] 122.

Kebanyakan dari Risk Matrix mempunyai paling sedikit 3 bagian atau daerah:

1. Probabilitas rendah, tingkat keparahan yang rendah yang biasanya digambarkan

dengan warna hijau, menunjukkan resiko dari suatu kejadian tidak cukup tinggi atau
cukup bisa dikendalikan. Biasanya tidak ada tindakan yang diambil dengan kejadian
ini.
2. Probabilitas tinggi, tingkat keparahan yang tinggi yang biasanya digambarkan dengan
warna merah, menunjukkan sebuah kegiatan membutuhkan pengendalian lebih untuk
mengurangi tingkat keparahan.
3. Kategori sedang, berada di antara dua daerah. Setiap kejadian yang jatuh di daerah
ini biasanya dinilai sebagai kejadian yang perlu dipantau.

Cara Menggunakan Risk Matrix

Pertama-tama melakukan pendaftaran mengenai risiko-risiko apa saja yang akan dihadapi oleh
bisnis. Semua risiko harus di input tanpa terkecuali.

Untuk setiap risiko, Anda harus mengevaluasi probabilitas dan tingkat keparahan (severity) dari
risiko tersebut. Misalnya menggunakan skala dari 1 hingga 10, dimana 1 untuk probabilitas dan
tingkat keparahan paling rendah dan 10 untuk sebaliknya. Evaluasi ini dapat didasari oleh data
historis maupun judgement dari tim manajemen.

Skala tidak berlaku kaku, namun dapat dimodifikasi sesuai dengan keperluan. Jika sudah
menentukan probabilitas dan tingkat keparahan, maka langkah selanjutnya adalah menentukan
treatment pada terhadap risiko tersebut.

Konklusi

Risk matrix adalah alat yang sangat berharga, untuk organisasi mencari proses penilaian risiko
cepat, efektif, dan praktis. Matriks risiko tidak cocok untuk setiap keadaan dan mereka memiliki
keterbatasan tetapi mereka juga memiliki tempat yang jelas di toolbox dari setiap manajer risiko
yang ingin [4]:

- Memberikan data kompleks yang diringkas

- Mendoorong dan memfasilitasi diskusi yang kuat
- Memberikan titik fokus ketika menilai risiko
- Memberikan konsistensi dan rincian untuk prioritas risiko

Definition:

1. Risk Identification (Identifikasi Risiko) - adalah proses mengidentifikasi, mengumpulkan,

dan menganalisis kemungkinan risiko yang dapat mempengaruhi pencapaian tujuan atau
sasaran perusahaan. Proses identifikasi risiko dapat melibatkan pengumpulan data dari
berbagai sumber, seperti data historis, pengalaman pengguna, dan penilaian ahli.
2. Risk Register (Daftar Risiko) - adalah dokumen formal yang berisi daftar lengkap risiko
yang diidentifikasi dan dianalisis dalam rangka mengelola risiko dalam suatu proyek atau
organisasi. Risk register mencakup informasi tentang probabilitas terjadinya risiko,
dampak potensial, dan langkah-langkah yang telah dilakukan untuk mengurangi risiko.
3. Risk Profiling (Profil Risiko) - adalah proses penilaian risiko dengan tujuan untuk
memahami profil risiko organisasi, termasuk jenis risiko yang dihadapi, dampak potensial,
dan kemungkinan terjadinya. Profil risiko dapat membantu organisasi dalam
mengembangkan strategi pengelolaan risiko yang efektif.
4. Risk Appetite (Toleransi Risiko) - adalah batasan risiko yang dapat diterima oleh
organisasi dalam mencapai tujuannya. Risk appetite dapat bervariasi tergantung pada
 tujuan organisasi, toleransi risiko, dan kebijakan manajemen risiko. Risk appetite juga
dapat digunakan sebagai dasar dalam memilih strategi pengelolaan risiko.
5. Mitigasi Risk (Pengurangan Risiko) - adalah proses mengurangi dampak risiko atau
kemungkinan terjadinya risiko. Mitigasi risiko dapat dilakukan dengan cara menghindari
risiko, mentransfer risiko, mengurangi risiko, atau menerima risiko. Tujuan dari mitigasi
risiko adalah untuk mengurangi risiko sampai ke tingkat yang dapat diterima oleh
organisasi.

MENGAPA CONTROL ENVIRONMENT MENJADI FONDASI?

Penting karena:

- Menentukan karakter dan kualitas sikap dan perilaku yang dilakukan oleh manajemen
dan karyawan terhadap pengendalian internal.
- Memengaruhi seluruh bagian dari perusahaan, termasuk kebijakan, prosedur, dan praktik
bisnis.
- Control Environment mencakup beberapa elemen, seperti nilai-nilai etika dan integritas,
struktur organisasi, tanggung jawab manajemen, komunikasi, dan pengembangan
karyawan. Lingkungan yang kuat dan positif akan memperkuat pelaksanaan
pengendalian internal dalam organisasi dan menambah kepercayaan pemangku
kepentingan terhadap perusahaan.
- Memastikan bahwa sistem pengendalian internal perusahaan efektif dan efisien dalam
mencapai tujuan bisnis.
- Membantu perusahaan dalam mencegah fraud, mempromosikan pengambilan keputusan
yang tepat, dan mempertahankan reputasi perusahaan.

b. kenapa internal audit perlu tau RCM dalam mengembangkan audit programnya?
Risk-Control Matrix (RCM) sangat penting untuk perencanaan audit dan perlu
diketahui oleh Internal Audit karena RCM menyediakan kerangka kerja yang
diperlukan untuk mengidentifikasi, menilai, dan mengelola risiko dalam suatu
organisasi.
RCM adalah alat yang digunakan untuk memetakan risiko pada aktivitas
bisnis dan untuk menentukan apakah kontrol yang tepat telah diterapkan untuk
mengurangi risiko tersebut. RCM diperlukan untuk memahami pengendalian yang
telah diterapkan entitas atas risiko-risiko yang akan menjadi lingkup audit.
RCM yang dibuat auditor akan menjadi panduan untuk menyusun program
kerja auditor. Dalam membangun audit program, Internal Audit harus memastikan
bahwa audit program tersebut secara efektif menangani risiko yang
diidentifikasi. Dengan mengetahui RCM, Internal Audit dapat mengevaluasi apakah
kontrol yang ada telah cukup untuk mengurangi risiko yang diidentifikasi atau apakah
ada kelemahan dalam pengendalian internal yang perlu diperbaiki.
 RCM juga dapat membantu Internal Audit dalam menentukan sasaran audit,
mengembangkan rencana audit yang tepat, dan mengidentifikasi area yang
perlu diperiksa secara lebih mendalam. Dengan mengetahui RCM, Internal Audit
dapat memprioritaskan area yang memiliki risiko tinggi dan memfokuskan sumber
daya audit pada area tersebut.
c. Jika ternyata internal control risk tinggi dan matrix risk management adalah
high-high (secara frekuensi kejadian tinggi dan jumlahnya besar) → bagaimana
tindakan internal audit?

Risiko tingkat tinggi harus diprioritaskan, dan tindakan yang tepat harus dirancang
untuk memitigasinya karena potensi dampak finansial dari risiko tingkat tinggi adalah
signifikan. Kegagalan untuk merespons dengan benar dan cepat dapat mengakibatkan
masalah likuiditas dan modal kerja bagi organisasi.
Dari sisi internal audit, ia dapat melakukan:
- Penilaian terhadap pengendalian internal yang ada untuk memastikan
bahwa mereka efektif dan efisien dalam mengelola risiko.
- Memeriksa implementasi dan efektivitas dari program mitigasi risiko yang
ada untuk memastikan bahwa risiko sedang dikelola secara efektif dan
efisien.
- Memonitor implementasi dari rekomendasi yang telah diberikan oleh
Internal Audit sebelumnya untuk memastikan bahwa tindakan perbaikan
yang diusulkan telah diimplementasikan dan efektif dalam mengurangi
risiko.
- Memberikan laporan kepada manajemen tentang hasil audit, rekomendasi
perbaikan, dan status implementasi tindakan perbaikan yang diperlukan.
Week 4 - Professionalism : Ethics and Standards (dora)
- Teori
- Internal audit punya dua fungsi assurance dan consulting → bagaimana saat
mereka melakukan penugasan tidak terjadi conflict of interest (penting karena
internal audit karena saat mengerjakan mungkin pada saat itu internal audit
bekerja sama dengan "risk owner" melakukan pemberesan terkait dengan sistem
manajemen risiko dan internal kontrol. setelah ternyata mereka membantu dan
menjalankan, terbukti bahwa ternyata terjadi yang namanya temuan significant
deficiency terhadap divisi tersebut. bagaimana internal audit bertanggung jawab
terkait dengan etika?)
Jawaban:
Jasa assurance melibatkan penilaian objektif auditor internal atas bukti untuk
memberikan pendapat atau kesimpulan mengenai suatu entitas, operasi, fungsi, proses,
sistem, atau hal pokok lainnya. Sifat dan ruang lingkup perikatan asurans ditentukan oleh
auditor internal. Umumnya, tiga pihak adalah peserta dalam jasa asurans: (1) orang atau
kelompok yang secara langsung terlibat dengan entitas, operasi, fungsi, proses, sistem,
atau hal pokok lainnya — pemilik proses, (2) orang atau kelompok yang membuat
penilaian — auditor internal, dan (3) orang atau kelompok yang menggunakan penilaian
— pengguna.

Jasa konsultasi bersifat penasehat dan umumnya dilakukan atas permintaan khusus dari
klien perikatan. Sifat dan ruang lingkup perikatan konsultasi tunduk pada kesepakatan
dengan klien perikatan. Jasa konsultasi umumnya melibatkan dua pihak: (1) orang atau
kelompok yang menawarkan nasihat — auditor internal, dan (2) orang atau kelompok
yang mencari dan menerima nasihat — klien perikatan. Saat melakukan jasa konsultasi,
auditor internal harus menjaga objektivitas dan tidak memikul tanggung jawab
manajemen.

- Bagaimana saat mereka melakukan penugasan tidak terjadi conflict of interest →

(Refer to PPT Week 4, IIA Standards Component 1100 Independence and
Objectivity, 1200 Proficiency and Due Professional Care
- Bagaimana internal audit bertanggung jawab terkait dengan etika? → (Refer to
PPT Week 4, IIA Standards Component 1300 Quality Assurance & Improvement
Program)
Performance Standards → 2421 Errors and Omissions
Jika komunikasi akhir mengandung kesalahan atau kelalaian yang signifikan, kepala audit
internal harus mengkomunikasikan informasi yang telah diperbaiki kepada semua pihak
yang menerima komunikasi awal.

2431 Engagement Disclosure of Nonconformance

Ketika ketidaksesuaian dengan Kode Etik atau Standar berdampak pada penugasan
tertentu, komunikasi hasil harus mengungkapkan:

● Prinsip(-prinsip) atau aturan(-aturan) perilaku Kode Etik atau Standar(-standar)

yang tidak sepenuhnya sesuai.
● Alasan ketidaksesuaian.
● Dampak ketidaksesuaian pada perikatan dan hasil perikatan yang
dikomunikasikan.

2600 Communicating the Acceptance of Risks

Ketika kepala audit internal menyimpulkan bahwa manajemen telah menerima tingkat
risiko yang mungkin tidak dapat diterima oleh organisasi, kepala audit internal harus
mendiskusikan masalah tersebut dengan manajemen senior. Jika kepala audit internal
menentukan bahwa masalah tersebut belum terselesaikan, kepala audit internal harus
mengkomunikasikan masalah tersebut kepada dewan.

Interpretation:

Identifikasi risiko yang diterima oleh manajemen dapat diamati melalui penugasan
asurans atau konsultasi, pemantauan kemajuan tindakan yang diambil oleh manajemen
sebagai hasil dari penugasan sebelumnya, atau cara lainnya. Bukan tanggung jawab
kepala audit internal untuk mengatasi risiko tersebut.

Week 5 - Internal Audit & Enterprise Governance (dora)

a. Bagaimana hubungan internal audit dan divisi manajemen risiko di sisi BOD dan
Komite audit dan risk monitoring di bawah BOC
- Bagaimana supaya hubungan sesuai TCWG
- Mekanisme kerjanya → boleh ga turun ke operasional
Jawaban:
1. Hubungan Internal Audit dengan Komite Audit dan Risk Monitoring di Bawah
BOC
● Komite Audit
adalah komite yang dibentuk dan bertanggung jawab kepada Dewan Komisaris dengan
tujuan untuk membantu mendukung kinerja dan pengawasan pengendalian internal
serta proses pelaporan keuangan. Komite audit memiliki peran untuk memberikan
otorisasi dan persetujuan bagi fungsi audit internal yang efektif, menyetujui keseluruhan
rencana audit internal untuk melanjutkan aktivitas selama periode saat ini dan seterusnya,
menelaah kebijakan akuntansi yang diterapkan oleh perusahaan, menilai pengendalian
internal, menelaah sistem pelaporan eksternal dan kepatuhan terhadap peraturan.
● Tanggung Jawab Komite Audit & Risk Monitoring
- Penunjukkan Chief Audit Officer
Komite Audit bertanggung jawab dalam memilih Kepala Audit Internal untuk menjamin
independensi fungsi audit internal. Tujuannya di sini bukan untuk menolak hak
manajemen perusahaan untuk menunjuk orang yang akan mengelola departemen audit
internal, yang melayani kebutuhan gabungan manajemen perusahaan dan komite audit.
Sebaliknya, signifikansi partisipasi komite audit adalah untuk memastikan independensi
fungsi audit internal ketika ada kebutuhan untuk berbicara mengenai masalah yang
diidentifikasi dalam peninjauan dan penilaian pengendalian internal dan aktivitas
perusahaan lainnya. Partisipasi dari komite audit dalam pemilihan CAE (Chief Audit
Executive) dapat mengambil beberapa bentuk tetapi biasanya melibatkan peninjauan
kredensial direktur yang diusulkan diikuti dengan wawancara formal. Manajemen
perusahaan—seringkali terutama CFO—biasanya berkonsultasi dengan ketua komite
audit mengenai kandidat CAE yang potensial, memberikan waktu kepada komite audit
untuk meninjau dan memberi komentar, dan terkadang mewawancarai, sebelum
perubahan apapun dilakukan. Manajemen mungkin menyarankan promosi seseorang
dari dalam perusahaan atau merekrut orang luar, tetapi komite audit lah yang memiliki
keputusan akhir. Kesepakatan tentang kecukupan kualifikasi untuk melayani kebutuhan
manajemen dan dewan direksi merupakan syarat penting dari hubungan efektif yang
berkelanjutan antara manajemen senior dan komite audit.
- Persetujuan Piagam Audit Internal
Komite Audit bersama dengan CAE membuat Internal Audit Charter yang kemudian
disetujui untuk menentukan bagaimana audit internal dilakukan.
POJK 56 → Bab III Piagam Audit Internal
Pasal 9
Emiten atau Perusahaan Publik wajib memiliki piagam Audit Internal yang paling sedikit
memuat:

a. struktur dan kedudukan Unit Audit Internal;

b. tugas dan tanggung jawab Unit Audit Internal;
 c. wewenang Unit Audit Internal;
d. kode etik Unit Audit Internal yang mengacu pada kode etik yang ditetapkan oleh
asosiasi Audit Internal yang ada di Indonesia atau kode etik Audit Internal yang
lazim berlaku secara internasional;
e. persyaratan auditor internal dalam Unit Audit Internal;
f. pertanggungjawaban Unit Audit Internal; dan
g. larangan perangkapan tugas dan jabatan auditor internal dan pelaksana dalam
Unit Audit Internal dari pelaksanaan kegiatan operasional perusahaan baik di
Emiten atau Perusahaan Publik maupun anak perusahaannya.

Pasal 10

Piagam Unit Audit Internal ditetapkan oleh Direksi setelah mendapat persetujuan Dewan
Komisaris.

- Persetujuan Rencana dan Anggaran Audit Internal

Komite Audit memiliki pemahaman menyeluruh tentang kebutuhan audit yang
mencakup kontrol dan isu pelaporan keuangan serta bertanggung jawab untuk meninjau
dan menyetujui rencana dan anggaran audit internal.

2. Hubungan Internal Audit dengan Divisi Manajemen Risiko di BOD

Auditor Internal berperan sebagai konsultan bagi perusahaan. Mereka akan melakukan
evaluasi terhadap sistem pengendalian internal dan memberikan rekomendasi perbaikan
jika ditemukan kelemahan dalam sistem tersebut. Audit internal akan membantu manajer
dalam pengambilan keputusan yang tepat dengan memberikan data, fakta, dan informasi
penting yang diperlukan untuk mengelola risiko dan meningkatkan efisiensi. Auditor
Internal diperbolehkan untuk turun ke operasional dengan syarat, auditor harus menjalin
hubungan baik dengan pihak manajemen dengan memahami bisnis secara lebih
mendalam, menjaga kerahasiaan informasi yang sensitif, memastikan selalu update
tentang rencana bisnis, dan menyadari perubahan dan risikonya.

b. Bagaimana hubungan antara internal audit charter dengan komite audit charter
Internal Audit Charter akan disusun oleh Head of Internal Audit (HIIA), di mana ia akan
berdiskusi dengan manajemen senior dan dewan untuk memastikan bahwa piagam sudah
mendeskripsikan peran dan ekspektasi yang disepakati dengan sesuai, dan membuat
persetujuan dengan dewan atas piagam yang dibuat.

Week 6 - Fraud (WanaArtha) → POJK Manajemen Risiko & Fungsi Peran Audit
Pak Sensi maunya ini (CILLA)
a. Apa skema fraudnya?
- WanaArtha Life menjual produk dengan imbal hasil pasti yang tidak diimbangi
kemampuan perusahaan mendapatkan hasil dari pengelolaan investasinya. Kondisi ini
direkayasa oleh PT WAL sehingga laporan keuangan yang disampaikan kepada OJK
maupun laporan keuangan publikasi tidak sesuai kondisi sebenarnya (polis bodong).
Akibat tindakan penerbitan polis bodong tersebut, Wanaartha Life akhirnya
mengalami gagal bayar, sehingga berujung pada dicabutnya izin usaha oleh OJK.
Peristiwa penerbitan polis bodong tersebut, diketahui melibatkan nilai uang yang
cukup fantastis, yakni mencapai sekitar Rp12 triliun. Keberadaan polis tersebut
diindikasikan seolah-olah tidak ada (abu-abu) → tidak diketahui atau tidak sengaja
dicatat oleh Kantor Akuntan Publik (KAP). Peristiwa ini sudah terjadi bertahun-tahun,
mereka seolah-olah tidak tahu
- Pemegang saham Wanaartha Life juga diduga menggelapkan dana perusahaan dan
atau premi nasabah. Di tengah terungkapnya kasus dugaan penggelapan dana
perusahaan dan atau premi nasabah ini, manajemen Wanaartha Life mengajukan
skema restrukturisasi kepada para pemegang polis.
a. Direktur Wanaartha Life Adi Yulistanto mengungkapkan beberapa opsi yang
ditawarkan Perusahaan kepada para pemegang polis. Pertama, program
konversi produk konvensional Wanaartha Life menjadi produk berbasis
syariah yang telah dimiliki sebelumnya oleh Unit Usaha Syariah (UUS)
Wanaartha Life.
b. Kedua, program perpanjangan jangka waktu atau masa polis yang telah atau
akan jatuh tempo dengan mendapatkan insentif berupa life insurance coverage
atau manfaat nilai tunai.
c. Ketiga, program cicilan pembayaran dengan skala prioritas dengan syarat
yaitu mengalami kecelakaan, sakit, atau meninggal dunia.
- Terjadinya pelanggaran terhadap prinsip asuransi utmost good faith → kepercayaan
baik yang paling berlimpah, keterusterangan dan keterbukaan dan kejujuran yang
mutlak dan sempurna; tidak ada penyembunyian atau penipuan, berapapun kecilnya.
Kewajiban atas berlangsungnya penerapan prinsip utmost good faith oleh perusahaan
asuransi pada hukum Indonesia termaktub dalam Undang-Undang No. 4 Tahun 2023
tentang Pengembangan dan Penguatan Sektor Keuangan (UU PPSK).
- Pasal 52 angka 14 UU PPSK yang mengubah Pasal 31 Ayat (1) Undang-Undang
Nomor 40 Tahun 2014 tentang Perasuransian (UU Perasuransian) menyebutkan
bahwa perusahaan asuransi wajib menerapkan segenap keahlian, perhatian, dan
kecermatan dalam melayani dan bertransaksi dengan pemegang polis, tertanggung,
maupun peserta.
- Tak hanya itu,perusahaan asuransi juga wajib memberikan informasi yang benar, tidak
palsu, dan/atau tidak menyesatkan kepada calon pemegang polis, calon tertanggung,
calon peserta, pemegang polis, tertanggung, atau peserta mengenai risiko, manfaat,
kewajiban, dan pembebanan biaya terkait produk asuransi yang ditawarkan (Pasal 52
angka 14 UU PPSK yang mengubah Pasal 31 Ayat (2) UU Perasuransian.
- Source:
https://kliklegal.com/wanaartha-terbitkan-polis-bodong-langgar-utmost-good-faith/
- https://www.theiconomics.com/art-of-execution/wanaartha-life-sodorkan-skema-restr
ukturisasi-kepada-nasabah-ojk-rpk-belum-disetujui/
- https://www.cnbcindonesia.com/market/20221205171421-17-393934/kronologi-kasus
-wanaartha-life-hingga-akhirnya-ditutup
-
b. Kenapa bisa terjadi?
- mereka dari aspek control environment COSO kureng bgt
- Mereka monitoring activities nya juga kurang (makanya gabisa identify dan
perbaiki masalah scr tepat waktu)

- Kurang juga information and communication aspect nya

a. direksi merasakan terdapat kendala dalam urusan komunikasi dan
koordinasi. Sebab, dalam upaya penyehatan keuangan Wanaartha Life
banyak data historikal yang tidak diketahui manajemen maupun jajaran
divisi yang ada di perusahaan. Direksi sendiri mengaku telah
melakukan koordinasi dengan pihak terkait melalui surat
korespondensi.
b. ada kendala terkait penyampaian laporan keuangan kepada OJK. Hal
ini terjadi lantaran pihak yang bertanggung jawab dalam penyusunan
laporan keuangan baik akunting, operasional, aktuari, dan investasi ada
yang berstatus tersangka dan dalam posisi dirumahkan. Sebagian
lainnya sudah tidak lagi bergabung dengan Wanaartha Life.
"Sementara, PIC yang ditunjuk sebagai gantinya selain belum
 memahami dengan baik proses penyusunan laporan keuangan tersebut
juga terkendala dengan ketersediaan dokumen yang belum
diterimanya,”

- Source:
https://infobanknews.com/tegas-ojk-kasih-kartu-merah-akuntan-publik-dan-ka
p-buntut-kasus-wanaartha-life/
c. Apakah dengan adanya internal control yang baik dan bagus ditambah dengan
manajemen risiko yang memadai, dapat mengurangi risiko fraud? → Jawaban: bukan
IC dan manajemen risiko, tapi bagaimana mengendalikan greedy atau kecurangan
yang dilakukan oleh owner sebagai Chief Audit Executive dan BOD dan BOD
mengatasik risk
→ Untuk ngatasin risk, PT WAL hrs secara rutin melakukan rapat koordinasi
BOC-BOD untuk memperkuat fungsi pengawasan atas operasional perusahaan,
pengurusan perusahaan serta melakukan pengawasan dan memberikan rekomendasi
kepada Direksi untuk kepentingan perusahaan dan sesuai dengan maksud dan tujuan
perusahaan. (tp ini baru mereka lakuin pas udah banyak pemegang polis yg nuntut)
Hrsnya bisa disambungin ke IIA three lines of defense jg deh ini kaya yg atas
- Otoritas Jasa Keuangan (OJK) secara resmi menerbitkan Surat Edaran (SE) yang
mengatur manajemen risiko asuransi, asuransi syariah, reasuransi dan reasuransi
syariah, dengan nomor surat 8/SEOJK.05/2021. SEOJK Manajemen Risiko Asuransi
sendiri merupakan salah satu peraturan pelaksanan dari Peraturan Otoritas Jasa
Keuangan nomor 44/POJK.05/2020 tentang Penerapan Manajemen Risiko bagi
Lembaga Jasa Keuangan Nonbank (POJK 44/2020). Secara ringkas, SEOJK ini
memuat beberapa hal, mulai dari obyek pengaturan, kesesuaian penerapan manajemen
resiko dengan tujuan hingga strategi perusahaan. Penerapan manajemen risiko bagi
perusahaan mengacu kepada standar pedoman penerapan manajemen risiko asuransi
dalam Lampiran I SEOJK Manajemen Risiko, yang mencakup:
1. Empat pilar penerapan manajemen risiko, yaitu
 a. pengawasan aktif direksi, dewan komisaris, dan dewan pengawas syariah
b. kecukupan kebijakan dan prosedur manajemen risiko serta penetapan limit
Risiko
c. kecukupan proses identifikasi, pengukuran, pengendalian, dan pemantauan
risiko, serta sistem informasi manajemen risiko
d. sistem pengendalian internal yang menyeluruh.

2. Penerapan manajemen risiko untuk masing-masing jenis risiko, yang mencakup

penerapan manajemen risiko untuk 9 jenis risiko, strategis, operasional, asuransi, kredit,
pasar, likuiditas, hukum, kepatuhan, reputasi

3. Penilaian profil risiko, yang mencakup penilaian terhadap risiko yang melekat
(inherent risk) dan penilaian terhadap kualitas penerapan manajemen risiko. Penilaian profil
risiko perusahaan dilakukan dengan mengacu kepada Peraturan Otoritas Jasa Keuangan
nomor 28/POJK.05/2020 tentang Penilaian Tingkat Kesehatan Lembaga Jasa Keuangan
Nonbank. Kemudian, perusahaan juga harus memiliki struktur organisasi yang mengacu
kepada Lampiran II, yang mencakup struktur organisasi komite Manajemen Risiko dan
Fungsi Manajemen Risiko, beserta hubungan bisnisnya.

Source:
https://www.merdeka.com/uang/ojk-terbitkan-aturan-penerapan-manajemen-risiko-asuransi.h
tml

d. Penyebab fraud Wanaartha karena asimetri informasi antara BOD dan BOC.
mengurangi asimetri dengan mengundang external auditor untuk mencegah fraud.
Kenapa selama 8 tahun gagal mendeteksi. Salahnya dimana? →
- mereka kurang professional skepticism → Berdasarkan pemeriksaan, AP dan
KAP dimaksud tidak dapat menemukan adanya indikasi manipulasi laporan
keuangan terutama tidak melaporkan peningkatan produksi dari produk
asuransi sejenis saving plan yang berisiko tinggi yang dilakukan oleh
Pemegang saham, Direksi dan Dewan Komisaris. Hal ini membuat
seolah-olah kondisi keuangan dan tingkat kesehatan WAL masih memenuhi
tingkat kesehatan yang berlaku, sehingga pemegang polis tetap membeli
produk WAL yang menjanjikan return yang cukup tinggi tanpa
memperhatikan tingkat resikonya.
- Keberadaan polis tersebut diindikasikan seolah-olah tidak ada (abu-abu) →
tidak diketahui atau tidak sengaja dicatat oleh Kantor Akuntan Publik (KAP).
Peristiwa ini sudah terjadi bertahun-tahun, mereka seolah-olah tidak tahu
- Jenly Hendrawan (Akuntan Publik) dinilai tidak memiliki kompetensi dan
pengetahuan yang dibutuhkan sebagai syarat untuk menjadi Akuntan Publik
yang memberikan jasa di Sektor Jasa Keuangan karena turut menjadi pihak
 yang menyebabkan terjadinya pelanggaran yang dilakukan oleh AP Nunu
Nurdiyaman.
-
e. Lesson learn terhadap kasus fraud → hubungannya dengan internal audit
- Pada saat jajaran direksi baru yang ada saat ini bergabung, dana nasabah
WanaArtha Life sudah tidak ada lagi. Pada saat mereka bergabung di akhir
2021, bahkan audit di tahun 2020 belum dilakukan sehingga kami lakukan
audit. → mereka kurang kompetensi (ngerjain audit ga in a timely manner,
hrsnya adain interim juga gasi?)
- Sedangkan nasabah yang tercatat berdasarkan audit dari auditor tersebut
adalah sebesar kurang lebih sebesar 29.000. Namun secara internal WanaArtha
Life juga mencoba untuk melakukan pengecekan ulang terkait jumlah
kewajiban dan jumlah nasabah. Dari hasil verifikasi tersebut, yang kembali
dari jumlah 29 ribu nasabah hanya sebesar 23.000, dan yang berhasil
dicocokan dan verifikasi secara internal saat itu sebesar 19.000. Jadi dengan
adanya perbedaan data ini Adi menyampaikan bahwa masih perlu dilakukan
pengecekan kembali namun dengan kondisi telah dicabut maka dirasa
sulit untuk dilakukan pencocokan lagi → auditor internal kurang tindakan
preventif & kurang kompetensi, pas udah dicabut izin usahanya baru verifikasi
- Mereka harus menggunakan mekanisme yang memastikan bahwa stakeholder
menerima informasi mengenai kepentingan perusahaan mengatur risikonya.
- AI harusnya memastikan bahwa hasil yang dilaporkan benar sebelum
diteruskan ke tingkat berikutnya, dan angka konsolidasi, laporan keuangan,
pengembalian pajak, atau area lainnya akurat.
- Auditor internal dapat membantu meluncurkan dan kemudian menentukan
bahwa perusahaan memiliki kode etik yang efektif yang mempromosikan
praktik bisnis yang etis → meninjau Codes of Conduct perusahaan dari waktu
ke waktu untuk meninjau kembali kode tersebut (ini buat preventif yang
pemegang saham diduga penggelapan dana bertahun tahun)

Week 7 - WhistleBlower (wina)

a. WBS yang ada sekarang atau diterapkan bagusnya itu dibuat sendiri atau minta ke
pihak ketiga? seperti Pertamina dan Deloitte atau Mandiri dan RSM
Whistleblowing system dapat diterapkan dengan melibatkan pihak ketiga, sama
halnya pada Mandiri dan RSM. Dengan adanya Pengelola Eksternal, dapat
memberikan safe-environment yang mendorong pegawai dan para pemangku
kepentingan untuk berani melaporkan perbuatan fraud atau indikasi fraud. Jenis-jenis
fraud yang dilaporkan di antaranya korupsi, penipuan, pencurian, penggelapan dan
pemalsuan. Selain untuk melaporkan perbuatan fraud atau indikasi fraud,
whistleblowing system ini juga digunakan untuk melaporkan pelanggaran non fraud
seperti pelanggaran norma dan etika (code of conduct). Pengelolaan WBS melibatkan
pihak ketiga independen antara lain bertujuan untuk :
 1. Meningkatkan kepercayaan para pemangku kepentingan dalam pengelolaan WBS.
2. Memberikan rasa aman bagi pelapor/whistleblower.
3. Meminimalisir risiko benturan kepentingan (conflict of interest).
4. Bersifat independen dan professional.
5. Pelapor dapat memonitor status tindak lanjut laporan WBS yang disampaikannya.
Apabila whistleblowing system yang diterapkan saat ini dimana dikelola perusahaan
saja, hal ini dapat menimbulkan konflik kepentingan antara perusahaan dan karyawan
yang melakukan pelaporan. Karyawan yang melaporkan pelanggaran mungkin merasa
tidak nyaman atau takut akan tindakan diskriminatif dari perusahaan, adanya
kekhawatiran perusahaan tidak akan menindaklanjuti laporan secara adil, sehingga
dapat mengurangi efektivitas whistleblower system dalam mengungkapkan
pelanggaran yang sebenarnya terjadi di perusahaan, serta tidak dapat dipastikan
bahwa pelaporan dan penanganan pelanggaran dilakukan secara objektif dan adil.
Dengan melibatkan pihak independen ketiga, whistleblower system dapat terbebas
dari kemungkinan adanya tekanan atau pengaruh dari pihak-pihak yang terkait dengan
pelanggaran yang dilaporkan. Hal ini dapat memastikan bahwa whistleblower system
beroperasi dengan transparan dan tidak dipengaruhi oleh kepentingan tertentu.
Namun, perusahaan juga dapat memainkan peran penting dalam mengelola
whistleblower system. Perusahaan dapat menetapkan kebijakan yang jelas dan
terperinci mengenai bagaimana pelaporan dilakukan dan bagaimana pelanggaran akan
ditangani. Perusahaan juga dapat memastikan bahwa karyawan diberikan
perlindungan dan tidak akan dikenai tindakan diskriminatif atau balasan atas
pelaporan yang dilakukan. Dengan demikian, perusahaan dapat saling bekerja sama
dengan pihak independen terkait implementasi whistleblowing system.
b. Laporan WBS sebaiknya ditampung dimana? internal audit, corporate secretary atau
bagian hukum?
Laporan WBS sebaiknya ditampung oleh pihak independen dalam perusahaan. Pada
darnya, internal audit telah memiliki peran tersendiri pada whistleblower system
dimana audit internal berperan dalam meninjau proses yang ada dan
merekomendasikan kontrol yang sesuai. Selain itu juga, audit internal berperan dalam
membantu komite audit dan membangun program whistleblower yang efektif dan
mematuhi peraturan yang ada. Oleh karena itu, apabila audit internal juga merangkap
tugas sebagai penampung laporan whistleblower hal ini dapat menganggu
independensinya. Maka, direkomendasikan untuk fungsi compliance yang
menampung laporan whistleblower karena fungsi ini memiliki tanggung jawab untuk
memastikan bahwa perusahaan mematuhi peraturan dan kebijakan yang berlaku,
membantu mengidentifikasi dan menangani masalah kepatuhan yang mungkin terjadi
di dalam perusahaan, dan dapat membantu mencegah pelanggaran etika dan hukum
yang dapat merugikan perusahaan. Saat ini banyak perusahaan yang menerapkan
laporan whistleblowing ditampung oleh divisi compliance. Sedangkan corporate
secretary memiliki fungsi yang berbeda dimana untuk memastikan kepatuhan
terhadap aturan perusahaan dan peraturan perundang-undangan, serta menjaga
hubungan perusahaan dengan pihak luar, serta rentan terhadap konflik kepentingan
 karena corporate secretary dimana fungsi ini banyak berhubungan dengan dewan
direksi, komite, dewan komisaris, dan stakeholders lainnya.
c. Agar whistleblower berjalan efektif bagaimana parameter yang harus disediakan oleh
perusahaan? → tidak jalan di perusahaan karena banyak harus kasih KTP dkk
1. Perusahaan harus menjamin perlindungan dan anonimitas bagi pelapor
sehingga mendorong pihak-pihak untuk melapor apabila ada indikasi
kecurangan. Hal ini dapat dilakukan dengan pelapor mendapatkan
perlindungan antara lain : Identitas pelapor dijamin kerahasiaannya oleh
perusahaan. Perusahaan menjamin perlindungan terhadap Pelapor dari segala
bentuk ancaman, intimidasi, ataupun tindakan tidak menyenangkan dari pihak
manapun selama pelapor menjaga kerahasiaan pelanggaran yang diadukan
kepada pihak manapun. Perlindungan terhadap pelapor juga berlaku bagi para
pihak yang melaksanakan investigasi maupun pihak-pihak yang memberikan
informasi terkait dengan pengaduan/penyingkapan tersebut.
2. Perusahaan harus tanggap dalam memproses dan menangani laporan
whistleblower secara cepat, tepat, dan efektif. perusahaan juga perlu
menyusun sistem pelaporan whistleblowing yang efektif yang memuat
kejelasan proses pelaporan, antara lain mengenai tata cara pelaporan, sarana,
dan pihak yang bertanggung jawab untuk menangani pelaporan. Sistem
pelaporan harus didukung dengan adanya kejelasan mekanisme tindak lanjut
terhadap Fraud yang dilaporkan.
3. Perusahan harus menyediakan saluran komunikasi bagi para pemangku
kepentingan untuk mengadukan fraud dan/atau pelanggaran yang efektif dan
terjamin kerahasiaannya. Dengan kata lain, perusahaan harus menyediakan
saluran khusus bagi Pelapor yang akan menyampaikan pengaduan/laporan
dugaan pelanggaran, baik melalui email, telephone, atau saluran-saluran
khusus lainnya.
d. Apakah UU perlindungan saksi yang berjalan saat ini mendukung WBS?
Di indonesia saat ini UU perlindungan saksi yang berjalan mendukung pelaksanaan
WBS, UU Nomor 31 Tahun 2014 tentang Perubahan Atas UU Nomor 13 Tahun 2006
tentang Perlindungan Saksi dan Korban menjadi dasar hukum perlindungan terhadap
whistleblower, terutama perlindungan hukum. Undang-undang ini menjadi angin
segar bagi whistleblower untuk benar-benar mengungkap fakta terjadinya suatu tindak
pidana tanpa terbebani oleh kasus hukum yang mungkin menjeratnya karena telah
melaporkan tindak pidana. Mengacu pada undang-undang tersebut, whistleblower
atau pelapor tidak dapat dituntut secara hukum, baik pidana maupun perdata atas
kesaksian dan/atau laporan yang akan, sedang, atau telah diberikannya, kecuali
kesaksian atau laporan tersebut diberikan tidak dengan iktikad baik. Jika terdapat
tuntutan hukum terhadap whistleblower atas kesaksian dan/atau laporan yang akan,
sedang, atau telah diberikan, tuntutan hukum tersebut wajib ditunda hingga kasus
yang ia laporkan atau ia berikan kesaksian telah diputus oleh pengadilan dan
memperoleh kekuatan hukum tetap. Undang-undang ini dipertegas oleh Surat Edaran
Mahkamah Agung (SEMA) Nomor 4 Tahun 2011. SEMA tersebut menjadi pedoman
bagi perlindungan status hukum dan pelaksanaan ketentuan perlindungan hukum
whistleblower yang tertuang di dalam UU Nomor 13 Tahun 2006. Berdasarkan
SEMA Nomor 4 Tahun 2011, terdapat sejumlah kriteria bagi seseorang agar dapat
disebut whistleblower, yakni yang bersangkutan merupakan pihak yang mengetahui
dan melaporkan tindak pidana tertentu dan bukan merupakan bagian dari pelaku
kejahatan yang dilaporkannya. Melalui SEMA ini, Mahkamah Agung meminta
kepada para hakim agar jika menemukan orang yang dapat dikategorikan sebagai
whistleblower dapat memberikan penanganan khusus. Penanganan khusus tersebut,
yakni apabila whistleblower atau pelapor dilaporkan juga oleh terlapor, maka
penanganan perkara atas laporan yang disampaikan oleh whistleblower harus
didahulukan.

Bawa PJOK tentang manajemen risiko, fungsi internal audit, supaya menjaga
independensi > ini maksudnya untuk keseluruhan soal??