Internal Audit
Internal audit profession’s authoritative guidance memungkinkan para profesional auditor internal untuk
memberikan layanan yang dapat memberikan nilai tambah untuk memenuhi kebutuhan yang beragam dari
stakeholder
A. Sejarah dari Guidance setting untuk profesi auditor internal
Perkembangan dari Guidance setting for the internal audit profession seiring dengan perkembangan
organisasi yang terus berkembang, baik dari ukuran maupun kompleksitas dan operasi dari organisasi
yang semakin menyebar dilihat dari segi geografi. Senior Management tidak lagi dapat mengawasi
organisasi secara langsung atau tidak lagi bisa berinteraksi secara langsung dengan orang-orang yang
melapor kepadanya, yang mana pengawasan tersebut merupakan tanggungjawab dari seorang senior
management. Jarak atau gap inilah yang menjadi salah satu latar belakang, yang kemudian mendorong
terciptanya suatu kondisi dimana dibutuhkan seseorang di organisasi untuk membantu senior
management. Bantuan tersebut melalui pemeriksaan terhadap operasi organisasi dan menyediakan
laporan mengenai hasil dari pemeriksaan terebut kepada senior management. Aktivitas yang dilakukan
oleh orang orang ini disebut aktivitas Internal audit.
Perkembangan dari guidence untuk profesi auditor internal dimulai setelah terbentuknya IIA.
Berikut ini adalah penjelasan mengenai perkembangan tersebut:
IPPF merupakan satu-satunya guidance untuk profesi internal audit yang diakui secara global.
Didalamnya mengandung apa yang dianggap sebagai elemen penting dalam memberikan jasa audit
internal. Elemen penting tersebut terdiri dari:
1. Kualitas dari individu internal auditor;
2. Karakteristik dari fungsi yang menyediakan jasa internal audit;
3. Sifat dari akitivitas internal audit; .
4. Kriteria kinerja terkait
Oleh karena itu, IPPF memberikan petunjuk kepada profesi internal auditor dan menetapkan
harapan yang diinginkan oleh para stake holder sehubungan dengan kinerja jasa internal audit.
Komponen dari IPPF termasuk didalamnya:
1. Mandatory Guidance, yang terdiri dari:
➢ Definiton of Internal Auditing
➢ The Code of Ethics
➢ The Standards
2. Strongly Recommended Guidance, yang terdiri dari:
➢ Practice Advisories
➢ Position Papers
➢ Practise Guides
IPPF memberikan dasar bagi fungsi internal audit untuk menunaikan peran mereka dan cara yang
efektif memenuhi tanggungjawab mereka.
C. Mandatory Guidance
1. The Definitions
IPPF mendefiniskan Internal Auditing sebagai berikut: “Internal auditing is an independent,
objective assurance and consulting activity desaigned to add value and improve an organization’s
operations. It helps an organization accomplish its objective by bringing systematic, disciplined
approach to evaluate and improve the effectiveness of risk management, control and governance
process.”
The Value of Internal Auditing for Stakeholders.
Definisi dari the standards Principles-focused, mandatory requirement consisting of Statements ans
Interpretations. Yang terdiri dari: • Statement dari persyaratan minimum untuk professional practice
dari internal audit dan untuk mengevaluasi efektivitas dari kinerja para profesional yang berpraktik,
dimana bisa diaplikasikan secara international pada level individu dan organisasi. • Interpretasi, yang
menjelaskan istilah atau konsep dalam Laporan.
Perbedaan jelas dalam kedua jenis layanan adalah pada tujuan pemberian pelayanan. Perikatan jasa
Assurance dilakukan untuk memberikan assesment independen sedangkan perikatan terkait jasa
konsultasi dilakukan untuk memberikan layanan konsultasi, pelatihan, dan fasilitasi.
Struktur dari consulting engagements relatif sederhana. Mereka biasanya hanya melibatkan dua
pihak saja, yaitu: • pihak yang meminta dan menerima saran-pelanggan dan; • pihak yang
memberikan nasihat (fungsi internal audit).
Fungsi audit internal bekerja secara langsung dengan pelanggan untuk menyesuaikan keterlibatan
untuk memenuhi kebutuhan pelanggan.
Sedangkan struktur dari assurance engagements lebih kompleks. Mereka biasanya melibatkan tiga
pihak: • Pihak yang secara langsung bertanggung jawab untuk proses tersebut, sistem, atau topik lain
yang sedang dinilai-auditee; • Pihak yang memberikan jasa assesment (fungsi internal audit); • Pihak
yang menggunakan hasil assesment-the users.
Pengguna tidak secara langsung terlibat dalam engagements dan dalam beberapa kasus tidak
teridentifikasi secara eksplisit.
Independence adalah atribut dari fungsi audit internal, objektivitas adalah atribut dari auditor secara
individual. Independences Organisasi terhadap fungsi audit internal memfasilitasi objektivitas
auditor individual. Conflict of Interest atau Benturan kepentingan mengganggu independensi dan
obyektivitas. Konflik kepentingan adalah setiap hubungan yang, atau tampaknya, tidak dalam
kepentingan terbaik organisasi. Ancaman yang terkait pelaksanaan tugas yang berkaitan dengan
independensi dan obyektivitas timbul dari sifat dari pekerjaan itu sendiri. Impairment terhadap
indepensi atau objektivitas, dalam fakta atau appearances, mungkin tidak dapat dihindari dalam
keadaan tertentu. Standard 1130: Impairment terhadap indepensi atau objektivitas, CAE harus
mengungkapkan rincian impairment kepada pihak yang tepat.
Standard 1310 : Requirement of The quality assurance and improvement program menyatakan
bahwa “The quality assurance and the improvement program harus menyertakan baik penilaian
internal maupun eksternal. Penilaian internal harus terdiri atas : • Monitoring kinerja secara terus
menerus terhadap fungsi audit internal • Penilaian secara periodic oleh pihak lain di dalam organisasi
yang memiliki keahlian di dalam praktik audit internal
Penilaian eksternal harus dilaksanakan minimal 5 tahun sekali oleh pihak yang memenuhi syarat,
penilai independen, atau tim penilai dari luar organisasi. Chief Audit Executive harus mendiskusikan
dengan dewan direksi untuk hal-hal yang terkait dengan : • Bentuk dan frekuensi penilaian yang
dilaksanakan • Kualifikasi dan independensi dari penilai ekternal atau tim penilai, termasuk potensi
terjadinya conflict of interest di dalam proses penilaian tersebut (Standard 1312:External Assesment
The Performance Standards The performance standards menjelaskan sifat-sifat dasar dari layanan
internal audit, serta bagaimana penilaian kinerja layanan tersebut. Performance Standard dibagi
menjadi tujuh bagian utama, yaitu :
Managing the internal audit activity. Standard 2000 menerangkan bahwa seorang Chief Audit
Eecutive bertanggung jawab untuk mengelola fungsi internal audit dan memastikan bahwa fungsi
tersebut dapat memberikan nilai tambah bagi organisasi. Meskipun bila organisasi mengoutsource
fungsi audit internal tersebut, organisasi tetap harus memiliki “someone in house” yang
bertanggungjawab dalam menyetujui kontrak audit internal tersebut, mengawasi kualitas pekerjaan
penyedia jasa, menyusun jadwal pelaporan jasa assurance dan konsultasi manajemen kepada
manajemen senior dan dewan direksi dan menentukan hasil kesepakatan dengan penyedia jasa
terebut. Pada banyak kasus, fungsi-fungsi tersebut dilaksanakan oleh CAE. Bagaimanapun ketika
orang tersebut memiliki conflicting responsibilities/konflik pertanggungjawaban dengan fungsi
outsourcerd tersebut, penyedia layanan audit internal tersebut memiliki kewajiban untuk membuat
“organisasi tersebut waspada bahwa organisasi tersebut memiliki tanggung jawab untuk
mempertahankan audit internal yang efektif” (Standard 2070: External service provider and
organizational Responsibility for internal auditing). Interpretasi dari standar tersebut dapat diartikan
sebagai berikut :
“Tanggung jawab tersebut ditunjukan melalui quality assurance dan improvement programs yang
menilai kesesuaian tanggung jawab tersebut dengan yang tertuang di dalam definisi internal auditing,
kode etik dan standar yang ada”.
Standard 2000 menyatakan bahwa “Aktivitas internal audit telah dikelola dengan baik ketika :
• Hasil dari aktivitas pekerjaan internal audit mencapai tujuan dan tanggung jawab yang tercantum
di dalam internal audit charter; • Aktivitas internal audit telah sesuai dengan definisi internal audit
dan standard yang ada dan • Setiap individu yang menjadi bagian dari aktivitas internal audit
menunjukan kesesuaian dengan kode etik dan standar (interpretasi dari standard 2000: Managing
internal audit activity);
Subsequent standard secara berkelanjutan harus menunjukan bahwa seorang CAE haruslah:
• “…. Menyusun sebuah risk based plan untuk menentuan apakah prioritas dari aktivitas internal
audit sudah konsisten dengan tujuan organisasi (Standard 2010: planning) • “….
Mengkomunikasikan rencana aktivitas internal audit dan hal-hal yang dibutuhkan di dalam kegiatan
audit internal, terasuk perubahan perubahan signifikan kepada managemen senior dan dewan direksi
sebagai bahan review dan approval.” Seorang CAE ”juga harus mengkomunikasikan pengaruh dari
keterbatasan hal-hal yang dibutuhkan tersebut” (standard 2020; communication and approval) •
“…memastikan bahwa kebutuhan internal audit sudah tepat, cukup, dan tersebar dengan baik untuk
dapat mencapai tujuan yang telah direncanakan” (Standard 2030 : ‘Resources Management) • “…
Menyusun kebijakan dan prosedur sebagai arahan dalam kegiatan internal audit” (Standard 2040:
Policies and procedures). • “… Membagi informasi dan berkoordinasi dengan penyedia jasa
assurance and consulting, baik yang berasal dari dalam maupun dari luar organisasi untuk
memastikan pelaksanaan pekerjaan tidak tumpang tindih” (standard 2050 : koordinasi) • “… secara
periodic membuat laporan kepada manajemen senior dan dewan direksi terkait tujuan kegiatan
internal audit, kewenangan, tanggung jawab, dan hasil yang ingin dicapai dari rencana tersebut.”
Seorang CAE juga harus melaporkan pengaruh risiko dan kegiatan pengendalian yang dapat
mempengaruhi kegiatan internal audit, termasuk risiko fraud, hal hal terkait dengan tata kelola
(governance) dan hal-hal lainnya yang dapat mempengaruhi atau diminta oleh senior manajemen
dan dewan direksi” (Standar 2060: Reporting to senior management and board)
Nature of Works. Standard 2100. Nature of work (sifat pekerjaan) adalah konsisten dengan definisi
internal auditing yang telah didiskusikan di awal bab ini. “Kegiatan internal audit harus
mengevaluasi dan berkontribusi terhadap peningkatan kualitas governance, manajemen risiko, dan
proses pengendalian menggunakan pendekatan yang disiplin dan sistematis.
Fungsi internal audit harus memperkirakan dan membuat rekomendasi yang tepat untuk
meningkatkan kualitas governance organisasi agar proses governance pada organisasi dapat
mencapai tujuan berikut :
• Mempromosikan etika dan nilai-nilai yang tepat bagi organiasasi • Memastikan efektifitas
manajemen penilaian kinerja organiasasi dan akuntabilitas; • Mengkomunikasikan risiko dan
pengendalian informasi pada area yang tepat dari organisasi • Mengkoordinasikan aktivitas tersebut
dan menyampaikan informasi tersebut kepada dewan direksi, auditor eksternal dan auditor internal,
dan juga manajemen (Standard 2010 : Governance)
Fungsi audit internal juga harus mengevaluasi efektivitas dan meningkatkan proses manajemen
risiko organisasi (Standards 2120: Risk Managemen). Menentukan apakah fungsi proses manajemen
risiko pada organisasi telah berjalan efektif apabila hasil penilaian auditor internal meyatakan :
• Tujuan organisasi telah mendukung dan sesuai dengan misi organisasi • Risiko-risiko yang
siginifikan telah diidentifiasi dan ditelaah • Respon terhadap risiko telah ditetapkan dengan sesuai
dan telah selaras dengan risk apetite organisasi dan • Informasi mengenai risiko yang relevan telah
dicatat dan dikomunikasikan secara berkala.di pada berbagai pihak di organisasi, termasuk staf,
manajemen dan dewan direksi untuk menentukan tanggung jawab masing-masing pihak.
(Interpretation to standard 2120 : Risk Managemen)
Fungsi audit internal juga harus membantu organisasi dalam “mempertahankan efektivitas
pengendalian dengan cara mengevaluasi efetivitas dan efisisensi pengendalian dan mempromosikan
pengembangan berkelanjutan. (standard 2130: Control)
Fungsi internal audit juga harus mengevaluasi kemungkinan terjadinya risiko tersebut, dan juga
mengevaluasi efektivitas dan efisiensi pengendalian melalui promosi continuous improvement.
Fungsi Internal Audit harus melaksanakan evaluasi terhadap risk exposure dan mengevaluai
kecukupan dan efektivitas operasional organisasi yag terkait dengan :
• Pencapaian tujuan organisasi • Kecukupan dan integritas informasi keuangan dan operasional
organisasi • Efektivitas dan efisiensi pelaksanaan dan program organisasi • Pengamanan asset •
Kepatuhan terhadap aturan perundangan yang berlaku (standard 2120.A1 dan 2130 A.1)
The Engagement Process. Pelaksanaan kesepakatan terhadap pelaksanaan kegiatan audit internal
baik berupa jasa assurance maupun jasa consulting bisa dibagi menjadi 3 bagian. Standard
pelaksanaan tersebut tercantum pada : 2200 – Engagement planning 2300 - Performing the
engagement 2400 – communicating result 2500 – monitoring progress
Standard 2200 : engagement planning menyatakan bahwa “ Auditor internal harus merancang dan
mendokumentasikan perencanaan kesepakatan audit internal yang didalamnya mencakup tujuan,
skope, waktu pelaksanaan dan hal-hal yang dibutuhkan di dalam pelaksanaan audit internal”,
dokumen tersebut harus memperhatikan : • Tujuan dan aktivitas yang akan dievaluasi dan dinilai
aktivitas pengendaliannya • Significant risk terhadap kegiatan tersebut, tujuan, sumber daya maupun
operasional dari kegiatan tersebut termasuk risiko-risiko yang bisa mengganggu proses pencapaian
tujuannya. • Kecukupan dan efektivitas dari governance, manajemen risiko, dan aktivitas
pengendalian tersebut apabila dibandingkan dengan kriteria yang telah ditetapkan. • Kesempatan
auditor internal untuk meningkatkan kualitas governance, manajemen risiko, dan aktivitas
pengendalian
Standard di bawah ini harus dilaksanakan di dalam merancang perjanjian/perikatan audit internal : •
Tujuan audit harus dicantumkan dengan jelas (standard 2210 : tujuan perikatan) • Ruang lingkup
yang ditetapkan harus memadai untuk mencapai tujuan dari perikatan tersebut. • Auditor internal
harus menetapkan tingkat kebutuhan dalam pelaksanaan audit internal • Auditor internal harus
mengembangkan dan mendokumentasikan dokumen-dokumen tersebut.
Ketika melasanakan perikatan tersebut, fungsi internal audit haruslah : • “… menyajikan informasi
yang relevan, dapat dipercaya (reliable) dan cukup terkait dengan tujuan perikatan tersebut”
(standard 2310 : identifying information). • “…Membuat perikatan dan kesimpulan berdasarkan
analisis dan evaluasi yang memadai” (standard 2320: Analysis and evaluation) • “..
mendokumentasikan informasi yang relevan untuk mendukung kesimpulan manajemen” • “…
memastikan bahwa perikatan yang dibuat telah disupervisi dengan memadai sehingga tujuan audit
dapat dicapai, kualitas audit telah dijamin, dan staf yang dibutuhkan telah ditetapkan dengan sesuai”
Agar perikatan audit internal menjadi bernilai, outcome yng telah dicapai harus disampaikan secara
berkala kepada klien. Namun tidak cukup laporan saja yag disampaikan. Komunikasi yang dilakukan
harus berdasarkan laporan yang meminimalisasi disinterpretasi
Fungsi internal audit harus “melaporkan bahwa perikatan yang dilaksanakan sudah sesuai dengan
international standards for the professional practice of internal auditing apabila perikatan yang
dilaksanakan telah sesuai dengan pernyataan tersebut (standar 2340 : Use of “Conducter in
Comformance with the internal auditing, the Code of Ethics , or The standard impact a specific
engagement communication harus menyajikan : • Prinsip atau keseuaian dengan aturan perilaku
yang tidak sesuai • Alasan ketidaksesuaian • Dampak dari ketidaksesuaian dari perikatan dan
mengkomunikasikan hasil perikatan tersebut.
Seorang CAE bertanggungjawab untuk mengkounikasikan hasil dari perikatan perjanjian tersebut
kepada pihak-pihak yang membutuhkan(standard 2440: Disseminating Result) dan menerbitkan
opini mengenai kondisi governance, risk management, maupun aktivitas lainnya. Ketika sebuah
opini diberikan, CAE juga harus menyampaikan kepada senior manajemen sebagai bahan
pertimbangan apakah hendak menerima risiko tersebut ataukah tidak mengambil tindakan (Standard
2500 A.1) Communicating the acceptance risk.Standard 2600 :
Communicating the acceptance risk addresses the issue of a level of residual risk that may be
unacceptable to the organization that may be unacceptable to the organization.