Audit Internal

BAB 15

Pengertian Audit Internal menurut

Pimpinan IIA ( the IIA Board of Directors )
dalam buku Audit Internal Berbasis Risiko
(Tuanakotta), Audit Internal adalah kegiatan
asurans yang independen, objektif dan
kegiatan konsulting yang dirancang untuk
menambah nilai dan meningkatkan operasi
organisasi. Audit internal mendukung
organisasi mencapai tujuan-tujuannya
melalui pendekatan yang sistematis dan
berdisiplin dalam mengevaluasi dan
meningkatkan efektifnya proses manajemen
risiko, proses pengendalian dan proses tata
kelola organisasi.
Menurut Hery audit internal merupakan suatu
rangkaian proses dan teknis dimana
karyawan suatu perusahaan mencari
kepastian atas keakuratan informasi
keuangan dan jalannya operasi sesuai
dengan yang ditetapkan. Sedangkan,
Sukrisno Agoes mendefinisikan Audit Intern
sebagai Internal Audit (Pemeriksaan Intern)
yakni pemeriksaan yang dilakukan oleh
bagian internal audit perusahaan, baik
terhadap laporan keuangan dan catatan
akuntansi perusahaan, maupun ketaatan
terhadap kebijakan manajemen puncak yang
telah ditentukan dan ketaatan terhadap
peraturan pemerintah dan ketentuan-
ketentuan dari ikatan profesi yang berlaku.

1
 Berdasarkan uraian di atas, dapat
dikatakan bahwa audit internal adalah proses
pemeriksaan yang dikelola secara
independen di dalam organisasi terhadap
laporan dan catatan akuntansi untuk menguji
dan mengevaluasi kegiatan organisasi yang
dilaksanakan. Audit internal diarahkan untuk
membantu seluruh anggota pimpinan, agar
dapat melaksanakan kewajiban-kewajiban
dalam mencapai tujuan organisasi.
A. Peran audit internal dalam
organisasi
Auditor Internal memiliki peran yang
sangat penting dalam sebuah organisasi,
untuk mengetahuinya kita perlu mempelajari
fungsi, ruang lingkup dan tujuannya terlebih
dahulu.
1. Fungsi Audit Internal
Fungsi audit internal Menurut Amin Widjaja
Tunggal mengemukakan bahwa fungsi audit
internal yaitu mencakup Departemen Audit
Internal dan setiap departemen yang lain,
aktivitas atau outsource jasa yang memenuhi
peranan audit internal. Menurut Hery Fungsi
audit internal merupakan kegiatan yang
bebas, yang terdapat dalam organisasi, yang
dilakukan dengan cara memeriksa akuntansi,
keuangan, dan kegiatan lain, untuk
memberikan jasa bagi manajemen dalam
melaksanakan tanggung jawab mereka
dengan cara menyajikan analisis, penilaian,
rekomendasi dan komentar-komentar
penting terhadap kegiatan manajemen.

2
 Untuk mencapai tujuan tersebut, auditor
internal melaksanakan kegiatan-kegiatan
berikut ini:
a. Pemeriksaan dan penilaian terhadap
efektifitas struktur pengendalian internal
dan mendorong penggunaan struktur
pengendalian internal yang efektif
dengan biaya yang minimum.
b. Menentukan sampai seberapa jauh
pelaksanaan kebijakan manajemen
puncak dipatuhi.
c. Menentukan sampai seberapa jauh
kekayaan perusahaan
dipertanggungjawabkan.
d. Menentukan keandalan informasi yang
dihasilkan oleh berbagai bagian dalam
perusahaan.
e. Memberikan rekomendasi perbaikan
kegiatan-kegiatan perusahaan.
Audit internal yang modern tidak lagi
terbatas fungsinya dalam bidang
pemeriksaan keuangan tetapi sudah meluas
kebidang yang lainnya seperti audit
manajemen, audit lingkungan hidup, audit
kepatuhan dan sudah mencakup konsultasi
yang didesain untuk menambah nilai dan
meningkatkan kegiatan operasi suatu
organisasi.
2. Ruang lingkup Audit Internal
Menurut Mulyadi, pemeriksaan internal
menilai kefektifan sistem pengendalian
internal yang dimiliki organisasi, serta
kualitas pelaksanaan tanggung jawab yang
diberikan, pemeriksaan internal harus:

3
 a. Mereview keandalan (reliabilitas dan
integritas) informasi finansial dan operasi
serta cara yang dipergunakan untuk
mengidentifikasi, mengukur,
mengklarifikasi dan melaporkan informasi
tersebut.
b. Mereview berbagai sistem yang telah
ditetapkan untuk memastikan kesesuaian
dengan berbagai kebijakan, rencana,
prosedur, hukum dan peraturan yang
dapat berakibat penting terhadap
kegiatan organisasi, serta harus
menentukan apakah organisasi telah
mencapai kesesuaian dengan hal- hal
tersebut.
c. Merview berbagai cara yang
dipergunakan untuk melindungi harta dan
bila dipandang perlu, memverifikasi
keberadaan harta-harta tersebut. Menilai
keekonomisan dan keefisienan
penggunaan berbagai sumber daya.
d. Mereview berbagai operasi atau program
untuk menilai apakah hasilnya akan
konsisten dengan tujuan dan sarana yang
telah ditetapkan dan apakah kegiatan
atau program tersebut dilaksanakan
sesuai dengan yang direncanakan.
Penjelasan diatas menerangkan bahwa
ruang lingkup fungsi audit internal luas dan
fleksibel, yang sejalan dengan kebutuhan dan
harapan manajemen. Dapat diketahui bahwa
sebagian besar auditor bertugas untuk
menentukan, memverifikasi atau memastikan
apakah sesuatu itu ada atau tidak, menilai,
menaksir atau mengevaluasi pengendalian

4
dan operasi berdasarkan kriteria yang sesuai
dan merekomendasikan tindakan korektif
kepada manajemen. Semua hal tersebut
dilakukan dengan independen.
3. Tujuan Audit Internal
Menurut Amin Widjaja Tunggal
mengemukakan bahwa tujuan yang ingin
dicapai oleh internal audit yaitu sebagai :
a. Kebenaran dan kelengkapan informasi
kelengkapan organisasi / perusahaan.
b. Penyesuaian dan penerapan kebijkan
perusahaan, rencana kerja, prosedur dan
hal-hal yang diwajibkan dan hal-hal yang
mencakup hukum dan perlakuan yang
berlaku.
c. Menjaga asset perusahaan terhadap
pengguna yang salah atau sewenang-
wenang oleh pihak yang tidak
berkepentingan.
d. Efektivitas, efisiensi dan kelengkapan
organ operasi perusahaan untuk
mencapai tujuan perusahaan.
e. Internal Control harus mencakup
pengendalain aktivitas perusahaan,
pengendalian aktiva perusahaan, bentuk
informasi dan komunikasi (terutama
keuangan, pengendalian yang
berkelanjutan atau monitoring,
pengendalian lingkuangan kerja dan
sekeliling, pengendalian terhadap
bahaya, risiko yang diambil perusahaan.

B. Hubungan antara audit internal dan

eksternal

5
 Dalam memenuhi tugasnya auditor
internal dan auditor eksternal memiliki
sasaran, tanggung jawab dan kualifikasi yang
berbeda. Disamping itu, auditor internal dan
auditor eksternal memiliki kepentingan
bersama yaitu koordinasi dan kerjasama satu
sama lain untuk kepentingan perusahaan.
Auditor internal bertanggung jawab kepada
manajemen dan dewan direksi, sementara
auditor eksternal bertanggung jawab kepada
pengguna laporan keuangan yang
mengandalkan kredibilitas laporan keuangan
pada auditor. Disamping itu, auditor internal
dan auditor eksternal memiliki kepentingan
bersama yaitu koordinasi dan kerjasama satu
sama lain untuk kepentingan perusahaan.
Menurut pernyataan Standar Audit Intern
Pemerintah Indonesia ( SAIPI ) tujuan
koordinasi dengan auditor eksternal adalah
untuk memastikan cakupan yang tepat dan
meminimalkan pengulangan kegiatan.
Auditor internal memiliki sasaran yaitu
menelaah kegiatan operasi dan internal
kontrol yang dilakukan perusahaan, menilai
apakah hal tersebut sudah berjalan secara
efektif dan efisien. Sedangkan audit eksternal
memiliki sasaran yaitu menyatakan suatu
opini tentang kewajaran dalam penyusunan
dan penyajian laporan keuangan suatu
perusahaan.
Auditor internal dapat menjadi sumber
informasi karena auditor eksternal mungkin
mengalami kesulitan untuk mendapatkannya
sendiri. Koordinasi harus didasarkan pada
saling menghormati integritas masing-

6
masing. Kedua pihak harus memandang yang
lainnya sebagai para profesional dengan
kompetensi yang sama. Masing-masing harus
menghormati independensi pihak lainnya.
Menurut Sawyer et. al. berikut
merupakan komponen utama yang dapat
membantu kerja sama antara auditor internal
dan auditor eksternal menjadi lebih baik :
1. Kepedulian tentang rencana pihak lainnya
membutuhkan koordinasi yang erat sejak
awal, tetapi auditor internal harus
menerima kenyataan adanya beberapa
hal yang diluar rencana. Auditor eksternal
harus memiliki hak untuk menjaga
beberapa bagian audit tertentu sampai
mereka siap untuk melaksanakannya.
2. Auditor eksternal harus diberi informasi
tentang kondisi apa pun yang dapat
memengaruhi kualifikasi, independensi,
dan kompetensi dari staf audit internal
3. Sistem kontol internal klien merupakan
dasar di mana semua audit independen
tersebut dibangun. Auditor eksternal
harus benar-benar yakin bahwa mereka
memiliki informasi yang dapat diandalkan
dan tidak bias tentang sistem tersebut.
Maka disarankan agar auditor internal
mengisi kuesioner tentang kontrol dari
auditor independen.
4. Kedua kelompok dapat memanfaatkan
teknik sampling yang sama atau serupa
dan juga peranti lunak yang dirancang
untuk menghasilkan sampel-sampel
statistik dan menghitung hasil-hasil
statistik

7
5. Auditor internal dan eksternal harus
memadukan pengetahuan mereka
tentang pembuatan dan penerapan
sistem. Masing-masing harus peduli
terhadap sistem organisasi untuk
memastikan bahwa informasi yang benar
telah masuk dalam sistem tersebut,
bahwa informasi diproses dengan benar
oleh sistem, informasi yang dihasilkan
sistem juga dikontrol dan dihubungkan
dengan benar, dan peranti keras dan
peranti lunak sistemnya telah aman
6. Auditor eksternal dapat secara khusus
membantu auditor internal dengan
menyediakan suatu pandangan dari orang
luar yang tidak dihalangi oleh hubungan
dekat yang dimiliki oleh auditor internal
dengan urusan-urusan dalam organisasi,
dengan menyediakan saran tentang
perkembangan-perkembangan terbaru
dalam akuntansi dan audit keuangan,
dengan mendukung rekomendasi audit
internal.
7. Yang paling penting adalah menjaga
komunikasi antara auditor internal dan
auditor eksternal. Auditor internal dan
eksternal dapat saling bertukar ide dan
memberi masukan tentang kondisi
perkembangan organisasi.
Koordinasi antara auditor internal dengan
eksternal sangat dibutuhkan perusahaan
untuk meningkatkan nilai ekonomi, efisiensi,
dan efektivitas dari seluruh aktivitas audit
bagi organisasi

8
 Menurut Abdulaziz Alzeban dan David
Gwilliam ada 7 indikator yang dapat
mengukur hubungan antara auditor internal
dan auditor eksternal yaitu :
1. Sikap terhadap auditor eksternal
2. Koordinasi antara auditor internal dan
auditor eksternal.
3. Membahas rencana audit untuk
kepentingan bersama.
4. Ketergantungan auditor eksternal
terhadap pekerjaan auditor internal
5. Frekuensi pertemuan antara auditor
internal dan auditor eksternal
6. Pertukaran kertas kerja laporan keuangan
antara auditor internal dan eksternal
7. Promosi manajemen terkait hubungan
antara keduanya.

C. Audit risiko dan kinerja dalam audit

internal
Pada saat ini proses auditing modern
telah bergeser sebagai 'konsultan intern'
(internal consultant) yang memberi
masukan (input) untuk perbaikan
(improvement) atas sistem yang telah
ada serta berperan sebagai katalis
(catalyst). Fungsi konsultan bagi auditor
internal merupakan peran yang relatif baru.
Peran konsultan membawa internal auditor
untuk selalu meningkatkan pengetahuan &
ketrampilan (skill & knowledge) baik
tentang profesi auditor maupun aspek
bisnis (business object), sehingga diharapkan
dapat membantu manajemen dalam
memecahkan suatu masalah.

9
 Kemampuan untuk merekomendasikan
pemecahan suatu masalah (problem solver)
bagi internal auditor dapat diperoleh melalui
pengalaman bertahun-tahun melakukan audit
berbagai fungsi / bagian di perusahaan.
Konsultasi internal saat ini merupakan
aktivitas yang sangat dibutuhkan oleh
manajemen puncak (top management) yang
perlu dilakukan oleh auditor internal.
Selain sebagai konsultan, auditor
internal harus mampu berperan sebagai
katalisator yaitu memberikan jasa kepada
manajemen melalui saran-saran yang
bersifat konstruktif dan dapat diaplikasikan
bagi perkembangan perusahaan. Katalis
adalah suatu zat yang berfungsi untuk
mempercepat reaksi namun tidak ikut
reaksi. Sehingga apabila internal auditor
diibaratkan sebagai katalis, internal
auditor tidak ikut dalam kegiatan
operasional perusahaan, namun turut serta
bertanggungjawab dalam meningkatkan
kinerja perusahaan melalui rekomendasi
yang disampaikaan kepada manajemen
operasional.
Ruang lingkup (scope) kegiatan audit
semakin luas, pada saat ini tidak sekedar
audit keuangan (financial audit) dan audit
ketaatan (compliance audit), tetapi fokus
perhatian ditujukan pada semua aspek yang
berpengaruh terhadap kinerja (performance)
Perusahaan dan pengendalian manajemen
serta memperhatikan aspek risiko bisnis
(business risk) dan manajemen risiko (risk
management). Pergeseran orientasi audit

10
menuju ke arah audit yang didasarkan atas
risiko (risk based auditing) ini akan terus
berlanjut seiring dengan kebutuhan
perusahaan yang semakin kompleks di masa
mendatang.
1. Pengertian RBIA
Menurut David Griffiths, Risk Based
Internal Auditing (RBIA) adalah suatu metode
yang digunakan oleh departemen internal
audit untuk menyediakan keyakinan bahwa
risiko diatur agar berada dalam batas
toleransi risiko perusahaan. Atau dengan
kata lain, suatu proses yang mengelola risiko
sampai pada suatu tingkat yang
dipertimbangkan untuk dapat diterima oleh
dewan direksi untuk bekerja secara efektif
dan efisien.
Dalam menerapkan RBIA, keyakinan yang
diperlukan oleh berbagai fungsi dalam
organisasi perlu diperhatikan, dan harus
tergambarkan dalam tugas internal audit.
Tanggungjawab departemen internal audit
adalah untuk memenuhi keinginan dewan
direksi, dan tanggungjawab dari dewan
direksi adalah untuk memenuhi ketentuan
legislatif yang telah ditetapkan.
Audit berbasis risiko dimulai dengan
proses penilaian risiko audit, sehingga dalam
perencanaan, pelaksanaan, dan pelaporan
auditnya lebih difokuskan pada area-area
penting yang berisiko dari penyimpangan dan
atau kecurangan. Dengan demikian audit
berbasis risiko bukanlah merupakan suatu
jenis audit, tetapi lebih merupakan suatu

11
pendekatan dalam melaksanakan suatu
audit.
Salah satu contoh proses pengendalian
risiko yang penting adalah sistem
pengendalian internal yang berusaha
mengurangi risiko sampai kepada tingkat
yang dapat diterima oleh pimpinan
perusahaan, atau disebut juga risk appetite
dari organisasi. Gambar di bawah
menunjukkan hubungan antara risk appetite
digambarkan dalam bentuk garis putus-
putus), risko sebelum dikendalikan (inherent
risks) dan risiko setelah dikendalikan
(residual risks).

Sumber: “Risk Based Internal Auditing – Three Views

on Implementation,” – David Griffiths
Dalam gambar di atas, dapat dilihat peran
RBIA dalam memberikan keyakinan bahwa
pengendalian telah berjalan dengan efektif,
sehingga risiko sebelum dilakukan
pengendalian (inherent risk) dapat ditekan ke
bawah batas risk appetite perusahaan
(menjadi residual risk).
2. Tahapan – Tahapan dalam RBIA

12
 Menurut David Griffiths, ada 3 tahapan
besar dalam melaksanakan RBIA yaitu:
1. Menilai tingkat kematangan proses
ERM dalam suatu organisasi (Assess
risk maturity of the organization)
2. Membuat Rencana Audit (Audit Plan)
3. Pelaksanaan Audit Individu (Individual
Assurance Audit).
Berikut ini adalah gambaran besar dari
ketiga tahapan besar RBIA:

Sumber: “Risk Based Internal Auditing – Three Views

on Implementation,” – David Griffiths
Tahap 1: Menilai tingkat kematangan
proses ERM dalam suatu organisasi
(Assess the risk maturity of the
organization)
Adapun tujuan audit internal menilai
tingkat kematangan (risk maturity) proses
ERM dalam suatu organisasi adalah untuk
membantu departemen audit internal dalam
membuat audit plan (perencanaan audit)
13
yang nantinya akan dilaporkan ke Komite
Audit. Menurut David Griffiths, ada 4 tingkat
kematangan suatu organisasi yaitu :
a) Risk Enable
Organisasi pada tingkatan ini telah
memiliki suatu daftar risiko yang lengkap (A
Complete Risk Register) yaitu suatu daftar
yang berisi risiko-risiko lengkap dengan
penilaian risiko bawaan (inherent risk) dan
control yang di-design untuk merespon
inherent risk tersebut serta nilai risiko setelah
adanya control tersebut (residual risk). Jika
suatu organisasi sudah berada pada tahapan
risk enable, maka kecil kemungkinan didapati
temuan – temuan signifikan berkaitan
dengan tugas/peranan pertama sampai
ketiga dari audit internal. Yang mungkin akan
menjadi perhatian utama bagi tugas auditor
internal adalah apakah risiko – risiko kunci
telah dilaporkan kepada dewan direksi dan
pengawasan terhadap pengendalian internal
telah dijalankan oleh manajer dengan baik.
Organisasi di tingkat risk enable ini dianggap
cukup matang dalam menjalankan proses
manajemen risiko secara penuh sehingga
kalaupun ditemukan kelemahan – kelemahan
pada saat hasil audit nantinya, diharapkan
manajemen sudah aware dan telah
mengetahui tindakan – tindakan yang perlu
diambil untuk mengatasi kelemahan
tersebut.
b) Risk Managed
Organisasi pada tingkatan risk managed
ini berada di bawah tingkatan risk enabled,
dimana untuk beberapa bagian/divisi dari

14
suatu organisasi mungkin masih memerlukan
perhatian khusus dari auditor internal pada
saat dia menjalankan tugasnya di tahapan
pertama sampai ketiga. Organisasi pada
tahap ini masih memerlukan peranan auditor
internal dalam hal pemberian rekomendasi
kepada pihak manajemen (hal ini tidak
diharapkan terjadi pada organisasi yang
sudah berada pada tahapan risk enabled).
c) Risk Defined
Pada tahap ini , organisasi sudah
mengindentifikasi risiko – risiko hanya saja
belum menyatukan risiko – risiko tersebut
dalam suatu daftar risiko yang lengkap dan
terintegrasi. Disinilah audit internal
memainkan peranannya sebagai konsultan
dalam memfasilitasi penyatuan risiko – risiko
yang telah dibuat oleh para manajer. Audit
internal akan banyak memberikan
perhatiannya dalam menjalankan peranan
pertama sampai ketiga dan juga akan
memberikan masukan bagi manajer untuk
mengambil tindakan –tindakan yang perlu
diambil pada saat ditemukan permasalahan –
permasalahan.
d) Risk Aware
Organisasi pada tahap risk aware ini
belum memiliki daftar risiko – risiko, mungkin
hanya ada sedikit manajer yang telah
menetapkan risiko – risiko dalam
departemennya. Audit internal akan
berfungsi sebagai konsultan/fasilitator untuk
membantu para manajer dalam
mengidentifikasi risiko – risiko yang menjadi
tanggung jawabnya, menilai risiko – risiko

15
tersebut dan memberikan masukan kepada
manajer bagaimana merespon risiko – risiko
tersebut. Oleh karena organisasi pada
tahapan ini belum memiliki kerangka
manajemen risiko, maka RBIA tidak dapat
diterapkan.
e) Risk Naive
Sama seperti organisasi di tahap risk
aware, audit internal akan berperan sebagai
konsultan dalam membuat kerangka
manajemen risiko. RBIA baru dapat
diterapkan setelah kerangka tersebut selesai
dibuat. Yang membedakan tingkat risk aware
dengan risk naive adalah pada risk aware,
organisasi sudah mengenal apa itu risiko dan
organisasi tersebut sedang bergerak dari
pendekatan risiko yang terpisah – pisah
(scattered silo approach) ke Enterprise Risk
Management, sedangkan pada risk naive
sama sekali belum memiliki pendekatan
formal dalam mengembangkan manajemen
risiko.
Tahap 2 : Membuat Rencana Audit
(Audit Plan)
Produk/hasil yang akan dicapai di tahap
kedua ini adalah Risk & Audit Universe (RAU)
yang dipakai oleh internal audit sebagai
dasar pembuatan audit plan. RAU merupakan
suatu produk/hasil yang menghubungkan risk
register yang dibuat oleh manajemen dengan
audit yang akan dilakukan oleh auditor
internal untuk memberikan keyakinan bahwa
masing – masing risiko tersebut telah dikelola
dengan efektif. Audit internal perlu
melakukan beberapa tahapan sampai pada

16
akhirnya nanti menghasilkan Risk & Audit
Universe (RAU). Adapun tahapan itu adalah
sebagai berikut :
1. Menyaring risiko – risiko yang memerlukan
jasa “assurance” dari audit internal. Audit
internal akan lebih
mengutamakan/memperhatikan area-area
yang memiliki inherent risks dan residual
risks yang berada di atas risk appetite
suatu organisasi serta risiko-risiko yang
memiliki nilai pengendalian yang tinggi
(Control Score = Inherent Risk Score –
Residual Risk Score). Risiko – risiko yang
berada dalam range risk appetite dan
yang telah dibuktikan validitasnya di audit
sebelumnya akan dilakukan audit di waktu
yang akan datang.
2. Membuat kategori atas risiko & membuat
Risk Audit Universe (RAU) Jika risiko – risiko
dalam risk register belum dikelompokkan,
maka audit internal sebaiknya membuat
kategori atas risiko untuk membantunya
dalam perencanaan audit dan menghindari
adanya risiko – risiko ganda. Kategori risiko
bisa berdasarkan bisnis unit, proses, pihak
yang bertanggung jawab dalam mengelola
risiko (risk owner), atau tujuan (objectives)
yang hendak dicapai oleh manajemen.
Setelah kategori risiko dibuat, maka
dibuatlah Risk & Audit Universe yaitu
dengan menghubungkan risk register
dengan audit universe yang dibuat oleh
audit internal. RAU yang dibuat ini tidak
bersifat permanen, tapi harus diperbaharui
(update) secara berkala, misal setiap 6

17
 bulan sekali. Berikut ini adalah salah satu
contoh dari Risk & Audit Universe:

Sumber: “Risk Based Internal Auditing – Three Views

on Implementation,” – David Griffiths
3. Membuat proposal Perencanaan Audit
Tahunan (Annual Audit Plan).
Sebelumnya perlu ditentukan
pendekatan audit (audit approach) atas
setiap risiko yang telah dipilih tadi yaitu
apakah “Assurance Approach” ataukah
“Consultancy Approach”, dengan cara
mengurutkan inherent risk tersebut
berdasarkan nilainya (inherent risk score)
kemudian cermati apakah inherent risk
tersebut memiliki nilai pengendalian
(control score) yang tinggi atau rendah.
Untuk inherent risk yang memiliki control
score yang tinggi kemungkinan akan
menghasilkan residual risk yang berada
dalam batas risk appetite atau bahkan
mungkin di bawah risk appetite. Untuk
itu pendekatan yang dilakukan adalah
“Assurance Approach”, yaitu
mengkonfirmasi/meyakinkan bahwa
18
 pengendalian yang telah dirancang
tersebut benar – benar dijalankan
sehingga risiko benar – benar telah
dikelola dengan efektif. Sedangkan untuk
yang control score-nya rendah,
pendekatannya adalah “Consultancy
Approach” yaitu memfasilitasi/membantu
manajemen untuk merancang
pengendalian yang lebih baik lagi.
Setelah mengetahui jumlah risiko yang
akan diaudit serta audit approach telah
ditentukan, maka dilakukan alolasi
sumber daya yang meliputi: berapa lama
waktu yang dibutuhkan untuk
menyelesaikan audit tersebut dan jumlah
staff yang dibutuhkan.
Tahap 3: Pelaksanaan Audit Individu
(Individual Assurance Audit)
Tujuan dari pelaksanaan audit individu ini
adalah untuk memastikan bahwa risiko –
risiko telah dikelola dengan efektif. Hasil
dari pelaksanaan audit individu ini adalah
suatu bentuk laporan yang menyajikan
risiko –risiko yang ternyata tidak dikelola
dengan baik atau pengendalian tidak
dilakukan dengan semestinya.
Laporan ini nantinya berguna untuk
memberikan advice kepada pihak
manajemen dalam meng-update residual
risk dalam risk register mereka.
Pelaksanaan audit individu ini tidaklah sama
untuk semua organisasi. Hal ini sangat
tergantung dari risk maturity dari suatu
organisasi. Berikut ini adalah hal – hal yang

19
dilakukan pada tahapan pelaksanaan audit
tersebut:
a. Menentukan penekanan audit
berdasarkan tingkat risk maturity dari
suatu organisasi. Penekanan
pelaksanaan audit di organisasi yang
berada pada tahap Risk Managed dan
Risk Enabled adalah pada meyakinkan
bahwa proses risk management
berjalan dengan efektif terutama pada
tahap memastikan bahwa manajemen
melakukan pengawasan (monitoring)
terhadap kontrol – control atas risiko
kunci (terutama untuk yang high
control score). Sedangkan untuk
organisasi yang baru berada di tahap
Risk Defined, pelaksanaan audit selain
untuk memastikan risk management
berjalan dengan efektif juga perlu
dilakukan audit lebih mendalam untuk
memastikan bawah semua risiko telah
teridentifikasi, serta melakukan
pengujian untuk memastikan kontrol
benar – benar dilakukan. Untuk
organsisasi yang berada di tingkatan
risk aware dan risk naive, RBIA tidak
dapat dijalankan, akan tetapi disini
audit internal dapat membantu
manajemen dalam mengidentifikasi
risiko – risiko. Audit internal tidak boleh
mengidentifikasi risiko – risiko tersebut
tanpa melibatkan pihak manajemen
karena itu merupakan tanggung jawab
manajemen. Audit internal hanya
sebatas fasilitator/konsultannya saja.

20
 b. Melakukan diskusi mengenai isu – isu
yang muncul dengan pihak manajemen
dan kemudian menerbitkan laporan
audit.
c. Melakukan update Risk dan Audit
Universe (RAU) setelah mendapat
persetujuan dari manajemen.
3. Audit Kinerja
Audit kinerja merupakan salah satu dari
Standar Internasional Praktik Profesional
Audit Internal yang menjelaskan sifat dari
kegiatan audit internal dan sebagai kriteria
evaluasi kinerja. Standar kinerja terdiri dari
Perencanaan, Komunikasi dan Persetujuan,
Pengelolaan Sumber Daya, Kebijakan dan
Prosedur, Koordinasi dan Penyandaran,
Laporan Kepada Manajemen Senior dan
Dewan, Penyedia Jasa Eksternal dan
Tanggung Jawab Organisasi Pada Audit
Internal, Sifat Dasar Pekerjaan, Perencanaan
Penugasan, Komunikasi Hasil Penugasan,
Komunikasi Penerimaan Risiko, Pemantauan
Perkembangan.
Aktivitas audit internal pada standar
kinerja didasarkan atas penilaian risiko yang
terdokumentasi. Selain itu aktivitas dari audit
internal harus menilai dan memberikan
rekomendasi yang sesuai dalam rangka
meningkatkan proses tata kelola organisasi.
Penilaian risiko ini dilakukan sekurang –
kurangnya setahun sekali. Audit internal
digunakan untuk 1) Membuat keputusan
strategis dan operasional 2) Mengawasi
manajemen risiko dan pengendalian 3)
Pengembangan etika dan nilai – nilai yang

21
sesuai dalam organisasi 4) Memastikan
bahwa pengelolaan dan akuntabilitas kinerja
organisasi telah efektif 5)
Mengkomunikasikan informasi risiko dan
pengendalian pada area yang sesuai dalam
organisasi 6) Mengkoordinaksikan kegiatan
dan mengkomunikasikan informasi secara
efektif diantara Dewan Pengawas, Auditor
Eksternal dan Internal, Manajemen dan
penyedia jasa assurance lainnya.
Untuk melaksanakan audit sesuai dengan
standar kinerja maka aktivitas audit internal
harus dikelola secara efektif untuk
meyakinkan bahwa aktivitas tersebut
memberikan nilai tambah bagi organisasi.
Aktivitas audit internal dikatakan
memberikan nilai tambah bagi organisasi dan
pemangku kepentingan apabila
mempertimbangkan strategi, tujuan dan
risiko – risiko, berupaya keras dalam
menyediakan cara untuk mengembangkan
proses tata kelola, manajemen risiko dan
pengendalian dan secara objektif
memberikan asuransi yang relevan.
Akhirnya disimpulkan bahwa standar
pelaporan audit kinerja merupakan salah satu
pedoman yang harus diperhatikan oleh
auditor dalam menyajikan laporan hasil
auditnya. Standar pelaporan audit kinerja
menuntut auditor untuk menuliskan laporan
hasil audit yang dapat dipahami oleh
pembaca laporan. Maka dari itu, laporan
audit yang ditulis auditor harus memenuhi
kaidah yang diatur dalam Standar

22
Internasional Praktik Profesional Audit
Internal.

23
 DAFTAR PUSTAKA

AAIPI. 2014. Standar Audit Intern Pemerintah

Indonesia. Jakarta: AAIPI.
Agoes, Sukrisno, 2017. Auditing : Petunjuk
Praktis Pemeriksaan Akuntan oleh
Akuntan Publik , Buku 1, Edisi 5. Jakarta:
Salemba Empat.
Alzeban, Abdulaziz dan David Gwilliam.
2014.“Factors Affecting the Internal
Audit Effectiveness: A survey of the
Saudi Public Sector”. Elsevier Journal of
International Accounting, Auditing and
Taxtation.
Amin Widjaja Tunggal. 2013. Pengendalian
Internal; Mencegah dan Mendeteksi.
Kecurangan. Jakarta: Harvarindo.
Arens dan Loebbecke, 2012, Modern
Auditing, Twelfth Edition, Person
Education. New York : Prentice – Hall
Interntional.
Arens, Alvin A., et. al. 2015. Auditing dan Jasa
Assurance: Pendekatan Terintegrasi.
Jakarta: Erlangga.
Griffiths, David. (2006). Risk Based Internal
Auditing: Three Views on
Implementation. www.internalaudit.biz
Hery, S.E., M.Si., CRP., RSA., CFRM. 2018.
Modern Internal Auditing. Jakarta:
Gramedia Widiasarana Indonesia
Mulyadi. 2014. Auditing. Edisi keenam.
Jakarta: Salemba Empat.
Sawyer, Lawrence, Dittenhofer, Mortimer,
and Scheiner, 2003, Sawyer's Internal
Auditing : The Practice of Modern
24
 Internal Auditing, The Institute of
Internal Auditor
Tuanakotta, Theodorus M. 2019. Audit
Internal Berbasis Risiko. Jakarta:
Salemba Empat.

25
26