resume audit internal

Chapter I

Introduction to Internal Auditing

Terdapat tiga komponen utama dari nilai internal auditor yang digambarkan oleh IIA:

1. Assurance = Governance, risiko dan kontrolInternal audit menyediakan assurance dalamgovernance organisasi, manajemen risiko danproses kontrol untuk membantu pencapaian tujuan strategis, operasional keuangan dancompliance

2. Insight = Catalyst, Analyses dan AssessmentInternal auditor merupakan catalyst dalam upaya meningkatkan efektivitas dan efisiensiorganisasi dengan menyediakan insight (wawasan) dan rekomendasi berdasarkan analisis danpenilaian atas data dan proses bisnis perusahaan

3. Objective = integritas, akuntabilitas dan independensi

Dengan komitmen atas integritas dan akuntabilitas, internal audit menyediakan nilai tambah bagiorganisasi serta manajemen senior sebagai salah satu sumber informasi yang lebih objective sertamemberikan independent advice.

Definisi internal auditing menurut IIA pada tahun 1999 adalah:

Internal Auditing adalah aktivitas assurance dan konsulting yang independen dan objektif yang didesainuntuk memberikan nilai tambah dan meningkatkan operasi dari perusahaan. Hal tersebut akanmembantuk dalam pencapaian tujuan melalui pendekatan yang sistematis dan disiplin untukmengevaluasi dan meningkatkan efektifitas dari manajemen risiko, kontrol dan governance process.

Komponen kunci dari pengertian tersebut adalah:

Membantu dalam pencapaian tujuan perusahaan Mengevaluasi dan meningkatkan efektifitas dari pengendalian risiko, kontrol dan governance

process Aktivitas consulting dan assurance yang didesain untuk memberikan nilai tambah dan

meningkatkan operasi Independen dan objektif Pendekatan yang sistematis dan disiplin

Membantu dalam pencapaian tujuan organisasi

Tujuan organisasi menggambarkan apa yang ingin dicapai oleh organisasi. Pada level yang lebih tinggipada perusahaan, tujuan dari organisasi tersebut tertuang di dalam visi dan misi organisasi. Committeeof Sponsoring Organization of the Treadway Commission (COSO) pada tahun 2004 telahmengkategorisasikan Bussiness objective suatu perusahaan, yaitu:

of 58

Strategic objectives, menyinggung tentang nilai yang dibuat oleh manajemen untuk tujuanstakeholder dari organisasi. Tujuan ini menunjuk pada apa yang ingin dicapai oleh organisasiserta strategi apa yang ditetapkan dalam mencapai tujuan tersebut.

Operations objectives, menyinggung tentang efektifitas dan efisiensi dari operasi organisasi,termasuk diantaranya tindakan dalam mencapai tujuan keuntungan (profitabilitas) sertaperlindungan atas sumber daya dari kerugian.

Reporting objectives, berkaitan dengan reliabilitas dari pelaporan keuangan maupun nonkeuangan kepada pihak internal mapun eksternal.

Compliance objectives, menyinggung tentang ketaatan terhadap peraturan yang berlaku sertaregulasi.

Mengevaluasi dan meningkatkan efektifitas dari pengendalian risiko, kontrol dan governance process

Suatu organisasi tidak dapat mencapai tujuannya serta memperoleh kesuksesan tanpa manajemenrisiko, kontrol dan governance process yang efektif.

Governance didefinisikan sebagai suatu proses yang diselenggarakan oleh direksi (Board of Directors)dalam baik secara langsung atau dikuasakan kepada manajemen dalam pencapaian tujuan organisasi.

Manajemen risiko juga saling terhubung dengan governance, merupakan suatu proses yangdilaksanakan oleh manajemen dalam memahami dan mengelola suatu ketidakpastian (Risiko dankesempatan) yang dapat terjadi pada perusahaan dalam pencapaian tujuan.

Sedangkan kontrol tertanam di dalam manajemen risiko merupakan suatu proses yang dilaksanakanmanajemen dalam mitigasi risiko dalam sampai kedalam level yang dapat diterima.

Tiga hal tersebut di atas merupakan suatu proses yang focus dalam pencapaian tujuan perusahaan.Dimana Board of Directors bertanggung jawab dalam melaksanakan governance process sedangkanmanajemen bertanggung jawab terhadap pelaksanaan manajemen risiko dan proses kontrol.

Aktivitas consulting dan assurance yang didesain untuk memberikan nilai tambah dan meningkatkanoperasi

Pekerjaan dalam rangka aktivitas Assurance dan consulting dibedakan dalam tiga hal: yaitu tujuan utamadari pekerjaan tersebut, siapa yang menentukan sifat dan lingkup dalam perjanjian tersebut dankelompok yang terlibat.

Tujuan utama dari internal assurance adalah untuk menilai bukti apakah telah sesuai dengan subjekpersoalan serta memberikan kesimpulan mengenai subjek persoalan tersebut. Fungsi internal auditmenentukan sifat dan lingkup dari assurance atas perjanjian dimana secara umum terdapat tiga pihakyang terlibat, yaitu: auditee, internal auditor dan user.

Independen dan objektif

of 58

Independen merupakan kondisi yang bebas dari gangguan atas objektifitas. Gangguan/ancaman atasobjektifitas tersebut harus dikelola pada tingkat individual auditor, fungsional dan setiap level dariorganisasi.

Objektifitas merupakan sikap mental tidak bias (tidak memihak) yang memperkenankan auditor untukmelaksanakan pekerjaannya dengan menghasilkan keputusan yang tidak memihak. Untuk meyakinkanobjektifitasnya, seoramg auditor tidak boleh terlibat dalam day to day operation, membuat keputusanmanajemen serta berbagai berbagai situasi yang dapat menyebabkan terjadi conflicts of interest.

Pendekatan yang sistematis dan disiplin

Dalam rangka memberika nilai tambah dan ntuk meningkatkan operasi, internal assurance dankonsultansi harus dilaksanakan secara sistematis dan disiplin. Terdapat tiga fase fundamental dalampekerjaan audit, yaitu perencanaan pekerjaan, pelaksanaan pekerjaan dan mengkomunikasikan hasilpekerjaan. Perencanaan pekerjaan tersebut meliputi beberapa aktivitas, yaitu:

Pemahaman atas auditee dan pelanggan Setting tujuan pekerjaan Menentukan bukti yang diperlukan Memutuskan sifat, waktu dan luas tes audit

Pelaksanaan pekerjaan meliputi prosedur audit spesifik, misalnya melaksanakan penyelidikan, observasiatas kegiatan operasi dan inspeksi dokumen. Mengkomunikasikan hasil audit merupakan komponenkritis dari seluruh pekerjaan internal assurance dan kolsultansi. Komunikasi atas hasil pekerjaan harusakurat, objektif, clear, singkat, membangun, lengkap dan tepat waktu.

Sifat dan lingkup internal audit modern

Secara umum tujuan dari internal audit adalah mencapai tujuan organisasi. Alhasil, target dari internalaudit harus termasuk di dalamnya:

Operasi yang efektif dan efisien atas bisnis proses Reliabilitas atas sistem informasi dan kualitas atas pengambilan keputusan Perlindungan asset dari kerugian termasuk kerugian dari kecurangan manajemen dan pegawai Kepatuhan terhadap organization policies, kontrak, peraturan dan regulasi

Internal auditor harus melaksanakan berbagai macam prosedur untuk melakukan tes atas kecukupandesain dan efektifitas operasi, manajemen risiko dan proses kontrol dengan melakukan prosedursebagai berikut:

Penyelidikan/bertanya kepada manajer dan pegawai Observasi atas aktivitas perusahaan Inspeksi atas sumber daya dan dokumen Reperforming atas aktivitas kontrol Melaksanakan analisis trend an rasio

of 58

Melaksanakan teknik audit berbasis komputer Mencari informasi dari pihak ketiga yang lebih independen Melaksanakan tes atas transaksi

Internal auditor competency framework

(lihat table di buku halaman 1-17)

of 58

Chapter II

The International Professional Practises Framework: AuthoritativeGuidence for The Internal Audit

Internal audit profession’s authoritative guidance memungkinkan para profesional auditor internaluntuk memberikan layanan yang dapat memberikan nilai tambah untuk memenuhi kebutuhan yangberagam dari stakeholder

A. Sejarah dari Guidance setting untuk profesi auditor internal

Perkembangan dari Guidance setting for the internal audit profession seiring denganperkembangan organisasi yang terus berkembang, baik dari ukuran maupun kompleksitas danoperasi dari organisasi yang semakin menyebar dilihat dari segi geografi. Senior Managementtidak lagi dapat mengawasi organisasi secara langsung atau tidak lagi bisa berinteraksi secaralangsung dengan orang-orang yang melapor kepadanya, yang mana pengawasan tersebutmerupakan tanggungjawab dari seorang senior management. Jarak atau gap inilah yang menjadisalah satu latar belakang, yang kemudian mendorong terciptanya suatu kondisi dimanadibutuhkan seseorang di organisasi untuk membantu senior management. Bantuan tersebutmelalui pemeriksaan terhadap operasi organisasi dan menyediakan laporan mengenai hasil daripemeriksaan terebut kepada senior management. Aktivitas yang dilakukan oleh orang orang inidisebut aktivitas Internal audit.

Perkembangan dari guidence untuk profesi auditor internal dimulai setelah terbentuknya IIA.Berikut ini adalah penjelasan mengenai perkembangan tersebut:

1947 The Statement of the Responsibilities of theInternal Auditor (Statement ofResponsibilities)

Menjelaskan mengenai tujuan dan ruanglingkup dari audit internal. Primarily forfinancial matter

1957 The Statement of the Responsibilities of theInternal Auditor (Statement ofResponsibilities)

Ruang lingkup diperluas, tidak hanyaberfokus pada perihal keuangan saja akantetapi termasuk operasi dari Organisasi.

1968 Code of Ethics Provide ethical guidance1972 Common Body of Knowledge (CBOK) Provide professional guidance on the

necessary competencies1973 Certified Internal Auditor (CIA) Certification

programProvide professional guidance on thenecessary competencies

1978 Standards for the Professional Practises ofInternal Auditing

Standards to answers “how the internalaudit function should be managed and howaudit engagements should be performed?”

2000 Code of Ethics Revisi dari 1968’s Code of Ethics2002 International Standars for the Professional

Practise of Internal Auditing (Standards)Mengakomodai:- Kejadian pada awal 1980s (beginning of

risk-based auditing) and 1990s (internalaudit outsourcing)

- isu yang berkembang mengenaiperubahan paradigma jasa internal audityang lebih berfokus pada bagaimanameningkatkan efisiensi dan efektivitasoperasii organisasi.

of 58

B. The International Professional Practices Framework

IPPF merupakan satu-satunya guidance untuk profesi internal audit yang diakui secara global.Didalamnya mengandung apa yang dianggap sebagai elemen penting dalam memberikan jasaaudit internal. Elemen penting tersebut terdiri dari:1. Kualitas dari individu internal auditor;2. Karakteristik dari fungsi yang menyediakan jasa internal audit;3. Sifat dari akitivitas internal audit; .4. Kriteria kinerja terkaitOleh karena itu, IPPF memberikan petunjuk kepada profesi internal auditor dan menetapkanharapan yang diinginkan oleh para stake holder sehubungan dengan kinerja jasa internal audit.Komponen dari IPPF termasuk didalamnya:1. Mandatory Guidance, yang terdiri dari:

a. Definiton of Internal Auditingb. The Code of Ethicsc. The Standards

2. Strongly Recommended Guidance, yang terdiri dari:a. Practice Advisoriesb. Position Papersc. Practise Guides

IPPF memberikan dasar bagi fungsi internal audit untuk menunaikan peran mereka dan cara yangefektif memenuhi tanggungjawab mereka.

C. Mandatory Guidance1. The Definitions

IPPF mendefiniskan Internal Auditing sebagai berikut:“Internal auditing is an independent, objective assurance and consulting activitydesaigned to add value and improve an organization’s operations. It helps anorganization accomplish its objective by bringing systematic, disciplined approach toevaluate and improve the effectiveness of risk management, control and governanceprocess.”

of 58

The Value of Internal Auditing for Stakeholders

2. The Code of EthicsTujuan dari adanya kode etik adalah untuk mendorong budaya beretika di dalam profesiinternal audit. Kode etik terdiri dari dua komponen, yaitu:1. The Principle;

The Principle menyatakan empat cita cita seorang auditor internal profesional yang harusterus dijaga dalam melaksanakan perkerjaannya dan merepresentasikan core value yang

of 58

harus dipegang teguh oleh internal auditor untuk mendapatkan kepercayaan dari merekayang bergantung pada jasa mereka.

2. The Rule of Conduct.The Rule of Conduct mendeskripsikan 12 norma perilaku yang harus diikuti oleh internalauditor untuk dapat mempraktikkan The Principle.

Berikut ini adalah 4 principle dan 12 role of conduct untuk internal auditor:1. Integrity

Integritas dari seorang internal auditor membentuk kepercayaan dan kepercayaanmemberikan dasar bagi stake holder untuk bergantung pada judgement seorang internalauditor.The Rules of Conduct yang diasosiasikan dengan prinsip integritas menyatakan bahwainternal auditor: Harus melaksanakan pekerjaan mereka dengan jujur, ketelitian dan tanggungjawab Harus menaati hukum dan membuat pengungkapan yang diinginkan oleh hukum

dan profesi. Harus tidak terlibat dalam aktivitas ilegal, atau terikat dalam aktivitas yang dapat

mendiskreditkan profesi internal auditor atau organisasi; Harus menghormati dan berkontribusi pada tujuan yang sah dan etis dari organisasi

2. ObjectivityAuditor internal tidak dipengaruhi oleh kepentingan mereka sendiri atau oleh orang laindalam membentuk penilaian Tidak boleh berpartisipasi dalam suatu aktivitas atau hubungan yang mungkin

merusak atau diasumsikan akan merusak penilaian auditor yang tidak berbias. Tidak boleh menerima apapun yang dapat merusak atau diasumsikan merusak

professional judgement Harus mengungkapkan semua fakta, yang sifatnya material dalam pengambilan

keputusan, yang mereka ketahui. Dimana jika fakta tersebut tidak diungkapkanmaka akan mengubah hasil dari review suatu aktifitas.

3. ConfidentialityAuditor internal tidak mengungkapkan informasi yang mereka terima tanpa otoritas yangtepat kecuali ada kewajiban hukum atau profesional untuk melakukannyaThe Rules of Conduct yang diasosiasikan dengan prinsip Confidentiality menyatakanbahwa internal auditor: Harus berhati-hati dalam menggunakan dan melindungi informasi yang diperoleh

saat pelaksanaan tugas. Tidak boleh menggunakan data untuk keuntungan pribadi atau kepentingan lainnya

yang bisa bertentangan dengan hukum atau yang dapat menganggu tujuanperusahaan.

4. CompetencyAuditor internal menerapkan pengetahuan, keterampilan, dan pengalaman yangdiperlukan dalam pelaksanaan layanan audit internalThe Rules of Conduct yang diasosiasikan dengan prinsip Competency menyatakan bahwainternal auditor:

of 58

Hanya boleh melakukan perikatan dengan klien atas jasa pelayanan dimana merekamemiliki pengetahuan, keterampilan, dan pengalaman yang diperlukan dalampelaksanaan layanan audit internal

Harus melaksanakan jasa internal audit yang sesuai dengan standar (InternationalStandards for the Professional Practise of Internal Auditing)

Harus selalu meningkatkan kecakapan, efektifitas dan kualitas jasa pelayanan internalaudit.

3. The International Standards for the Professional Practise of Internal AuditingTujuan dari the Standards adalah: Delineate basic principles that represent the practice of internal auditing Provide a framework for performing and promoting a broad range of value-added

internal auditing Establish the basis for the evaluation of internal audit performances Foster improved organizational processes and operations

Definisi dari the standardsPrinciples-focused, mandatory requirement consisting of Statements ans Interpretations.Yang terdiri dari: Statement dari persyaratan minimum untuk professional practice dari internal audit dan

untuk mengevaluasi efektivitas dari kinerja para profesional yang berpraktik, dimana bisadiaplikasikan secara international pada level individu dan organisasi.

Interpretasi, yang menjelaskan istilah atau konsep dalam Laporan.

Three types of Standards Attribute Standards “address the attributes of organizations and individuals performing

internal auditing” Performances Standards “describe the nature of internal auditing and provide quallity

criteria againts which the performance of these services can be measured” Implementation Standards “...expands upon the Attribute and Performances Standards

by providing the requirements applicable to assurances...or consulting...activities.”

Assurance and Consulting Services Assurances Services

“An objective examination of evidence for the purpose of providing an independentassesment on governance, risk management, and control processes for the organization.Example may include financial, performance, compliance, system security and duediligence engagements.”Terjemahan bebasnya adalah sebagai berikut:Pemeriksaan obyektif atas bukti dengan tujuan untuk memberikan assesment yangindependen terhadap tata kelola, manajemen risiko, dan proses pengendalian diorganisasi.

Consulting Services“Advisory and related [customer] service activities, the nature and scope of which areagreed with the [customer], are intended to add value and improve an organization’sgovernance, risk management, and control processes without the internal auditor

of 58

assuming management responsibility. Example include counsel, advice, facilitation, andtraining.”

Terjemahan bebasnya adalah sebagai berikut:Jasa sebagai penasehat dan kegiatan pelayanan lainnya yang terkai pelanggan, sifat danruang lingkup perikatan adalah yang disepakati dengan [pelanggan], jasa ini dimaksudkanuntuk memberikan nilai tambah dan meningkatkan tata kelola organisasi, manajemenrisiko, dan proses pengendalian tanpa auditor internal memikul tanggung jawabmanajemen. Contoh termasuk nasihat, saran, fasilitasi, dan pelatihan.

Perbedaan jelas dalam kedua jenis layanan adalah pada tujuan pemberian pelayanan. Perikatanjasa Assurance dilakukan untuk memberikan assesment independen sedangkan perikatan terkaitjasa konsultasi dilakukan untuk memberikan layanan konsultasi, pelatihan, dan fasilitasi.

Struktur dari consulting engagements relatif sederhana. Mereka biasanya hanya melibatkan duapihak saja, yaitu:

pihak yang meminta dan menerima saran-pelanggan dan; pihak yang memberikan nasihat (fungsi internal audit).

Fungsi audit internal bekerja secara langsung dengan pelanggan untuk menyesuaikanketerlibatan untuk memenuhi kebutuhan pelanggan.Sedangkan struktur dari assurance engagements lebih kompleks. Mereka biasanya melibatkantiga pihak:

Pihak yang secara langsung bertanggung jawab untuk proses tersebut, sistem, atau topiklain yang sedang dinilai-auditee;

Pihak yang memberikan jasa assesment (fungsi internal audit); Pihak yang menggunakan hasil assesment-the users.

Pengguna tidak secara langsung terlibat dalam engagements dan dalam beberapa kasus tidakteridentifikasi secara eksplisit.

The Attribute Standards 1000-Purpose, Authority, and Responsibility 1100-Independence and Objectivity 1200-Proficiency and Due Professional Care 1300-Quality Assurance and Improvement Program

Purpose, Authority, and ResponsibilityFungsi audit internal harus memiliki charter yang secara jelas menyatakan tujuan fungsi ini,otoritas, dan tanggungjawab dan menentukan sifat dari jasa assurance dan konsultasi. Chartertersebut juga harus menyatakan tanggung jawab dari fungsi audit internal agar patuh terhadapDefinisi Audit Internal, Kode Etik, dan Standar.

Independence and Objectivity Independence

Bebas dari kondisi yang mengancam kemampuan audit internal untuk melaksanakantanggung jawab audit internal dalam cara yang tidak bias.

of 58

ObjectivitySebuah sikap mental tidak bias yang memungkinkan auditor internal untuk melakukanperikatan dengan klien dalam sikap yang sedemikian rupa sehingga mereka percaya padaproduk kerja dari internal auditor dan bahwa tidak ada kompromi kualitas yang dibuat.Objektivitas mensyaratkan bahwa auditor internal tidak menyerahkan penilaian merekamengenai hal audit kepada orang lain.

Independence adalah atribut dari fungsi audit internal, objektivitas adalah atribut dari auditorsecara individual. Independences Organisasi terhadap fungsi audit internal memfasilitasiobjektivitas auditor individual. Conflict of Interest atau Benturan kepentingan menggangguindependensi dan obyektivitas. Konflik kepentingan adalah setiap hubungan yang, atautampaknya, tidak dalam kepentingan terbaik organisasi. Ancaman yang terkait pelaksanaan tugasyang berkaitan dengan independensi dan obyektivitas timbul dari sifat dari pekerjaan itu sendiri.Impairment terhadap indepensi atau objektivitas, dalam fakta atau appearances, mungkin tidakdapat dihindari dalam keadaan tertentu. Standard 1130: Impairment terhadap indepensi atauobjektivitas, CAE harus mengungkapkan rincian impairment kepada pihak yang tepat.

Proficiency and Due Professional CareThe standard mensyaratkan bahwa fungsi auditor internal dan auditor itu sendiri memilikipengetahuan, kemampuan dan kemampuan lainnya yang dibutuhkan untuk memenuhitanggungjawab mereka dan melaksanakannya dengan due professional care. The standars tidakmemandatkan secara spesifik pengetahuan, kemampuan dan kemampuan yang harus dimiliki.Salah satu kompetensi tertentu yang dibutuhkan oleh Standar adalah pengetahuan tentang risikopenipuan.Standards or guidance yang terkait:

Practice Advisory 1210-1: Kecakapan; Standards 1210.A2 ”Internal Auditors must have sufficient knowledge to evaluate the risk

of fraud and the manner in which it is managed by the organizations…”;Terjemahan bebasnya adalah:Auditor internal harus memiliki pengetahuan yang cukup untuk mengevaluasi risiko darikecurangan terhadap hal yang dikelola oleh perusahaan...”;

Standards 1210.A3 Internal Auditors must have sufficient knowledge of key informationtechnology risk and controls and available technology-based audit technique to performtheir assigned work”;Terjemahan bebasnya adalah:Auditor internal harus memiliki pengetahuan yang cukup risiko dan pengendalianterhadapa teknologi informasi kunci dan teknik audit berbasis teknologi untukmelaksanakan perkerjaan yang ditugaskan kepada mereka

Standard 1210.A1 “Harus mendapatkan nasihat dan bantuan dari pihak yang kompeten”.

Due Professional CareThe care and kemampuan yang diharapkan dari seorang auditor internal yang kompeten danmemiliki kehati-hatian yang beralasan. Ini tidak berarti bahwa auditor internal tidak dapatmembuat kesalahan atau penilaian yang tidak sempurna, melainkan bahwa mereka akanmenunjukkan tingkat kehati-hatian dan kompetensi yang diharapkan dari seorang profesional.Due Care berarti bahwa mereka akan mengeluarkan usahanya, sebagai profesional auditor

of 58

internal, pada tingkat usaha yang sama yang akan dilakukan oleh auditor internal lainnya dalamsituasi yang sama.Related Standards or guidance:

Standard 1230: Pengembangan Profesi Berkelanjutan menyatakan bahwa "Auditorinternal harus meningkatkan pengetahuan, keterampilan, dan kompetensi lain melaluipengembangan profesional"

Quality assurance and improve programs.

Konsep dasar dari quality assurance for internal audit service adalah mirip dengan konsep qualityassurance pada perusahaan manufacture. Dimana Fungsi quality assurance bertugas meyakinkanbahwa produk yang dikeluarkan memiliki fitur dan karakteristik yang sesuai dengan yang dibutuhkan.Sedangkan pada ranah fungsi audit internal, quality assurance and improvement program “dirancanguntuk dapat dinilai kesesuaiannya dengan standard yang ada pada standard Internal audit definitiondan agar dapat dievaluasi keseuaiannya apakah sudah patuh pada kode etik auditor internal”.

“Seorang chief audit executive harus mengembangkan dan memaintain sebuah quality assurance danimprovement program yang meliputi semua aspek fungsi internal audit” (standard 1300: qualityassurance and improvement programs). Seorang chief audit executive juga “harusmengkomunikasikan hasil dari quality assurance dan program pengembangan pada manajemensenior dan direksi (standard 1320: Reporting on the Quality Assurance and Improvement program)dan bisa menyatakan bahwa internal audit (fungsi) sesuai dengan International Standards for theProfesional practice of Internal Auditing… kalau hasil dari quality assurance dan improvementprograms mendukung pernyataan tersebut (Standards 1321: Penggunaan pernyataan “sesuai denganInternational Standards for the Profesional practice of Internal Auditing). Ketika terdapatketidaksesuaian dengan definisi internal auditing, atau kode etik auditor internal, atau standar yangmempengaruhi keseluruan cara kerja auditor internal, seorang Chief Audit executive harusmenyatakan ketidaksesuaian tersebut dan pengaruhnya kepada managemen senior dan dewandireksi. (Standard 1322:Disclosure of Nonconformance)

Standard 1310 : Requirement of The quality assurance and improvement program menyatakan bahwa“The quality assurance and the improvement program harus menyertakan baik penilaian internalmaupun eksternal. Penilaian internal harus terdiri atas :

Monitoring kinerja secara terus menerus terhadap fungsi audit internal Penilaian secara periodic oleh pihak lain di dalam organisasi yang memiliki keahlian di dalam

praktik audit internal

Penilaian eksternal harus dilaksanakan minimal 5 tahun sekali oleh pihak yang memenuhi syarat,penilai independen, atau tim penilai dari luar organisasi. Chief Audit Executive harus mendiskusikandengan dewan direksi untuk hal-hal yang terkait dengan :

Bentuk dan frekuensi penilaian yang dilaksanakan Kualifikasi dan independensi dari penilai ekternal atau tim penilai, termasuk potensi terjadinya

conflict of interest di dalam proses penilaian tersebut (Standard 1312:External Assesment)

The Performance Standards

The performance standards menjelaskan sifat-sifat dasar dari layanan internal audit, serta bagaimanapenilaian kinerja layanan tersebut. Performance Standard dibagi menjadi tujuh bagian utama, yaitu :

of 58

2100 – Managing (mengelola) aktivitas internal audit

2100 – Nature of work

2200 – Engagement Planning

2300 – performing engagement

2400 – Communicating result

2500 – Monitoring Progress

2600 – Communicating the acceptance risk

Managing the internal audit activity. Standard 2000 menerangkan bahwa seorang Chief AuditEecutive bertanggung jawab untuk mengelola fungsi internal audit dan memastikan bahwa fungsitersebut dapat memberikan nilai tambah bagi organisasi. Meskipun bila organisasi mengoutsourcefungsi audit internal tersebut, organisasi tetap harus memiliki “someone in house” yangbertanggungjawab dalam menyetujui kontrak audit internal tersebut, mengawasi kualitas pekerjaanpenyedia jasa, menyusun jadwal pelaporan jasa assurance dan konsultasi manajemen kepadamanajemen senior dan dewan direksi dan menentukan hasil kesepakatan dengan penyedia jasaterebut. Pada banyak kasus, fungsi-fungsi tersebut dilaksanakan oleh CAE. Bagaimanapun ketika orangtersebut memiliki conflicting responsibilities/konflik pertanggungjawaban dengan fungsi outsourcerdtersebut, penyedia layanan audit internal tersebut memiliki kewajiban untuk membuat “organisasitersebut waspada bahwa organisasi tersebut memiliki tanggung jawab untuk mempertahankan auditinternal yang efektif” (Standard 2070: External service provider and organizational Responsibility forinternal auditing). Interpretasi dari standar tersebut dapat diartikan sebagai berikut :

“Tanggung jawab tersebut ditunjukan melalui quality assurance dan improvement programs yangmenilai kesesuaian tanggung jawab tersebut dengan yang tertuang di dalam definisi internal auditing,kode etik dan standar yang ada”.

Standard 2000 menyatakan bahwa “Aktivitas internal audit telah dikelola dengan baik ketika :

Hasil dari aktivitas pekerjaan internal audit mencapai tujuan dan tanggung jawab yang tercantumdi dalam internal audit charter;

Aktivitas internal audit telah sesuai dengan definisi internal audit dan standard yang ada dan Setiap individu yang menjadi bagian dari aktivitas internal audit menunjukan kesesuaian dengan

kode etik dan standar (interpretasi dari standard 2000: Managing internal audit activity);Subsequent standard secara berkelanjutan harus menunjukan bahwa seorang CAE haruslah:

“…. Menyusun sebuah risk based plan untuk menentuan apakah prioritas dari aktivitas internalaudit sudah konsisten dengan tujuan organisasi (Standard 2010: planning)

“…. Mengkomunikasikan rencana aktivitas internal audit dan hal-hal yang dibutuhkan di dalamkegiatan audit internal, terasuk perubahan perubahan signifikan kepada managemen senior dandewan direksi sebagai bahan review dan approval.” Seorang CAE ”juga harusmengkomunikasikan pengaruh dari keterbatasan hal-hal yang dibutuhkan tersebut” (standard2020; communication and approval)

“…memastikan bahwa kebutuhan internal audit sudah tepat, cukup, dan tersebar dengan baikuntuk dapat mencapai tujuan yang telah direncanakan” (Standard 2030 : ‘ResourcesManagement)

“… Menyusun kebijakan dan prosedur sebagai arahan dalam kegiatan internal audit” (Standard2040: Policies and procedures).

of 58

“… Membagi informasi dan berkoordinasi dengan penyedia jasa assurance and consulting, baikyang berasal dari dalam maupun dari luar organisasi untuk memastikan pelaksanaan pekerjaantidak tumpang tindih” (standard 2050 : koordinasi)

“… secara periodic membuat laporan kepada manajemen senior dan dewan direksi terkait tujuankegiatan internal audit, kewenangan, tanggung jawab, dan hasil yang ingin dicapai dari rencanatersebut.” Seorang CAE juga harus melaporkan pengaruh risiko dan kegiatan pengendalian yangdapat mempengaruhi kegiatan internal audit, termasuk risiko fraud, hal hal terkait dengan tatakelola (governance) dan hal-hal lainnya yang dapat mempengaruhi atau diminta oleh seniormanajemen dan dewan direksi” (Standar 2060: Reporting to senior management and board)

Nature of Works. Standard 2100. Nature of work (sifat pekerjaan) adalah konsisten dengan definisiinternal auditing yang telah didiskusikan di awal bab ini. “Kegiatan internal audit harus mengevaluasidan berkontribusi terhadap peningkatan kualitas governance, manajemen risiko, dan prosespengendalian menggunakan pendekatan yang disiplin dan sistematis.

Fungsi internal audit harus memperkirakan dan membuat rekomendasi yang tepat untukmeningkatkan kualitas governance organisasi agar proses governance pada organisasi dapatmencapai tujuan berikut :

Mempromosikan etika dan nilai-nilai yang tepat bagi organiasasi Memastikan efektifitas manajemen penilaian kinerja organiasasi dan akuntabilitas; Mengkomunikasikan risiko dan pengendalian informasi pada area yang tepat dari organisasi Mengkoordinasikan aktivitas tersebut dan menyampaikan informasi tersebut kepada dewan

direksi, auditor eksternal dan auditor internal, dan juga manajemen (Standard 2010 :Governance)

Fungsi audit internal juga harus mengevaluasi efektivitas dan meningkatkan proses manajemen risikoorganisasi (Standards 2120: Risk Managemen). Menentukan apakah fungsi proses manajemen risikopada organisasi telah berjalan efektif apabila hasil penilaian auditor internal meyatakan :

Tujuan organisasi telah mendukung dan sesuai dengan misi organisasi Risiko-risiko yang siginifikan telah diidentifiasi dan ditelaah Respon terhadap risiko telah ditetapkan dengan sesuai dan telah selaras dengan risk apetite

organisasi dan Informasi mengenai risiko yang relevan telah dicatat dan dikomunikasikan secara berkala.di

pada berbagai pihak di organisasi, termasuk staf, manajemen dan dewan direksi untukmenentukan tanggung jawab masing-masing pihak. (Interpretation to standard 2120 : RiskManagemen)

Fungsi audit internal juga harus membantu organisasi dalam “mempertahankan efektivitaspengendalian dengan cara mengevaluasi efetivitas dan efisisensi pengendalian dan mempromosikanpengembangan berkelanjutan. (standard 2130: Control)

Fungsi internal audit juga harus mengevaluasi kemungkinan terjadinya risiko tersebut, dan jugamengevaluasi efektivitas dan efisiensi pengendalian melalui promosi continuous improvement.

Fungsi Internal Audit harus melaksanakan evaluasi terhadap risk exposure dan mengevaluaikecukupan dan efektivitas operasional organisasi yag terkait dengan :

Pencapaian tujuan organisasi

of 58

Kecukupan dan integritas informasi keuangan dan operasional organisasi Efektivitas dan efisiensi pelaksanaan dan program organisasi Pengamanan asset Kepatuhan terhadap aturan perundangan yang berlaku (standard 2120.A1 dan 2130 A.1)

The Engagement Process. Pelaksanaan kesepakatan terhadap pelaksanaan kegiatan audit internalbaik berupa jasa assurance maupun jasa consulting bisa dibagi menjadi 3 bagian. Standardpelaksanaan tersebut tercantum pada :

2200 – Engagement planning

2300 - Performing the engagement

2400 – communicating result

2500 – monitoring progress

Standard 2200 : engagement planning menyatakan bahwa “ Auditor internal harus merancang danmendokumentasikan perencanaan kesepakatan audit internal yang didalamnya mencakup tujuan,skope, waktu pelaksanaan dan hal-hal yang dibutuhkan di dalam pelaksanaan audit internal”,dokumen tersebut harus memperhatikan :

Tujuan dan aktivitas yang akan dievaluasi dan dinilai aktivitas pengendaliannya Significant risk terhadap kegiatan tersebut, tujuan, sumber daya maupun operasional dari

kegiatan tersebut termasuk risiko-risiko yang bisa mengganggu proses pencapaian tujuannya. Kecukupan dan efektivitas dari governance, manajemen risiko, dan aktivitas pengendalian

tersebut apabila dibandingkan dengan kriteria yang telah ditetapkan. Kesempatan auditor internal untuk meningkatkan kualitas governance, manajemen risiko,

dan aktivitas pengendalian

Standard di bawah ini harus dilaksanakan di dalam merancang perjanjian/perikatan audit internal :

Tujuan audit harus dicantumkan dengan jelas (standard 2210 : tujuan perikatan) Ruang lingkup yang ditetapkan harus memadai untuk mencapai tujuan dari perikatan

tersebut. Auditor internal harus menetapkan tingkat kebutuhan dalam pelaksanaan audit internal Auditor internal harus mengembangkan dan mendokumentasikan dokumen-dokumen

tersebut.

Ketika melasanakan perikatan tersebut, fungsi internal audit haruslah :

“… menyajikan informasi yang relevan, dapat dipercaya (reliable) dan cukup terkait dengantujuan perikatan tersebut” (standard 2310 : identifying information).

“…Membuat perikatan dan kesimpulan berdasarkan analisis dan evaluasi yang memadai”(standard 2320: Analysis and evaluation)

“.. mendokumentasikan informasi yang relevan untuk mendukung kesimpulan manajemen” “… memastikan bahwa perikatan yang dibuat telah disupervisi dengan memadai sehingga

tujuan audit dapat dicapai, kualitas audit telah dijamin, dan staf yang dibutuhkan telahditetapkan dengan sesuai”

of 58

Agar perikatan audit internal menjadi bernilai, outcome yng telah dicapai harus disampaikan secaraberkala kepada klien. Namun tidak cukup laporan saja yag disampaikan. Komunikasi yang dilakukanharus berdasarkan laporan yang meminimalisasi disinterpretasi

Fungsi internal audit harus “melaporkan bahwa perikatan yang dilaksanakan sudah sesuai denganinternational standards for the professional practice of internal auditing apabila perikatan yangdilaksanakan telah sesuai dengan pernyataan tersebut (standar 2340 : Use of “Conducter inComformance with the internal auditing, the Code of Ethics , or The standard impact a specificengagement communication harus menyajikan :

Prinsip atau keseuaian dengan aturan perilaku yang tidak sesuai Alasan ketidaksesuaian Dampak dari ketidaksesuaian dari perikatan dan mengkomunikasikan hasil perikatan tersebut.

Seorang CAE bertanggungjawab untuk mengkounikasikan hasil dari perikatan perjanjian tersebutkepada pihak-pihak yang membutuhkan(standard 2440: Disseminating Result) dan menerbitkan opinimengenai kondisi governance, risk management, maupun aktivitas lainnya. Ketika sebuah opinidiberikan, CAE juga harus menyampaikan kepada senior manajemen sebagai bahan pertimbanganapakah hendak menerima risiko tersebut ataukah tidak mengambil tindakan (Standard 2500 A.1)

Communicating the acceptance risk.Standard 2600 : Communicating the acceptance risk addressesthe issue of a level of residual risk that may be unacceptable to the organization that may beunacceptable to the organization. .

STONGLY RECOMMENDED GUIDANCEHow the international Profesional Practice Framework is kept current

IPFF adalah sebuah bentuk pedoman yang bersifat dinamis. Senantiasa berkembang sesuai dengankondisi lingkungan

IPFF dikoordinasikan,dikembangkan, diterbitkan oleh The Professional Guidance Advisory Council,yang terdiri dari The global ethic comitee, The International audit standard board, the ProfessionalIssue comitee, dan public sector comitee.

Standard yang diterbitkan oleh organisasi lain

Profesi auditor internal juga perlu mengikuti standard selain yang ditetapkan oleh IIA semisal USGovernment Accountability Office (GAO) Government Auditing Standard, Standard for professionalPractice of environmental, health and safety auditing, dan standard yang dikeluarkan oelehInternational standard Organization (ISO). Di Negara Amerika para praktisi internal audit biasanyamenyandingkan standard dari IIA dan standard dari GAO untuk menerbitkan piagam auditnya.

Terhadap dua standard berbeda yang dapat mengakibatkan terjadinya multiple standard, bagianparagraph introduction pada Standard IIA memberikan ketentuan sebagai berikut :

“apabila standard yang digunakan berhubungan dengan standard lainnya, maka fungsi internal auditharus mengutip penggunaan standard yang digunakan tersebut dengan jelas. Namun apabila terjadiinkonsistensi antara standard dari IIA dengan dari standard lainnya, fugsi internal audit harusmenyelaraskan piagam auditnya dengan standard dari IIA, namun apabila terdapat keterbatasan makaauditor bisa mengikuti standar lainnya.

of 58

Standard for Internal Auditing in Government

Biasa disebut dengan the yellow book, standard ini digunakan sebagai dasar pelaksanaan audit padalembaga pemerintahan. Standard ini lebih berfokus pada laporan keuangan dan audit kinerja.

Biasanya masing-masing Negara menerapkan standard sendiri untuk audit terhadap lembagapemerintahan maupun kontrak-kontrak di pemerintah. Namun standard yang digunakan biasanyabermodel kepada International Organization of Supreme Audit Institution (INTOSAI)

Standard for Information Technology Audit

Tidak seperti standard Audit IT yang diterbitkan IIA, Standard audit IT yang diterbitkan oleh ISACAmemberikan arahan yang lebih mendetail. Standard IT Audit yang telah ditetapkan oleh IIA sendirisudah selaras dengan standard yang ditetapkan oleh ISACA. Meskipun begitu auditor yang banyakbekerja di bidang IT harus senantiasa aware terhadap perkembangan standard yang dikembangkanoleh ISACA dan menggunakan arahan tersebut di dalam pelaksanaan pekerjaan audit system informasiyang dilaksanakannya.

Standard for Financial Audit.

The US Public Company Accounting oversight board (PCAOB) dan American Institute of Certified PublicAccountant adalah lembaga yang menerbitkan standard pemeriksaan keuangan pada audit ataslaporan keuangan di Amerika Serikat. Standard ini menekankan pada independensi atas audit yangdilaksanakannya, termasuk juga mengatur mengenai koordinasi antara auditor internal denganauditor eksternal.

Other Relevance Guidance

1. The International Standards Organization (ISO)2. Standards Australia yang menerbitkan standard terkait dengan proses manajemen risiko dan

governance3. The Commitees of Sponsoring Organization of the threadway Commision (COSO) yang

menerbitkan kerangka kerja terkait internal control dan manajemen risiko4. The Society of Corporate Compliance and ethics yang menerbitkan standard terkait praktisi etika

dan kepatuhan5. The Helathcare Compliance Association, menerbitkan standard terkait dengan pemeriksaan

industri kesehatan6. The Basel Comitee on Banking Supervision yang menerbitkan standard mengenai audit internal

sector perbankan dan manajemen risikonya

of 58

Chapter 3 GOVERNANCE (argi hermansyah)

Dalam kebanyakan organisasi, Audit Internal dapat menjadi kunci dalam pencapaian tujuan.

Meski struktur organisasi sesungguhnya berbeda dengan organisasi yang satu dengan lainnya,

setiap organisasi harus menetapkan struktur governance secara keseluruhan untuk memastikan

kebutuhan stakholder kunci bertemu. Struktur governance memberikan arahan dalam peneran

aktivitas sehari-hari dari mengelola risiko yang melekat pada perusahaan.

Gambar tersebut menunjukkan bahwa governance meliputi semua aktivitas pada organisasi.

Dewan dan manajemen dapat menetapkan struktur governance untuk memastikan kebutuhan

stakeholder kunci bertemu dan organisasi telah beroperasi pada batasan dan nilai yang ditetapkan

oleh dewan dan manajer senior.

Lapisan selanjutnya adalah manajemen risiko. Manajemen risiko dimaksudkan untuk:

1. Mengidentifikasi dan mengelola risiko yang mungkin secara buruk dapat mempengaruhi tujuan

perusahaan.

2. Menggali peluang yang dapat membantu pencapaian tujuan.

Pengendalian internal terletak pada bagian tengah/pusat karenansistem pengendalian internal

merupakan subset, tapi merupakan bagian integral, pada batas aktivitas manajemen risiko.

Anak panah menunjukkan aliran arus informasi yang melalui struktur governance. Anak panah

tersebut menggambarkan aliran dari arahan dan akuntabilitas dari lapisan satu ke lapisan

berikutnya.

Governance adalah kombinasi dari proses dan struktur yang diterapkan oleh dewan untuk

memberikan informasi, mengarahkan, mengelola dan memonitor aktivitas organisasi untuk

mencapai tujuannya.

Menurut OECD, Corporate Governance melibatkan hubungan antara manajer perusahaan, dewan,

shareholder dan stakeholder lainnya. Corporate governance juga memberikan struktur yang

melalui di mana tujuan perusahaan ditetapkan, sarana pencapaian tujuan, dan monitoring kinerja

yang ditetapkan.

Dewan bertanggung jawab atas pemberian arahan strategi dan pedoman yang berhubungan dengan

Internal Control

Risk Management

Governance

of 58

dengan pembentukan tujuan kunci bisnis yang konsisten dengan model bisnis organisasi dan

diselaraskan dengan prioritas stakeholder. Direktur membawa pengalaman bisnis yang bervariasi

dan beragam kepada dewan dan oleh karena itu mereka berada pada posisi untuk memberikan

informasi dan arahan yang akan membantu memastikan kesuksesan organisasi.

Poin penting yang dapat diambil dari gambaran terhadap governance adalah :

Governance dimulai dari dewan of director dan para komite.

Dewan harus memahami dan fokus terhadap kebutuhan dari stakeholder kunci.

Sehari-hari governance dilaksanakan oleh manajemen dari organisasi.

Aktivitas internal dan eksternal memberikan manajemen dan dewan dengan jaminan

mengenai effektivitas dari aktivitas governance.

Stakeholder dapat memiliki satu atau lebih karakteristik dibawah ini:

Beberapa stakeholder secara langsung dilibatkan dalam operasi bisnis perusahaan.

Stakeholder lain tidak dilibatkan secara langsung, namun berkepentingan pada bisnis

organisasi, oleh karena itu mereka dipengaruhi oleh kesuksesan ataupun outcome lain dari

bisnis.

Beberapa stakeholder tidak terlibat maupun berkepentingan pada keberhasilan bisnis

organisasi namun stakeholder ini mempengaruhi aspek dari bisnis organisasi dan sebagai

hasilnya, keberhasilan organisasi.

Secara umum, stakeholder adalah sebagai berikut :

Employee yang bekerja untuk organisasi dan krena itu terlibat langsung dengan tingkah laku

dari bisnis organisasi.

Customer yang merupakan darah kehidupan dari bisnis organisasi dan otomatis terlibat

secara langsung pada keberhasilannya.

Vendors memberikan barang dan jasa yang dibutuhkan oleh sebuah organisasi untuk

menjalankan bisnisnya dan oleh karena itu terlibat langsung dalam bisnis.

Shareholders/investors tidak terlibat secara langsung dalam bisnis namum mempunyai

kepentingan yang kuat pada keberhasilan organisasi.

Regulatory agencies mewakili lembaga pemerintah yang mungkin mempunyai kepentingan

maupun kemampuan mempengaruhi keberhasilan bisnis.

Financial institution mempengaruhi struktur modal sebuah organisasi.

Karena keberagaman stakeholder mempunyai ekspektasi yang berbeda, hasil dari setiap jenis

stakeholder yang dianggap tidak dapat diterima akan beragam. Dewan butuh mempertimbangkan

jenis outcome berikut :

Financial, contoh : earning per share, cash liquidity, credit rating, return on investment,

capital availability, tax exposure, material weaknesses, and disclosure transparency.

Compliance, contoh : proses pengadilan, pelanggaran kode etik, pelanggaran keamanan dan

lingkungan, perintah penahanan, investigasi pemerintah, peraturan denda dan hukuman,

dakwaan, dan penangkapan.

Operation, contoh : pencapaian tujuan, penggunaan asset secara efisien, pengamanan aset,

perlindungan SDM, dan perlindungan masyarakat.

Strategic, contoh : reputasi, cocporate sustainability, moral pegawai, dan kepuasan

pelanggan.

Dewan secara terbaik dapat melaksanakan tanggung jawab pengelolaannya dengan:

Membangun komite governance

of 58

Komite ini bisa menjadi komite baru atau perluasan tanggung jawab komite

Harus terdiri dari direktur independen

Komite harus memiliki tanggung jawab yang telah diuraikan di atas

Mengartikulasikan persyaratan untuk pelaporan dewan

Dewan harus mendelegasikan kepada manajemen kewenangan untuk mengoperasikan

bisnis dalam batas toleransi relatif dewan terhadap hasil yang tidak dapat diterima

Sebagai bagian dari peran pengawasan dewan juga harus menetapkan batas pelaporan

untuk manajemen yang mana hasil harus disetujui oleh dewan, melaporkan langsung ke

papan, atau diringkas untuk forum diskusi sebagai bagian dari pertemuan triwulanan

Mengevaluasi kembali ekspektasi governance secara berkala (biasanya pertahun)

Ekspektasi stakeholder dapat berkembang dan berubah. Oleh karena itu, dewan harus

mengidentifikasi perubahan-perubahan tersebut dan mengevaluasi kembali arah

governance yang

Sebagai akibat dari perubahan-perubahan tersebut, tingkat toleransi dewan juga harus

dievaluasi

Untuk melaksanakan tanggung jawab governance, manajemen senior bertanggung jawab untuk:

Memastikan bahwa seluruh lingkup arah dan wewenang dipahami dengan tepat

Mengidentifikasi proses dan kegiatan dalam organisasi yang merupakan bagian integral

dalam melaksanakan arah pemerintahan yang disediakan oleh dewan. Oleh karena itu,

manajemen senior harus menentukan:

Di mana organisasi mengelola risiko tertentu yang dapat menimbulkan dampak yang

tidak dapat diterima

Siapa yang akan bertanggung jawab untuk mengelola risiko tersebut

Bagaimana risiko tersebut akan dikelola

Mengevaluasi apa pertimbangan bisnis lain atau faktor-faktor yang mungkin membuat

pembenaran untuk mendelegasikan tingkat toleransi lebih rendah kepada pemilik risiko dari

yang didelegasikan oleh dewan

Memastikan bahwa informasi yang memadai telah dikumpulkan dari pemilik risiko untuk

mendukung kebutuhan pelaporan kepada dewan

Manajemen senior dapat menjadi yang terbaik dalam melaksanakan tanggung jawab governance

dengan:

Membangun sebuah komite risiko

Komite ini biasanya dipimpin oleh seorang eksekutif senior: Chef Risk Officer (CRO),

jika ada, atau eksekutif lainnya yang memiliki tanggung jawab pengawasan risiko yang

luas

Ia bertanggung jawab untuk menentukan bahwa semua risiko kunci diidentifikasi, terkait

dengan aktivitas manajemen risiko, dan ditugaskan kepada pemilik risiko

Mengevaluasi risk appetite organisasi yang sedang berlangsung dan memastikan bahwa

tingkat toleransi didelegasikan kepada pemilik risiko konsisten dengan risk appetite

Mengartikulasikan persyaratan pelaporan

Pemilik risiko harus memahami sifat, format, dan waktu komunikasi mengenai

efektivitas kegiatan manajemen risiko

Pelaporan ini dapat terjadi melalui pertemuan komite risiko yang dijadwalkan secara

rutin atau sebagai bagian dari proses pengumpulan informasi untuk pelaporan ke dewan

of 58

Mengevaluasi kembali harapan governance secara berkala (biasanya pertahun)

Sebagai organisasi berkembang dan perubahan, manajemen senior harus menilai kembali

arah governance dan tingkat toleransi yang sesuai yang telah didelegasikan kepada

pemilik risiko

Sebagai hasil dari perubahan-perubahan tersebut, tingkat toleransi manajemen senior

juga harus dievaluasi

Hal ini juga memberikan kesempatan manajemen senior untuk mengevaluasi keefektifan

program manajemen risiko organisasi

Tanggung jawab pemilik risiko meliputi:

Mengevaluasi apakah kegiatan manajemen risiko dirancang secara memadai untuk mengelola

risiko yang terkait dalam tingkat toleransi yang ditentukan oleh manajemen senior

Menilai kemampuan yang berkelanjutan dari organisasi untuk melaksanakan

kegiatan-kegiatan manajemen risiko

Menentukan apakah kegiatan manajemen risiko saat ini yang beroperasi sesuai dengan yang

dirancang, yaitu, apakah orang-orang dan sistem mengeksekusi proses konsisten dengan

tujuan yang diinginkan

Melakukan kegiatan sehari-hari untuk mengidentifikasi pemantauan, pada waktu yang tepat,

apakah anomali atau divergensi dari hasil yang diharapkan telah terjadi

Memastikan bahwa informasi yang dibutuhkan oleh manajemen senior dan dewan tersebut

akurat dan tersedia, dan diberikan kepada manajemen senior secara tepat waktu

Risk owner dapat menjalankan tanggung jawab pemerintahan mereka secara terbaik dengan:

Menyajikan rekomendasi governance ke komite risiko

Memperhitungkan kembali kegiatan manajemen risiko secara berkala (minimal pertahun, dan

lebih sering ketika dibenarkan)

of 58

BAB 4 MANAJEMEN RISIKO

DEFINISI RISIKO

COSO : kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan

ISO : pengaruh ketidakpastian pada tujuan

Risiko bisnis

Risiko yang secara khusus terkait dengan organisasi didalam melakukan bisnis, berupa

ketidakpastian mengenai adanya ancaman terhadap pencapaian tujuan bisnis.

COSO ERM FRAMEWORK

Setelah kita tahu bahwa banyak sekali risiko yang dihadapi organisasi ketika mereka mencoba

menjalankan strategi dan mencapai tujuan mereka, maka terdapat kebutuhan yang sangat besar

terhadap suatu hal yang dapat secara efektif mengelola risiko di dalam organisasi. Dan kebutuhan ini

terjawab dengan adanya Enterprise Risk Management (ERM) yang pertama kali diperkenalkan COSO

pada tahun 2004.

COSO mengidentifikasi adanya kebutuhan akan kerangka kerja yang kuat untuk membantu

perusahaan secara efektif mengidentifikasi, menilai, dan mengelola risiko. Kerangka kerja yang

dihasilkan merupakan perluasan dari kerangka kerja sebelumnya “Internal Control – Integrated

Framework”, menggabungkan semua aspek kunci dalam kerangka kerja tersebut ke dalam kerangka

kerja ERM yang lebih luas.

Pengertian ERM secara singkat “proses yang dilakukan oleh manajemen untuk memahami dan

mengatasi ketidakpastian yang dapat mempengaruhi kemampuan organisasi untuk mencapai

tujuannya”

Definisi ERM menurut COSO “suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen dan

pegawai lainnya, diterapkan dalam penyusunan strategi dan di segenap perusahaan, dirancang

untuk mengidentifikasi peristiwa-peristiwa potensial yang dapat mempengaruhi entitas, dan untuk

mengelola risiko sampai dalam batas hasrat risiko entitas, untuk menyajikan keyakinan memadai

sehubungan dengan pencapaian tujuan entitas“

Definisi ini mencerminkan konsep-konsep fundamental tertentu. ERM adalah:

of 58

− sebuah proses yang berlangsung terus menerus.

− dilakukan oleh setiap orang di dalam organisasi pada tingkatan/jenjang organisasi.

− diterapkan dalam penyusunan strategi.

− diterapkan di segenap perusahaan, pada setiap tingkat dan satuan.

− Berfokus pada pengambilan pandangan portofolio tingkat entitas mengenai risiko.

− Dirancang untuk mengidentifikasi peristiwa-peristiwa yang secara potensial mempengaruhi

entitas.

− Sarana bagi manajemen dalam mengelola risiko dalam batas hasrat risiko entitas.

− Menyajikan keyakinan memadai kepada manajemen dan dewan entitas

− Dijalankan untuk mencapai tujuan-tujuan baik dalam satu atau dua kategori terpisah

maupun secara bersama-sama.

Kerangka kerja ERM digambarkan dalam kubus tiga dimensi yang mencerminkan hubungan antara

jenis tujuan, komponen ERM, dan struktur bisnis perusahaan.

Jenis Tujuan

Di dalam konteks penetapan visi atau misi, manajemen menetapkan tujuan stratejik, memilih

strategi dan menetapkan tujuan-tujuan lain secara menurun ke segenap perusahaan dan

diselaraskan dengan serta dihubungkan kepada strategi. Kerangka ini memandang tujuan-tujuan

entitas dalam konteks empat kategori:

− Stratejik – berhubungan dengan sasaran tingkat tinggi, diselaraskan dengan dan mendukung

misi entitas.

− Operasional – berhubungan dengan penggunaan sumberdaya entitas secara efektif dan

efisien.

− Pelaporan – berhubungan dengan keandalan pelaporan entitas.

− Ketaatan – berhubungan dengan ketaatan entitas kepada hukum dan peraturan yang

berlaku

Komponen ERM

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Komponen-

komponen ini diperoleh dari cara manajemen menjalankan suatu bisnis, dan dipadukan dengan

proses manajemen. Komponen-komponen tersebut adalah:

1. Internal Environment (Lingkungan Internal)

“manajemen menentukan suatu filosofi sehubungan dengan risiko dan menetapkan suatu hasrat

risiko. Lingkungan internal menentukan fondasi tentang bagaimana risiko dan pengendalian

of 58

dipandang oleh orang-orang dalam suatu entitas. Inti dari bisnis apapun adalan orang-orang –

atribut individual mereka, termasuk integritas, nilai etika dan kompetensi – dan lingkungan di mana

mereka beroperasi. Mereka adalah mesin yang mendorong entitas dan fondasi dari setiap

komponen lainnya“

Lingkungan intern entitas merupakan fondasi bagi seluruh komponen lain dari manajemen risiko

perusahaan, yang menyajikan disiplin dan struktur. Lingkungan intern mempengaruhi bagaimana

strategi dan tujuan-tujuan ditetapkan, aktivitas bisnis distrukturkan, dan risiko-risiko diidentifikasi,

ditaksir dan diperlakukan. Lingkungan intern mempengaruhi rancangan dan pelaksanaan aktivitas

pengendalian intern, sistem informasi dan komunikasi, dan aktivitas pemantauan.

Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Yang terdiri dari banyak unsur

antara lain:

− Risk management philosopy.

− Risk appetite.

− Board of directors.

− Integrity and ethical values

− Commitment to competence

− Organizational stucture

− Assignment of authority and responsibility

− Human resource standards

2. Objective Setting (Penentuan Tujuan)

Tujuan ditetapkan pada tingkat strategis, meletakkan dasar untuk operasi, pelaporan, dan tujuan

kepatuhan. Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal, dan

sebuah prasyarat yang efektif untuk untuk identifikasi peristiwa, penilaian risiko, dan penanganan

risiko adalah pemantapan tujuan.

3. Event Identification (Identifikasi Peristiwa)

Manajemen harus mengidentifikisasi peristiwa potensial yang akan berdampak pada perusahaan,

baik dalam arti positif maupun negatif. Peristiwa yang berdampak buruk dan menghambat tujuan

organisasi di sebut sebagai risiko dimana manajemen harus melakukan penilaian dan penanganan.

Sedangkan peristiwa yang berdampak positif pada organisasi disebut sebagai peluang dimana

manajemen harus memanfaatkannya didalam proses perumusan strategi dan penentuan tujuan.

of 58

Ketika mengidentifikasi risiko, manajemen harus mempertimbangkan berbagai faktor internal

maupun eksternal yang dapat menjadi risiko ataupun peluang pada perusahaan.

COSO merumuskan beberapa eksternal faktor antara lain:

− Economic events, seperti pergeseran harga, ketersediaan modal, dan persaingan usaha yang

ketat.

− Natural environment events, seperti banjir, kebakaran, gempa bumi maupun peristiwa alam

lainnya.

− Political events, seperti pemilihan umum terhadap pemimpin negara dengan agenda politik

yang baru maupun pemberlakukan hukum dan regulasi yang baru.

− Social events, seperti perubahan demografi, adat istiadat, struktur keluarga maupun

prioritas hidup/pekerjaan.

− Technological events, seperti penggunaan sarana baru didalam perdagangan, penyimpanan

dan pemrosesan

COSO juga merumuskan beberapa internal faktor antara lain:

− Infrastructure factors, seperti meningkatkan alokasi modal untuk pemeliharaan preventif

atau dukungan call center.

− Personnel factors, seperti kecelakaan kerja, kegiatan penipuan, atau kontrak kerja yang

kadaluwarsa,

− Process factors, seperti perubahan proses/cara kerja, kesalahan didalam proses pekerjaan,

atau keputusan menggunakan outsorcing

− Technology factors, seperti meningkatkan sumber daya untuk menangani volatilitas volume,

pelanggaran keamanan, atau penghentian sistem.

4. Risk assessment (Penilaian Risiko)

Penilaian risiko mengharuskan manajemen untuk mempertimbangkan sejauh mana peristiwa

potensial yang dapat menghambat tujuan perusahaan. Manajemen harus menilai risiko dari dua

perspektif yaitu kemungkinan dan dampaknya. Dengan dua kombinasi itu manajemen menilai risiko

mana yang berdampak sangat besar pada tujuan perusahaan maupun yang berdampak kecil.

5. Risk Response (Penanganan Risiko)

of 58

Setelah mengetahui risiko mana saja yang berdampak pada perusahaan, manajemen harus

menentukan penanganan risiko yang cocok terhadap risiko-risiko tersebut. Ada empat macan

penanganan risiko menurut COSO

− Avoidance, yaitu menghindari risiko

− Reduction, yaitu mengurangi risiko baik dari kemungkinan terjadinhya maupun dampaknya

− Sharing, yaitu membagi risiko atau melimpahkan risiko kepada pihak lain (asuransi)

− Acceptance, yaitu menerima risiko

6. Control Activities (Kegiatan Pengendalian)

Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu untuk meyakinkan

manajemen bahwa risiko telah ditangani dengan baik. Beberapa contoh kegiatan pengendalian

manajemen antara lain:

− Top-level reviews

− Direct functional or activity management

− Information processing controls

− Physical controls

− Performance indicators

− segregation

7. Information and Communication

Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait manajemen risiko yang

berasal dari internal maupun eksternal menjadi informasi yang berguna bagi manajemen didalam

mengambil keputusan. Kemudian hal itu dikomunikasikan kepada setiap orang/personnel agar

mereka melakukan tanggungjawabnya sesuai fungsi masing-masing. COSO mendefinisikan sebuah

informasi harus:

− tepat dan rinci pada setiap tingkatan yang berbeda

− tepat waktu dan tersedia pada saat dibutuhkan

− mencerminkan kondisi yang sekarang baik (update) terutama pada informasi keuangan dan

operasi

− akurat dan terpercaya

− dapat diakses oleh siapapun yang membutuhkan

− 8. Monitoring

ERM harus selalu dimonitoring, untuk menjamin keberadaan dan fungsi setiap komponen berjalan

dengan baik setiap waktu. Auditor internal biasanya banyak berperan didalam hal ini karena mereka

of 58

melakukan penilaian apakah kegiatan manajemen risiko perusahaan telah dilaksanakan dengan

efektif.

Peran dan Tanggung Jawab dalam ERM

Dewan Komisaris, pihak manajemen, pegawai bidang pengelolaan risiko, pegawai bidang keuangan,

auditor internal, dan tentu saja, seluruh pihak yang ada di dalam organisasi memiliki peran untuk

mewujudkan ERM yang efektif. Peran dan tanggung jawab dari masing-masing pihak tersebut

sebagaimana telah dijelaskan pada Bab.3 tentang “Tata Kelola”.

● Dewan Komisaris. Pihak dewan komisaris mengawasi dan memberikan arahan kepada pihak

manajemen organisasi. Dewan komisaris berperan dalam menentukan strategi organisasi,

merumuskan tujuan stratejik, mengalokasikan sumber-sumber daya organisasi dalam lingkup

yang luas, dan mencontohkan/mewujudkan perilaku etis di lingkungan organisasi. Terkait

dengan pengelolaan ERM, COSO menyebutkan bahwa dewan komisaris melakukan

pemantauan melalui:

− Pemahaman terkait sampai sejauh mana pihak manajemen telah mengelola ERM

dengan efektif.

− Mengetahui dan menyepakati selera risiko organisasi.

− Meninjau portofolio risiko organisasi dan menyesuaikannya dengan selera risiko

organisasi.

− Menerima info terkait risiko organisasi yang paling signifikan dan apakah pihak

manajemen telah menangani risiko tersebut secara memadai.

● Manajemen. Pihak manajemen bertanggung jawab atas segala aktivitas yang ada di organisasi,

termasuk kegiatan ERM. Tanggung jawab pihak manajemen sangat beragam, tergantung

tingkatannya dan karakteristiknya dalam organisasi.

CEO memiliki tanggung jawab puncak atas efektifitas dan kesuksesan program ERM. Salah satu

aspek penting terkait dengan tanggung jawab CEO adalah memastikan keberadaan lingkungan

internal yang positif. CEO memberikan contoh, mempengaruhi susunan dan perilaku dewan

pimpinan, memimpin dan mengarahkan manajer senior, dan memonitor kegiatan pengelolaan

organisasi dalam kaitannya dengan penentuan selera risiko dan kriterianya, seperti kapasitas

risiko dan tingkat toleransi risiko. Keadaan terus mengalami perubahan, pemunculan risiko yang

berbeda, perlu penerapan strategi, tindakan yang mengantisipasi kemungkinan yang tidak

of 58

berkesusaian dengan kriteria risiko, maka CEO akan mengambil suatu tindakan agar organisasi

tidak “keluar-jalur”.

Manajer senior yang memimpin berbagai jenis unit di organisasi, memiliki tanggung jawab

pengelolaan risiko terkait dengan tujuan dari masing-masing unit yang dipimpinnya. Pihak

manajer senior mengejawantahkan strategi organisasi yang bersifat umum menjadi berbagai

kegiatan operasi, identifikasi kejadian risiko yang mungkin terjadi, mengukur risiko-risiko yang

terkait, dan menerapkan penanganan yang memadai atas risiko-risiko tersebut. Pihak manajer

membimbing kegiatan ERM organisasi sesuai dengan lingkup bidang tanggung jawabnya,

memastikan bahwa penerapan komponen-komponen ERM tersebut sesuai dengan toleransi

risiko yang telah ditetapkan. Mereka bertanggung jawab atas prosedur khusus ERM yang

diperuntukan bagi para manajer fungsional. Dapat disimpulkan bahwa para manajer lebih

berperan aktif dalam menggunakan dan melaksanakan prosedur khusus penanganan risiko

yang terkait dengan tujuan suatu unit tertentu di organisasi, seperti teknik pengidentifikasian

dan pengukuran risiko dan penentuan penanganan khusus risiko ( yang adalah strategi

manajemen risiko, sebagai contoh kebijakan pengembangan dan prosedur pembelian barang

atau melayani pelanggan baru

Staf fungsional, seperti bidang akuntansi, SDM, kepatuhan, atau hukum juga memiliki peran

yang penting dalam mewujudkan perancangan dan pelaksanaan praktik-praktik ERM yang

efektif. Fungsi-fungsi ini dimungkinkan untuk merancang dan menerapkan suatu program yang

dapat mendukung pengelolaan risiko lintas unit dalam organisasi.

● Petugas pengelola risiko. Beberapa organisasi telah memiliki dan menunjuk seseorang untuk

menempati posisi manajer senior yang bertugas/berperan sebagai pusat koordinasi dalam

pengelolaan ERM. Seorang petugas pengelola risiko--biasanya disebut Chief Risk Officer (CRO)--

umumnya beroperasi dalam lingkup staff fungsional, bekerja bersama dengan pihak manajer

lain dalam mewujudkan ERM pada unitnya masing-masing, Petugas pengelola risiko memiliki

sumber daya untuk mempengaruhi pengelolaan ERM lintas anak perusahaan, proses bisnis,

departemen, fungsi dan kegiatan. Mereka bertanggung jawab atas pemantauan kemajuan

pengelolaan risiko dan mendampingi manajer lain melaporkan informasi yang relevan dengan

risiko dalam organisasi.

Pedoman COSO menyebutkan tanggung jawab CRO secara khusus, yaitu:

of 58

− Menyusun kebijakan ERM, meliputi definisi peran dan tanggung jawab, dan

berpartisipasi dalam menentukan tujuan penerapan.

− Membuat kerangka kewenangan dan pertanggungjawaban ERM di unit-unit bisnis.

− Meningkatkan kompetensi ERM di seluruh entitas, meliputi memfasilitasi

pengembangan ahli teknik ERM dan membantu pihak manajer menangani risiko sesuai

dengan toleransi risiko entitas dan mengembangkan pengendalian yang memadai.

− Memandu pengintegrasian ERM dengan perencanaan bisnis lainnya dan aktivitas

manajemen.

− Menyusun suatu istilah yang umum dalam pengelolaan risiko meliputi pengukuran atas

keterjadian dan dampak risiko, dan kategori risiko yang umum.

− Memfasilitasi pengembangan protokol pelaporan dari pihak manajemen, meliputi

batasan kualitatif dan kuantitatif, dan pemantauan proses pelaporan.

− Pelaporan kepada pihak pimpinan terhadap kemajuan dan pelaksanaan dan

rekomendasi tindakan yang diperlukan.

● Financial Executive. Pimpinan bagian akuntansi dan keuangan beserta para staffnya

bertanggung jawab hampir atas seluruh kegiatan yang ada di organisasi, karena pada dasarnya

hampir seluruh kegiatan tersebut melibatkan peran serta bagian akuntansi dan keuangan.

Mereka berperan penting dalam mencegah dan mendeteksi pelaporan fraud, dan

mempengaruhi kerangka, penerapan, dan pengawasan pengendalian internal organisasi yang

terkait dengan pelaporan keuangan dan sistem pendukung lainnya.

● Auditor Internal. Auditor Internal berperan penting dalam mengevaluasi efektifitas—termasuk

merekomendasikan perbaikan—ERM.

● Pihak-pihak lain dalam organisasi. Kenyataannya ERM adalah tanggung jawab seluruh pihak

yang ada dalam organisasi. Mungkin beberapa dari mereka bukanlah pemilik risikonya (risk

owner), namun bagaimanapun juga peran mereka—mulai dari mengidentifikasi risiko hingga

penerapan strategi penanganan risiko—turut berpengaruh dalam mewujudkan ERM yang

efektif.

● Auditor Eksternal. Pihak auditor eksternal dapat memberikan informasi kepada Dewan Direksi

maupun manajemen suatu pandangan pengelolaan risiko organisasi secara objektif dan

independen, yang akan berguna menghasilkan laporan keuangan untuk pihak eksternal dan

tujuan-tujuan lainnya.

● Para pembuat aturan. Pihak pembuat aturan dapat mempengaruhi penerapan ERM dalam

organisasi melalui berbagai persyaratan untuk melaksanakan ERM atau sistem pengendalian

internal atau melalui pemeriksaan terhadap entitas khusus.

of 58

● Pihak-pihak di luar perusahaan. Pelanggan, vendor, mitra bisnis, dan siapapun itu yang terlibat

secara bisnis dengan organisasi berperan dalam menyediakan informasi risiko, sebagai

sumber/bahan ERM. Pihak kreditor dapat memberikan suatu pengawasan atau arahan yang

berpengaruh terhadap pencapaian tujuan organisasi. Analis keuangan, lembaga pemberi

peringkat, media massa, dan pihak-pihak eksternal lainnya dapat mempengaruhi ERM. Hasil

investigasi mereka, memberikan gambaran secara mendalam bagaimana persepsi orang luar

terhadap kinerja organisasi, risiko industri dan ekonomi, proses operasi yang inovatif dan

strategi keuangan, serta gambaran tren industri saat itu. Penyedia jasa menjadi semakin lazim

bagi organisasi dalam menjalankan operasi hariannya terutama untuk menjalankan fungsi-

fungsi yang bukan proses bisnis utama organisasi. Dengan adanya kerja sama dengan pihak luar

tersebut maka kemungkinan akan ada pengembangan pengelolaan risiko terutama yang terkait

dengan kerja sama tersebut.

COSO mengidentifikasi prinsip-prinsip dalam pengelolaan ERM yang dapat menjadi faktor

pendorong:

− Menyesuaikan selera risiko dan strategi

− Meningkatkan pengambilan keputusan untuk merespon risiko

− Mengurangi kemungkinan-kemungkinan buruk dalam proses operasi

− Mengidentifikasi dan mengelola risiko antar-usaha

− Menyiapkan respon terpadu atas berbagai risiko

− Menangkap peluang

− Meningkatkan penempatan modal

ISO 31000:2009 MANAJEMEN RISIKO—PEDOMAN DAN PRINSIP

Prinsip ISO 31000:

− Menciptakan dan memelihara nilai

− Bagian integral dari proses organisasi

− Bagian dari pengambilan keputusan

− Secara tegas menyampaikan ketidakpastian

− Sistematis, terstruktur, dan tepat waktu

− Berdasarkan pada informasi terbaik

− Dirancang secara khusus

− Mempertimbangkan faktor manusia dan budaya

− Transparan dan melibatkan banyak pihak

− Dinamis, berulang, dan responsif terhadap perubahan

of 58

− Memfasilitasi perbaikan-perbaikan dalam organisasi

Kerangka ISO 31000

− Mandat dan komitmen dari atasan

− Merancang kerangka pengelolaan risiko, yang meliputi:

● Pemahaman terhadap konteks organisasi

● Menyusun kebijakan manajemen risiko

● Pendelegasian tanggung jawab dan kewenangan

● Mengintegrasikan pengelolaan risiko pada proses bisnis organisasi

● Pengalokasian sumber daya

● Menentukan komunikasi internal dan eksternal serta mekanisme pelaporannya

− Menerapkan kerangka dan proses pengelolaan risiko

− Pemantauan atas kerangka

− Secara berkala, meningkatkan kerangka

Proses ISO 31000

− Menyusun konteks. Berfokus pada pemahaman dan persetujuan atas faktor-faktor internal

dan eksternal yang dapat mempengaruhi pengelolaan risiko.

− Menilai risiko, yang meliputi kegiatan pengidentifikasian risiko, menganalisa risiko dan

penyebabnya, sumber, dan tipe hasil yang diharapkan, dan mengevaluasi risiko untuk

memperoleh informasi dalam memprioritaskan penanganan risiko.

− Penanganan risiko, meliputi kegiatan pengambilan keputusan atas informasi risiko yang ada.

− Memonitor risiko, mengidentifikasi kejadian risiko di lapangan dan mengevaluasi apakah

penanganan risiko telah sesuai dengan tujuan.

− Membangun proses komunikasi dan konsultasi.

Peran Auditor Internal dalam ERM

Pengelolaan Enterprise Risk Management membutuhkan peran akuntan perusahaan baik peran dari

akuntan manajemen maupun peran Auditor Internal. Adapun Auditor Internal bertugas meneliti dan

mengevaluasi berfungsinya sistem akuntansi di samping menilai seberapa jauh kebijakan dan

program kerja manajemen dijalankan memiliki peran yang penting dalam perusahaan, termasuk

pengelolaan risiko.

Dalam Position Paper berjudul The Role Internal Auditing in Enterprise-Wide Risk Management yang

dikeluarkan oleh IIA, dikemukakan bahwa terdapat beberapa aktivitas yang dapat diperankan oleh

internal auditor. Internal auditor diharuskan untuk memelihara objektivitas dan indepedensi yang

of 58

diwajibkan oleh kode etik profesi dan standar profesi auditor internal. Saat internal auditor tidak

memiliki kompetensi dan kemahiran yang memadai atas area manajemen risiko maka menurut IIA

auditor internal harus menolak penugasan. Berikut ini aktivitas utama yang dapat diperankan oleh

internal auditor:

− Memberikan jaminan kepada proses manajemen

− Memberikan jaminan apakah risiko telah di evaluasi

− Mengevaluasi proses manajemen risiko

− Mengevaluasi pelaporan kunci risiko

− Meninjau ulang kunci manajemen risiko

Aktivitas yang tidak dapat diperankan oleh internal audit antara lain :− Setting risk apatite− Imposing risk management process− Management assurance on risk− Taking decisions on risk responses− Implementing risk responses on management’s behalf− Accountability for risk management.

Dari gambaran di atas terlihat bahwa banyak aktivitas yang dapat diperankan oleh internal auditor

dengan berpegang pada standar profesi audit internal untuk mendorong efektivitas ERM

danmanajemen tetap bertanggung jawab untuk manajemen risiko.

COSO menyatakan bahwa Enterprise Risk Management ditetapkan untuk membantu manajemen

dalam hal menyelaraskan selera risiko (risk appatite) dengan strategi perusahaan, meningkatkan

keputusan respon risiko, menekankan atau mengurangi lonjakan atau kerugian akibat operasional,

mengidentifikasi dan mengelola cross enterprise risk, menyiapkan respon atas berbagai risiko secara

terintegrasi, serta meraih kesempatan dan mengembangkan pemodalan.

Penerapan Enterprise Risk Management dalam organisasi dapat mendorong terciptanya Good

Corporate Governance. Enterprise Risk Management memiliki fokus pada pengelolaan risiko yang

timbul dari setiap aktivitas organisasi untuk kemudian organisasi tersebut akan diarahkan dan

dikendalikan sesuai dengan prinsip-prinsip Good Corporate Governance untuk dapat mencapai

tujuan organisasi yang ditetapkan.

DAMPAK DARI ERM ATAS JASA ASSURANCE YANG DIJALANKAN OLEH INTERNAL AUDIT

Mengaitkan antara perencanaan audit dan pengelolaan atas risiko:

of 58

− Sebelum mengembangkan rencana audit internal, menurut CAE akan sangat membantu

apabila pertama-tama membangun dan meng-update audit universe.

− Audit universe bisa terdiri dari beberapa komponen yang ada pada strategi perusahaan.

− Penyiapan rencana audit internal berdasarkan audit universe tersebut.

− Audit universe terkait dengan rencana audit yang sudah update menggambarkan

perubahan-perubahan yang telah terjadi.

− Perencanaan audit, didasarkan, bersama dengan faktor-faktor lainnya, penilaian atas risiko.

of 58

CHAPTER 5 : BUSINESS PROCESSES AND RISKS

Terdapat 3 (Tiga) tipe dari business activity :1. Operating Processes

Operating Processes pada sebagian besar organisasi merupakan suatu proses inti yang dilalui untukmencapai tujuan utamanya. Melalui proses ini organisasi menciptakan nilai dan menyampaikannyasecara langsung kepada konsumen.

2. Management and Support ProcessesManagement and Support Processes merupakan kegiatan yang mengawasi dan mendukung prosespenciptaan nilai inti dari perusahaan (organization’s core value-creation process)

3. ProjectsProjects merupakan suatu metode yang digunakan untuk menyelenggarakan kegiatan yangmenghasilkan nilai (value-creating activities). Projects digunakan ketika terjadi kegiatan selamajangka waktu tertentu, memerlukan proses pengerjaan yang rumit, dan relatif unik di manamemerlukan kegiatan spesifik yang tidak dilakukan secara berkesinambungan. Projects juga seringdigunakan pada sebagian besar organisasi untuk membentuk kegiatan nonrutin untuk menciptakanaset untuk kepentingan organisasi.

(Gambar 5-1 : Ilustrasi Business Processes)

of 58

Understanding Business ProcessesInternal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai danmeningkatkan kinerja operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi, Misi, nilaiserta Tujuan Tahunan) dan bagaimana struktur proses bisnisnya dapat mencapai tujuan tersebut(Strategi tingkat pimpinan dan tingkat Taktis). Model bisnis tersebut biasanya merupakan bagiandokumen internal yang tersedia untuk audior internal.

Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu organisasi dapattersedia. Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategiorganisasi. Sementara Visi, misi, nilai serta tujuan perusahaan relatif sama dari tahun ke tahun, fungsiinternal audit harus di-update secara periodik mengenai pemahamannya tentang strategi organisasi.

Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses bisnis danperannya dalam bisnis model:

1. Top dowm approachDimulai pada penetapan tujuan di level organisasi, dan kemudian diidentifikasi proses-proses kunciyang kritikal terhadap keberhasilan pencapaian setiap tujuan tersebut.

2. Bottom up approachDimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang yangbertanggung jawab terhadap kegiatan aktualnya.

Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya adalahmenentukan tujuan kunci (key objectives) dari proses yang dilakukan. Auditor Internal perlu untukmengetahui pemilik proses (process owner) untuk memahami tujuan proses (proecess objectives) Ketikatujuan proses sudah dipahami, langkah selanjutnya adalah memahami proses masukan, kegiatan spesifikyang diperlukan untuk mencapai tujuan proses dan output proses.

Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut memerlukanpemahaman tentang bagaimana manajemen dan pemilik proses mengetahui bahwa proses berjalansesuai yang dikehendaki. Pemilik proses seharusnya memiliki KPI (Key performance Indicator), yangmerupakan suatu metrik ataupun dalam bentuk lain untuk mengukur apakah suatu proses ataupuntugas individu telah dilakukan sesuai toleransi yang ditetapkan.

Documenting Business ProcessesMetode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan Process Narative.Process Map merupakan gambaran yang merepresentasikan dari inout, langkah-langkah, workflows,dan output.Tidak ada standar yang absolut mengenai format dan simbol dari Process Mapping, namunharus konsisten penggunaannya. Process Map biasanya digambarkan berupa urutan dari suatu kegiatandari kanan ke kiri.

of 58

Business RiskKetika internal auditor sudah memahami tujuan organisasi dan proses kunci yang digunakan untukmencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapatmenghalangi pencapaian tujuan tersebut. Bagi organisasi yang telah menerapkan Enterprise RiskManagement (ERM), umumnya manajemen telah mengembagkan suatu risk profile. Dalam kasustersebut maka fungsi internal audit dapat membangun penilaian risikonya dari risk profile tersebut. Bilarisk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil sebagai titik awal untukperencanaan audit tahunan.

Pendekatan umum yang dapt dilakukan untuk mengembangkan risk profile adalah dengan melakukansesi brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota fungsiinternal audit. Potensi risiko dibagi ke dalam 4 (empat) kategori sesuai dengan ERM COSO yaitu StrategicRisks, Compliance Risks, Reporting Risks, dan Operations Risks. (Lihat Chapter 4 “Risk Management”)

Risiko yang beraneka ragam tersebut kemudian dinilai dampak dan keterjadiannya seperti gambar dibawah ini.

(Gambar 5-2 : Risk Assessment Model)

of 58

Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk Model ke dalamMatriks Risk Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan tujuanspesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua risiko kunci, dan dampakyang dihasilkan telah diidentifikasi

Memetakan Resiko Pada Proses Bisnis

Next Step….(A, B, C dst…)

A. Membangun Respon yang Sesuai untuk Masing-masing Risiko

Respon yang bisa diberikan oleh organisasi terhadap risiko (perspektif ERM):

1) Avoidance/Penghindaran (contoh: tidak meluaskan pangsa pasar, menjual sebuah divisi)2) Reduction/Pengurangan yaitu mengurangi dampak, keterjadian atau keduanya (contoh:

mengimplementasikan control)3) Sharing/Membagi dengan mentransfer atau membagi porsi risiko, (contoh: asuransi, hedging,

outsource activity)4) Acceptance/Penerimaan organisasi memilih menerima risiko dengan level tertentu daripada

menggunakan sumber daya untuk merespon dengan cara lainnya.

IIA Standard 2010 bilang:

“Planning explicity requires CAE to ‘establish a risk-based plan to determine the priorities of the internalaudit activity, consistent with the organization’s goals’”

Atau

Perencanaan secara eksplisit membutuhkan CAE untuk 'menetapkan rencana berbasis risiko untukmenentukan prioritas kegiatan audit internal, yang konsisten dengan tujuan organisasi’”

_______Mohon Tengok Exhibit 5-11 RISK BY PROCESS MATRIX Hal. 5-16___________

B. Menganalisis Proses untuk menentukan adanya hubungan antara proses dan risikoC. Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan mana

yang kunci atau bukan (sekunder)Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko.Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untukmemanaje risiko.

RBPM pada exhibit 5-11 di atas digunakan internal auditor untuk memutuskan bagian mana yang harusdimasukkan kedalam rencana audit fungsional tahunan. Langkahnya menghitung jumlah link key dansecondary untuk setiap proses. Hal ini karena link tersebut akan mempengaruhi tipe audit yang akandilakukan.

of 58

Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko adalahdengan membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses (riskfactor approach). Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess masing2proses. Biasanya ada 2 jenis factor, external risk factor dan internal risk factor.

a) External Risk FactorBerkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu sendiri.

b) Internal Risk FactorBerkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin pencapaian tujuan,kinerja orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkatperubahan dalam proses dan lingkungan di mana bisnis beroperasi.

Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model diimplementasikan:1. Menentukan skala untuk tiap factor yang di assess2. Menentukan pembobotan untuk tiap factor3. Menentukan bagaimana tiap factor dikombinasikan

_______Mohon Tengok Exhibit 5-12 RISK FACTOR APPROACH Hal. 5-18___________

Proses Bisnis dan Risiko dalam Assurance Engagement

Assurance engagement ialah pemeriksaan obyektif pada bukti-bukti dengan tujuan memberikanpenilaian independen terhadap tata kelola, manajemen risiko dan proses kontrol untuk organisasi.

_______Mohon Tengok Exhibit 5-14 RISK/CONTROL MATRIX FOR PROCESS… Hal. 5-14___________

_______Mohon Tengok Exhibit 5-15 RISK MAP PARTIALLY COMPLETED … Hal. 5-15___________

Business Process Outsorcing

Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis organisasi ke penyedialuar guna mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligusmeningkatkan kualitas pelayanan.

Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT. Sekarang berkembang menjadi HRD,engineering, CS, keuangan dan akuntansi.

Karena outsorce ini, beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan.Beberapa hal yang harus diperhatikan dalam IC pada bisnis proses outsorcing:

a. mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di outsorceb. memastikan ada cara memantau efektivitas proses outsorcec. memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses outsorce

beroperasi secara efektif, baik melalui audit internal kontrol atau tinjauan eksternal kontrold. mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku

of 58

PELUANG UNTUK MEMBERIKAN WAWASAN

Kemampuan dari auditor internal dalam menganalisis proses bisnis dan risiko terkait penyediaan fungsiaudit internal member kesempatan untuk menambah nilai yang signifikan bagi organisasi melaluiwawasan mereka terkait pekerjaan yang dilakukan yang dapat diberikan kepada manajemen di tingkatoperasional dan eksekutif. Kesempatan untuk menerapkan keterampilan ini mungkin datang sebagaiakibat dari pekerjaan yang dilakukan untuk memberikan keyakinan pada manajemen risiko danpengendalian internal dalam rangka keterlibatan jaminan tradisional seperti inisiatif rekayasa ulangproses bisnis, ulasan dalam merger dan akuisisi, atau review sebelum impelementasi sistem.

of 58

Chapter 7 IT Risk and Control

IT berubah dengan cepatnya dan memberi tantangan baru bagi seluruh organisasi, sekalipun dia tidak

menginginkannya. Sosial media mengandung risiko pencitraan buruk terhadap organisasi yang dengan

gampang diposting, risiko ini harus diantisipasi.

Penggunaan sosial media memiliki peluang dan risiko. Peluang yang diberikan antara lain:

Increase revenue

Meningkatkan kepuasan dan loyalitas pelanggan

Merekrut talenta terbaik

Meningkatkan pengembangan dan inovasi produk

Meningkatkan brand awareness dan persepsi pelanggan

Pada saat yang sama sosial media mengandung risiko, yaitu:

Kurangnya corporate governance seputar penggunaan socmed

Kurangnya kesadaran kebutuhan regulasi

Gagal melakukan pengukuran socmed

Gagal melakukan kebijakan socmed yang efektif

Karena perkembangan teknologi, banyak perusahaan yang menerapkan BYOD (bawa devicemu

sendiri). Pegawai mengakses data perusahaan melalui gadget mereka. Ini meningkatkan risiko

ketidakamanan informasi.

Seluruh organisasi berinvestasi besar-besaran pada IT untuk mencapai tujuan bisnisnya. IT membantu

organisasi dalam hal: mengenable strategi bisnis, meningkatkan performance operasi, dan

memfasilitasi pengambilan keputusan.

Contoh: perusahaan yang ingin expansi ke penjualan online, tidak akan bisa berbuat apa2 jika ga punya

teknologi e-commerce.

IT pada strategi organisasi mempengaruhi profesi internal audit. Hal ini mengubah kompetensi yang

dibutuhkan internal audit dan bagaimana mereka melaksanakan tugas consulting dan assurance. IA

harus memahami IT risk dan control serta dapat mengaplikasikan teknik audit berbasis teknologi. IT

Auditor/IS auditor harus punya pengetahuan mendalam tentang IT, namun seluruh internal auditor

harus memiliki pengetahuan memadai terkait dengan: sistem informasi organisasinya, IT risk yang

mengancam, IT governance organisasinya, risk management dan control prosesnya.

of 58

Komponen utama Sistem Informasi Modern:

1. Hardware Komputer: komponen fisik dari sistem informasi., yaitu; server, CPU, workstation,

terminal, I/O device.

2. Network: Jaringan komputer yang terhubung dua atau lebih komputer sehingga dapat berbagi

informasi/beban kerja. Tipe-tipenya antara lain:

a. Client-server: menghubungkan satu/lebih komputer dengan server

b. LAN: jaringan kecil dalam gedung

c. WAN: LAN yang saling terhubung (national, global)

d. Intranet: jaringan privat organisasi

e. Extranet: dapat diakses oleh pihak ketiga terpilih

f. Value added network (VAN): jaringan third-party yang menghubungkan organisasi

dengan trading partners

g. Internet: jaring internet besar global

h. Peer-to-peer: hubungan mesra antar device tanpa perantara jaringan

3. Computer Software: termasuk OS, utility software, database management system (DBMS)

software, aplikasi dan firewall.

4. Database: tempat penyimpanan data yang besar. Biasanya file-file yang saling terhubung dan

disimpan agar dapat diretrieve dengan mudah.

5. Information: informasi adalah sumber daya utama organisasi, mulai dari penciptaan sampai

penghancuran, teknologi dapat berperan. Sistem informasi mengumpulkan dan menyimpan

data serta mengubahnya menjadi informasi yang berguna.

6. People: Peran dalam sistem informasi secara spesifik membutuhkan CIO, database

administrator, system developer, data processing personel dan end user.

Peluang dan risiko IT

Peluang dan risiko dari IT memiliki porsi yang significan sehingga organisasi perlumengerti dan

memanage dengan efektif.

Peluang yang ditimbulkan IT:

1. ERP system: enterprise resource planning, mengintegrasikan seluruh bisnis proses dalam satu

database. Keuntungannya a.l online realtime processing, interaksi dan sharing informasi antar

fungsi lancar,meningkatkan kinerja proses, eliminasi/kurangi data berulang dan eror,

pengambilan keputusan lebih cepat.

of 58

2. EDI: electronic data interchange, pertukaran dokumen computer-to-computer antara

organisasi dengan partner bisnis. Proses transaksi lebih efisien dan lebih sedikit data eror. EDI

harus dua arah, organisasi dan partner harus sama2 punya EDI yang bagus.

Risiko IT:

Seluruh komponen sistem informasi punya risiko potensial, contoh: hardware komputer kehilangan

daya sehingga memutus transaksi, jaringan bisa disadap atau dicuri, software yang tidak valid.

Beberapa tipe IT risk:

1. Selection risk: pemilihan IT solution yang tidak sesuai dengan strategic objective.

2. Development&deployement risk: saat pengembangan ataupun penerapan, dapat terjadi

delay yang tak bisa diperkirakan, biaya yang overrun, bahkan proyek yang

ditinggalkan/dilepas.

3. Availability risk: ketiadaan sistem saat dibutuhkan dapat memperlambat pengambilan

keputusan

4. Hardware/sftware risk: kegagalan hard/software untuk berjalan dengan baik dapan

menginterupsi bisnis secara temporari atau permanen dan merusak data.

5. Access risk: risiko akses fisik maupun logik oleh pihak yang tak berkepentingan dapat

menyebabkan, modifikasi sofware yang membahayakan, pencurian, penyalahgunaan dan

penghancuran data.

6. Risiko Reliabilitas sistem dan integritas informasi: eror yang terjadi bisa sistematik, sehingga

informasi menjadi tidak reliable.

7. Confidentially dan privacy risk: pengungkapan tanpa ijin atas informasi partner bisnis,

personal data individu, dapat hancurkan bisnis ata dituntut hukum

8. Risiko Fraud dan tindakan jahat: pencurian suamber daya IT, penyalahgunaan sumberdaya IT

atau pengacauan/pengrusakan data dapat menimbulkan financial loss/misstated information.

IT Governance:

IT dapat digunakan untuk mengeksekusi strategi bisnis dan membantu pencapaian tujuan perusahaan.

Dalam merespon pengaruh IT terhadap strategi bisnis dan operasinya, organisasi menentukan IT

governance. IT governance terdiri dari kepemimpinan, struktur dan proses pengawasan yang

meyakinkan IT organisasi menopang dan menyuport strategi dan tujuan organisasi.

IT risk management

of 58

Adalah proses yang dilaksanakan oleh manajemen untuk mengerti dan menangani risiko IT dan

peluang yang daat mempengaruhi kemampuan perusahaan mencapai tujuan. Hal ini dilakukan untuk

1) mengidentifikasi dan mitigasi risiko yang mengancam organisasi, 2) identifikasi dan memanfaatkan

peluang yang membawa kesuksesan organisasi.

IT risk management berdasarkan COSO ERM:

1. Internal environment: tone of the top, board menetapkan IT risk appetite dan tollerance.

2. Objective setting: IT governance menetukan tujuan IT yang menetapkan arah aktivitas IT.

Strategic operation dari IT managemen harus selaras dengan strategic managemen

perusahaan keseluruhan.

3. Event identification: kejadian yang berpotensi muncul baik diluar maupun didalam organisasi

yang dapat mempengaruhi eksekusi strategi organisasi dan pencapaian tujuan harus

diidentifikasi.

4. Risk assesment: IT risk event yang teridentifikasi harus di assess dalam dampak bawaan dan

keterjadiannya.

5. Risk response: respon terhadap risiko yang layak harus diformulasikan terhadap event yang

teridentifikasi.

6. Control activities: Kebijakan respon terhadap risiko dan prosedur respon harus dedesain

secara memadai dan dioperasikan efektif.

7. Information and communication: informasi penting terkait identifikasi, respon, dan assess

harus dikomunikasikan dengan baik.

8. Monitoring: manajemen bertanggungjawab memonitor proses manajemen risiko IT,

termasuk prose pengendalian IT dari waktu ke waktu untuk memastikan proses berjalan

seiring perubahan-perubahan yang terjadi.

of 58

CHAPTER 8

RISK OF FRAUD AND ILLEGAL ACTS

RISIKO FRAUD DAN TINDAKAN ILEGAL

LEARNING OBJECTIVES :

1. Memahami prevalensi tindakan ilegal dan penipuan di dunia saat ini.

2. Membandingkan dan membedakan berbagai definisi tindakan illegal/ fraud.

3. Menjelaskan fraud triangle dan mengapa ketiga unsur tersebut muncul ketika terjadi fraud.

4. Menentukan jenis fraud dan faktor-faktor fraud risk.

5. Mendefinisikan tata kelola, manajemen risiko, dan pengendalian dalam konteks fraud.

6. Menjelaskan pencegahan fraud, penghindaran, dan teknik deteksi.

7. Memahami aspek perilaku fraud.

8. Menjelaskan aspek perilaku dari fraudsters.

9. Menjelaskan kepatuhan auditor internal dihubungkan dengan tanggung jawab terkait terkait untukmelindungi organisasi dari pelanggaran peraturan.

10. Memahami perkembangan tanggung jawab fungsi audit internal, termasuk keterlibatan akuntanforensik dan spesialis pemeriksaan fraud.

Salah satu risiko paling signifikan yang dihadapi organisasi kontemporer adalah risiko fraud/kecurangan.Ketika fraud muncul, apakah dilakukan oleh indibidual karyawan, kolusi diantara banyak karyawan, ataupihak ketiga diluar perusahaan yang merugiikan perusahaan bisa menyebabkan kerugian tidak hnayakerugian finansial tetapi juga rusaknya reputasi yang serius. Dalam banyak kasus, terjadinya fraud padaperusahaan publik dengan cepat menyebabkan penurunan pada harga saham dan kapitalisasi pasar, dandapat menjadi indikator awal dari financial distress/ kesulitan keuangan.

Mengingat konsekuensi ekonomi yang serius dari fraud, manajemen senior dan governing boardssemakin menekankan program anti fraud dan kontrol untuk menangani bisnis utama, kepatuhanterhadap peraturan, dan driver pasar. Pembaruan fokus global pada tata kelola perusahaan berasal darikesadaran bahwa kecurangan pelaporan keuangan dengan mudah dapat menyebabkan kegagalanorganisasi.

Tindakan llegal adalah kegiatan yang melanggar hukum dan peraturan yurisdiksi tertentu di manaperusahaan beroperasi. Auditor internal di perusahaan besar sering mengambil peran untuk

of 58

memastikan kepatuhan terhadap peraturan. Langkah pertama biasanya termasuk penyelesaianpenilaian risiko fraud. Telah terjadi peningkatan dalam penerapan peran baru dalam banyak organisasi,seperti direktur kepatuhan (CCO) dan pejabat risiko kepala (CRO).

OVERVIEW OF FRAUD IN TODAY'S BUSINESS WORLD

Fraud tidak terbatas hanya pada negara atau industri tertentu. Fraud dapat timbul dalam organisasihampir setiap saat. Pada awal abad kedua puluh satu, skandal akuntansi besar di AS (misalnya, Enrondan World Com) adalah berita utama di seluruh dunia. Skandal perusahaan tersebut tidak hanyamerugikan investor miliaran dolar AS, kejadian tersebut juga mengakibatkan hilangnya kepercayaanpasar modal AS.

Association of Certified Fraud Examiners (ACFE) melakukan survei dua tahunan kepada anggotanya danmenyiapkan A Report To The Nation On Occupational Fraud And Abuse (Report To Nation).. Akhirtahun 2012 Laporan mencakup 94 negara dan dengan demikian memberikan wawasan tentang fraud diseluruh dunia. Laporan tahun 2012 didasarkan pada data yang dikumpulkan dari 1.388 kasus penipuandari berbagai industri yang diteliti pada tahun 2010 dan 2011. Fraud terus menjadi perhatian utama bagiorganisasi di seluruh dunia, dengan lebih dari seperlima dari insiden fraud yang menyebabkan kerugiansebesar $ 1 juta pada 2011.

Informasi dari kasus-kasus tersebut dilaporkan oleh certified fraud examiners (CFEs) yang menyelidikikasus-kasus tersebut . Berikut rangkuman dari beberapa temuan selama tahun 2012 :

Peserta dalam survei memperkirakan bahwa organisasi kehilangan 5 persen dari pendapatantahunan mereka dari fraud, sedikit menurun dari 6 persen diperkirakan (untuk AS saja) padatahun 2010 laporan kepada bangsa.

Skema penipuan kerja cenderung sangat mahal.

Skema penipuan Kerja sering berlanjut selama bertahun-tahun sebelum mereka terdeteksi.

Skema penipuan yang paling umum adalah penyalahgunaan aset, yang terjadi pada 87 persendari semua kasus, dan mengakibatkan kerugian rata-rata $ 120.000.

Penipuan kerja jauh lebih mungkin untuk dideteksi dengan tip(petunjuk/informasi) daripadaaudit, kontrol, atau cara lain.

Corruption and billing schemes menimbulkan risiko terbesar bagi organisasi di seluruh dunia.

Semakin lama pelaku fraud telah bekerja untuk sebuah organisasi, kerugian akan fraudcenderung semakin tinggi.

Fraud dapat terjadi dalam setiap jenis organisasi, industri yang paling sering menjadi korbanadalah perbankan dan jasa keuangan, pemerintah dan administrasi publik, dan manufaktur.

Occupational frauds yang paling sering dilakukan oleh individu yang bekerja di salah satu darienam departemen: akuntansi, operasional, penjualan, eksekutif / manajemen atas, layananpelanggan, dan pembelian.

of 58

Occupational fraudsters umumnya merupakan pelanggar pertama kali.

Fraud perpetrators / Pelaku penipuan sering menampilkan ciri-ciri perilaku yangmengindikasikan kemungkinan perilaku ilegal; ini tercatat dalam 81 persen dari kasus yangdilaporkan.

Poin kunci di sini adalah bahwa tidak ada organisasi yang kebal terhadap fraud. Hal ini dapat terjadi diorganisasi besar dan kecil, dan di negara atau industri. Selama manusia, dengan kelemahan yangmelekat pada mereka, yang terlibat dalam organisasi, risiko fraud adalah nyata.

DEFINITIONS OF FRAUD

Black's Authoritative Definition Of Fraud

Fraud adalah istilah generik, yang mencakup segala cara dimana kecerdikan manusia dapatmerancang, dan yang dilakukan oleh satu individu untuk mendapatkan keuntungan lebih dari yanglain dengan saran palsu atau dengan menekan kebenaran, dan mencakup semua kejutan, trik, licik,dissembling, dan cara yang tidak adil dimana ada pihak lain yang ditipu.

The Institute of Internal Auditors (IIA)

(From the Glossary to its Standards in the International Professional Practices Framework)

Fraud adalah setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, ataupelanggaran kepercayaan. Penipuan dilakukan oleh partai dan organisasi untuk memperoleh uang,properti, atau layanan; untuk menghindari hilangnya pembayaran jasa, atau untuk mengamankankeuntungan pribadi atau bisnis.

The American Institute of Certified Public Accountants (AICPA)

(From Statement on Auditing Standard No. 99)

Fraud adalah tindakan disengaja yang mengakibatkan salah saji material dalam laporan keuanganyang tunduk pada audit. Salah saji timbul dari kecurangan pelaporan keuangan dan penyalahgunaanaset.

Association of Certified Fraud Examiners (ACFE)

(From the 2008 Report to the Nation on Occupational Fraud)

Penggunaan kedudukan seseorang untuk memperkaya diri melalui penyalahgunaan yang disengajaatau penyalahgunaan sumber daya atau aset organisasi.

The ACFE's Occupational Fraud and Abuse Classification System menjelaskan tiga jenis utama fraud:pernyataan palsu, yang umumnya melibatkan pemalsuan laporan keuangan suatu organisasi (misalnya,melebih-lebihkan pendapatan dan mengecilkan kewajiban dan beban); penyalahgunaan aset, yangmelibatkan pencurian atau penyalahgunaan aset organisasi (misalnya, menggelapkan pendapatan,mencuri persediaan, atau penipuan gaji); dan korupsi, di mana pelaku fraud menggunakan pengaruh

of 58

mereka dalam sebuah transaksi bisnis untuk mendapatkan manfaat bagi diri sendiri atau orang lain,bertentangan dengan kewajiban mereka kepada atasan mereka atau hak-hak dari pihak lain.

EXHIBIT 8-6

OUTLINE OF THE ACFE'S OCCUPATIONAL FRAUD AND ABUSE CLASSIFICATION SYSTEM

1. Manipulasi secara sengaja terhadap laporan keuangan, yang dapat menyebabkan:

a. Tidak tepatnya pelaporan pendapatan.

b. Tidak tepatnya pelaporan biaya.

c. Tidak tepatnya penggambaran jumlah neraca, termasuk cadangan.

d. Tidak tepatnya peningkatan dan / atau pengungkapan yang tidak transparan.

e. Menyembunyikan penyalahgunaan aset.

f. Menyembunyikan penerimaan dan pengeluaran yang tidak sah.

g. Menyembunyikan akuisisi tidak sah, disposisi, dan penggunaan aset.

2. Penyelewengan atas:

a. Aset berwujud oleh:

i. Karyawan

ii. Pelanggan

iii. Vendors.

iv. Mantan karyawan dan lain-lain di luar organisasi

b. Aset tak berwujud.

c. Peluang bisnis yang dimilik.

3. Korupsi, termasuk:

a. Penyuapan dan Bribery and gratifikasi untuk:

i. Perusahaan

ii. Individu

iii. Pejabat publik

b. Penerimaan suap, kickbacks dan gratifikasi

c. Membantu dan bersekongkol penipuan oleh pihak lain (misalnya, pelanggan, vendor)

of 58

THE FRAUD TRIANGLE

Sebuah kerangka konseptual penting dalam memahami fraud adalah konsep fraud triangle yang terdiridari kesempatan (opportunity), kebutuhan/tekanan (need/pressure) dan rasionalisasi (rationalization).

Opportunity biasanya muncul sebagai akibat lemahnya pengendalian inernal di organisasi tersebut.

Terbukanya kesempatan ini juga dapat menggoda individu atau kelompok yang sebelumnya tidak

memiliki motif untuk melakukan fraud.

Pressure atau motivasi pada sesorang atau individu akan membuat mereka mencari kesempatan

melakukan fraud, beberapa contoh pressure dapat timbul karena masalah keuangan pribadi, Sifat-sifat

buruk seperti berjudi, narkoba, berhutang berlebihan dan tenggat waktu dan target kerja yang tidak

realistis.

Rationalization terjadi karena seseorang mencari pembenaran atas aktivitasnya yang

mengandung fraud. Pada umumnya para pelaku fraud meyakini atau merasa bahwa tindakannya bukan

merupakan suatu kecurangan tetapi adalah suatu yang memang merupakan haknya, bahkan kadang

pelaku merasa telah berjasa karena telah berbuat banyak untuk organisasi. Dalam beberapa kasus

lainnya terdapat pula kondisi dimana pelaku tergoda untuk melakukan fraud karena merasa rekan

kerjanya juga melakukan hal yang sama dan tidak menerima sanksi atas tindakan fraud tersebut.

of 58

KEY PRINCIPLES FOR MANAGING FRAUD RISK

The Fraud Guide menekankan betapa pentingnya bagi entitas untuk menetapkan upaya ketat danberkelanjutan untuk melindungi diri dari tindakan penipuan. Ada lima prinsip inti yang perlu diikuti olehorganisasi:

Prinsip 1: Fraud Risk Governance

Sebuah entitas perlu membangun struktur tata kelola yang kuat untuk mengawasi manajemen risikodan aktivitas lainnya yang berada di tempat untuk membantu memastikan pencapaian tujuan bisnis,terutama untuk mengidentifikasi dan mengelola risiko fraud.

Prinsip 2: Fraud Risk Assessment

Entitas harus terlebih dahulu mengidentifikasi kejadian fraud yang potensial atau scenario yangmungkin rentan.

Prinsip 3 dan 4: Fraud Prevention and Detection

Program manajemen risiko fraud harus memiliki keseimbangan pencegahan dan deteksi kontrolyang tepat. Kontrol Pencegahan dapat dirancang untuk menghentikan penipuan dari yang terjadi.

Sementara organisasi biasanya lebih memilih untuk mencegah penipuan, yang tidak selalu efektif,adalah penting untuk merancang dan menerapkan kontrol deteksi yang efektif juga.

Prinsip 5: Fraud Reporting, Investigation and Resolution

Penting bagi suatu organisasi untuk membangun sistem pelaporan untuk memfasilitasi danmendorong pelaporan insiden penipuan potensial.

GOVERNANCE OVER THE FRAUD RISK MANAGEMENT PROGRAM

Pada organisasi yang telah mengembangkan budaya perusahaan yang mencakup praktik tatakeloladewan sampai dengan operasional di level manajemen, termasuk:

- Arus informasi dan agenda Dewan Komisaris

- Akses ke berbagai level manajemen dan pengendalian efektif dari jalur whistleblower

- Proses nominasi yang independen

- Tim Manajemen Senior yang efektif evaluasi, manajemen kinerja, kompensasi dan rencanasuksesi

of 58

- Pedoman perilaku yang spesifik bagi manajemen senior, sebagai tambahan pedoman perilakuorganisasi

- Penekanan yang kuat pada efektivitas independen BoC dan proses melalui evaluasi BoC, sesipimpinan dan partisipasi aktif dalam upaya pengawasan strategis dan mitigasi risiko.

ROLES AND RESPONSIBILITIES

Peran dan TanggungJawab dalam program manajemen risiko fraud harus dilakukan secara formal dandikomunikasikan. Kebijakan dan prosedur, job description, piagam dan delegasi dari pihak berwenangpenting dalam mendefinisikan beragam peran dan tanggungjawab program tersebut.

1. Board of Directors

Board of Director melakukan praktik governace seperti yang dijelaskan di atas. Board of Directormenjalankan peran oversight termasuk dalam program manajemen risiko perusahaan

2. Manajemen

Manajemen senior selain harus memberikan contoh atau “tone of the top” juga berperan dalammembangun sistem monitoring dan pelaporan yang memungkinkan evaluasi apakah manajemen risikofraud berjalan secara efektif.

3. Pegawai

Pelaksanaan program manajemen risiko fraud, khususnya kontrol yang dirancang untuk mencegah danmendeteksi kecurangan, harus melibatkan setiap orang dalam organisasi. Seluruh pegawai dilibatkandalam pelaksanaan program manajemen risiko fraud melalui internalisasi budaya perusahaan dandibekali pemahaman untuk membangun fraud awareness

4. Unit Audit Internal

Sebagai unit yang memiliki peran assurance dalam perusahaan memegang peran penting dalamtatakelola dan program manajemen risiko kecurangan di perusahaan.

Components of a Fraud Risk Management Program

Meskipun tidak ada "satu ukuran cocok untuk semua" pendekatan untuk merancang programmanajemen risiko fraud, ada komponen tertentu yang umum umumnya efekti. Biasanya, program-program yang terintegrasi sukses memiliki komponen kunci tertentu, yaitu:

1. Komitmen board dan senior manajemen

2. Fraud awareness yang membantu karyawan dalam memahami tujuan, persyaratan, dantanggung jawab program.

3. Affirmation proses/ penegasan berkala kepada karyawan agar karyawan memahami danmematuhi kebijakan dan prosedur.

of 58

4. A conflict disclosure protocol/ prosedur pengungkapan konflik

5. Assesment atas risiko fraud yang membantu untuk mengidentifikasi semua skenario penipuan

6. Prosedur pelaporan dan perlidungan terhadap whistleblower

7. Proses investigasi yang menjamin semua hal dilaksanakan tepat waktu dan penyelidikan yangmenyeluruh.

8. Tindakan disipliner dan / atau perbaikan yang mengatasi ketidakpatuhan dengan menetapkankebijakan dan membantu mencegah perilaku fraud.

9. Prose evaluasi dan perbaikan untuk memberikan jaminan kualitas bahwa program ini akanberlanjut untuk mencapai tujuan.

10. Pemantauan terus-menerus untuk memastikan program secara konsisten beroperasi aepertiyang dirancang.

FRAUD RISK ASSESMENT

Proses Fraud Risk Assesment mirip dengan tahapan pelaksanaan pengukuran risiko perusahaan secarakeseluruhan. Terdapat tiga langkah kunci sbb:

1. Mengidentifikasi Risiko Fraud yang melekat (inherent)

2. Mengukur dampak dan keterjadian (impact & likelihood) dari risiko yang diidentifikasi

3. Mengembangkan respon atas risiko yang memiliki dampak dan keterjadian tinggi pada kejadiandiluar toleransi manajemen

Dalam melakukan pengukuran risiko fraud, penting untuk melibatkan individu dengan beragampengetahuan, kemampuan dan perspektif. Umumnya terdiri atas personel sebagai berikut:

Personel Akuntansi dan Keuangan

membantu mengidentifikasi skenario kecurangan pelaporan keuangan maupun pencurian asetperusahaan

Personel Unit Bisnis Non-Keuangan

meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggandan vendor, serta skenario kecurangan terkait industri lainnya

Personel Bidang Hukum dan Kepatuhan (Legal & Compliance Officer)

meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggandan vendor, serta skenario kecurangan terkait industri lainnya

Personel Manajemen Risiko

membantu mengidentifikasi skenario kecurangan pasar dan asuransi dan memastikan bahwa

of 58

fraud risk assesment terintegrasi dengan risk assesment perusahaan secara keseluruhan

Auditor Internal

sebagai pihak yang memiliki pemahaman luas tentang skenario risiko kecurangan danpengendalian

Serta Pihak lain dari intern maupun ekstern yang dapat menyediakan tambahan keahlian

Proses Fraud Risk Assesment mirip dengan proses risk assesment dalam tahapan manajemen risikoperusahaan (enterprise Risk Management) yang di Garuda dijalankan oleh fungsi VP Risk Management,yaitu menilai dampak dan keterjadian (impact & likelihood) fraud pada perusahaan. Metode yangdilakukan antara lain melalui (1) Wawancara ; (2) Survei, dan (3) Rapat fasilitasi (facilitated meeting)dengan pihak terkait.

FRAUD RISK IDENTIFICATION

Identifikasi Fraud Risk yang dilakukan harus dapat mengidentifikasi hal-hal sebagai berikut:

Insentif, Tekanan dan Kesempatan

Risiko Pelanggaran Pengendalian dari manajemen

Populasi Fraud Risk

Kecurangan Pelaporan Keuangan

Penyalahgunaan Aset

Korupsi

Risiko Kecurangan Lainnya

Penilaian dampak dan kemungkinan risiko Fraud

Menentukan potential impact dan likelihood dari tiap scenario fraud merupakan proses yang subjektif.Berikut adalah beberapa poin yang harus dipertimbangkan ketika melakukan assessment resiko fraud

- ImpactPenting untuk mempertimbangkan impact yang tidak hanya terkait laporan keuangan maupundampak moneter. Karena impact yang lain bisa jadi mempunyai kemungkinan dampak negativeyang lebih besar terhadap laporan keuangan maupun dampak moneter. Contohnya, legalimpact, reputational impact, operational impact, dll

- Likelihood

of 58

Response to Fraud Risk

Berikut merupakan COSO ERM – Integrated Framework dalam merespon resiko fraud

- Jika resiko tidak dapat ditoleransi untuk terjadi pada perusahaan, bahkan dalam skala kecil,manajemen dapat mempertimbangkan untuk menghindari resiko tersebut

- Jika organisasi tidak mempunyai toleransi terhadap resiko, tetapi tidak dapat menghindarinyatanpa mengganggu tujuan organisasi, pengendalian harus didesign untuk mengurangikemungkinan terjadinya insiden/resiko.

- jika suatu organisasi menginginkan untuk mengurangi dampak atau kemungkinan risiko, tetapitidak yakin memiliki keterampilan atau pengalaman untuk melakukannya secara efektif danefisien, organisasi dapat membagi pengoperasian kontrol preventif dan detektif denganorganisasi yang lebih siap untuk melaksanakan kontrol tersebut

- jika terjadinya risiko dapat ditoleransi, manajemen dapat memutuskan untuk menerima risikosebagaimana level saat ini dan tidak membuat upaya khusus untuk mengelola risiko

Illegal Act and Response

IIA mendefinisikan fraud sebagai “setiap tindakan ilegal dengan karakteristik tipu daya,menyembunyikan, atau pelanggaran terhadap kepercayaan”. Beberapa topik seputar Foreign CorruptPractices Act (FCPA) yang relevan untuk auditor internal yang berfokus pada upaya kepatuhan adalah:

- Ketentuan anti-penyuapan dan masalah terkait kepatuhan.- pencatatan dan ketentuan pengendalian akuntansi internal.- melakukan due diligence dan menetapkan langkah-langkah terhadap kepatuhan.- penyelidikan internal, kewajiban keterbukaan, dan monitor- bisnis terkait, kontrak, dan masalah ketenagakerjaan.- tindakan untuk tetap menghindari pelanggaran terhadap FCPA dan tindakan penegakan hukum

preemptif

Fraud Prevention

Sebagai tambahan terhadap pelaksanaan lingkungan tata kelola yang kuat, panduan fraud menguraikanunsur-unsur umum yang dapat memainkan peran penting dalam mencegah penipuan:

- Melakukan investigasi latar belakang- memberikan pelatihan anti-fraud- mengevaluasi kinerja dan program kompensasi- melakukan wawancara ketika pegawai keluar- Pembatasan otoritas- Prosedur transaksi yang berlapis

Fraud Prevention

Berikut ini merupakan beberapa metode deteksi:

- Whistleblower hotlines

of 58

- Process ControlPengendalian yang umum dilakukan adalah melalui proses yang dilakukan sehari-hari.

- Proactive fraud detection proceduresProactive procedure yang umum dilakukan termasuk diantaranya data analysis, auditingberkelanjutan, dan penggunaan tools lainnya yang dapat mendeteksi anomaly, maupun trenyang tidak wajar.

Fraud investigation and corrective action

Menerima Tuduhan/laporan

The investigation and response system should include a process for:

- Mengkategorikan permasalahan- Mengkonfirmasi validitas laporan/aduan- Mendefinisikan tingkat keparahan laporan/aduan- Menyelidiki permasalahan disaat yang tepat- Mengacu pada isu isu permasalahan di luar lingkup program- Melakukan investigasi dan pencarian fakta- Menjaga permasalahan yang dikategorikan confidential- Mendefinisikan bagaimana investigasi akan didokumentasikan- Mengelola dan mempertahankan, menjaga keamanan dokumen dan informasi

Mengevaluasi laporan/aduan

- Menentukan apakah laporan ini memerlukan investigasi formal atau informasi sudah didapatkansecara cukup untuk menarik kesimpulan

- Siapa yang harus memimpin investigasi?- Apakah diperlukan keahlian atau tools khusus untuk investigasi?- Siapa yang perlu diwaspadai, dan kapan?- Menentukan prosedur formal

Establishing investigation protocols

- Time sensitivity- Notification- Confidentiality- Legal previleges- Compliance- Securing evidence- Objectivity- Goals

of 58

UNDERSTANDING FRAUDSTERS

Selain harus memiliki pengetahuan mengenai karakteristik fraud, teknik-teknik yang digunakan dalammelakukan fraud, dan jenis-jenis fraud yang mungkin terjadi pada berbagai proses bisnis, Auditorinternal harus mampu memahami pola pikir dan perilaku para pelaku fraud serta memiliki rasaprofessional skepticism yang tinggi dan tidak berasumsi bahwa orang akan "melakukan hal yang benar."Auditor internal harus "berpikir seperti seorang penjahat untuk menangkap penjahat." Mereka harusmencoba untuk memahami mengapa seorang individu yang dinyatakan jujur akan melakukan tindakanyang tidak jujur. Dengan pemahaman ini maka akan meningkatkan kemungkinan bahwa internal auditordapat mendeteksi, dan dalam beberapa kasus bahkan mencegah, seorang individu dari melakukanfraud.

Behavioral science/ Ilmu perilaku sejauh ini belum mampu mengidentifikasi satu karakteristik psikologisatau seperangkat karakteristik yang dapat berfungsi sebagai penanda yang andal atas kecenderunganseseorang untuk melakukan fraud. Salah satu forensic accountant and fraud examiner berpengalaman,Thomas Golden, percaya bahwa pelaku fraud pelaporan keuangan akan sesuai dengan salah satu daridua profil berikut ini, yaitu: "greater good oriented" or "scheming, self-centered" types. Mereka yangcocok dengan profil greater good oriented adalah "individu tidak jujur yang menggambarkan angkadengan rasionalisasi bahwa apa yang mereka lakukan yang terbaik bagi perusahaan. Scheming, self-centered adalah "individu yang menunjukkan pengabaian atas kebenaran, sangat menyadari apa yangmereka lakukan, dan mencoba untuk mencapai tujuan dengan tidak jujur.Dengan mendapatkan wawasan atas red flag potensial yang mensinyalkan individu yang lebih rentanterhadap melakukan fraud akan membantu auditor internal memahami kapan risiko penipuan akanmeningkat.Red flags tersebut adalah termasuk orang-orang yang:

Menunjukkan gaya hidup yang tampaknya di luar kemampuan mereka saat ini. Apakah mengalami masalah keuangan yang ekstrim dan / atau memiliki utang pribadi yang luar

biasa. Memiliki kecenderungan yang tidak biasa untuk menghabiskan uang. Apakah menderita depresi atau masalah emosional lainnya. Memiliki obsesi perjudian. Memiliki kebutuhan atau keinginan atas status, dan percaya bahwa uang bisa membeli status.

Auditor internal tidak diharapkan untuk menjadi behavioral psychologists or criminologists/ psikologperilaku atau kriminolog. Namun, dengan mendapatkan wawasan yang mendalam tentang apa yangmemotivasi pelaku fraud dapat membantu auditor internal "menjaga antena mereka" di tempat kerjadan mengantisipasi individu yang dapat menimbulkan risiko fraud yang lebih besar.

IMPLICATIONS FOR INTERNAL AUDITORS AND OTHERS

Seharusnya sudah jelas bahwa auditor internal memainkan peran kunci dalam program manajemenrisiko fraud. Standar memberikan petunjuk khusus untuk auditor internal. Sebagai contoh:

Standar 1210.A2 - Auditor internal harus memiliki pengetahuan yang cukup untuk mengevaluasirisiko fraud dan cara yang dikelola oleh organisasi, tetapi tidak diharapkan memiliki keahlianseseorang yang tanggung jawab utamanya adalah mendeteksi dan menyelidiki fraud.

of 58

Standar 1220.A1 - Auditor internal harus bekerja secara profesional dengan mempertimbangkan... kemungkinan kesalahan yang signifikan, fraud, atau ketidakpatuhan.

Standar 2060 - Kepala eksekutif audit (CAE) harus melaporkan secara berkala kepadamanajemen senior dan dewan pada ... risiko fraud ...

Standar 2120.A2 - audit internal [fungsi] harus mengevaluasi potensi terjadinya fraud danbagaimana organisasi mengelola risiko fraud.

Sebagai "mata dan telinga, lengan dan kaki dari komite audit," auditor internal perlumempertimbangkan pertanyaan-pertanyaan berikut:

Risiko fraud apa yang sedang dipantau oleh manajemen secara periodik atau berkala? Apakahrisiko kritis fraud yang berulang dan bahkan terus menerus, monitoring?

Apa prosedur khusus yang sedang dilakukan oleh fungsi audit internal untuk mengatasipengesampingan manajemen atas kontrol internal?

Apakah sesuatu telah terjadi yang mengarahkan fungsi audit internal untuk mengubah penilaianrisiko atas pengesampingan manajemen atas kontrol internal?

Kompetensi dan keterampilan apa yang auditor internal butuhkan untuk mengatasi risiko frauddalam organisasi? Kapan mereka harus memakai/mendapatkan layanan dari spesialis dari luaruntuk menangani masalah yang sangat kompleks?

Sebagai tambahan untuk membagun jalur langsung pelaporan kepada komite audit, bagaimanastatus organisasi independen dari fungsi audit internal bisa diperkuat? Apakah merekadiandalkan sebagai profesional yang kompeten dan obyektif dalam menangani risiko danpengendalian masalah fraud?

Bagaimana seharusnya fungsi audit internal mencurahkan perhatiannya pada pencegahan,penghindaran, detektif, dan aspek investigasi fraud?

Bagaimana audit internal menambahkan perangkat lunak analisis data untuk memberikandeteksi dini?

Professional Skepticism, Professional Judgment, And Forensic Technology

Pelaksanaan professional judgment terletak di kegiatan assurance dan konsultasi fungsi audit internal.Ketika menilai risiko fraud, auditor internal harus menunjukkan tingkat professional skepticism yangtinggi, yaitu, kemampuan secara kritis mengevaluasi bukti dan informasi yang tersedia. Hal ini khususnyaterjadi karena pelaku fraud yang biasanya "menutupi jejak mereka". Sebagai contoh, diperlukanketekunan yang kuat oleh 2004 Time magazine's Person of the Year, Cynthia Cooper dan tim auditinternal nya di WorldCom, untuk menggali fraud besar-besaran yang dilakukan oleh manajemenWorldCom.

Dengan menggunakan teknologi komunikasi, investigasi forensik dan pemeriksaan fraud di masa depanakan sangat bergantung pada forensik komputer, pencitraan data komputer, penemuan buktielektronik, dan analisis data terstruktur dan tidak terstruktur. Dengan kata lain, penggunaan teknologitidak akan terbatas pada analisis data (setelah data terstruktur telah dikumpulkan); sebaliknya,penggalian dan pelestarian bukti elektronik biasanya dalam bentuk tekstual, data tidak terstruktur yangmembutuhkan pencarian kata kunci. Dalam konteks seperti itu, akan sangat penting bagi pemeriksafraud untuk memiliki pemahaman dan penguasaan yang baik atas alat dan teknik digital teknologiforensik.

of 58

Use of Fraud Specialists

Fungsi audit internal dapat memainkan berbagai peran untuk memerangi fraud dalam suatu organisasi,termasuk melakukan training kesadaran fraud, menilai rancangan program antifraud dan kontrol,menguji efektivitas operasi pengendalian tersebut, menyelidiki kejanggalan dan keluhan whistleblower,dan melakukan investigasi penuh dengan matang atas perintah komite audit. Namun, fungsi auditinternal mungkin tidak memiliki pengalaman dan keterampilan untuk melakukan semua peran ini.Akibatnya, adalah umum bagi CAE untuk mencari bantuan spesialis fraud untuk melengkapiketerampilan mereka dalam fungsi tersebut.Ada banyak keuntungan untuk menggunakan outside fraud specialists, ditambah lagi independensi yangmereka bawa dalam pekerjaan. Sebagai contoh, mereka memiliki pengalaman yang luas dalammengidentifikasi dan menyelidiki berbagai skema fraud yang berbeda. Oleh karena itu, mereka dapatmembantu dalam mengidentifikasi dan menilai "usual suspect (tersangka biasa)" danmerekomendasikan metode optimal penyelidikan. Selain itu, dengan pernah bekerja bersama penasihatindependen, penasihat umum, pengacara negara, regulator, aparat penegak hukum, akuntan danauditor lain, dan jaksa, mereka memiliki pemahaman yang baik tentang isu-isu seperti:

Cara terbaik untuk menyelidiki jenis tertentu skema fraud. Menilai kualitas dan kuantitas bukti yang dibutuhkan. Mengevaluasi diterimanya bukti berkonsultasi dengan pengacara luar. Melestarikan bukti dan chain of custody. Kebutuhan, serta potensi untuk bertindak sebagai, saksi fakta atau sebagai ahli.

Communicating Fraud Audit Outcomes

Auditor internal merangkum hasil temuan mereka dan mengkomunikasikannya secara sistematis,terorganisir untuk meningkatkan kejelasan dan pemahaman, yang biasanya meliputi:

Sebuah pernyataan yang singkat dan jelas tentang masalah. Sebuah kutipan dari kebijakan yang relevan, peraturan, standar, hukum, dan peraturan yang

mungkin berlaku untuk kasus yang ditangani. Analisis atas bukti yang terkumpul untuk membentuk pendapat profesional. Kesimpulan; yaitu temuan dan rekomendasi.

Ini akan membantu membuat komunikasi yang jelas dan berguna, terutama jika sedang diandalkan olehpenasihat umum (general counsel) atau pengacara luar melakukan penyelidikan, yang mungkin inginmembuat bagian komunikasi bagian dari komunikasi mereka. Pada setiap waktu, komunikasi yangdikeluarkan oleh auditor internal harus berisi fakta-fakta saja, dan setiap upaya harus dilakukan untukmenjauhkan diri dari pendapat pribadi atau segala jenis bias atau spekulasi yang berpotensi masuk keanalisis.Dalam hal apapun, mereka tidak harus berusaha untuk memperbaiki kesalahan pada karyawan tertentu,tetapi hanya harus menyatakan bahwa bukti yang dikumpulkan muncul untuk mendukung kesimpulanbahwa fraud mungkin telah dilakukan. Menentukan kesalahan adalah fungsi dari pengadilan (hakim danjuri), dan biasanya di luar lingkup tanggung jawab auditor internal.

OPPORTUNITIES TO PROVIDE INSIGHT

Auditor internal dapat memberikan pemahaman kepada manajemen senior mengenai pencegahan dan

of 58

deteksi fraud dan tindakan ilegal dalam beberapa cara. Sepuluh peluang utama bagi auditor internaluntuk memberikan pemahaman diuraikan dalam exhibit 8-13.

EXHIBIT 8-1310 oppotunities fungsi auditor internal untuk menyediakan wawasan tentang risiko fraud dan tindakanilegal

1. Membantu organisasi dalam pengembangan penilaian risiko fraud yang komprehensif.2. Mengembangkan proses untuk deteksi dini fraud.3. Mengembangkan alat analisis data yang dapat digunakan untuk mendeteksi fraud pada tahap

awal.4. Membantu dengan pengembangan prosedur hotline call.5. Memberikan pelatihan kesadaran akan fraud di seluruh organisasi.6. Bertindak tegas pada peristiwa fraud yang signifikan.7. Membantu dalam analisis postmortem ketika fraud terjadi.8. Menginformasikan kepada manajemen dari tindakan hukum potensial yang berisiko untuk

organisasi.9. Membantu manajemen dalam mengembangkan budaya perilaku etis dan toleransi rendah

terhadap fraud.10. Tetap mengikuti dan menginformasikan pengelolaan atas masalah-masalah yang muncul dan

isu-isu yang berkembang terkait dengan kepatuhan dan peraturan.

of 58

resume audit internal

Documents

salah satu sumber informasi

pihak internal mapun

nilai internal auditor

menyediakan insight

upaya meningkatkan efektivitas

proses bisnis perusahaan3