Resume Audit Internal

(1)

Chapter I

Introduction to Internal Auditing

Terdapat tiga komponen utama dari nilai internal auditor yang digambarkan oleh IIA: 1. Assurance = Governance, risiko dan kontrol

Internal audit menyediakan assurance dalamgovernance organisasi, manajemen risiko dan proses kontrol untuk membantu pencapaian tujuan strategis, operasional keuangan dan compliance

2. Insight = Catalyst, Analyses dan Assessment

Internal auditor merupakan catalyst dalam upaya meningkatkan efektivitas dan efisiensi organisasi dengan menyediakan insight (wawasan) dan rekomendasi berdasarkan analisis dan penilaian atas data dan proses bisnis perusahaan

3. Objective = integritas, akuntabilitas dan independensi

Dengan komitmen atas integritas dan akuntabilitas, internal audit menyediakan nilai tambah bagi organisasi serta manajemen senior sebagai salah satu sumber informasi yang lebih objective serta memberikan independent advice.

Definisi internal auditing menurut IIA pada tahun 1999 adalah:

Internal Auditing adalah aktivitas assurance dan konsulting yang independen dan objektif yang didesain untuk memberikan nilai tambah dan meningkatkan operasi dari perusahaan. Hal tersebut akan membantuk dalam pencapaian tujuan melalui pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektifitas dari manajemen risiko, kontrol dan governance process. Komponen kunci dari pengertian tersebut adalah:

 Membantu dalam pencapaian tujuan perusahaan

 Mengevaluasi dan meningkatkan efektifitas dari pengendalian risiko, kontrol dan governance process

 Aktivitas consulting dan assurance yang didesain untuk memberikan nilai tambah dan meningkatkan operasi

 Independen dan objektif

 Pendekatan yang sistematis dan disiplin Membantu dalam pencapaian tujuan organisasi

Tujuan organisasi menggambarkan apa yang ingin dicapai oleh organisasi. Pada level yang lebih tinggi pada perusahaan, tujuan dari organisasi tersebut tertuang di dalam visi dan misi organisasi. Committee of Sponsoring Organization of the Treadway Commission (COSO) pada tahun 2004 telah mengkategorisasikan Bussiness objective suatu perusahaan, yaitu:

(2)

 Strategic objectives, menyinggung tentang nilai yang dibuat oleh manajemen untuk tujuan stakeholder dari organisasi. Tujuan ini menunjuk pada apa yang ingin dicapai oleh organisasi serta strategi apa yang ditetapkan dalam mencapai tujuan tersebut.

 Operations objectives, menyinggung tentang efektifitas dan efisiensi dari operasi organisasi, termasuk diantaranya tindakan dalam mencapai tujuan keuntungan (profitabilitas) serta perlindungan atas sumber daya dari kerugian.

 Reporting objectives, berkaitan dengan reliabilitas dari pelaporan keuangan maupun non keuangan kepada pihak internal mapun eksternal.

 Compliance objectives, menyinggung tentang ketaatan terhadap peraturan yang berlaku serta regulasi.

Mengevaluasi dan meningkatkan efektifitas dari pengendalian risiko, kontrol dan governance process Suatu organisasi tidak dapat mencapai tujuannya serta memperoleh kesuksesan tanpa manajemen risiko, kontrol dan governance process yang efektif.

Governance didefinisikan sebagai suatu proses yang diselenggarakan oleh direksi (Board of Directors) dalam baik secara langsung atau dikuasakan kepada manajemen dalam pencapaian tujuan organisasi. Manajemen risiko juga saling terhubung dengan governance, merupakan suatu proses yang dilaksanakan oleh manajemen dalam memahami dan mengelola suatu ketidakpastian (Risiko dan kesempatan) yang dapat terjadi pada perusahaan dalam pencapaian tujuan.

Sedangkan kontrol tertanam di dalam manajemen risiko merupakan suatu proses yang dilaksanakan manajemen dalam mitigasi risiko dalam sampai kedalam level yang dapat diterima.

Tiga hal tersebut di atas merupakan suatu proses yang focus dalam pencapaian tujuan perusahaan. Dimana Board of Directors bertanggung jawab dalam melaksanakan governance process sedangkan manajemen bertanggung jawab terhadap pelaksanaan manajemen risiko dan proses kontrol.

Aktivitas consulting dan assurance yang didesain untuk memberikan nilai tambah dan meningkatkan operasi

Pekerjaan dalam rangka aktivitas Assurance dan consulting dibedakan dalam tiga hal: yaitu tujuan utama dari pekerjaan tersebut, siapa yang menentukan sifat dan lingkup dalam perjanjian tersebut dan kelompok yang terlibat.

Tujuan utama dari internal assurance adalah untuk menilai bukti apakah telah sesuai dengan subjek persoalan serta memberikan kesimpulan mengenai subjek persoalan tersebut. Fungsi internal audit menentukan sifat dan lingkup dari assurance atas perjanjian dimana secara umum terdapat tiga pihak yang terlibat, yaitu: auditee, internal auditor dan user.

(3)

Independen merupakan kondisi yang bebas dari gangguan atas objektifitas. Gangguan/ancaman atas objektifitas tersebut harus dikelola pada tingkat individual auditor, fungsional dan setiap level dari organisasi.

Objektifitas merupakan sikap mental tidak bias (tidak memihak) yang memperkenankan auditor untuk melaksanakan pekerjaannya dengan menghasilkan keputusan yang tidak memihak. Untuk meyakinkan objektifitasnya, seoramg auditor tidak boleh terlibat dalam day to day operation, membuat keputusan manajemen serta berbagai berbagai situasi yang dapat menyebabkan terjadi conflicts of interest.

Pendekatan yang sistematis dan disiplin

Dalam rangka memberika nilai tambah dan ntuk meningkatkan operasi, internal assurance dan konsultansi harus dilaksanakan secara sistematis dan disiplin. Terdapat tiga fase fundamental dalam pekerjaan audit, yaitu perencanaan pekerjaan, pelaksanaan pekerjaan dan mengkomunikasikan hasil pekerjaan. Perencanaan pekerjaan tersebut meliputi beberapa aktivitas, yaitu:

 Pemahaman atas auditee dan pelanggan  Setting tujuan pekerjaan

 Menentukan bukti yang diperlukan

 Memutuskan sifat, waktu dan luas tes audit

Pelaksanaan pekerjaan meliputi prosedur audit spesifik, misalnya melaksanakan penyelidikan, observasi atas kegiatan operasi dan inspeksi dokumen. Mengkomunikasikan hasil audit merupakan komponen kritis dari seluruh pekerjaan internal assurance dan kolsultansi. Komunikasi atas hasil pekerjaan harus akurat, objektif, clear, singkat, membangun, lengkap dan tepat waktu.

Sifat dan lingkup internal audit modern

Secara umum tujuan dari internal audit adalah mencapai tujuan organisasi. Alhasil, target dari internal audit harus termasuk di dalamnya:

 Operasi yang efektif dan efisien atas bisnis proses

 Reliabilitas atas sistem informasi dan kualitas atas pengambilan keputusan

 Perlindungan asset dari kerugian termasuk kerugian dari kecurangan manajemen dan pegawai  Kepatuhan terhadap organization policies, kontrak, peraturan dan regulasi

Internal auditor harus melaksanakan berbagai macam prosedur untuk melakukan tes atas kecukupan desain dan efektifitas operasi, manajemen risiko dan proses kontrol dengan melakukan prosedur sebagai berikut:

 Penyelidikan/bertanya kepada manajer dan pegawai  Observasi atas aktivitas perusahaan

 Inspeksi atas sumber daya dan dokumen  Reperforming atas aktivitas kontrol  Melaksanakan analisis trend an rasio

(4)

 Melaksanakan teknik audit berbasis komputer

 Mencari informasi dari pihak ketiga yang lebih independen  Melaksanakan tes atas transaksi

Internal auditor competency framework (lihat table di buku halaman 1-17) 

(5)

Chapter II

The International Professional Practises Framework: Authoritative Guidence for The Internal Audit

Internal audit profession’s authoritative guidance memungkinkan para profesional auditor internal untuk memberikan layanan yang dapat memberikan nilai tambah untuk memenuhi kebutuhan yang beragam dari stakeholder

A. Sejarah dari Guidance setting untuk profesi auditor internal

Perkembangan dari Guidance setting for the internal audit profession seiring dengan perkembangan organisasi yang terus berkembang, baik dari ukuran maupun kompleksitas dan operasi dari organisasi yang semakin menyebar dilihat dari segi geografi. Senior Management tidak lagi dapat mengawasi organisasi secara langsung atau tidak lagi bisa berinteraksi secara langsung dengan orang-orang yang melapor kepadanya, yang mana pengawasan tersebut merupakan tanggungjawab dari seorang senior management. Jarak atau gap inilah yang menjadi salah satu latar belakang, yang kemudian mendorong terciptanya suatu kondisi dimana dibutuhkan seseorang di organisasi untuk membantu senior management. Bantuan tersebut melalui pemeriksaan terhadap operasi organisasi dan menyediakan laporan mengenai hasil dari pemeriksaan terebut kepada senior management. Aktivitas yang dilakukan oleh orang orang ini disebut aktivitas Internal audit.

Perkembangan dari guidence untuk profesi auditor internal dimulai setelah terbentuknya IIA. Berikut ini adalah penjelasan mengenai perkembangan tersebut:

1947 The Statement of the Responsibilities of the Internal Auditor (Statement of Responsibilities)

Menjelaskan mengenai tujuan dan ruang lingkup dari audit internal. Primarily for financial matter

1957 The Statement of the Responsibilities of the Internal Auditor (Statement of Responsibilities)

Ruang lingkup diperluas, tidak hanya berfokus pada perihal keuangan saja akan tetapi termasuk operasi dari Organisasi.

1968 Code of Ethics Provide ethical guidance

1972 Common Body of Knowledge (CBOK) Provide professional guidance on the necessary competencies

1973 Certified Internal Auditor (CIA) Certification

program Provide professional guidance on thenecessary competencies 1978 Standards for the Professional Practises of

Internal Auditing Standards to answers “how the internalaudit function should be managed and how audit engagements should be performed?”

2000 Code of Ethics Revisi dari 1968’s Code of Ethics

2002 International Standars for the Professional

Practise of Internal Auditing (Standards) Mengakomodai:- Kejadian pada awal 1980s (beginning of risk-based auditing) and 1990s (internal audit outsourcing)

- isu yang berkembang mengenai perubahan paradigma jasa internal audit yang lebih berfokus pada bagaimana meningkatkan efisiensi dan efektivitas operasii organisasi.

(6)

B. The International Professional Practices Framework

IPPF merupakan satu-satunya guidance untuk profesi internal audit yang diakui secara global. Didalamnya mengandung apa yang dianggap sebagai elemen penting dalam memberikan jasa audit internal. Elemen penting tersebut terdiri dari:

1. Kualitas dari individu internal auditor;

2. Karakteristik dari fungsi yang menyediakan jasa internal audit; 3. Sifat dari akitivitas internal audit; .

4. Kriteria kinerja terkait

Oleh karena itu, IPPF memberikan petunjuk kepada profesi internal auditor dan menetapkan harapan yang diinginkan oleh para stake holder sehubungan dengan kinerja jasa internal audit. Komponen dari IPPF termasuk didalamnya:

1. Mandatory Guidance, yang terdiri dari: a. Definiton of Internal Auditing b. The Code of Ethics

c. The Standards

2. Strongly Recommended Guidance, yang terdiri dari: a. Practice Advisories

b. Position Papers c. Practise Guides

IPPF memberikan dasar bagi fungsi internal audit untuk menunaikan peran mereka dan cara yang efektif memenuhi tanggungjawab mereka.

C. Mandatory Guidance 1. The Definitions

IPPF mendefiniskan Internal Auditing sebagai berikut:

“Internal auditing is an independent, objective assurance and consulting activity desaigned to add value and improve an organization’s operations. It helps an organization accomplish its objective by bringing systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance process.”

(7)

The Value of Internal Auditing for Stakeholders

2. The Code of Ethics

Tujuan dari adanya kode etik adalah untuk mendorong budaya beretika di dalam profesi internal audit. Kode etik terdiri dari dua komponen, yaitu:

1. The Principle;

The Principle menyatakan empat cita cita seorang auditor internal profesional yang harus terus dijaga dalam melaksanakan perkerjaannya dan merepresentasikan core value yang

(8)

harus dipegang teguh oleh internal auditor untuk mendapatkan kepercayaan dari mereka yang bergantung pada jasa mereka.

2. The Rule of Conduct.

The Rule of Conduct mendeskripsikan 12 norma perilaku yang harus diikuti oleh internal auditor untuk dapat mempraktikkan The Principle.

Berikut ini adalah 4 principle dan 12 role of conduct untuk internal auditor: 1. Integrity

Integritas dari seorang internal auditor membentuk kepercayaan dan kepercayaan memberikan dasar bagi stake holder untuk bergantung pada judgement seorang internal auditor.

The Rules of Conduct yang diasosiasikan dengan prinsip integritas menyatakan bahwa internal auditor:

 Harus melaksanakan pekerjaan mereka dengan jujur, ketelitian dan tanggungjawab  Harus menaati hukum dan membuat pengungkapan yang diinginkan oleh hukum

dan profesi.

 Harus tidak terlibat dalam aktivitas ilegal, atau terikat dalam aktivitas yang dapat mendiskreditkan profesi internal auditor atau organisasi;

 Harus menghormati dan berkontribusi pada tujuan yang sah dan etis dari organisasi 2. Objectivity

Auditor internal tidak dipengaruhi oleh kepentingan mereka sendiri atau oleh orang lain dalam membentuk penilaian

 Tidak boleh berpartisipasi dalam suatu aktivitas atau hubungan yang mungkin merusak atau diasumsikan akan merusak penilaian auditor yang tidak berbias.  Tidak boleh menerima apapun yang dapat merusak atau diasumsikan merusak

professional judgement

 Harus mengungkapkan semua fakta, yang sifatnya material dalam pengambilan keputusan, yang mereka ketahui. Dimana jika fakta tersebut tidak diungkapkan maka akan mengubah hasil dari review suatu aktifitas.

3. Confidentiality

Auditor internal tidak mengungkapkan informasi yang mereka terima tanpa otoritas yang tepat kecuali ada kewajiban hukum atau profesional untuk melakukannya

The Rules of Conduct yang diasosiasikan dengan prinsip Confidentiality menyatakan bahwa internal auditor:

 Harus berhati-hati dalam menggunakan dan melindungi informasi yang diperoleh saat pelaksanaan tugas.

 Tidak boleh menggunakan data untuk keuntungan pribadi atau kepentingan lainnya yang bisa bertentangan dengan hukum atau yang dapat menganggu tujuan perusahaan.

4. Competency

Auditor internal menerapkan pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam pelaksanaan layanan audit internal

The Rules of Conduct yang diasosiasikan dengan prinsip Competency menyatakan bahwa internal auditor:

(9)

 Hanya boleh melakukan perikatan dengan klien atas jasa pelayanan dimana mereka memiliki pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam pelaksanaan layanan audit internal

 Harus melaksanakan jasa internal audit yang sesuai dengan standar (International Standards for the Professional Practise of Internal Auditing)

 Harus selalu meningkatkan kecakapan, efektifitas dan kualitas jasa pelayanan internal audit.

3. The International Standards for the Professional Practise of Internal Auditing Tujuan dari the Standards adalah:

 Delineate basic principles that represent the practice of internal auditing

 Provide a framework for performing and promoting a broad range of value-added internal auditing

 Establish the basis for the evaluation of internal audit performances  Foster improved organizational processes and operations

Definisi dari the standards

Principles-focused, mandatory requirement consisting of Statements ans Interpretations. Yang terdiri dari:

 Statement dari persyaratan minimum untuk professional practice dari internal audit dan untuk mengevaluasi efektivitas dari kinerja para profesional yang berpraktik, dimana bisa diaplikasikan secara international pada level individu dan organisasi.

 Interpretasi, yang menjelaskan istilah atau konsep dalam Laporan. Three types of Standards

 Attribute Standards “address the attributes of organizations and individuals performing internal auditing”

 Performances Standards “describe the nature of internal auditing and provide quallity criteria againts which the performance of these services can be measured”

 Implementation Standards “...expands upon the Attribute and Performances Standards by providing the requirements applicable to assurances...or consulting...activities.” Assurance and Consulting Services

 Assurances Services

“An objective examination of evidence for the purpose of providing an independent assesment on governance, risk management, and control processes for the organization. Example may include financial, performance, compliance, system security and due diligence engagements.”

Terjemahan bebasnya adalah sebagai berikut:

Pemeriksaan obyektif atas bukti dengan tujuan untuk memberikan assesment yang independen terhadap tata kelola, manajemen risiko, dan proses pengendalian di organisasi.

 Consulting Services

“Advisory and related [customer] service activities, the nature and scope of which are agreed with the [customer], are intended to add value and improve an organization’s governance, risk management, and control processes without the internal auditor

(10)

assuming management responsibility. Example include counsel, advice, facilitation, and training.”

Terjemahan bebasnya adalah sebagai berikut:

Jasa sebagai penasehat dan kegiatan pelayanan lainnya yang terkai pelanggan, sifat dan ruang lingkup perikatan adalah yang disepakati dengan [pelanggan], jasa ini dimaksudkan untuk memberikan nilai tambah dan meningkatkan tata kelola organisasi, manajemen risiko, dan proses pengendalian tanpa auditor internal memikul tanggung jawab manajemen. Contoh termasuk nasihat, saran, fasilitasi, dan pelatihan.

Perbedaan jelas dalam kedua jenis layanan adalah pada tujuan pemberian pelayanan. Perikatan jasa Assurance dilakukan untuk memberikan assesment independen sedangkan perikatan terkait jasa konsultasi dilakukan untuk memberikan layanan konsultasi, pelatihan, dan fasilitasi.

Struktur dari consulting engagements relatif sederhana. Mereka biasanya hanya melibatkan dua pihak saja, yaitu:

 pihak yang meminta dan menerima saran-pelanggan dan;  pihak yang memberikan nasihat (fungsi internal audit).

Fungsi audit internal bekerja secara langsung dengan pelanggan untuk menyesuaikan keterlibatan untuk memenuhi kebutuhan pelanggan.

Sedangkan struktur dari assurance engagements lebih kompleks. Mereka biasanya melibatkan tiga pihak:

 Pihak yang secara langsung bertanggung jawab untuk proses tersebut, sistem, atau topik lain yang sedang dinilai-auditee;

 Pihak yang memberikan jasa assesment (fungsi internal audit);  Pihak yang menggunakan hasil assesment-the users.

Pengguna tidak secara langsung terlibat dalam engagements dan dalam beberapa kasus tidak teridentifikasi secara eksplisit.

The Attribute Standards

 1000-Purpose, Authority, and Responsibility  1100-Independence and Objectivity

 1200-Proficiency and Due Professional Care

 1300-Quality Assurance and Improvement Program Purpose, Authority, and Responsibility

Fungsi audit internal harus memiliki charter yang secara jelas menyatakan tujuan fungsi ini, otoritas, dan tanggungjawab dan menentukan sifat dari jasa assurance dan konsultasi. Charter tersebut juga harus menyatakan tanggung jawab dari fungsi audit internal agar patuh terhadap Definisi Audit Internal, Kode Etik, dan Standar.

Independence and Objectivity  Independence

Bebas dari kondisi yang mengancam kemampuan audit internal untuk melaksanakan tanggung jawab audit internal dalam cara yang tidak bias.

(11)

 Objectivity

Sebuah sikap mental tidak bias yang memungkinkan auditor internal untuk melakukan perikatan dengan klien dalam sikap yang sedemikian rupa sehingga mereka percaya pada produk kerja dari internal auditor dan bahwa tidak ada kompromi kualitas yang dibuat. Objektivitas mensyaratkan bahwa auditor internal tidak menyerahkan penilaian mereka mengenai hal audit kepada orang lain.

Independence adalah atribut dari fungsi audit internal, objektivitas adalah atribut dari auditor secara individual. Independences Organisasi terhadap fungsi audit internal memfasilitasi objektivitas auditor individual. Conflict of Interest atau Benturan kepentingan mengganggu independensi dan obyektivitas. Konflik kepentingan adalah setiap hubungan yang, atau tampaknya, tidak dalam kepentingan terbaik organisasi. Ancaman yang terkait pelaksanaan tugas yang berkaitan dengan independensi dan obyektivitas timbul dari sifat dari pekerjaan itu sendiri. Impairment terhadap indepensi atau objektivitas, dalam fakta atau appearances, mungkin tidak dapat dihindari dalam keadaan tertentu. Standard 1130: Impairment terhadap indepensi atau objektivitas, CAE harus mengungkapkan rincian impairment kepada pihak yang tepat.

Proficiency and Due Professional Care

The standard mensyaratkan bahwa fungsi auditor internal dan auditor itu sendiri memiliki pengetahuan, kemampuan dan kemampuan lainnya yang dibutuhkan untuk memenuhi tanggungjawab mereka dan melaksanakannya dengan due professional care. The standars tidak memandatkan secara spesifik pengetahuan, kemampuan dan kemampuan yang harus dimiliki. Salah satu kompetensi tertentu yang dibutuhkan oleh Standar adalah pengetahuan tentang risiko penipuan.

Standards or guidance yang terkait:

 Practice Advisory 1210-1: Kecakapan;

 Standards 1210.A2 ”Internal Auditors must have sufficient knowledge to evaluate the risk of fraud and the manner in which it is managed by the organizations…”;

Terjemahan bebasnya adalah:

Auditor internal harus memiliki pengetahuan yang cukup untuk mengevaluasi risiko dari kecurangan terhadap hal yang dikelola oleh perusahaan...”;

 Standards 1210.A3 Internal Auditors must have sufficient knowledge of key information technology risk and controls and available technology-based audit technique to perform their assigned work”;

Terjemahan bebasnya adalah:

Auditor internal harus memiliki pengetahuan yang cukup risiko dan pengendalian terhadapa teknologi informasi kunci dan teknik audit berbasis teknologi untuk melaksanakan perkerjaan yang ditugaskan kepada mereka

 Standard 1210.A1 “Harus mendapatkan nasihat dan bantuan dari pihak yang kompeten”. Due Professional Care

The care and kemampuan yang diharapkan dari seorang auditor internal yang kompeten dan memiliki kehati-hatian yang beralasan. Ini tidak berarti bahwa auditor internal tidak dapat membuat kesalahan atau penilaian yang tidak sempurna, melainkan bahwa mereka akan menunjukkan tingkat kehati-hatian dan kompetensi yang diharapkan dari seorang profesional. Due Care berarti bahwa mereka akan mengeluarkan usahanya, sebagai profesional auditor

(12)

internal, pada tingkat usaha yang sama yang akan dilakukan oleh auditor internal lainnya dalam situasi yang sama.

Related Standards or guidance:

 Standard 1230: Pengembangan Profesi Berkelanjutan menyatakan bahwa "Auditor internal harus meningkatkan pengetahuan, keterampilan, dan kompetensi lain melalui pengembangan profesional"

Quality assurance and improve programs.

Konsep dasar dari quality assurance for internal audit service adalah mirip dengan konsep quality assurance pada perusahaan manufacture. Dimana Fungsi quality assurance bertugas meyakinkan bahwa produk yang dikeluarkan memiliki fitur dan karakteristik yang sesuai dengan yang dibutuhkan. Sedangkan pada ranah fungsi audit internal, quality assurance and improvement program “dirancang untuk dapat dinilai kesesuaiannya dengan standard yang ada pada standard Internal audit definition dan agar dapat dievaluasi keseuaiannya apakah sudah patuh pada kode etik auditor internal”. “Seorang chief audit executive harus mengembangkan dan memaintain sebuah quality assurance dan improvement program yang meliputi semua aspek fungsi internal audit” (standard 1300: quality assurance and improvement programs). Seorang chief audit executive juga “harus mengkomunikasikan hasil dari quality assurance dan program pengembangan pada manajemen senior dan direksi (standard 1320: Reporting on the Quality Assurance and Improvement program) dan bisa menyatakan bahwa internal audit (fungsi) sesuai dengan International Standards for the Profesional practice of Internal Auditing… kalau hasil dari quality assurance dan improvement programs mendukung pernyataan tersebut (Standards 1321: Penggunaan pernyataan “sesuai dengan International Standards for the Profesional practice of Internal Auditing). Ketika terdapat ketidaksesuaian dengan definisi internal auditing, atau kode etik auditor internal, atau standar yang mempengaruhi keseluruan cara kerja auditor internal, seorang Chief Audit executive harus menyatakan ketidaksesuaian tersebut dan pengaruhnya kepada managemen senior dan dewan direksi. (Standard 1322:Disclosure of Nonconformance)

Standard 1310 : Requirement of The quality assurance and improvement program menyatakan bahwa “The quality assurance and the improvement program harus menyertakan baik penilaian internal maupun eksternal. Penilaian internal harus terdiri atas :

 Monitoring kinerja secara terus menerus terhadap fungsi audit internal

 Penilaian secara periodic oleh pihak lain di dalam organisasi yang memiliki keahlian di dalam praktik audit internal

Penilaian eksternal harus dilaksanakan minimal 5 tahun sekali oleh pihak yang memenuhi syarat, penilai independen, atau tim penilai dari luar organisasi. Chief Audit Executive harus mendiskusikan dengan dewan direksi untuk hal-hal yang terkait dengan :

 Bentuk dan frekuensi penilaian yang dilaksanakan

 Kualifikasi dan independensi dari penilai ekternal atau tim penilai, termasuk potensi terjadinya conflict of interest di dalam proses penilaian tersebut (Standard 1312:External Assesment) The Performance Standards

The performance standards menjelaskan sifat-sifat dasar dari layanan internal audit, serta bagaimana penilaian kinerja layanan tersebut. Performance Standard dibagi menjadi tujuh bagian utama, yaitu :

(13)

2100 – Managing (mengelola) aktivitas internal audit 2100 – Nature of work 2200 – Engagement Planning 2300 – performing engagement 2400 – Communicating result 2500 – Monitoring Progress

2600 – Communicating the acceptance risk

Managing the internal audit activity. Standard 2000 menerangkan bahwa seorang Chief Audit Eecutive bertanggung jawab untuk mengelola fungsi internal audit dan memastikan bahwa fungsi tersebut dapat memberikan nilai tambah bagi organisasi. Meskipun bila organisasi mengoutsource fungsi audit internal tersebut, organisasi tetap harus memiliki “someone in house” yang bertanggungjawab dalam menyetujui kontrak audit internal tersebut, mengawasi kualitas pekerjaan penyedia jasa, menyusun jadwal pelaporan jasa assurance dan konsultasi manajemen kepada manajemen senior dan dewan direksi dan menentukan hasil kesepakatan dengan penyedia jasa terebut. Pada banyak kasus, fungsi-fungsi tersebut dilaksanakan oleh CAE. Bagaimanapun ketika orang tersebut memiliki conflicting responsibilities/konflik pertanggungjawaban dengan fungsi outsourcerd tersebut, penyedia layanan audit internal tersebut memiliki kewajiban untuk membuat “organisasi tersebut waspada bahwa organisasi tersebut memiliki tanggung jawab untuk mempertahankan audit internal yang efektif” (Standard 2070: External service provider and organizational Responsibility for internal auditing). Interpretasi dari standar tersebut dapat diartikan sebagai berikut :

“Tanggung jawab tersebut ditunjukan melalui quality assurance dan improvement programs yang menilai kesesuaian tanggung jawab tersebut dengan yang tertuang di dalam definisi internal auditing, kode etik dan standar yang ada”.

Standard 2000 menyatakan bahwa “Aktivitas internal audit telah dikelola dengan baik ketika :  Hasil dari aktivitas pekerjaan internal audit mencapai tujuan dan tanggung jawab yang tercantum

di dalam internal audit charter;

 Aktivitas internal audit telah sesuai dengan definisi internal audit dan standard yang ada dan  Setiap individu yang menjadi bagian dari aktivitas internal audit menunjukan kesesuaian dengan

kode etik dan standar (interpretasi dari standard 2000: Managing internal audit activity); Subsequent standard secara berkelanjutan harus menunjukan bahwa seorang CAE haruslah:

 “…. Menyusun sebuah risk based plan untuk menentuan apakah prioritas dari aktivitas internal audit sudah konsisten dengan tujuan organisasi (Standard 2010: planning)

 “…. Mengkomunikasikan rencana aktivitas internal audit dan hal-hal yang dibutuhkan di dalam kegiatan audit internal, terasuk perubahan perubahan signifikan kepada managemen senior dan dewan direksi sebagai bahan review dan approval.” Seorang CAE ”juga harus mengkomunikasikan pengaruh dari keterbatasan hal-hal yang dibutuhkan tersebut” (standard 2020; communication and approval)

 “…memastikan bahwa kebutuhan internal audit sudah tepat, cukup, dan tersebar dengan baik untuk dapat mencapai tujuan yang telah direncanakan” (Standard 2030 : ‘Resources Management)

 “… Menyusun kebijakan dan prosedur sebagai arahan dalam kegiatan internal audit” (Standard 2040: Policies and procedures).

(14)

 “… Membagi informasi dan berkoordinasi dengan penyedia jasa assurance and consulting, baik yang berasal dari dalam maupun dari luar organisasi untuk memastikan pelaksanaan pekerjaan tidak tumpang tindih” (standard 2050 : koordinasi)

 “… secara periodic membuat laporan kepada manajemen senior dan dewan direksi terkait tujuan kegiatan internal audit, kewenangan, tanggung jawab, dan hasil yang ingin dicapai dari rencana tersebut.” Seorang CAE juga harus melaporkan pengaruh risiko dan kegiatan pengendalian yang dapat mempengaruhi kegiatan internal audit, termasuk risiko fraud, hal hal terkait dengan tata kelola (governance) dan hal-hal lainnya yang dapat mempengaruhi atau diminta oleh senior manajemen dan dewan direksi” (Standar 2060: Reporting to senior management and board) Nature of Works. Standard 2100. Nature of work (sifat pekerjaan) adalah konsisten dengan definisi internal auditing yang telah didiskusikan di awal bab ini. “Kegiatan internal audit harus mengevaluasi dan berkontribusi terhadap peningkatan kualitas governance, manajemen risiko, dan proses pengendalian menggunakan pendekatan yang disiplin dan sistematis.

Fungsi internal audit harus memperkirakan dan membuat rekomendasi yang tepat untuk meningkatkan kualitas governance organisasi agar proses governance pada organisasi dapat mencapai tujuan berikut :

 Mempromosikan etika dan nilai-nilai yang tepat bagi organiasasi

 Memastikan efektifitas manajemen penilaian kinerja organiasasi dan akuntabilitas;

 Mengkomunikasikan risiko dan pengendalian informasi pada area yang tepat dari organisasi  Mengkoordinasikan aktivitas tersebut dan menyampaikan informasi tersebut kepada dewan direksi, auditor eksternal dan auditor internal, dan juga manajemen (Standard 2010 : Governance)

Fungsi audit internal juga harus mengevaluasi efektivitas dan meningkatkan proses manajemen risiko organisasi (Standards 2120: Risk Managemen). Menentukan apakah fungsi proses manajemen risiko pada organisasi telah berjalan efektif apabila hasil penilaian auditor internal meyatakan :

 Tujuan organisasi telah mendukung dan sesuai dengan misi organisasi  Risiko-risiko yang siginifikan telah diidentifiasi dan ditelaah

 Respon terhadap risiko telah ditetapkan dengan sesuai dan telah selaras dengan risk apetite organisasi dan

 Informasi mengenai risiko yang relevan telah dicatat dan dikomunikasikan secara berkala.di pada berbagai pihak di organisasi, termasuk staf, manajemen dan dewan direksi untuk menentukan tanggung jawab masing-masing pihak. (Interpretation to standard 2120 : Risk Managemen)

Fungsi audit internal juga harus membantu organisasi dalam “mempertahankan efektivitas pengendalian dengan cara mengevaluasi efetivitas dan efisisensi pengendalian dan mempromosikan pengembangan berkelanjutan. (standard 2130: Control)

Fungsi internal audit juga harus mengevaluasi kemungkinan terjadinya risiko tersebut, dan juga mengevaluasi efektivitas dan efisiensi pengendalian melalui promosi continuous improvement. Fungsi Internal Audit harus melaksanakan evaluasi terhadap risk exposure dan mengevaluai kecukupan dan efektivitas operasional organisasi yag terkait dengan :

(15)

 Kecukupan dan integritas informasi keuangan dan operasional organisasi  Efektivitas dan efisiensi pelaksanaan dan program organisasi

 Pengamanan asset

 Kepatuhan terhadap aturan perundangan yang berlaku (standard 2120.A1 dan 2130 A.1) The Engagement Process. Pelaksanaan kesepakatan terhadap pelaksanaan kegiatan audit internal baik berupa jasa assurance maupun jasa consulting bisa dibagi menjadi 3 bagian. Standard pelaksanaan tersebut tercantum pada :

2200 – Engagement planning 2300 - Performing the engagement 2400 – communicating result 2500 – monitoring progress

Standard 2200 : engagement planning menyatakan bahwa “ Auditor internal harus merancang dan mendokumentasikan perencanaan kesepakatan audit internal yang didalamnya mencakup tujuan, skope, waktu pelaksanaan dan hal-hal yang dibutuhkan di dalam pelaksanaan audit internal”, dokumen tersebut harus memperhatikan :

 Tujuan dan aktivitas yang akan dievaluasi dan dinilai aktivitas pengendaliannya

 Significant risk terhadap kegiatan tersebut, tujuan, sumber daya maupun operasional dari kegiatan tersebut termasuk risiko-risiko yang bisa mengganggu proses pencapaian tujuannya.  Kecukupan dan efektivitas dari governance, manajemen risiko, dan aktivitas pengendalian

tersebut apabila dibandingkan dengan kriteria yang telah ditetapkan.

 Kesempatan auditor internal untuk meningkatkan kualitas governance, manajemen risiko, dan aktivitas pengendalian

Standard di bawah ini harus dilaksanakan di dalam merancang perjanjian/perikatan audit internal :  Tujuan audit harus dicantumkan dengan jelas (standard 2210 : tujuan perikatan)

 Ruang lingkup yang ditetapkan harus memadai untuk mencapai tujuan dari perikatan tersebut.

 Auditor internal harus menetapkan tingkat kebutuhan dalam pelaksanaan audit internal  Auditor internal harus mengembangkan dan mendokumentasikan dokumen-dokumen

tersebut.

Ketika melasanakan perikatan tersebut, fungsi internal audit haruslah :

 “… menyajikan informasi yang relevan, dapat dipercaya (reliable) dan cukup terkait dengan tujuan perikatan tersebut” (standard 2310 : identifying information).

 “…Membuat perikatan dan kesimpulan berdasarkan analisis dan evaluasi yang memadai” (standard 2320: Analysis and evaluation)

 “.. mendokumentasikan informasi yang relevan untuk mendukung kesimpulan manajemen”  “… memastikan bahwa perikatan yang dibuat telah disupervisi dengan memadai sehingga

tujuan audit dapat dicapai, kualitas audit telah dijamin, dan staf yang dibutuhkan telah ditetapkan dengan sesuai”

(16)

Agar perikatan audit internal menjadi bernilai, outcome yng telah dicapai harus disampaikan secara berkala kepada klien. Namun tidak cukup laporan saja yag disampaikan. Komunikasi yang dilakukan harus berdasarkan laporan yang meminimalisasi disinterpretasi

Fungsi internal audit harus “melaporkan bahwa perikatan yang dilaksanakan sudah sesuai dengan international standards for the professional practice of internal auditing apabila perikatan yang dilaksanakan telah sesuai dengan pernyataan tersebut (standar 2340 : Use of “Conducter in Comformance with the internal auditing, the Code of Ethics , or The standard impact a specific engagement communication harus menyajikan :

 Prinsip atau keseuaian dengan aturan perilaku yang tidak sesuai  Alasan ketidaksesuaian

 Dampak dari ketidaksesuaian dari perikatan dan mengkomunikasikan hasil perikatan tersebut. Seorang CAE bertanggungjawab untuk mengkounikasikan hasil dari perikatan perjanjian tersebut kepada pihak-pihak yang membutuhkan(standard 2440: Disseminating Result) dan menerbitkan opini mengenai kondisi governance, risk management, maupun aktivitas lainnya. Ketika sebuah opini diberikan, CAE juga harus menyampaikan kepada senior manajemen sebagai bahan pertimbangan apakah hendak menerima risiko tersebut ataukah tidak mengambil tindakan (Standard 2500 A.1) Communicating the acceptance risk.Standard 2600 : Communicating the acceptance risk addresses the issue of a level of residual risk that may be unacceptable to the organization that may be unacceptable to the organization. .

STONGLY RECOMMENDED GUIDANCE

How the international Profesional Practice Framework is kept current

IPFF adalah sebuah bentuk pedoman yang bersifat dinamis. Senantiasa berkembang sesuai dengan kondisi lingkungan

IPFF dikoordinasikan,dikembangkan, diterbitkan oleh The Professional Guidance Advisory Council, yang terdiri dari The global ethic comitee, The International audit standard board, the Professional Issue comitee, dan public sector comitee.

Standard yang diterbitkan oleh organisasi lain

Profesi auditor internal juga perlu mengikuti standard selain yang ditetapkan oleh IIA semisal US Government Accountability Office (GAO) Government Auditing Standard, Standard for professional Practice of environmental, health and safety auditing, dan standard yang dikeluarkan oeleh International standard Organization (ISO). Di Negara Amerika para praktisi internal audit biasanya menyandingkan standard dari IIA dan standard dari GAO untuk menerbitkan piagam auditnya. Terhadap dua standard berbeda yang dapat mengakibatkan terjadinya multiple standard, bagian paragraph introduction pada Standard IIA memberikan ketentuan sebagai berikut :

“apabila standard yang digunakan berhubungan dengan standard lainnya, maka fungsi internal audit harus mengutip penggunaan standard yang digunakan tersebut dengan jelas. Namun apabila terjadi inkonsistensi antara standard dari IIA dengan dari standard lainnya, fugsi internal audit harus menyelaraskan piagam auditnya dengan standard dari IIA, namun apabila terdapat keterbatasan maka auditor bisa mengikuti standar lainnya.

(17)

Standard for Internal Auditing in Government

Biasa disebut dengan the yellow book, standard ini digunakan sebagai dasar pelaksanaan audit pada lembaga pemerintahan. Standard ini lebih berfokus pada laporan keuangan dan audit kinerja.

Biasanya masing-masing Negara menerapkan standard sendiri untuk audit terhadap lembaga pemerintahan maupun kontrak-kontrak di pemerintah. Namun standard yang digunakan biasanya bermodel kepada International Organization of Supreme Audit Institution (INTOSAI)

Standard for Information Technology Audit

Tidak seperti standard Audit IT yang diterbitkan IIA, Standard audit IT yang diterbitkan oleh ISACA memberikan arahan yang lebih mendetail. Standard IT Audit yang telah ditetapkan oleh IIA sendiri sudah selaras dengan standard yang ditetapkan oleh ISACA. Meskipun begitu auditor yang banyak bekerja di bidang IT harus senantiasa aware terhadap perkembangan standard yang dikembangkan oleh ISACA dan menggunakan arahan tersebut di dalam pelaksanaan pekerjaan audit system informasi yang dilaksanakannya.

Standard for Financial Audit.

The US Public Company Accounting oversight board (PCAOB) dan American Institute of Certified Public Accountant adalah lembaga yang menerbitkan standard pemeriksaan keuangan pada audit atas laporan keuangan di Amerika Serikat. Standard ini menekankan pada independensi atas audit yang dilaksanakannya, termasuk juga mengatur mengenai koordinasi antara auditor internal dengan auditor eksternal.

Other Relevance Guidance

1. The International Standards Organization (ISO)

2. Standards Australia yang menerbitkan standard terkait dengan proses manajemen risiko dan governance

3. The Commitees of Sponsoring Organization of the threadway Commision (COSO) yang menerbitkan kerangka kerja terkait internal control dan manajemen risiko

4. The Society of Corporate Compliance and ethics yang menerbitkan standard terkait praktisi etika dan kepatuhan

5. The Helathcare Compliance Association, menerbitkan standard terkait dengan pemeriksaan industri kesehatan

6. The Basel Comitee on Banking Supervision yang menerbitkan standard mengenai audit internal sector perbankan dan manajemen risikonya

(18)

Chapter 3 GOVERNANCE (argi hermansyah)

Dalam kebanyakan organisasi, Audit Internal dapat menjadi kunci dalam pencapaian tujuan. Meski struktur organisasi sesungguhnya berbeda dengan organisasi yang satu dengan lainnya, setiap organisasi harus menetapkan struktur governance secara keseluruhan untuk memastikan kebutuhan stakholder kunci bertemu. Struktur governance memberikan arahan dalam peneran aktivitas sehari-hari dari mengelola risiko yang melekat pada perusahaan.

Gambar tersebut menunjukkan bahwa governance meliputi semua aktivitas pada organisasi. Dewan dan manajemen dapat menetapkan struktur governance untuk memastikan kebutuhan stakeholder kunci bertemu dan organisasi telah beroperasi pada batasan dan nilai yang ditetapkan oleh dewan dan manajer senior.

Lapisan selanjutnya adalah manajemen risiko. Manajemen risiko dimaksudkan untuk:

1. Mengidentifikasi dan mengelola risiko yang mungkin secara buruk dapat mempengaruhi tujuan perusahaan.

2. Menggali peluang yang dapat membantu pencapaian tujuan.

Pengendalian internal terletak pada bagian tengah/pusat karenansistem pengendalian internal merupakan subset, tapi merupakan bagian integral, pada batas aktivitas manajemen risiko.

Anak panah menunjukkan aliran arus informasi yang melalui struktur governance. Anak panah tersebut menggambarkan aliran dari arahan dan akuntabilitas dari lapisan satu ke lapisan berikutnya.

Governance adalah kombinasi dari proses dan struktur yang diterapkan oleh dewan untuk memberikan informasi, mengarahkan, mengelola dan memonitor aktivitas organisasi untuk mencapai tujuannya.

Menurut OECD, Corporate Governance melibatkan hubungan antara manajer perusahaan, dewan, shareholder dan stakeholder lainnya. Corporate governance juga memberikan struktur yang melalui di mana tujuan perusahaan ditetapkan, sarana pencapaian tujuan, dan monitoring kinerja yang ditetapkan.

Dewan bertanggung jawab atas pemberian arahan strategi dan pedoman yang berhubungan dengan

Internal Control

Risk Management

(19)

dengan pembentukan tujuan kunci bisnis yang konsisten dengan model bisnis organisasi dan diselaraskan dengan prioritas stakeholder. Direktur membawa pengalaman bisnis yang bervariasi dan beragam kepada dewan dan oleh karena itu mereka berada pada posisi untuk memberikan informasi dan arahan yang akan membantu memastikan kesuksesan organisasi.

Poin penting yang dapat diambil dari gambaran terhadap governance adalah :  Governance dimulai dari dewan of director dan para komite.

 Dewan harus memahami dan fokus terhadap kebutuhan dari stakeholder kunci.  Sehari-hari governance dilaksanakan oleh manajemen dari organisasi.

 Aktivitas internal dan eksternal memberikan manajemen dan dewan dengan jaminan mengenai effektivitas dari aktivitas governance.

Stakeholder dapat memiliki satu atau lebih karakteristik dibawah ini:

 Beberapa stakeholder secara langsung dilibatkan dalam operasi bisnis perusahaan.

 Stakeholder lain tidak dilibatkan secara langsung, namun berkepentingan pada bisnis organisasi, oleh karena itu mereka dipengaruhi oleh kesuksesan ataupun outcome lain dari bisnis.

 Beberapa stakeholder tidak terlibat maupun berkepentingan pada keberhasilan bisnis organisasi namun stakeholder ini mempengaruhi aspek dari bisnis organisasi dan sebagai hasilnya, keberhasilan organisasi.

Secara umum, stakeholder adalah sebagai berikut :

 Employee yang bekerja untuk organisasi dan krena itu terlibat langsung dengan tingkah laku

dari bisnis organisasi.

 Customer yang merupakan darah kehidupan dari bisnis organisasi dan otomatis terlibat

secara langsung pada keberhasilannya.

 Vendors memberikan barang dan jasa yang dibutuhkan oleh sebuah organisasi untuk

menjalankan bisnisnya dan oleh karena itu terlibat langsung dalam bisnis.

 Shareholders/investors tidak terlibat secara langsung dalam bisnis namum mempunyai

kepentingan yang kuat pada keberhasilan organisasi.

 Regulatory agencies mewakili lembaga pemerintah yang mungkin mempunyai kepentingan

maupun kemampuan mempengaruhi keberhasilan bisnis.

 Financial institution mempengaruhi struktur modal sebuah organisasi.

Karena keberagaman stakeholder mempunyai ekspektasi yang berbeda, hasil dari setiap jenis stakeholder yang dianggap tidak dapat diterima akan beragam. Dewan butuh mempertimbangkan jenis outcome berikut :

 Financial, contoh : earning per share, cash liquidity, credit rating, return on investment,

capital availability, tax exposure, material weaknesses, and disclosure transparency.

 Compliance, contoh : proses pengadilan, pelanggaran kode etik, pelanggaran keamanan dan

lingkungan, perintah penahanan, investigasi pemerintah, peraturan denda dan hukuman, dakwaan, dan penangkapan.

 Operation, contoh : pencapaian tujuan, penggunaan asset secara efisien, pengamanan aset,

perlindungan SDM, dan perlindungan masyarakat.

 Strategic, contoh : reputasi, cocporate sustainability, moral pegawai, dan kepuasan

pelanggan.

Dewan secara terbaik dapat melaksanakan tanggung jawab pengelolaannya dengan:  Membangun komite governance

(20)

 Komite ini bisa menjadi komite baru atau perluasan tanggung jawab komite  Harus terdiri dari direktur independen

 Komite harus memiliki tanggung jawab yang telah diuraikan di atas  Mengartikulasikan persyaratan untuk pelaporan dewan

 Dewan harus mendelegasikan kepada manajemen kewenangan untuk mengoperasikan bisnis dalam batas toleransi relatif dewan terhadap hasil yang tidak dapat diterima  Sebagai bagian dari peran pengawasan dewan juga harus menetapkan batas pelaporan

untuk manajemen yang mana hasil harus disetujui oleh dewan, melaporkan langsung ke papan, atau diringkas untuk forum diskusi sebagai bagian dari pertemuan triwulanan  Mengevaluasi kembali ekspektasi governance secara berkala (biasanya pertahun)

 Ekspektasi stakeholder dapat berkembang dan berubah. Oleh karena itu, dewan harus mengidentifikasi perubahan-perubahan tersebut dan mengevaluasi kembali arah governance yang

 Sebagai akibat dari perubahan-perubahan tersebut, tingkat toleransi dewan juga harus dievaluasi

Untuk melaksanakan tanggung jawab governance, manajemen senior bertanggung jawab untuk:  Memastikan bahwa seluruh lingkup arah dan wewenang dipahami dengan tepat

 Mengidentifikasi proses dan kegiatan dalam organisasi yang merupakan bagian integral dalam melaksanakan arah pemerintahan yang disediakan oleh dewan. Oleh karena itu, manajemen senior harus menentukan:

 Di mana organisasi mengelola risiko tertentu yang dapat menimbulkan dampak yang tidak dapat diterima

 Siapa yang akan bertanggung jawab untuk mengelola risiko tersebut  Bagaimana risiko tersebut akan dikelola

 Mengevaluasi apa pertimbangan bisnis lain atau faktor-faktor yang mungkin membuat pembenaran untuk mendelegasikan tingkat toleransi lebih rendah kepada pemilik risiko dari yang didelegasikan oleh dewan

 Memastikan bahwa informasi yang memadai telah dikumpulkan dari pemilik risiko untuk mendukung kebutuhan pelaporan kepada dewan

Manajemen senior dapat menjadi yang terbaik dalam melaksanakan tanggung jawab governance dengan:

 Membangun sebuah komite risiko

 Komite ini biasanya dipimpin oleh seorang eksekutif senior: Chef Risk Officer (CRO), jika ada, atau eksekutif lainnya yang memiliki tanggung jawab pengawasan risiko yang luas

 Ia bertanggung jawab untuk menentukan bahwa semua risiko kunci diidentifikasi, terkait dengan aktivitas manajemen risiko, dan ditugaskan kepada pemilik risiko

 Mengevaluasi risk appetite organisasi yang sedang berlangsung dan memastikan bahwa tingkat toleransi didelegasikan kepada pemilik risiko konsisten dengan risk appetite  Mengartikulasikan persyaratan pelaporan

 Pemilik risiko harus memahami sifat, format, dan waktu komunikasi mengenai efektivitas kegiatan manajemen risiko

 Pelaporan ini dapat terjadi melalui pertemuan komite risiko yang dijadwalkan secara rutin atau sebagai bagian dari proses pengumpulan informasi untuk pelaporan ke dewan

(21)

 Mengevaluasi kembali harapan governance secara berkala (biasanya pertahun)

 Sebagai organisasi berkembang dan perubahan, manajemen senior harus menilai kembali arah governance dan tingkat toleransi yang sesuai yang telah didelegasikan kepada pemilik risiko

 Sebagai hasil dari perubahan-perubahan tersebut, tingkat toleransi manajemen senior juga harus dievaluasi

 Hal ini juga memberikan kesempatan manajemen senior untuk mengevaluasi keefektifan program manajemen risiko organisasi

Tanggung jawab pemilik risiko meliputi:

 Mengevaluasi apakah kegiatan manajemen risiko dirancang secara memadai untuk mengelola risiko yang terkait dalam tingkat toleransi yang ditentukan oleh manajemen senior

 Menilai kemampuan yang berkelanjutan dari organisasi untuk melaksanakan kegiatan-kegiatan manajemen risiko

 Menentukan apakah kegiatan manajemen risiko saat ini yang beroperasi sesuai dengan yang dirancang, yaitu, apakah orang-orang dan sistem mengeksekusi proses konsisten dengan tujuan yang diinginkan

 Melakukan kegiatan sehari-hari untuk mengidentifikasi pemantauan, pada waktu yang tepat, apakah anomali atau divergensi dari hasil yang diharapkan telah terjadi

 Memastikan bahwa informasi yang dibutuhkan oleh manajemen senior dan dewan tersebut akurat dan tersedia, dan diberikan kepada manajemen senior secara tepat waktu

Risk owner dapat menjalankan tanggung jawab pemerintahan mereka secara terbaik dengan:  Menyajikan rekomendasi governance ke komite risiko

 Memperhitungkan kembali kegiatan manajemen risiko secara berkala (minimal pertahun, dan lebih sering ketika dibenarkan)

(22)

BAB 4 MANAJEMEN RISIKO

DEFINISI RISIKO

COSO : kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan ISO : pengaruh ketidakpastian pada tujuan

Risiko bisnis

Risiko yang secara khusus terkait dengan organisasi didalam melakukan bisnis, berupa ketidakpastian mengenai adanya ancaman terhadap pencapaian tujuan bisnis.

COSO ERM FRAMEWORK

Setelah kita tahu bahwa banyak sekali risiko yang dihadapi organisasi ketika mereka mencoba menjalankan strategi dan mencapai tujuan mereka, maka terdapat kebutuhan yang sangat besar terhadap suatu hal yang dapat secara efektif mengelola risiko di dalam organisasi. Dan kebutuhan ini terjawab dengan adanya Enterprise Risk Management (ERM) yang pertama kali diperkenalkan COSO pada tahun 2004.

COSO mengidentifikasi adanya kebutuhan akan kerangka kerja yang kuat untuk membantu perusahaan secara efektif mengidentifikasi, menilai, dan mengelola risiko. Kerangka kerja yang dihasilkan merupakan perluasan dari kerangka kerja sebelumnya “Internal Control – Integrated Framework”, menggabungkan semua aspek kunci dalam kerangka kerja tersebut ke dalam kerangka kerja ERM yang lebih luas.

Pengertian ERM secara singkat “proses yang dilakukan oleh manajemen untuk memahami dan mengatasi ketidakpastian yang dapat mempengaruhi kemampuan organisasi untuk mencapai tujuannya”

Definisi ERM menurut COSO “suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen dan pegawai lainnya, diterapkan dalam penyusunan strategi dan di segenap perusahaan, dirancang untuk mengidentifikasi peristiwa-peristiwa potensial yang dapat mempengaruhi entitas, dan untuk mengelola risiko sampai dalam batas hasrat risiko entitas, untuk menyajikan keyakinan memadai sehubungan dengan pencapaian tujuan entitas“

(23)

− sebuah proses yang berlangsung terus menerus.

− dilakukan oleh setiap orang di dalam organisasi pada tingkatan/jenjang organisasi. − diterapkan dalam penyusunan strategi.

− diterapkan di segenap perusahaan, pada setiap tingkat dan satuan.

− Berfokus pada pengambilan pandangan portofolio tingkat entitas mengenai risiko.

− Dirancang untuk mengidentifikasi peristiwa-peristiwa yang secara potensial mempengaruhi entitas.

− Sarana bagi manajemen dalam mengelola risiko dalam batas hasrat risiko entitas. − Menyajikan keyakinan memadai kepada manajemen dan dewan entitas

− Dijalankan untuk mencapai tujuan-tujuan baik dalam satu atau dua kategori terpisah maupun secara bersama-sama.

Kerangka kerja ERM digambarkan dalam kubus tiga dimensi yang mencerminkan hubungan antara jenis tujuan, komponen ERM, dan struktur bisnis perusahaan.

Jenis Tujuan

Di dalam konteks penetapan visi atau misi, manajemen menetapkan tujuan stratejik, memilih strategi dan menetapkan tujuan-tujuan lain secara menurun ke segenap perusahaan dan diselaraskan dengan serta dihubungkan kepada strategi. Kerangka ini memandang tujuan-tujuan entitas dalam konteks empat kategori:

− Stratejik – berhubungan dengan sasaran tingkat tinggi, diselaraskan dengan dan mendukung misi entitas.

− Operasional – berhubungan dengan penggunaan sumberdaya entitas secara efektif dan efisien.

− Pelaporan – berhubungan dengan keandalan pelaporan entitas.

− Ketaatan – berhubungan dengan ketaatan entitas kepada hukum dan peraturan yang berlaku

Komponen ERM

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Komponen-komponen ini diperoleh dari cara manajemen menjalankan suatu bisnis, dan dipadukan dengan proses manajemen. Komponen-komponen tersebut adalah:

1. Internal Environment (Lingkungan Internal)

“manajemen menentukan suatu filosofi sehubungan dengan risiko dan menetapkan suatu hasrat risiko. Lingkungan internal menentukan fondasi tentang bagaimana risiko dan pengendalian

(24)

dipandang oleh orang-orang dalam suatu entitas. Inti dari bisnis apapun adalan orang-orang – atribut individual mereka, termasuk integritas, nilai etika dan kompetensi – dan lingkungan di mana mereka beroperasi. Mereka adalah mesin yang mendorong entitas dan fondasi dari setiap komponen lainnya“

Lingkungan intern entitas merupakan fondasi bagi seluruh komponen lain dari manajemen risiko perusahaan, yang menyajikan disiplin dan struktur. Lingkungan intern mempengaruhi bagaimana strategi dan tujuan-tujuan ditetapkan, aktivitas bisnis distrukturkan, dan risiko-risiko diidentifikasi, ditaksir dan diperlakukan. Lingkungan intern mempengaruhi rancangan dan pelaksanaan aktivitas pengendalian intern, sistem informasi dan komunikasi, dan aktivitas pemantauan.

Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Yang terdiri dari banyak unsur antara lain:

− Risk management philosopy. − Risk appetite.

− Board of directors.

− Integrity and ethical values − Commitment to competence − Organizational stucture

− Assignment of authority and responsibility − Human resource standards

2. Objective Setting (Penentuan Tujuan)

Tujuan ditetapkan pada tingkat strategis, meletakkan dasar untuk operasi, pelaporan, dan tujuan kepatuhan. Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal, dan sebuah prasyarat yang efektif untuk untuk identifikasi peristiwa, penilaian risiko, dan penanganan risiko adalah pemantapan tujuan.

3. Event Identification (Identifikasi Peristiwa)

Manajemen harus mengidentifikisasi peristiwa potensial yang akan berdampak pada perusahaan, baik dalam arti positif maupun negatif. Peristiwa yang berdampak buruk dan menghambat tujuan organisasi di sebut sebagai risiko dimana manajemen harus melakukan penilaian dan penanganan. Sedangkan peristiwa yang berdampak positif pada organisasi disebut sebagai peluang dimana manajemen harus memanfaatkannya didalam proses perumusan strategi dan penentuan tujuan.

(25)

Ketika mengidentifikasi risiko, manajemen harus mempertimbangkan berbagai faktor internal maupun eksternal yang dapat menjadi risiko ataupun peluang pada perusahaan.

COSO merumuskan beberapa eksternal faktor antara lain:

− Economic events, seperti pergeseran harga, ketersediaan modal, dan persaingan usaha yang ketat.

− Natural environment events, seperti banjir, kebakaran, gempa bumi maupun peristiwa alam lainnya.

− Political events, seperti pemilihan umum terhadap pemimpin negara dengan agenda politik yang baru maupun pemberlakukan hukum dan regulasi yang baru.

− Social events, seperti perubahan demografi, adat istiadat, struktur keluarga maupun prioritas hidup/pekerjaan.

− Technological events, seperti penggunaan sarana baru didalam perdagangan, penyimpanan dan pemrosesan

COSO juga merumuskan beberapa internal faktor antara lain:

− Infrastructure factors, seperti meningkatkan alokasi modal untuk pemeliharaan preventif atau dukungan call center.

− Personnel factors, seperti kecelakaan kerja, kegiatan penipuan, atau kontrak kerja yang kadaluwarsa,

− Process factors, seperti perubahan proses/cara kerja, kesalahan didalam proses pekerjaan, atau keputusan menggunakan outsorcing

− Technology factors, seperti meningkatkan sumber daya untuk menangani volatilitas volume, pelanggaran keamanan, atau penghentian sistem.

4. Risk assessment (Penilaian Risiko)

Penilaian risiko mengharuskan manajemen untuk mempertimbangkan sejauh mana peristiwa potensial yang dapat menghambat tujuan perusahaan. Manajemen harus menilai risiko dari dua perspektif yaitu kemungkinan dan dampaknya. Dengan dua kombinasi itu manajemen menilai risiko mana yang berdampak sangat besar pada tujuan perusahaan maupun yang berdampak kecil.

(26)

Setelah mengetahui risiko mana saja yang berdampak pada perusahaan, manajemen harus menentukan penanganan risiko yang cocok terhadap risiko-risiko tersebut. Ada empat macan penanganan risiko menurut COSO

− Avoidance, yaitu menghindari risiko

− Reduction, yaitu mengurangi risiko baik dari kemungkinan terjadinhya maupun dampaknya − Sharing, yaitu membagi risiko atau melimpahkan risiko kepada pihak lain (asuransi)

− Acceptance, yaitu menerima risiko 6. Control Activities (Kegiatan Pengendalian)

Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu untuk meyakinkan manajemen bahwa risiko telah ditangani dengan baik. Beberapa contoh kegiatan pengendalian manajemen antara lain:

− Top-level reviews

− Direct functional or activity management − Information processing controls

− Physical controls − Performance indicators − segregation

7. Information and Communication

Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait manajemen risiko yang berasal dari internal maupun eksternal menjadi informasi yang berguna bagi manajemen didalam mengambil keputusan. Kemudian hal itu dikomunikasikan kepada setiap orang/personnel agar mereka melakukan tanggungjawabnya sesuai fungsi masing-masing. COSO mendefinisikan sebuah informasi harus:

− tepat dan rinci pada setiap tingkatan yang berbeda − tepat waktu dan tersedia pada saat dibutuhkan

− mencerminkan kondisi yang sekarang baik (update) terutama pada informasi keuangan dan operasi

− akurat dan terpercaya

− dapat diakses oleh siapapun yang membutuhkan − 8. Monitoring

ERM harus selalu dimonitoring, untuk menjamin keberadaan dan fungsi setiap komponen berjalan dengan baik setiap waktu. Auditor internal biasanya banyak berperan didalam hal ini karena mereka

(27)

melakukan penilaian apakah kegiatan manajemen risiko perusahaan telah dilaksanakan dengan efektif.

Peran dan Tanggung Jawab dalam ERM

Dewan Komisaris, pihak manajemen, pegawai bidang pengelolaan risiko, pegawai bidang keuangan, auditor internal, dan tentu saja, seluruh pihak yang ada di dalam organisasi memiliki peran untuk mewujudkan ERM yang efektif. Peran dan tanggung jawab dari masing-masing pihak tersebut sebagaimana telah dijelaskan pada Bab.3 tentang “Tata Kelola”.

● Dewan Komisaris. Pihak dewan komisaris mengawasi dan memberikan arahan kepada pihak manajemen organisasi. Dewan komisaris berperan dalam menentukan strategi organisasi, merumuskan tujuan stratejik, mengalokasikan sumber-sumber daya organisasi dalam lingkup yang luas, dan mencontohkan/mewujudkan perilaku etis di lingkungan organisasi. Terkait dengan pengelolaan ERM, COSO menyebutkan bahwa dewan komisaris melakukan pemantauan melalui:

− Pemahaman terkait sampai sejauh mana pihak manajemen telah mengelola ERM dengan efektif.

− Mengetahui dan menyepakati selera risiko organisasi.

− Meninjau portofolio risiko organisasi dan menyesuaikannya dengan selera risiko organisasi.

− Menerima info terkait risiko organisasi yang paling signifikan dan apakah pihak manajemen telah menangani risiko tersebut secara memadai.

● Manajemen. Pihak manajemen bertanggung jawab atas segala aktivitas yang ada di organisasi, termasuk kegiatan ERM. Tanggung jawab pihak manajemen sangat beragam, tergantung tingkatannya dan karakteristiknya dalam organisasi.

CEO memiliki tanggung jawab puncak atas efektifitas dan kesuksesan program ERM. Salah satu aspek penting terkait dengan tanggung jawab CEO adalah memastikan keberadaan lingkungan internal yang positif. CEO memberikan contoh, mempengaruhi susunan dan perilaku dewan pimpinan, memimpin dan mengarahkan manajer senior, dan memonitor kegiatan pengelolaan organisasi dalam kaitannya dengan penentuan selera risiko dan kriterianya, seperti kapasitas risiko dan tingkat toleransi risiko. Keadaan terus mengalami perubahan, pemunculan risiko yang berbeda, perlu penerapan strategi, tindakan yang mengantisipasi kemungkinan yang tidak

(28)

berkesusaian dengan kriteria risiko, maka CEO akan mengambil suatu tindakan agar organisasi tidak “keluar-jalur”.

Manajer senior yang memimpin berbagai jenis unit di organisasi, memiliki tanggung jawab pengelolaan risiko terkait dengan tujuan dari masing-masing unit yang dipimpinnya. Pihak manajer senior mengejawantahkan strategi organisasi yang bersifat umum menjadi berbagai kegiatan operasi, identifikasi kejadian risiko yang mungkin terjadi, mengukur risiko-risiko yang terkait, dan menerapkan penanganan yang memadai atas risiko-risiko tersebut. Pihak manajer membimbing kegiatan ERM organisasi sesuai dengan lingkup bidang tanggung jawabnya, memastikan bahwa penerapan komponen-komponen ERM tersebut sesuai dengan toleransi risiko yang telah ditetapkan. Mereka bertanggung jawab atas prosedur khusus ERM yang diperuntukan bagi para manajer fungsional. Dapat disimpulkan bahwa para manajer lebih berperan aktif dalam menggunakan dan melaksanakan prosedur khusus penanganan risiko yang terkait dengan tujuan suatu unit tertentu di organisasi, seperti teknik pengidentifikasian dan pengukuran risiko dan penentuan penanganan khusus risiko ( yang adalah strategi manajemen risiko, sebagai contoh kebijakan pengembangan dan prosedur pembelian barang atau melayani pelanggan baru

Staf fungsional, seperti bidang akuntansi, SDM, kepatuhan, atau hukum juga memiliki peran yang penting dalam mewujudkan perancangan dan pelaksanaan praktik-praktik ERM yang efektif. Fungsi-fungsi ini dimungkinkan untuk merancang dan menerapkan suatu program yang dapat mendukung pengelolaan risiko lintas unit dalam organisasi.

● Petugas pengelola risiko. Beberapa organisasi telah memiliki dan menunjuk seseorang untuk menempati posisi manajer senior yang bertugas/berperan sebagai pusat koordinasi dalam pengelolaan ERM. Seorang petugas pengelola risiko--biasanya disebut Chief Risk Officer (CRO)--umumnya beroperasi dalam lingkup staff fungsional, bekerja bersama dengan pihak manajer lain dalam mewujudkan ERM pada unitnya masing-masing, Petugas pengelola risiko memiliki sumber daya untuk mempengaruhi pengelolaan ERM lintas anak perusahaan, proses bisnis, departemen, fungsi dan kegiatan. Mereka bertanggung jawab atas pemantauan kemajuan pengelolaan risiko dan mendampingi manajer lain melaporkan informasi yang relevan dengan risiko dalam organisasi.

(29)

− Menyusun kebijakan ERM, meliputi definisi peran dan tanggung jawab, dan berpartisipasi dalam menentukan tujuan penerapan.

− Membuat kerangka kewenangan dan pertanggungjawaban ERM di unit-unit bisnis. − Meningkatkan kompetensi ERM di seluruh entitas, meliputi memfasilitasi

pengembangan ahli teknik ERM dan membantu pihak manajer menangani risiko sesuai dengan toleransi risiko entitas dan mengembangkan pengendalian yang memadai. − Memandu pengintegrasian ERM dengan perencanaan bisnis lainnya dan aktivitas

manajemen.

− Menyusun suatu istilah yang umum dalam pengelolaan risiko meliputi pengukuran atas keterjadian dan dampak risiko, dan kategori risiko yang umum.

− Memfasilitasi pengembangan protokol pelaporan dari pihak manajemen, meliputi batasan kualitatif dan kuantitatif, dan pemantauan proses pelaporan.

− Pelaporan kepada pihak pimpinan terhadap kemajuan dan pelaksanaan dan rekomendasi tindakan yang diperlukan.

● Financial Executive. Pimpinan bagian akuntansi dan keuangan beserta para staffnya bertanggung jawab hampir atas seluruh kegiatan yang ada di organisasi, karena pada dasarnya hampir seluruh kegiatan tersebut melibatkan peran serta bagian akuntansi dan keuangan. Mereka berperan penting dalam mencegah dan mendeteksi pelaporan fraud, dan mempengaruhi kerangka, penerapan, dan pengawasan pengendalian internal organisasi yang terkait dengan pelaporan keuangan dan sistem pendukung lainnya.

● Auditor Internal. Auditor Internal berperan penting dalam mengevaluasi efektifitas—termasuk merekomendasikan perbaikan—ERM.

● Pihak-pihak lain dalam organisasi. Kenyataannya ERM adalah tanggung jawab seluruh pihak yang ada dalam organisasi. Mungkin beberapa dari mereka bukanlah pemilik risikonya (risk owner), namun bagaimanapun juga peran mereka—mulai dari mengidentifikasi risiko hingga penerapan strategi penanganan risiko—turut berpengaruh dalam mewujudkan ERM yang efektif.

● Auditor Eksternal. Pihak auditor eksternal dapat memberikan informasi kepada Dewan Direksi maupun manajemen suatu pandangan pengelolaan risiko organisasi secara objektif dan independen, yang akan berguna menghasilkan laporan keuangan untuk pihak eksternal dan tujuan-tujuan lainnya.

● Para pembuat aturan. Pihak pembuat aturan dapat mempengaruhi penerapan ERM dalam organisasi melalui berbagai persyaratan untuk melaksanakan ERM atau sistem pengendalian internal atau melalui pemeriksaan terhadap entitas khusus.

(30)

● Pihak-pihak di luar perusahaan. Pelanggan, vendor, mitra bisnis, dan siapapun itu yang terlibat secara bisnis dengan organisasi berperan dalam menyediakan informasi risiko, sebagai sumber/bahan ERM. Pihak kreditor dapat memberikan suatu pengawasan atau arahan yang berpengaruh terhadap pencapaian tujuan organisasi. Analis keuangan, lembaga pemberi peringkat, media massa, dan pihak-pihak eksternal lainnya dapat mempengaruhi ERM. Hasil investigasi mereka, memberikan gambaran secara mendalam bagaimana persepsi orang luar terhadap kinerja organisasi, risiko industri dan ekonomi, proses operasi yang inovatif dan strategi keuangan, serta gambaran tren industri saat itu. Penyedia jasa menjadi semakin lazim bagi organisasi dalam menjalankan operasi hariannya terutama untuk menjalankan fungsi-fungsi yang bukan proses bisnis utama organisasi. Dengan adanya kerja sama dengan pihak luar tersebut maka kemungkinan akan ada pengembangan pengelolaan risiko terutama yang terkait dengan kerja sama tersebut.

COSO mengidentifikasi prinsip-prinsip dalam pengelolaan ERM yang dapat menjadi faktor pendorong:

− Menyesuaikan selera risiko dan strategi

− Meningkatkan pengambilan keputusan untuk merespon risiko − Mengurangi kemungkinan-kemungkinan buruk dalam proses operasi − Mengidentifikasi dan mengelola risiko antar-usaha

− Menyiapkan respon terpadu atas berbagai risiko − Menangkap peluang

− Meningkatkan penempatan modal

ISO 31000:2009 MANAJEMEN RISIKO—PEDOMAN DAN PRINSIP Prinsip ISO 31000:

− Menciptakan dan memelihara nilai − Bagian integral dari proses organisasi − Bagian dari pengambilan keputusan

− Secara tegas menyampaikan ketidakpastian − Sistematis, terstruktur, dan tepat waktu − Berdasarkan pada informasi terbaik − Dirancang secara khusus

− Mempertimbangkan faktor manusia dan budaya − Transparan dan melibatkan banyak pihak

(31)

− Memfasilitasi perbaikan-perbaikan dalam organisasi Kerangka ISO 31000

− Mandat dan komitmen dari atasan

− Merancang kerangka pengelolaan risiko, yang meliputi: ● Pemahaman terhadap konteks organisasi ● Menyusun kebijakan manajemen risiko

● Pendelegasian tanggung jawab dan kewenangan

● Mengintegrasikan pengelolaan risiko pada proses bisnis organisasi ● Pengalokasian sumber daya

● Menentukan komunikasi internal dan eksternal serta mekanisme pelaporannya − Menerapkan kerangka dan proses pengelolaan risiko

− Pemantauan atas kerangka

− Secara berkala, meningkatkan kerangka Proses ISO 31000

− Menyusun konteks. Berfokus pada pemahaman dan persetujuan atas faktor-faktor internal dan eksternal yang dapat mempengaruhi pengelolaan risiko.

− Menilai risiko, yang meliputi kegiatan pengidentifikasian risiko, menganalisa risiko dan penyebabnya, sumber, dan tipe hasil yang diharapkan, dan mengevaluasi risiko untuk memperoleh informasi dalam memprioritaskan penanganan risiko.

− Penanganan risiko, meliputi kegiatan pengambilan keputusan atas informasi risiko yang ada. − Memonitor risiko, mengidentifikasi kejadian risiko di lapangan dan mengevaluasi apakah

penanganan risiko telah sesuai dengan tujuan. − Membangun proses komunikasi dan konsultasi. Peran Auditor Internal dalam ERM

Pengelolaan Enterprise Risk Management membutuhkan peran akuntan perusahaan baik peran dari akuntan manajemen maupun peran Auditor Internal. Adapun Auditor Internal bertugas meneliti dan mengevaluasi berfungsinya sistem akuntansi di samping menilai seberapa jauh kebijakan dan program kerja manajemen dijalankan memiliki peran yang penting dalam perusahaan, termasuk pengelolaan risiko.

Dalam Position Paper berjudul The Role Internal Auditing in Enterprise-Wide Risk Management yang dikeluarkan oleh IIA, dikemukakan bahwa terdapat beberapa aktivitas yang dapat diperankan oleh internal auditor. Internal auditor diharuskan untuk memelihara objektivitas dan indepedensi yang