Audit Internal - UTS

Pendahuluan
Sejarah audit internal

1. Mesopotamia 4000SM-1000SM
   Sumaria: Pencatatan dan Verifikasi dg huruf paku, matematika basis 60
   Agadea: Pembagian Tugas penghitung dan pencatat
   Babilonia: Kalender Lunar
2. Cina 2200SM-500SM:
   Pencatatan, Verifikasi, dan Pembagian Tugas
3. Yunani 1000SM-100SM:
   Pemeriksaan catatan kekayaan pejabat
4. Arab 500M-1500M:
   Pencatatan dg bukti2 dan 2 orang Saksi
5. Masa Perdagangan Eropa (Merkantilisme, 1400-1500):
   Benedetto Cotrugli, "Della Marcatia e del Mercate Perfetto" ,Venice1458: Pembukuan Double Entryyang dilaksanakan dalam perdagangan di Eropa masa itu
   Luca Pacioli, "Summa de Arithmetica, Geometria, Proportioni et Proportionalità" ,Venice1494: Tractatus de Computis et Scriptorio (Sistem pembukuan berpasangan)
   Pengembangan sistem Pembukuan Belanda (Continental Bookkeeping) dan sistem Pembukuan Inggris dan Amerika Serikat (Anglo- Saxon Accounting)
6. Masa Kapitalisme, Kolonialisme dan Imperialisme (1500-1800):
   Dengan sistem pencatatan yang ada menimbulkan gairah menumpuk kekayaan
   Penghancuran sejarah bangsa-bangsa Timur (karena konsep freedom yang dianutnya)
   Penguasaan wilayah2 Timur (Asia-Afrika)
   Pertumbuhan investasi di Amerika, auditor dikirim untuk memeriksa laporan keuangan para manajer pabrik (bir,gula,cerutu,tekstil)
   Audit dengan pendekatan analisa laporan keuangan
7. Revolusi Industri (1800-1900):
   Audit untuk mendeteksi penipuan dan memantau akurasi keuangan
8. Tahun 1887 terbentuk AICPA
9. Federal Trade Commission (1914):
   Untuk mencegah manipulasi saham dan penyimpangan laporan keuangan dan kinerja
   Audit untuk menguji ketaatan perusahaan terhadap perundang-undangan yang berlaku
   Berkembangnya istilah "Laporan Auditor Independen" dan penggunaan metode sampling
10. Government Accounting Office(GAO, 1921):
    GAO dibentuk denganThe Budget and Accounting Act, mengambil alih tanggung jawab audit, accounting dan penagihan dari Treasury Dept
    GAO dibentuk karena menajemen keuangan negara tidak tertata akibat perang dunia I yang menghasilkan peningkatan hutang
    GAO berwenang menginvestigasi setiap pengeluaran pemerintah
    1968 GAO mengenalkan Comprehensive Audit untuk menilai kehematan, efisiensi, dan efektivitas kinerja pemerintah dalam mencapai tujuan negara
11. Securities and Exchange Commission (SEC,1934):
    SEC dibentuk guna mengawasi perdagangan saham agar bisa mencegah terjadinya kembali kejatuhan nilai saham (1929) yang menyebabkan bencana ekonomi yang disebut sebagai "great depression"
    Menguatnya hubungan antara fungsi audit dan penegakan hukum
12. Institute of Internal Audit (IIA, 1941):
    Ekspansi usaha menimbulkan kesulitan mengendalikan dan menjaga efisiensi usaha
    Berkembangnya tugas2 penjadwalan produksi, penyediaan bahan, tenaga kerja, dengan taat pada peraturan perundang-undangan
13. Financial Accounting Standart Board (FASB,1973):
    Menggantikan Committee on Accounting Procedure (CAP)
    Menerbitkan standar2 akuntansi yang diarahkan bagi perusahaan publik saat itu dalam bentuk Generally Accepted Accounting Principles (GAAP)
    Meningkatkan relevansi , reliabilitas, dan kualitas pembandingan dan konsistensi
14. Cohen Commission (AICPA,1974):
    Untuk mempelajari tanggungjawab auditor.
    Merekomendasikan dibuatnya Laporan Manajemen yang mengungkapkan kondisi sistem pengendalian internalnya
    Rekomendasi audit atas laporan manajemen
15. Foreign Corrupt Practices Act (1977):
    Mencegah suap ke pejabat atau partai politik
    Menyaratkan agar organisasi memelihara sistem internal control yang memadai dan catatan keuangan yang lengkap dan akurat
16. The International Professional Practices Framework (IIA,1978):
    Sebagai Referensi utama penetapan peran dan fungsi internal auditor
17. Minahan Committee (AICPA,1979):
    Merupakan Special Advisory Committee on Internal Control yang memberikan panduan evaluasi internal control
    Mengisi kekosongan pedoman pengendalian internal
    Committee of Sponsoring Organizations of the Treadway Commission(COSO) :
18. 1985 The National Commission on Fraudulent Financial Reporting (Treadway Committee) dibentuk oleh 5 organisasi (AICPA, FEI,IIA, IMA dan AAA). Organisasi tersebut kemudian lebih dikenal dengan COSO.Dilatarbelakangi berkembangnya praktek kecurangan (fraud) pada laporan keuangan
19. 1987 Total 49 rekomendasi mencegah dan mendeteksi kecurangan. Menyarankan penerapan pengendalian intern yang efektif, mengatur fungsi internal audit, dan pengawasan oleh Komite Audit
20. 1992 Menerbitkan Internal Control -Integrated Framework (COSO Framework I).
21. 2004 Menerbitkan Enterprise Risk Management-Integrated Framework (COSO Framework II)

Definisi Audit Internal
Ruchyat Kokasih, "Auditing Prinsip dan Prosedur" (1985): Pemeriksaan intern adalah serangkaian proses dan teknik yang menjadi saluran untuk meyakinkan manajemen dengan observasi langsung apakah pengendalian yang telah ditetapkan manajemen berjalan baik dan efektif, apakah pembukuan dan laporan keuangan telah menunjukkan gambaran aktivitas yang sesungguhnya, teliti dan cepat serta apakah setiap bagian/unit benar-benar melaksanakan kebijaksanaan, rencana dan prosedur yang telah ditetapkan.
Institute of Internal Audit, 1999:
Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.
Tujuan Internal Audit
add value, improve cost controls, and solve problems, catalyst for change.
Peran Internal Audit
Internal auditing activity is primarily directed at improving internal control, but management is responsible for internal control.
Internal auditing professional standards require the function to monitor and evaluate the effectiveness of the organization's Risk management processes.
Internal auditing activity as it relates to corporate governance is generally informal, accomplished primarily through participation in meetings and discussions with members of the Board of Directors
Ruang lingkup internal audit

1. the efficiency of operations,
2. the reliability of financial reporting,
3. deterring and investigating fraud,
4. safeguarding assets, and
5. compliance with laws and regulations. Internal auditing frequently involves measuring compliance with the entity's policies and procedures.

Responsibilities:
Internal auditors are not responsible for the execution of company activities, they advise management and the Board of Directors (or similar oversight body) regarding how to better execute their responsibilities

Perbedaan Audit Internal dan Eksternal
Perbedaan Misi
Tanggung jawab utama auditor eksternal adalah memberikan opini atas kewajaran pelaporan keuangan organisasi, terutama dalam penyajian posisi keuangan dan hasil operasi dalam suatu periode
Sementara itu, tanggung jawab utama auditor internal tidak terbatas pada pengendalian internal berkaitan dengan tujuan reliabilitas pelaporan keuangan saja, namun juga melakukan evaluasi desain dan implementasi pengendalian internal, manajemen risiko, dan governance dalam pemastian pencapaian tujuan organisasi.
Perbedaan organisasional
Auditor internal adalah bagian dalama struktur organisasi perusahaan, sedangkan audit eksternal berasal dari pihak independen dari luar perusahaan
Perbedaan fokus dan orientasi
Auditor internal lebih berorientasi ke kejadian masa depan, auditor eksterna berorientasi pada kejadian historis untuk menilai kewajaran lapkeu
Perbedaan kualifikasi

Auditor internal tidak harus seoarng akuntan, auditor eksternal harus

 
Governance
Definisi
Keseluruhan perangkat yang digunakan oleh organisasi untuk menjalankan kegiatan operasionalnya secara efektif dan efisien disebut dengan corporate governance, yang secara umum disebut dengan governance.
Governance dapat pula didefinisikan sebagai proses yang dijalankan oleh dewan komisaris untuk mengotorisasi, mengarahkan, dan mengawasi manajemen dalam mencapai tujuan organisasi.
Menurut OECD: Corporate governance mencakup kerjasama antara manajemen, dewan komisaris, pemegang saham, dan stakeholder lain (dalam upaya mencapai tujuan organisasi). Corporate governance juga memberikan struktur terhadap perumusan tujuan organisasi, termasuk perangkat untuk mencapai tujuan organisasi dan monitoring kinerja organisasi.
Elemen umum yang ada di hampir definisi governance: kebijakan, proses, dan struktur yang digunakan oleh organisasi untuk mengarahkan dan mengendalikan aktivitas, untuk mencapai tujuan, dan melindungi organisasi dari berbagai macam kepentingan kelompok stakeholder, melalui cara-cara yang sesuai dengan standard etika yang tepat.

Konsep Governance

• Governance dimulai dari dewan komisaris dan komite-komitenya. Dewan berfungsi sebagai payung dari tanggungjawab governance (governance oversight) untuk keseluruhan organisasi. Dewan memberikan arahan kepada manajemen, memberi otoritas untuk membuat keputusan dan tindakan, dan mengawasi hasil dari kegiatan operasional.
• Dewan harus memahami dan fokus pada kebutuhan stakeholder kunci. Stakeholders adalah satu-satunya pihak yang berhak menerima pertanggungjawaban dewan.
• Secara harian, governance dilaksanakan oleh manajemen. Manajer puncak sampai manajer pelaksana memiliki peran penting dalam governance melalui aktivitas manajemen risiko.
• Auditor internal dan auditor independen berperan untuk memberikan jaminan kepada manajemen dan dewan komisaris tentang efektifitas dari aktivitas governance.
• Stakeholder adalah semua fihak yang berkepentingan dengan aktivitas dan keluaran (outcome) dari organisasi, baik langsung maupun tidak langsung.
• Pengelompokan stakeholders:
• Stakeholder langsung (direct stakeholders). Semua pihak yang terlibat langsung dalam aktivitas organisasi.
  • Stakeholder tidak langsung (indirect stakeholders). Semua pihak yang tidak terlibat langsung dalam organisasi tetapi terpengaruh oleh sukses dan outcome dari organisasi
  • Stakeholder berpengaruh (influencing stakeholders). Semua pihak yang tidak terlibat langsung dalam organisasi dan terpengaruh oleh organisasi, tetapi berpengaruh terhadap aspek-aspek bisnis serta sukses organisasi.
• Contoh stakeholders
  • Pegawai
  • Pelanggan
  • Pemasok
  • Pemegang saham/investor
  • Regulatory agencies (lembaga-lembaga pembuat aturan), baik sebagai indirect stakeholders mupun sebagai influencing stakeholders, seperti: Bapepam, the Environmental Protection Agency (EPA), dan seterusnya.

 RISK MANAGEMENT
The Committee of Sponsoring Organizations of the Treadway Commission (COSO) : Risk: "the possibility that an event will occur and adversely affect the achievement of an objective."
Risk Manajemen: "a process affected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives"
Risk Owner
Risk Owners adalah individu yang memiliki tanggung jawab sehari hari untuk memastikan bahwa kegiatan manajemen risiko telah melakukan pengelolaan resiko secara efektif sesuai dengan level risk Tolerance organisasi tersebut.
Tanggung Jawab Risk Owners meliputi :

1. Mengevaluasi apakah manajemen senior telah melakukan kegiatan manajemen risiko yang dirancang secara memadai untuk mengelola risiko yang terkait dalam tingkat toleransi.
2. Menilai kemampuan berkelanjutan organisasi untuk melaksanakan kegiatan-kegiatan manajemen risiko.
3. Menentukan apakah kegiatan manajemen risiko yang saat ini beroperasi seperti yang dirancang sebelumya.
4. Melakukan kegiatan pemantauan sehari-hari untuk mengidentifikasi, pada waktu yang tepat, apakah terdapat anomali atau penyimpangan dari hasil yang diharapkan terjadi.
5. Memastikan bahwa informasi yang dibutuhkan oleh manajemen senior dan dewan akurat dan tersedia, dan diberikan kepada manajemen senior secara tepat waktu.

Risk Appetite and Tolerance
Risk Appetite adalah Jumlah Resiko,dalam tingkatan yang luas, yang dapat diterima oleh organisasi dalam rangka memenuhi tujuan organisasi.
Risk Tolerance adalah tingkat resiko yang dapat diterima, baik dari segi ukuran ataupun variasinya, relatif sesuai dengan tujuan yang akan dicapai dan harus sejajar dengan Risk Appetite organisasi tersebut
COSO Enterprise Risk Management Framework
Definisi Enterprise Risk management (ERM) oleh COSO:
"… a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives."
Enterprise Risk Management — Integrated Framework
This COSO ERM framework defines essential components, suggests a common language, and provides clear direction and guidance for enterprise risk management.
COSO ERM framework:

1. A process that is ongoing and flows throughout an organization.
2. Effected by people at every level of an organization.
3. Applied when setting an organization's strategy.
4. Applied across the organization, at every level and unit.
5. Focused on taking an entity-level portfolio view of risk.
6. Designed to identify potential events that, if they occur, will affect the organization.
7. A means to enable the management of risks within an organization's risk appetite.
8. Able to provide reasonable assurance to an organization's management and board of directors.
9. Geared toward achievement of objectives.

Entity objectives can be viewed in the context of four categories:

• Strategic Objective    
• Operations Objective
• Reporting Objective
• Compliance Objective

Komponen ERM:

1. Internal environment
   COSO  menyatakan bahwa Lingkungan Internal adalah dasar untuk semua komponen lain dari ERM, menyediakan disiplin dan struktur. Hal ini mempengaruhi bagaimana strategi dan tujuan yang ditetapkan, kegiatan bisnis struktur, dan risiko diidentifikasi, dinilai dan ditindaklanjuti. Lingkungan internal dipengaruhi elemen berikut :
   1. Risk management philosophy
   2. Risk appetite
   3. Board of directors
   4. Integrity and ethical value
   5. Commitment to competence
   6. Organizational structure
   7. Assignmen of authority and responsibility
   8. Human resources standard
2. Objective setting
   Suatu tujuan ditetapkan pada tingkat strategis, membangun dasar untuk operasi, pelaporan dan tujuan pemenuhan. Setiap entitas akan menghadapi berbagai risiko dari sumber eksternal dan internal, dan prakondisi untuk identifikasi peristiwa yang efektif, penilaian dari resiko, dan respon risiko adalah penetapan tujuan.
3. Event identification
   Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang terjadinya
   Faktor eksternal:
   
   1. Kejadian Ekonomi
   2. Kejadian lingkungan alam,
   3. Kejadian sosial
   4. Kejadian teknologi
   Faktor Internal:
   
   1. Faktor infrastruktur
   2. Faktor personal
   3. Faktor proses
   4. Faktor teknologi
4. Risk assessment
   Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact) baik secara kuantitatif maupun kualitatif, sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.
   Penilaian resiko meliputi: inherent risk dan residual risk.
5. Risk response
   bentuk respon risiko:
   1. Avoidance
   2. Reduction
   3. Sharing
   4. acceptance
6. Control activities
   Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu memastikan bahwa respon atas manajemen risiko dilakukan. Contoh Control activities :
   1. Top level review
   2. Direct functional or activity management
   3. Information processing control
   4. Physical control
   5. Performance indicators
   6. Segregation of duties
7. Information and communication
   Informasi terkait diidentifikasi, ditangkap, dan dikomunikasikan dalam kerangka bentuk dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka, mengelola resiko serta untuk pengambilan keputusan. Kriteria informasi menurut COSO:
   1. Tepat dan pada tingkat yang tepat detail. 
   2.  Tepat waktu dan tersedia bila diperlukan. 
   3.  Saat ini, mencerminkan informasi keuangan atau operasional terbaru. 
   4.  Akurat dan dapat diandalkan. 
   5.  Diakses bagi mereka yang membutuhkannya.
8. Monitoring
   Efektivitas komponen ERM lainnya dipantau melalui:
   1. Kegiatan pemantauan berkelanjutan.
   2. evaluasi terpisah.
   3. Kombinasi dari keduanya.

ISO 31000:2009
merupakan standar tentang manajemen resiko pertama yang diakui secara global. ISO 31000 dikembangkan untuk memberikan cara yang bisa diterima dunia internasional dalam pengamatan manajemen resiko
ISO 3100 Principles

• Creates and protects value.
• Is an integral part of all organizational processes.
• Is part of decision making.
• Explicitly addresses uncertainty.
• Is systematic, structured, and timely.
• Is based on the best available information.
• Is tailored.
• Takes human and cultural factors into account.
• Is transparent and inclusive.
• Is dynamic, iterative, and responsive to change.
• Facilitates continual improvement of the organization.

ISO 3100 Framework

• Mandate and commitment.
• Design of framework for managing risks
  • Understanding the organization and its context
  • Establishing a risk management policy
  • Delegating accountability and authority
  • Integrating risk management into organizational processes
  • Allocating the necessary resource
  • Establishing internal and external communication and reporting mechanism
• Implementing the risk management framework and process
• Monitoring the framework
• Continually improving the framework

ISO 3100 Process

• Establish the context
• Assess the risks
• Treat the risks
• Monitor risks
• Establish a communication and consultation process

Peran fungsi audit internal dalam ERM
IIA Standard 2120:
The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.
IIA IPPF – Position Paper:
Internal auditing's core role with regard to ERM is to provide objective assurance to the board on the effectiveness of an organization's ERM activities to help ensure key business risks are being managed appropriately and that the system of internal control[s] is operating effectively
Jenis Risiko
Inherent Risk adalah kombinasi dari risiko internal dan eksternal risiko dalam keadaan tak terkendali mereka, atau gross risk yang ada dengan asumsi tidak ada pengendalian internal.
Controllable risk adalah bagian dari inheren risk yang telah manajemen kurangi melalui operasional harian dan aktivitas manajemen mereka.
Residual risk adalah bagian dari inheren risk yang tetap ada setelah manajemen menjalankan penanganan risiko atas risiko tersebut (disebut juga sebagai net risk).
3 line of defense against risk
Three Lines of Defense Model merupakan teknik pengamanan berlapis yang dilakukan oleh suatu organisasi untuk mendapatkan tingkat mitigasi risiko yang diharapkan

• 1st line of defense merupakan aktivitas pengendalian internal yang dilakukan oleh setiap individu dan manajemen.
• 2nd line of defense merupakan aktivitas pengamanan lainnya yang lebih independen dan objektif dibandingkan dengan 1st line of defense.
• 3rd line of defense merupakan tindakan pengendalian yang paling independen dan objektif, yaitu berupa audit internal.

 
BUSINESS PROCESS AND RISKS
Business process adalah "The set of connected activities linked with each other for the purpose of achieving one or more business objectives"
Ada 3 tipe business activity:

1. Operating processes
   1. Understand environment
   2. Develop strategy
   3. Design product or service
   4. Market & sell
   5. Produce product/deliver service
   6. Invoice and collect
2. Management and support processes
   1. Manage HR
   2. Manage Fin Resources
   3. Manage IT Resources
   4. Manage physical resources
   5. Manage compliance with laws and regulations
   6. Manage external relationship
3. Projects
   1. Project operate
   2. Project deliver

Dokumentasi Proses Bisnis
Dokumentasi proses efektif digunakan untuk :

• Orienting new personel
• Defining areas of responsibility
• Evaluating the efficiency of processes
• Determining areas of primary concern
• Identifying key risks and controls

Metode yang paling sering digunakan dalam mendokumentasikan proses adalah process maps dan process narratives
Risiko Bisnis

1. Memahami risiko bisnisTahapan dalam memahami risiko bisnis :
1. Brainstroming sessionMelakukan brainstorming dengan manajemen senior atau auditor internal dan membuat model risiko
2. Risk assessmentMenilai risiko berdasarkan akibat dan kemungkinan terjadinya
3. Link identified risk to spesific objectivesMenghubungkan risiko yang teridentifikasi dengan tujuan organisasi yang dipengaruhi oleh risiko tersebut
2. Menentukan respon yang tepat terhadap risiko
3. Evaluasi atas strategi menghadapi risiko

Business process outsourcing
The act of transferring some of an organization's business process to an
ouside provider to achieve cost reductions, operating effectiveness, or operating efficiency while improving service quality
Pengendalian atas proses bisnis yang di outsourcekan

• Document the outsourced process and indicate which key controls have been outsourced
• Ensure there are means of monitoring the effectiveness of the outsourced process
• Obtain assurance that the internal control embedded in the outsourced process are operating effectively
• Periodically reevaluate whether the business case for outsourcing the process remains valid

INTERNAL CONTROL
Definisi

COSO

• Sebuah proses yang sedang berjalan
• Mendukung pencapaian tujuan
• Dipengaruhi oleh perilaku orang-orang
• Memberikan jaminan yang layak
• Mampu diadaptasikan dengan struktur organisasi

 

Tujuan pengendalian internal (COSO)

• Tujuan Operasional à efektivitas dan efisiensi operasi, mendukung pencapaian target.
• Tujuan Pelaporan à menghasilkan laporan keuangan yg sesuai standar.
• Tujuan Ketaatan à menjamin ketaatan terhadap hokum.

Komponen Pengendalian Internal (COSO)

• Lingkungan pengendalian: arahan dari organisasi untuk mempengaruhi kesadaran pengendalian anggotanya
• Penelaahan risiko: bagaimana organisasi mngelola resiko?
• Aktivitas pengendalian: kegiatan untuk menjamin bahwa arahan manajemen dilaksanakan dengan baik.
• Informasi dan komunikasi: memungkinkan setiap orang bekerja sesuai tanggung jawab.
• Monitoring: menentukan kualitas kinerja pengendalian.

Prinsip Pengendalian Internal

1. Lingkungan Pengendalian
   1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika
   2. Dewan komisaris menunjukkan independensi dari manajemen dan menjalankan fungsi pengawasan terhadap perkembangan dan kinerja auditor internal
   3. Manajemen menetapkan, dengan pengawasan dari dewan komisaris, struktur, jalur pelaporan, dan wewenang dan tanggung jawab dalam rangka pencapaian tujuan
   4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan dan mempertahankan kompetensi individual yang sesuai dengan tujuan organisasi
   5. Organisasi bertanggung jawab atas tanggung jawab pengendalian internal mereka dalam rangka pencapaian tujuan

II.    Penilaian Risiko

1. Organisasi menentukan tujuan dengan jelas untuk memungkinkan identifikasi dan penilaian atas risiko yang berhubungan dengan tujuan
2. Organisasi mengidentifikasi risiko dalam rangka pencapaian tujuan di seluruh entitas dan menganalisa risiko sebagai dasar untuk menentukan bagaimana risiko tersebut seharusnya dikelola
3. Organisasi mempertimbangkan potensi terjadinya kecurangan dalam menilai risiko terkait pencapaian tujuan
4. Organisasi mengidentifikasi dan menilai perubahan yang secara signifikan dapat berdampak pada sistem pengendalian internal

III.    Kegiatan Pengendalian

1. Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi kepada mitigasi risiko dalam pencapaian tujuan organisasi
2. Organisasi memilih dan mengembangkan kegiatan pengendalian secara umum atas teknologi untuk membantu pencapaian tujuan organisasi
3. Organisasi menyebarkan kegiatan pengendalian melalui kebijakan-kebijakan yang menetapkan apa yang diharapkan dan prosedur yang membuat kebijakan tersebut dijalankan

IV.    Informasi dan Komunikasi

1. Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang berkualitas dan relevan untuk membantu fungsi dari komponen lain dalam pengendalian internal
2. Organisasi mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab pengendalian internal, diperlukan untuk mendukung fungsi komponen lain dari pengendalian internal.
3. Organisasi mengomunikasikan dengan pihak eksternal mengenai hal-hal yang mempengaruhi fungsi pengendalian internal

V.    Monitoring

1. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan dan / atau terpisah untuk memastikan apakah komponen pengendalian internal telah ada dan berfungsi.
2. Organisasi mengevaluasi dan mengomunikasikan kelemahan pengendalian internal pada waktu yang tepat kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan komisaris.

Peran dan tanggung jawaban dalam pegendalian internal
1. Manajemen
CEO memilikitanggung jawab utama untuk sistem pengendalian internal.
2. Dewan Komisaris (Board of Directors)
Dewan komisaris mengawasi manajemen, memberikan arahan mengenai pengendalian internal, dan akhirnya memiliki tanggung jawab untuk mengawasi sistem pengendalian intern.
3. Auditor Internal
Internal auditor memiliki peran yang memastikan bahwa manajemen telah memenuhi tanggung jawabnya.
4. Personel Lain
COSO telah secara jelas menyatakan bahwa setiap orang dalam organisasi memiliki tanggung jawab dalam pengendalian internal.
Keterbatasan Pengendalian Internal

• Kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk pengendalian internal.
• Kenyataan bahwa penilaian manusia dalam pengambilan keputusan bisa saja salah dan bias.
• Kerusakan yang dapat terjadi karena kegagalan manusia seperti kesalahan-kesalahan kecil.
• Kemampuan manajemen untuk melakukan pengabaian sistem pengendalian internal.
• Kemampuan manajemen, personel lain, dan pihak luar untuk mengalahkan sistem melalui kolusi.
• Kejadian eksternal di luar kemampuan pengendalian organisasi.

Jenis-jenis Pengendalian
Berdasarkan level control

1. Entity Level Control
   Adalah pengendalian yang beroperasi di seluruh entitas, dengan demikian, tidak terikat oleh, atau berhubungan dengan, orang perseorangan.
2. Process Level Control
   Adalah aktivitas yang beroperasi dalam proses tertentu dalam rangka mencapai tujuan tingkat proses.
3. Transaction Level Control
   Adalah aktivitas yang mengurangi risiko yang berhubungan dengan kelompok atau berbagai tugas level operasional atau transaksi dalam organisasi

Berdasarkan importance

1. Key/primary control
   Adalah desain aktivitas untuk mengurangi risiko berkaitan dengan tujuan penting sebuah bisnis.
2. Secondary control
   Adalah desain aktivitas untuk mengurangi risiko terkait tujuan bisnis yang tidak berkaitan langsung dengan kesuksesan organisasi dan juga menyediakan backup atas key control.
3. Compensating control
   Adalah aktivitas yang jika key control tidak dapat berjalan dengan efektif, maka dapat membantu mengurangi risiko terkait. Compensating control secara individu tidak dapat mengurangi risiko sampai acceptable level.

Berdasarkan waktu

1. Preventive control
   Didesain untuk mencegah kejadian yang tidak diinginkan untuk terjadi pada kesempatan pertama.
2. Detective control
   Didesain untuk mengungkapkan kejadian tak diinginkan yang telah terjadi.

IT RISK AND CONTROL
IT Risk management
Risk Management : proses memanajemen ketidakpastian yang mempengaruhi kemampuan organisasi mencapai tujuan
Berdasarkan komponen COSO ERM:

• Internal environment : menjaga iklim sehat (tone at the top) dalam organisasi
• Objective setting : mendefinisikan tujuan IT à menentukan arah aktivitas IT
• Identifikasi kejadian : mengidentifikasi potensi kejadian dari dalam dan luar organisasi
• Penilaian risiko : analisis potensi kerugian dan penyebabnya
• Respon risiko : risk acceptance, respon terhadap risiko IT yang tidak melampaui batas toleransi organisasi
• Kontrol aktivitas : penggunaan SOP dan peraturan agar kegiatan berjalan sebagaimana mestinya
• Informasi dan komunikasi : organisasi mendapatkan informasi yang reliabel dari sistem informasi yang ada, segala risiko dan kejadian dikomunikasikan
• Monitoring : manajemen bertanggungjawab memonitor manajemen risiko IT agar operasional efektif dan efisien

IT Control

1. IT Policies, Kebijakan IT berupa :
   1. Kebijakan keamanan dan kerahasiaan seluruh organisasi
   2. Penentuan klasifikasi informasi dan hak akses tiap level
   3. Definisi konsep data dan sistem kepemilikannya
   4. Kebijakan personal pada area sensitif
   5. Definisi kebutuhan untuk rencana bisnis yang berkelanjutan
2. IT Standard : mendukung
   kebijakan IT dengan menentukan apa yang dibutuhkan untuk mencapai tujuan organisasi, mencakup
   1. System dev process
   2. System software configuration
   3. Application control
   4. Data structure
   5. documentation
3. Organisasi dan manajemen control; keyakinan adanya struktur yang jelas garis pelaporan dan pertanggungjawaban dan sudah terimplementasi secara efektif, aspeknya meliputi:
   1. Segregation of duties
   2. Financial control
   3. Change management control
4. Physical and environmental control; menjaga sumber daya sistem informasi dari kecelakaan, kerusakan disengaja, salah guna, dan kehilangan
5. System software control
6. System development control
7. Application based control

Implikasi IT kepada internal auditor

1. Kemampuan IT dan Kebutuhan/Tuntutan Profesional
2. Keterlibatan Jaminan Tanggung Jawab IT
3. IT Outsourcing
4. Audit Menyeluruh dan Berkesinambungan

 
RISK OF FRAUD AND ILLEGAL ACT
Definisi Fraud

• Black's Authoritative Definition Of Fraud

Fraud adalah istilah generik, yang mencakup segala cara dimana kecerdikan manusia dapat merancang, dan yang dilakukan oleh satu individu untuk mendapatkan keuntungan lebih dari yang lain dengan saran palsu atau dengan menekan kebenaran, dan mencakup semua kejutan, trik, licik, dissembling, dan cara yang tidak adil dimana ada pihak lain yang ditipu.

• The Institute of Internal Auditors (IIA)

Fraud adalah setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau pelanggaran kepercayaan. Penipuan dilakukan oleh partai dan organisasi untuk memperoleh uang, properti, atau layanan; untuk menghindari hilangnya pembayaran jasa, atau untuk mengamankan keuntungan pribadi atau bisnis.

• The American Institute of Certified Public Accountants (AICPA)

Fraud adalah tindakan disengaja yang mengakibatkan salah saji material dalam laporan keuangan yang tunduk pada audit. Salah saji timbul dari kecurangan pelaporan keuangan dan penyalahgunaan aset.

• Association of Certified Fraud Examiners (ACFE)

Penggunaan kedudukan seseorang untuk memperkaya diri melalui penyalahgunaan yang disengaja atau penyalahgunaan sumber daya atau aset organisasi.
Prinsip pengelolaan risiko fraud

1. Fraud risk governance
2. Fraud risk assesment
3. Fraud prevention
4. Detection
5. Fraud reporting, investigation and resolution

Penilaian Risiko Fraud
Ada 3 langkah :

1. Identifikasi risiko inheren fraud
2. Menilai akibat dan kemungkinan terjadinya
3. Kembangkan respon yang tepat terhadap risiko yang akibatnya luas dan kemungkinan terjadinya tinggi melebihi toleransi dari manajemen

Pencegahan Fraud

1. Background Investigation
2. Pelatihan Anti-Fraud
3. Evaluasi Kinerja dan Program Kompensasi
4. Interview Bagi Para Pegawai yang Mengundurkan Diri
5. Pembatasan Otoritas
6. Prosedur Tingkat Transaksi

Deteksi Fraud
Berikut ini merupakan beberapa metode deteksi:

1. Whistleblower hotlines
2. Process Control
3. Proactive fraud detection procedures

 
ASSURANCE ENGAGEMENT 
Assurance engagement adalah engagement yang dilakukan oleh praktisi untuk memberikan opini mengenai pengukuran atas suatu objek dibandingkan dengan kriterianya. Opini praktisi ini dapat meningkatkan keyakinan pengguna atas pengukuran yang dinilai berdasar kriteria tersebut.
Atau Penilaian objektif dari bukti bukti yang ada dengan tujuan menyediakan penilaian independen atas tata kelola, manajemen risiko, dan proses pengendalian
Assurance engagement dapat berupa :

1. Finansial
2. Kinerja, kepatuhan
3. Sistem keamanan

Assurance engagement planning activities

1. Determine engagement objectives and scope; apa tujuan dari engagement dan yang termasuk maupun tidak termasuk dalam ruang lingkupnya
2. Understand the auditee; pemahan tujuan bisnis dan asersi auditee
3. Identify and asses risk; berfokus pada inherent risk
4. Identify key control; identifikasi pengendalian yang paling penting dalam mengurangi risiko bisnis menjadi level yg dapat diterima dan memberi keyakinan bahwa tujuan tercapai
5. Evaluate adequacy of control design; menetukan bahwa pengendalian utama yang teridentifikasi berhasil mengurang risiko dan membuat asumsi bahwa pengendalian telah diberlakukan dalam operasional dan berjalan sesuai yang diharapkan
6. Create a test plan; menentukan sifat, waktu danluas dari prosedur yang dibutuhkan untuk mengumpulkan bukti audit
7. Develop a work program; secara spesifik menggambarkan garis besar dari prosedur audit yang dibutuhkan untuk mencapai tujuan engagement
8. Allocate resource to engagement; menentukan kebutuhan sdm, estimasi waktu yang dibutuhkan dan menjadwalkan pekerjaan.

Assurance engagement performance activities

1. Melakukan pengujian untuk mengumpulkan bukti audit
2. Evaluasi bukti audit yang terkumpul dan mengambil kesimpulan
3. Mengembangkan observasi dan memberi rekomendasi; arti observasi yaitu kriteria komunikasi sebagai pernyataan fakta yang timbul dari proses membandingkan kriteria dengan kondisi.

Assurance engagement communciation activities

1. Perform observation and escalation process; setelah 1 atau lebih observasi diidentifikasi, auditor internal harus menilai tiap observasi menggunakan proses evaluasi dan eskalasi untuk menentukan implikasi dari observasi terhadap komunikasi mengenai proses yang sedang di review
2. Conduct interim and preliminary engagement communications; Menjalankan komunikasi mengenai engagment sebelum engagement selesai
3. Develop final engagement communications; mencapai kesimpulan, dapat berupa negative assurance (limited assurance) dan positive assurance(reasonable assurance)
4. Distribute formal and informal final communications; mengkomunikasikan hasil final dari engagement
5. Perform monitoring and follow-up procedures; Chief Audit Executive harus melakukan pengawasan atas reomendasi yang diberikan

CONSULTING ENGAGEMENT
Definisi
memberikan nasihat dengan hal-hal yang berhubungan dengan aktivitas klien, lingkupnya berdasarkan persetujuan dengan klien, untuk menambah nilai dan meningkatkan tata kelola organisasi, manajemen risiko, dan proses pengendalian tanpa mengambil alih tanggungjawab manajemen.
Consulting engagement dapat berupa :

1. Konseling
2. Advice
3. Facilitation
4. Training

Tujuan

1. memberikan nilai tambah dalam sistem pengendalian internal organisasi
2. memberi pandangan ke depan daripada hanya menilai sesuatu yang sudah lewat

Jenis consulting engagement

1. advisory ; Penilaian objektif dari bukti bukti yang ada dengan tujuan menyediakan penilaian independen atas tata kelola, manajemen risiko, dan proses pengendalian
2. educational; Berbagi pengalaman dan pemahaman yang spesifik mengenai peraturan, risk assesment, mitigasi risiko, desain pengendalian, best practice, dsb
3. facilitative; Fasilitasi mengharuskan fungsi internal audit lebih terlibat dalam aktivitas organisasi daripada sekedar memberikan pengetahuan. Dapat berupa fasilitasi proses risk assessment, fasilitasi CSA dari manajemen

Consulting engagement planning activities

1. Determine engagement objectives and scope
2. Obtain final approval of objectives and scope from engagement customer
3. Understand the engagement environment and relevant business process
4. Understand relevant risks, if appropriate
5. Understand relevant controls, if appropriate
6. Evaluate control design, if appropriate
7. Determine engagement approach
8. Allocate resources to the engagement

Constulting engagement performance activities

1. Memahami isu-isu manajemen terkait area yang dilakukan review
2. Mengumpulkan Informasi
3. Review bermacam dokumentasi departemen, termasuk chart organisasi, alur proses dan prosedur di departemen
4. Menggunakan Teknik Audit Berbantuan Komputer
5. Memahami resiko kunci
6. Memahami kontrol dan menentukan kontrol mana yang harus dilakukan perbaikan
7. Evaluasi efesiensi kontrol yang ada

Consulting engagement communciation activities

1. Determine nature and form of communications with engagement customer
2. Vet advice with engagement customer to ensure :
   1. Dimengerti oleh customer
   2. Mencapai tujuan dari consulting engagement
   3. Dapat di terapkan dan cost effective
3. Conduct interim and preliminary engagement communications; Komunikasi dengan engagement customer harus sering dilakukan selama pelaksanaan engagement.
4. Develop final engagement communication; Bervariasi dalam format dan formalitas
5. Distribute final engagement communications; Komunikasi final didistribusikan kepada pihak yang menerima jasa consulting engagement
6. Perform monitoring and follow-up, if appropriate

Perbedaan Assurance dan Consulting Engagement
Internal audit consulting engagements differ form assurance engagements in certain ways, including:

• Sifat dan ruang lingkup assurance engagement ditentukan oleh fungsi audit internal, sedangkan consulting engagment ditentukan berdasar persetujuan dengan engagement customer.
• Consulting engagements lebih bersifat opsional daripada assurance engagement, consulting services include "counsel, advice, facilitation, and training"