Internal Audit Midterm

PendahuluanSejarah audit internal1. Mesopotamia 4000SM-1000SM

Sumaria: Pencatatan dan Verifikasi dg huruf paku, matematika basis 60Agadea: Pembagian Tugas penghitung dan pencatat Babilonia: Kalender Lunar

2. Cina 2200SM-500SM:Pencatatan, Verifikasi, dan Pembagian Tugas

3. Yunani 1000SM-100SM:Pemeriksaan catatan kekayaan pejabat

4. Arab 500M-1500M:Pencatatan dg bukti2 dan 2 orang Saksi

5. Masa Perdagangan Eropa (Merkantilisme, 1400-1500):Benedetto Cotrugli, "Della Marcatia e del Mercate Perfetto" ,Venice1458: Pembukuan Double Entryyang dilaksanakan dalam perdagangan di Eropa masa ituLuca Pacioli, "Summa de Arithmetica, Geometria, Proportioni et Proportionalità" ,Venice1494: Tractatus de Computis et Scriptorio (Sistem pembukuan berpasangan)Pengembangan sistem Pembukuan Belanda (Continental Bookkeeping) dan sistem Pembukuan Inggris dan Amerika Serikat (Anglo- Saxon Accounting)

6. Masa Kapitalisme, Kolonialisme dan Imperialisme (1500-1800):Dengan sistem pencatatan yang ada menimbulkan gairah menumpuk kekayaan Penghancuran sejarah bangsa-bangsa Timur (karena konsep freedom yang dianutnya)Penguasaan wilayah2 Timur (Asia-Afrika)Pertumbuhan investasi di Amerika, auditor dikirim untuk memeriksa laporan keuangan para manajer pabrik (bir,gula,cerutu,tekstil)Audit dengan pendekatan analisa laporan keuangan

7. Revolusi Industri (1800-1900):Audit untuk mendeteksi penipuan dan memantau akurasi keuangan

8. Tahun 1887 terbentuk AICPA9. Federal Trade Commission (1914):

Untuk mencegah manipulasi saham dan penyimpangan laporan keuangan dan kinerjaAudit untuk menguji ketaatan perusahaan terhadap perundang-undangan yang berlakuBerkembangnya istilah "Laporan Auditor Independen" dan penggunaan metode sampling

10. Government Accounting Office(GAO, 1921):GAO dibentuk denganThe Budget and Accounting Act, mengambil alih tanggung jawab audit, accounting dan penagihan dari Treasury DeptGAO dibentuk karena menajemen keuangan negara tidak tertata akibat perang dunia I yang menghasilkan peningkatan hutang GAO berwenang menginvestigasi setiap pengeluaran pemerintah1968 GAO mengenalkan Comprehensive Audit untuk menilai kehematan, efisiensi, dan efektivitas kinerja pemerintah dalam mencapai tujuan negara

11. Securities and Exchange Commission (SEC,1934):SEC dibentuk guna mengawasi perdagangan saham agar bisa mencegah terjadinya kembali kejatuhan nilai saham (1929) yang menyebabkan bencana ekonomi yang disebut sebagai "great depression"Menguatnya hubungan antara fungsi audit dan penegakan hukum

12. Institute of Internal Audit (IIA, 1941):Ekspansi usaha menimbulkan kesulitan mengendalikan dan menjaga efisiensi usahaBerkembangnya tugas2 penjadwalan produksi, penyediaan bahan, tenaga kerja, dengan taat pada peraturan perundang-undangan

13. Financial Accounting Standart Board (FASB,1973):Menggantikan Committee on Accounting Procedure (CAP)Menerbitkan standar2 akuntansi yang diarahkan bagi perusahaan publik saat itu dalam bentuk Generally Accepted Accounting Principles (GAAP)Meningkatkan relevansi , reliabilitas, dan kualitas pembandingan dan konsistensi

14. Cohen Commission (AICPA,1974):Untuk mempelajari tanggungjawab auditor.Merekomendasikan dibuatnya Laporan Manajemen yang mengungkapkan kondisi sistem pengendalian internalnyaRekomendasi audit atas laporan manajemen

15. Foreign Corrupt Practices Act (1977):Mencegah suap ke pejabat atau partai politikMenyaratkan agar organisasi memelihara sistem internal control yang memadai dan catatan keuangan yang lengkap dan akurat

16. The International Professional Practices Framework (IIA,1978):Sebagai Referensi utama penetapan peran dan fungsi internal auditor

17. Minahan Committee (AICPA,1979):Merupakan Special Advisory Committee on Internal Control yang memberikan panduan evaluasi internal controlMengisi kekosongan pedoman pengendalian internalCommittee of Sponsoring Organizations of the Treadway Commission(COSO) :

18. 1985 The National Commission on Fraudulent Financial Reporting (Treadway Committee) dibentuk oleh 5 organisasi (AICPA, FEI,IIA, IMA dan AAA). Organisasi tersebut kemudian lebih dikenal dengan COSO.Dilatarbelakangi berkembangnya praktek kecurangan (fraud) pada laporan keuangan19. 1987 Total 49 rekomendasi mencegah dan mendeteksi kecurangan. Menyarankan penerapan pengendalian intern yang efektif, mengatur fungsi internal audit, dan pengawasan oleh Komite Audit20. 1992 Menerbitkan Internal Control -Integrated Framework (COSO Framework I).21. 2004 Menerbitkan Enterprise Risk Management-Integrated Framework (COSO Framework II)

Definisi Audit InternalRuchyat Kokasih, "Auditing Prinsip dan Prosedur" (1985): Pemeriksaan intern adalah serangkaian proses dan teknik yang menjadi saluran untuk meyakinkan manajemen dengan observasi langsung apakah pengendalian yang telah ditetapkan manajemen berjalan baik dan efektif, apakah pembukuan dan laporan keuangan telah menunjukkan gambaran aktivitas yang sesungguhnya, teliti dan cepat serta apakah setiap bagian/unit benar-benar melaksanakan kebijaksanaan, rencana dan prosedur yang telah ditetapkan.Institute of Internal Audit, 1999:Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.Tujuan Internal Auditadd value, improve cost controls, and solve problems, catalyst for change.Peran Internal AuditInternal auditing activity is primarily directed at improving internal control, but management is responsible for internal control.Internal auditing professional standards require the function to monitor and evaluate the effectiveness of the organization's Risk management processes.Internal auditing activity as it relates to corporate governance is generally informal, accomplished primarily through participation in meetings and discussions with members of the Board of DirectorsRuang lingkup internal audit 1. the efficiency of operations,

2. the reliability of financial reporting,3. deterring and investigating fraud,4. safeguarding assets, and5. compliance with laws and regulations. Internal auditing frequently involves measuring compliance with the entity's policies and procedures.Responsibilities:Internal auditors are not responsible for the execution of company activities, they advise management and the Board of Directors (or similar oversight body) regarding how to better execute their responsibilities

Perbedaan Audit Internal dan EksternalPerbedaan MisiTanggung jawab utama auditor eksternal adalah memberikan opini atas kewajaran pelaporan keuangan organisasi, terutama dalam penyajian posisi keuangan dan hasil operasi dalam suatu periodeSementara itu, tanggung jawab utama auditor internal tidak terbatas pada pengendalian internal berkaitan dengan tujuan reliabilitas pelaporan keuangan saja, namun juga melakukan evaluasi desain dan implementasi pengendalian internal, manajemen risiko, dan governance dalam pemastian pencapaian tujuan organisasi.Perbedaan organisasionalAuditor internal adalah bagian dalama struktur organisasi perusahaan, sedangkan audit eksternal berasal dari pihak independen dari luar perusahaanPerbedaan fokus dan orientasiAuditor internal lebih berorientasi ke kejadian masa depan, auditor eksterna berorientasi pada kejadian historis untuk menilai kewajaran lapkeuPerbedaan kualifikasi

Auditor internal tidak harus seoarng akuntan, auditor eksternal harus

 GovernanceDefinisiKeseluruhan perangkat yang digunakan oleh organisasi untuk menjalankan kegiatan operasionalnya secara efektif dan efisien disebut dengan corporate governance, yang secara umum disebut dengan governance.Governance dapat pula didefinisikan sebagai proses yang dijalankan oleh dewan komisaris untuk mengotorisasi, mengarahkan, dan mengawasi manajemen dalam mencapai tujuan organisasi.Menurut OECD: Corporate governance mencakup kerjasama antara manajemen, dewan komisaris, pemegang saham, dan stakeholder lain (dalam upaya mencapai tujuan organisasi). Corporate governance juga memberikan struktur terhadap perumusan tujuan organisasi, termasuk perangkat untuk mencapai tujuan organisasi dan monitoring kinerja organisasi.Elemen umum yang ada di hampir definisi governance: kebijakan, proses, dan struktur yang digunakan oleh organisasi untuk mengarahkan dan mengendalikan aktivitas, untuk mencapai tujuan, dan melindungi organisasi dari berbagai macam kepentingan kelompok stakeholder, melalui cara-cara yang sesuai dengan standard etika yang tepat.

Konsep Governance

Governance dimulai dari dewan komisaris dan komite-komitenya. Dewan berfungsi sebagai payung dari tanggungjawab governance (governance oversight) untuk keseluruhan organisasi. Dewan memberikan arahan kepada manajemen, memberi otoritas untuk membuat keputusan dan tindakan, dan mengawasi hasil dari kegiatan operasional. Dewan harus memahami dan fokus pada kebutuhan stakeholder kunci. Stakeholders adalah satu-satunya pihak yang berhak menerima pertanggungjawaban dewan. Secara harian, governance dilaksanakan oleh manajemen. Manajer puncak sampai manajer pelaksana memiliki peran penting dalam governance melalui aktivitas manajemen risiko. Auditor internal dan auditor independen berperan untuk memberikan jaminan kepada manajemen dan dewan komisaris tentang efektifitas dari aktivitas governance. Stakeholder adalah semua fihak yang berkepentingan dengan aktivitas dan keluaran (outcome) dari organisasi, baik langsung maupun tidak langsung. Pengelompokan stakeholders: Stakeholder langsung (direct stakeholders). Semua pihak yang terlibat langsung dalam aktivitas organisasi.o Stakeholder tidak langsung (indirect stakeholders). Semua pihak yang tidak terlibat langsung dalam organisasi tetapi terpengaruh oleh sukses dan outcome dari organisasio Stakeholder berpengaruh (influencing stakeholders). Semua pihak yang tidak terlibat langsung dalam organisasi dan terpengaruh oleh organisasi, tetapi berpengaruh terhadap aspek-aspek bisnis serta sukses organisasi. Contoh stakeholderso Pegawaio Pelanggano Pemasoko Pemegang saham/investoro Regulatory agencies (lembaga-lembaga pembuat aturan), baik sebagaiindirect stakeholders mupun sebagai influencing stakeholders, seperti: Bapepam, the Environmental Protection Agency (EPA), dan seterusnya.

 RISK MANAGEMENTThe Committee of Sponsoring Organizations of the Treadway Commission (COSO) : Risk: "the possibility that an event will occur and adversely affect the achievement of an objective."Risk Manajemen: "a process affected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events

that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives"Risk OwnerRisk Owners adalah individu yang memiliki tanggung jawab sehari hari untuk memastikan bahwa kegiatan manajemen risiko telah melakukan pengelolaan resiko secara efektif sesuai dengan level risk Tolerance organisasi tersebut.Tanggung Jawab Risk Owners meliputi :1. Mengevaluasi apakah manajemen senior telah melakukan kegiatan manajemen risiko yang dirancang secara memadai untuk mengelola risiko yang terkait dalam tingkat toleransi.2. Menilai kemampuan berkelanjutan organisasi untuk melaksanakan kegiatan-kegiatan manajemen risiko.3. Menentukan apakah kegiatan manajemen risiko yang saat ini beroperasi seperti yang dirancang sebelumya.4. Melakukan kegiatan pemantauan sehari-hari untuk mengidentifikasi, pada waktu yang tepat, apakah terdapat anomali atau penyimpangan dari hasil yang diharapkan terjadi.5. Memastikan bahwa informasi yang dibutuhkan oleh manajemen senior dan dewan akurat dan tersedia, dan diberikan kepada manajemen senior secara tepat waktu.Risk Appetite and ToleranceRisk Appetite adalah Jumlah Resiko,dalam tingkatan yang luas, yang dapat diterima oleh organisasi dalam rangka memenuhi tujuan organisasi.Risk Tolerance adalah tingkat resiko yang dapat diterima, baik dari segi ukuran ataupun variasinya, relatif sesuai dengan tujuan yang akan dicapai dan harus sejajar dengan Risk Appetiteorganisasi tersebutCOSO Enterprise Risk Management FrameworkDefinisi Enterprise Risk management (ERM) oleh COSO:"… a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives."Enterprise Risk Management — Integrated Framework This COSO ERM framework defines essential components, suggests a common language, and provides clear direction and guidance for enterprise risk management. COSO ERM framework:1. A process that is ongoing and flows throughout an organization.2. Effected by people at every level of an organization.3. Applied when setting an organization's strategy.4. Applied across the organization, at every level and unit.5. Focused on taking an entity-level portfolio view of risk.6. Designed to identify potential events that, if they occur, will affect the organization.7. A means to enable the management of risks within an organization's risk appetite.8. Able to provide reasonable assurance to an organization's management and board of directors.9. Geared toward achievement of objectives.

Entity objectives can be viewed in the context of four categories: Strategic Objective     Operations Objective Reporting Objective Compliance ObjectiveKomponen ERM:1. Internal environmentCOSO  menyatakan bahwa Lingkungan Internal adalah dasar untuk semua komponen lain dari ERM, menyediakan disiplin dan struktur. Hal ini mempengaruhi bagaimana strategi dan tujuan yang ditetapkan, kegiatan bisnis struktur, dan risiko diidentifikasi, dinilai dan ditindaklanjuti. Lingkungan internal dipengaruhi elemen berikut :1. Risk management philosophy2. Risk appetite3. Board of directors4. Integrity and ethical value5. Commitment to competence6. Organizational structure7. Assignmen of authority and responsibility8. Human resources standard2. Objective settingSuatu tujuan ditetapkan pada tingkat strategis, membangun dasar untuk operasi, pelaporan dan tujuan pemenuhan. Setiap entitas akan menghadapi berbagai risiko dari sumber eksternal dan internal, dan prakondisi untuk identifikasi peristiwa yang efektif, penilaian dari resiko, dan respon risiko adalah penetapan tujuan.3. Event identificationKejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang terjadinya

Faktor eksternal: 1. Kejadian Ekonomi2. Kejadian lingkungan alam,3. Kejadian sosial4. Kejadian teknologi

Faktor Internal:5. Faktor infrastruktur6. Faktor personal7. Faktor proses8. Faktor teknologi4. Risk assessmentRisiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact) baik secara kuantitatif maupun kualitatif, sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.Penilaian resiko meliputi: inherent risk dan residual risk.5. Risk responsebentuk respon risiko:1. Avoidance2. Reduction3. Sharing4. acceptance6. Control activitiesKegiatan pengendalian adalah kebijakan dan prosedur yang membantu memastikan bahwa respon atas manajemen risiko dilakukan. Contoh Control activities :1. Top level review2. Direct functional or activity management3. Information processing control4. Physical control5. Performance indicators6. Segregation of duties7. Information and communicationInformasi terkait diidentifikasi, ditangkap, dan dikomunikasikan dalam kerangka bentuk dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka, mengelola resiko serta untuk pengambilan keputusan. Kriteria informasi menurut COSO:1. Tepat dan pada tingkat yang tepat detail. 2.  Tepat waktu dan tersedia bila diperlukan. 3.  Saat ini, mencerminkan informasi keuangan atau operasional terbaru. 4.  Akurat dan dapat diandalkan. 5.  Diakses bagi mereka yang membutuhkannya.8. MonitoringEfektivitas komponen ERM lainnya dipantau melalui:1. Kegiatan pemantauan berkelanjutan.2. evaluasi terpisah.3. Kombinasi dari keduanya.ISO 31000:2009merupakan standar tentang manajemen resiko pertama yang diakui secara global. ISO 31000 dikembangkan untuk memberikan cara yang bisa diterima dunia internasional dalam pengamatan manajemen resikoISO 3100 Principles  Creates and protects value. Is an integral part of all organizational processes.

Is part of decision making. Explicitly addresses uncertainty. Is systematic, structured, and timely. Is based on the best available information. Is tailored. Takes human and cultural factors into account. Is transparent and inclusive. Is dynamic, iterative, and responsive to change. Facilitates continual improvement of the organization.ISO 3100 Framework  Mandate and commitment. Design of framework for managing riskso Understanding the organization and its contexto Establishing a risk management policyo Delegating accountability and authorityo Integrating risk management into organizational processeso Allocating the necessary resourceo Establishing internal and external communication and reporting mechanism Implementing the risk management framework and process Monitoring the framework Continually improving the frameworkISO 3100 Process Establish the context Assess the risks Treat the risks Monitor risks Establish a communication and consultation processPeran fungsi audit internal dalam ERMIIA Standard 2120: The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.IIA IPPF – Position Paper: Internal auditing's core role with regard to ERM is to provide objective assurance to the board on the effectiveness of an organization's ERM activities to help ensure key business risks are being managed appropriately and that the system of internal control[s] is operating effectivelyJenis RisikoInherent Risk adalah kombinasi dari risiko internal dan eksternal risiko dalam keadaan tak terkendali mereka, atau gross risk yang ada dengan asumsi tidak ada pengendalian internal.Controllable risk adalah bagian dari inheren risk yang telah manajemen kurangi melalui operasional harian dan aktivitas manajemen mereka.Residual risk adalah bagian dari inheren risk yang tetap ada setelah manajemen menjalankan penanganan risiko atas risiko tersebut (disebut juga sebagai net risk).3 line of defense against riskThree Lines of Defense Model merupakan teknik pengamanan berlapis yang dilakukan oleh suatu organisasi untuk mendapatkan tingkat mitigasi risiko yang diharapkan

1st line of defensemerupakan aktivitas pengendalian internal yang dilakukan oleh setiap individu dan manajemen. 2nd line of defensemerupakan aktivitas pengamanan lainnya yang lebih independen dan objektif dibandingkan dengan 1st line of defense. 3rd line of defensemerupakan tindakan pengendalian yang paling independen dan objektif, yaitu berupa audit internal.

 BUSINESS PROCESS AND RISKSBusiness process adalah "The set of connected activities linked with each other for the purpose of achieving one or more business objectives"Ada 3 tipe business activity:1. Operating processes1. Understand environment2. Develop strategy3. Design product or service4. Market & sell5. Produce product/deliver service6. Invoice and collect2. Management and support processes1. Manage HR2. Manage Fin Resources3. Manage IT Resources4. Manage physical resources5. Manage compliance with laws and regulations6. Manage external relationship3. Projects1. Project operate2. Project deliverDokumentasi Proses BisnisDokumentasi proses efektif digunakan untuk : Orienting new personel Defining areas of responsibility Evaluating the efficiency of processes Determining areas of primary concern Identifying key risks and controlsMetode yang paling sering digunakan dalam mendokumentasikan proses adalah process maps dan process narrativesRisiko Bisnis

1. Memahami risiko bisnisTahapan dalam memahami risiko bisnis :1. Brainstroming sessionMelakukan brainstorming dengan manajemen senior atau auditor internal dan membuat model risiko2. Risk assessmentMenilai risiko berdasarkan akibat dan kemungkinan terjadinya3. Link identified risk to spesific objectivesMenghubungkan risiko yang teridentifikasi dengan tujuan organisasi yang dipengaruhi oleh risiko tersebut2. Menentukan respon yang tepat terhadap risiko3. Evaluasi atas strategi menghadapi risikoBusiness process outsourcingThe act of transferring some of an organization's business process to anouside provider to achieve cost reductions, operating effectiveness, or operating efficiency while improving service qualityPengendalian atas proses bisnis yang di outsourcekan Document the outsourced process and indicate which key controls have been outsourced Ensure there are means of monitoring the effectiveness of the outsourced process Obtain assurance that the internal control embedded in the outsourced process are operating effectively Periodically reevaluate whether the business case for outsourcing the process remains valid

INTERNAL CONTROLDefinisi

COSO  Sebuah proses yang sedang berjalan Mendukung pencapaian tujuan Dipengaruhi oleh perilaku orang-orang Memberikan jaminan yang layak Mampu diadaptasikan dengan struktur organisasi

 

Tujuan pengendalian internal (COSO)

Tujuan Operasional  efektivitas dan efisiensi operasi, mendukung pencapaian target. Tujuan Pelaporan  menghasilkan laporan keuangan yg sesuai standar. Tujuan Ketaatan  menjamin ketaatan terhadap hokum.Komponen Pengendalian Internal (COSO) Lingkungan pengendalian: arahan dari organisasi untuk mempengaruhi kesadaran pengendalian anggotanya Penelaahan risiko: bagaimana organisasi mngelola resiko? Aktivitas pengendalian: kegiatan untuk menjamin bahwa arahan manajemen dilaksanakan dengan baik. Informasi dan komunikasi: memungkinkan setiap orang bekerja sesuai tanggung jawab.

Monitoring: menentukan kualitas kinerja pengendalian.Prinsip Pengendalian Internal1. Lingkungan Pengendalian1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika2. Dewan komisaris menunjukkan independensi dari manajemen dan menjalankan fungsi pengawasan terhadap perkembangan dan kinerja auditor internal3. Manajemen menetapkan, dengan pengawasan dari dewan komisaris, struktur, jalur pelaporan, dan wewenang dan tanggung jawab dalam rangka pencapaian tujuan4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan dan mempertahankan kompetensi individual yang sesuai dengan tujuan organisasi5. Organisasi bertanggung jawab atas tanggung jawab pengendalian internal mereka dalam rangka pencapaian tujuanII.    Penilaian Risiko1. Organisasi menentukan tujuan dengan jelas untuk memungkinkan identifikasi dan penilaian atas risiko yang berhubungan dengan tujuan2. Organisasi mengidentifikasi risiko dalam rangka pencapaian tujuan di seluruh entitas dan menganalisa risiko sebagai dasar untuk menentukan bagaimana risiko tersebut seharusnya dikelola3. Organisasi mempertimbangkan potensi terjadinya kecurangan dalam menilai risiko terkait pencapaian tujuan4. Organisasi mengidentifikasi dan menilai perubahan yang secara signifikan dapat berdampak pada sistem pengendalian internalIII.    Kegiatan Pengendalian1. Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi kepada mitigasi risiko dalam pencapaian tujuan organisasi2. Organisasi memilih dan mengembangkan kegiatan pengendalian secara umum atas teknologi untuk membantu pencapaian tujuan organisasi3. Organisasi menyebarkan kegiatan pengendalian melalui kebijakan-kebijakan yang menetapkan apa yang diharapkan dan prosedur yang membuat kebijakan tersebut dijalankanIV.    Informasi dan Komunikasi1. Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang berkualitas dan relevan untuk membantu fungsi dari komponen lain dalam pengendalian internal2. Organisasi mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab pengendalian internal, diperlukan untuk mendukung fungsi komponen lain dari pengendalian internal.3. Organisasi mengomunikasikan dengan pihak eksternal mengenai hal-hal yang mempengaruhi fungsi pengendalian internalV.    Monitoring1. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan dan / atau terpisah untuk memastikan apakah komponen pengendalian internal telah ada dan berfungsi.2. Organisasi mengevaluasi dan mengomunikasikan kelemahan pengendalian internal pada waktu yang tepat kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan komisaris.Peran dan tanggung jawaban dalam pegendalian internal1. ManajemenCEO memilikitanggung jawab utama untuk sistem pengendalian internal. 2. Dewan Komisaris (Board of Directors)Dewan komisaris mengawasi manajemen, memberikan arahan mengenai pengendalian internal, dan akhirnya memiliki tanggung jawab untuk mengawasi sistem pengendalian intern.3. Auditor InternalInternal auditor memiliki peran yang memastikan bahwa manajemen telah memenuhi tanggung jawabnya. 4. Personel LainCOSO telah secara jelas menyatakan bahwa setiap orang dalam organisasi memiliki tanggung jawab dalam pengendalian internal. Keterbatasan Pengendalian Internal

Kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk pengendalian internal. Kenyataan bahwa penilaian manusia dalam pengambilan keputusan bisa saja salah dan bias. Kerusakan yang dapat terjadi karena kegagalan manusia seperti kesalahan-kesalahan kecil. Kemampuan manajemen untuk melakukan pengabaian sistem pengendalian internal. Kemampuan manajemen, personel lain, dan pihak luar untuk mengalahkan sistem melalui kolusi. Kejadian eksternal di luar kemampuan pengendalian organisasi.Jenis-jenis PengendalianBerdasarkan level control1. Entity Level ControlAdalah pengendalian yang beroperasi di seluruh entitas, dengan demikian, tidak terikat oleh, atau berhubungan dengan, orang perseorangan.2. Process Level ControlAdalah aktivitas yang beroperasi dalam proses tertentu dalam rangka mencapai tujuan tingkat proses.3. Transaction Level ControlAdalah aktivitas yang mengurangi risiko yang berhubungan dengan kelompok atau berbagai tugas level operasional atau transaksi dalam organisasiBerdasarkan importance1. Key/primary controlAdalah desain aktivitas untuk mengurangi risiko berkaitan dengan tujuan penting sebuah bisnis.2. Secondary controlAdalah desain aktivitas untuk mengurangi risiko terkait tujuan bisnis yang tidak berkaitan langsung dengan kesuksesan organisasi dan juga menyediakan backup atas key control.3. Compensating controlAdalah aktivitas yang jika key control tidak dapat berjalan dengan efektif, maka dapat membantu mengurangi risiko terkait. Compensating control secara individu tidak dapat mengurangi risiko sampai acceptable level.Berdasarkan waktu1. Preventive controlDidesain untuk mencegah kejadian yang tidak diinginkan untuk terjadi pada kesempatan pertama.2. Detective controlDidesain untuk mengungkapkan kejadian tak diinginkan yang telah terjadi.IT RISK AND CONTROLIT Risk managementRisk Management : proses memanajemen ketidakpastian yang mempengaruhi kemampuan organisasi mencapai tujuanBerdasarkan komponen COSO ERM: Internal environment : menjaga iklim sehat (tone at the top) dalam organisasi Objective setting : mendefinisikan tujuan IT  menentukan arah aktivitas IT Identifikasi kejadian : mengidentifikasi potensi kejadian dari dalam dan luar organisasi Penilaian risiko : analisis potensi kerugian dan penyebabnya Respon risiko : risk acceptance, respon terhadap risiko IT yang tidak melampaui batas toleransi organisasi Kontrol aktivitas : penggunaan SOP dan peraturan agar kegiatan berjalan sebagaimana mestinya Informasi dan komunikasi : organisasi mendapatkan informasi yang reliabel dari sistem informasi yang ada, segala risiko dan kejadian dikomunikasikan Monitoring : manajemen bertanggungjawab memonitor manajemen risiko IT agar operasional efektif dan efisienIT Control

1. IT Policies, Kebijakan IT berupa :1. Kebijakan keamanan dan kerahasiaan seluruh organisasi2. Penentuan klasifikasi informasi dan hak akses tiap level3. Definisi konsep data dan sistem kepemilikannya4. Kebijakan personal pada area sensitif5. Definisi kebutuhan untuk rencana bisnis yang berkelanjutan2. IT Standard : mendukungkebijakan IT dengan menentukan apa yang dibutuhkan untuk mencapai tujuan organisasi, mencakup1. System dev process2. System software configuration3. Application control4. Data structure5. documentation3. Organisasi dan manajemen control; keyakinan adanya struktur yang jelas garis pelaporan dan pertanggungjawaban dan sudah terimplementasi secara efektif, aspeknya meliputi:1. Segregation of duties2. Financial control3. Change management control4. Physical and environmental control; menjaga sumber daya sistem informasi dari kecelakaan, kerusakan disengaja, salah guna, dan kehilangan5. System software control6. System development control7. Application based controlImplikasi IT kepada internal auditor1. Kemampuan IT dan Kebutuhan/Tuntutan Profesional2. Keterlibatan Jaminan Tanggung Jawab IT3. IT Outsourcing4. Audit Menyeluruh dan Berkesinambungan

 RISK OF FRAUD AND ILLEGAL ACTDefinisi Fraud Black's Authoritative Definition Of Fraud

Fraud adalah istilah generik, yang mencakup segala cara dimana kecerdikan manusia dapat merancang, dan yang dilakukan oleh satu individu untuk mendapatkan keuntungan lebih dari yang lain dengan saran palsu atau dengan menekan kebenaran, dan mencakup semua kejutan, trik, licik, dissembling, dan cara yang tidak adil dimana ada pihak lain yang ditipu. The Institute of Internal Auditors (IIA)Fraud adalah setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau pelanggaran kepercayaan. Penipuan dilakukan oleh partai dan organisasi untuk memperoleh uang, properti, atau layanan; untuk menghindari hilangnya pembayaran jasa, atau untuk mengamankan keuntungan pribadi atau bisnis. The American Institute of Certified Public Accountants (AICPA)Fraud adalah tindakan disengaja yang mengakibatkan salah saji material dalam laporan keuangan yang tunduk pada audit. Salah saji timbul dari kecurangan pelaporan keuangan dan penyalahgunaan aset. Association of Certified Fraud Examiners (ACFE)Penggunaan kedudukan seseorang untuk memperkaya diri melalui penyalahgunaan yang disengaja atau penyalahgunaan sumber daya atau aset organisasi.Prinsip pengelolaan risiko fraud1. Fraud risk governance2. Fraud risk assesment3. Fraud prevention4. Detection5. Fraud reporting, investigation and resolutionPenilaian Risiko FraudAda 3 langkah :1. Identifikasi risiko inheren fraud2. Menilai akibat dan kemungkinan terjadinya3. Kembangkan respon yang tepat terhadap risiko yang akibatnya luas dan kemungkinan terjadinya tinggi melebihi toleransi dari manajemenPencegahan Fraud

1. Background Investigation2. Pelatihan Anti-Fraud3. Evaluasi Kinerja dan Program Kompensasi4. Interview Bagi Para Pegawai yang Mengundurkan Diri5. Pembatasan Otoritas6. Prosedur Tingkat Transaksi

Deteksi FraudBerikut ini merupakan beberapa metode deteksi:1. Whistleblower hotlines2. Process Control3. Proactive fraud detection procedures

 ASSURANCE ENGAGEMENT Assurance engagement adalah engagement yang dilakukan oleh praktisi untuk memberikan opini mengenai pengukuran atas suatu objek dibandingkan dengan kriterianya. Opini praktisi ini dapat meningkatkan keyakinan pengguna atas pengukuran yang dinilai berdasar kriteria tersebut.Atau Penilaian objektif dari bukti bukti yang ada dengan tujuan menyediakan penilaian independen atas tata kelola, manajemen risiko, dan proses pengendalianAssurance engagement dapat berupa :1. Finansial2. Kinerja, kepatuhan3. Sistem keamananAssurance engagement planning activities

1. Determine engagement objectives and scope; apa tujuan dari engagement dan yang termasuk maupun tidak termasuk dalam ruang lingkupnya2. Understand the auditee; pemahan tujuan bisnis dan asersi auditee3. Identify and asses risk; berfokus pada inherent risk4. Identify key control; identifikasi pengendalian yang paling penting dalam mengurangi risiko bisnis menjadi level yg dapat diterima dan memberi keyakinan bahwa tujuan tercapai5. Evaluate adequacy of control design; menetukan bahwa pengendalian utama yang teridentifikasi berhasil mengurang risiko dan membuat asumsi bahwa pengendalian telah diberlakukan dalam operasional dan berjalan sesuai yang diharapkan6. Create a test plan; menentukan sifat, waktu danluas dari prosedur yang dibutuhkan untuk mengumpulkan bukti audit7. Develop a work program; secara spesifik menggambarkan garis besar dari prosedur audit yang dibutuhkan untuk mencapai tujuan engagement8. Allocate resource to engagement; menentukan kebutuhan sdm, estimasi waktu yang dibutuhkan dan menjadwalkan pekerjaan.Assurance engagement performance activities1. Melakukan pengujian untuk mengumpulkan bukti audit2. Evaluasi bukti audit yang terkumpul dan mengambil kesimpulan3. Mengembangkan observasi dan memberi rekomendasi; arti observasi yaitu kriteria komunikasi sebagai pernyataan fakta yang timbul dari proses membandingkan kriteria dengan kondisi.Assurance engagement communciation activities1. Perform observation and escalation process; setelah 1 atau lebih observasi diidentifikasi, auditor internal harus menilai tiap observasi menggunakan proses evaluasi dan eskalasi untuk menentukan implikasi dari observasi terhadap komunikasi mengenai proses yang sedang di review2. Conduct interim and preliminary engagement communications; Menjalankan komunikasi mengenai engagment sebelum engagement selesai3. Develop final engagement communications; mencapai kesimpulan, dapat berupa negative assurance (limited assurance) dan positive assurance(reasonable assurance)4. Distribute formal and informal final communications; mengkomunikasikan hasil final dari engagement5. Perform monitoring and follow-up procedures; Chief Audit Executive harus melakukan pengawasan atas reomendasi yang diberikan

CONSULTING ENGAGEMENTDefinisimemberikan nasihat dengan hal-hal yang berhubungan dengan aktivitas klien, lingkupnya berdasarkan persetujuan dengan klien, untuk menambah nilai dan meningkatkan tata kelola organisasi, manajemen risiko, dan proses pengendalian tanpa mengambil alih tanggungjawab manajemen.Consulting engagement dapat berupa :1. Konseling2. Advice3. Facilitation4. TrainingTujuan1. memberikan nilai tambah dalam sistem pengendalian internal organisasi2. memberi pandangan ke depan daripada hanya menilai sesuatu yang sudah lewatJenis consulting engagement1. advisory ; Penilaian objektif dari bukti bukti yang ada dengan tujuan menyediakan penilaian independen atas tata kelola, manajemen risiko, dan proses pengendalian2. educational; Berbagi pengalaman dan pemahaman yang spesifik mengenai peraturan, risk assesment, mitigasi risiko, desain pengendalian, best practice, dsb

3. facilitative; Fasilitasi mengharuskan fungsi internal audit lebih terlibat dalam aktivitas organisasi daripada sekedar memberikan pengetahuan. Dapat berupa fasilitasi proses risk assessment, fasilitasi CSA dari manajemenConsulting engagement planning activities1. Determine engagement objectives and scope2. Obtain final approval of objectives and scope from engagement customer3. Understand the engagement environment and relevant business process4. Understand relevant risks, if appropriate5. Understand relevant controls, if appropriate6. Evaluate control design, if appropriate7. Determine engagement approach8. Allocate resources to the engagementConstulting engagement performance activities1. Memahami isu-isu manajemen terkait area yang dilakukan review2. Mengumpulkan Informasi3. Review bermacam dokumentasi departemen, termasuk chart organisasi, alur proses dan prosedur di departemen4. Menggunakan Teknik Audit Berbantuan Komputer5. Memahami resiko kunci6. Memahami kontrol dan menentukan kontrol mana yang harus dilakukan perbaikan7. Evaluasi efesiensi kontrol yang adaConsulting engagement communciation activities1. Determine nature and form of communications with engagement customer2. Vet advice with engagement customer to ensure :1. Dimengerti oleh customer2. Mencapai tujuan dari consulting engagement3. Dapat di terapkan dan cost effective3. Conduct interim and preliminary engagement communications; Komunikasi dengan engagement customer harus sering dilakukan selama pelaksanaan engagement.4. Develop final engagement communication; Bervariasi dalam format dan formalitas5. Distribute final engagement communications; Komunikasi final didistribusikan kepada pihak yang menerima jasa consulting engagement6. Perform monitoring and follow-up, if appropriatePerbedaan Assurance dan Consulting EngagementInternal audit consulting engagements differ form assurance engagements in certain ways, including: Sifat dan ruang lingkup assurance engagement ditentukan oleh fungsi audit internal, sedangkan consulting engagment ditentukan berdasar persetujuan dengan engagement customer. Consulting engagements lebih bersifat opsional daripada assurance engagement, consulting services include "counsel, advice, facilitation, and training"