Don't wanna be here? Send us removal request.
Statistics
We looked inside some of the posts by redvelvets-things and here's what we found interesting.
Average Info
Notes Per Post
2
Likes Per Post
2
Reblog Per Post
0
Reply Per Post
0
Time Between Posts
6 days
Number of Posts By Type
Text
15
Last Seen Tumblr Blogs
Fun Fact
70% of Tumblr users say the Dashboard is their favorite place to spend time online.
Text
CHAPTER 14 - Communicating Assurance Engagement Outcomes and Performing Follow-up Procedures (Mengomunikasikan Hasil Penugasan Jaminan dan Melakukan Prosedur Tindak Lanjut)
Komunikasi merupakan bagian integral dari penugasan layanan jaminan dan terjadi sepanjang komunikasi interim dan final. Karena kedekatan mereka, komunikasi sementara cenderung terjadi melalui pertemuan tatap muka, panggilan konferensi, dan pesan email, sedangkan komunikasi penugasan akhir cenderung didokumentasikan secara lebih formal dengan laporan dan memorandum.
Komunikasi akhir menyebarluaskan hasil penugasan layanan jaminan dan harus mencakup:
Lingkup dan tujuan penugasan.
Kerangka waktu yang dicakup oleh penugasan.
Setiap pengamatan sesuai kebutuhan setelah melakukan evaluasi dan eskalasi proses, serta rekomendasi terkait.
Kesimpulan penugasan dan peringkat keseluruhan (jika ada).
Rencana tindakan manajemen untuk menangani pengamatan yang dilaporkan dengan tepat.
Setiap pengamatan yang dilaporkan harus mencakup: kriteria, kondisi, sebab, dan akibat. Harus ada rekomendasi untuk memulihkan setiap pengamatan. Signifikansi pengamatan, baik secara individu maupun agregat, serta kompromi dari pengendalian kunci, akan menentukan komunikasi harus bersifat formal atau informal, atau jika kedua jenis komunikasi tersebut sesuai.
Komunikasi formal biasanya didistribusikan kepada manajemen senior, komite audit, auditor luar independen organisasi, serta manajemen auditee dan sesuai ketika pengendalian dinilai tidak dikompromikan secara signifikan, meskipun pengendalian utama dipengaruhi, dikompromikan secara signifikan, atau dikompromikan secara material. Komunikasi informal biasanya didistribusikan hanya kepada manajemen area yang menjadi sasaran perikatan dan hanya sesuai ketika pengamatan yang dilaporkan dinilai tidak signifikan tanpa pengendalian kunci yang dikompromikan.
Semua komunikasi, baik formal maupun informal, sementara atau final, harus “akurat, obyektif, jelas, ringkas, konstruktif, lengkap, dan tepat waktu” sesuai dengan Standar IPPF nomor 2420 mengenai Kualitas Komunikasi. Selain itu, setiap kesalahan atau kelalaian yang diidentifikasi dalam komunikasi akhir, jika signifikan, harus diperbaiki dan dikomunikasikan “kepada semua pihak yang menerima komunikasi asli” (Standar IPPF 2421: Kesalahan dan Kelalaian).
Distribusi komunikasi akhir untuk perikatan tidak menyelesaikan peran fungsi audit internal. Fungsi audit internal masih perlu untuk menindaklanjuti dan memantau untuk memastikan bahwa manajemen telah mengimplementasikan rencana aksi yang telah disepakati untuk memulihkan setiap pengamatan dalam komunikasi akhir. Hal ini termasuk menindaklanjuti dengan manajemen untuk menentukan konsistensi kemajuan dengan kerangka waktu yang disepakati dan dapat diperluas untuk mencakup keterlibatan tindak lanjut untuk menilai peningkatan pengendalian.
Jika manajemen auditee memilih untuk tidak mengambil tindakan untuk memulihkan pengamatan yang dikomunikasikan, CAE harus menilai situasinya. Jika risiko melebihi tingkat dampaknya terhadap variasi parameter kinerja yang dapat diterima, hal ini harus dikomunikasikan kepada manajemen senior dan jika perlu kepada dewan juga.
OBSERVASI DAN REKOMENDASI
Kriteria, kondisi, penyebab dan akibat semua harus disertakan untuk setiap pengamatan yang dikomunikasikan. Seperti yang ditunjukkan sebelumnya, pengamatanketerlibatan adalah item yang telah menjadi perhatian dari fungsi audit internal yang dapatmempengaruhi pernyataan manajemen mengenai kecukupan desain dan / atau efektivitasoperasi pengendalian.
Praktek Penasehat 2410-1: Kriteria Komunikasi menyediakan lebih detaildibandingkan dengan unsur-unsur yang harus terkandung dalam setiap pengamatanketerlibatan ketika dikomunikasikan: "Keterlibatan pengamatan dan rekomendasi munculoleh proses membandingkan kriteria (negara yang benar) dengan kondisi (kondisi saat ini). Apakah ada atau tidak ada perbedaan, auditor internal memiliki landasan untukmembangun laporan pengamatan dan rekomendasi didasarkan pada atribut sebagai berikut:
Kriteria-Standar, tindakan, atau harapan yang digunakan dalam membuat evaluasidan / atau verifikasi (negara yang benar)
Kondisi - Bukti faktual yang auditor internal ditemukan dalam proses pemeriksaan(kondisi saat ini)
Penyebab - Alasan untuk perbedaan antara kondisi yang diharapkan dan aktual
Efek - Risiko atau paparan organisasi dan / atau orang lain hadapi karena kondisinya yang tidak konsisten dengan kriteria (dampak perbedaan). Dalam menentukan tingkat risiko atau paparan, auditor internal mempertimbangkan efek pengamatan keterlibatan mereka dan rekomendasi mungkin pada operasi organisasi dan laporan keuangan
Observasi dan rekomendasi dapat mencakup [auditee] prestasi, isu-isu terkait, daninformasi yang mendukung.
Conduct Interim And Preliminary Engagement Communications
Selama melakukan keterlibatan jaminan, fungsi audit internal secara rutin dan teratur berkomunikasi dengan tokoh-tokoh kunci diarea subyek audit. Sebagian besar komunikasi ini dilakukan melalui e-mail dan dalam & pertemuan tatap muka atau panggilan konferensi. Tujuan dari komunikasi ini adalah untuk membahas pengamatan seperti yang diidentifikasi selama pertunangan. Hal ini memungkinkan fungsi auditinternal untuk memastikan fakta-fakta yang akurat dan juga memulai dialog mengenai metode terbaik remediasi untuk pengamatan diidentifikasi.
Perform Monitoring Dan Tindak Lanjut
Tanggung jawab fungsi audit internal tidak berakhir ketika hasil keterlibatan didistribusikan bahwa selama pertunangan sebagai pengamatan diidentifikasi, pengelolaan daerah yang merupakan target dari keterlibatan jaminan baik berkomitmen untuk mengambil tindakan korektif untuk memulihkan pengamatan atau mereka memilih untuk tidak mengambil tindakan.
Proses kolaboratif yang terjadi selama pertunangan memastikan fungsi audit internal sesuai dengan rencana tindakan yang diusulkan seperti yang di dokumentasikan dalam komunikasi keterlibatan akhir. Akibatnya, pemantauan dan tindak lanjut prosedur yang dirancang untuk memastikan pengamatan telah ditangani dan diselesaikan dengan cara yang konsisten dengan respons manajemen termasuk dalam komunikasi keterlibatan akhir. CAE diinstruksikan oleh Standard "menetapkan proses tindak lanjut untuk memantau dan memastikan bahwa tindakan manajemen telah di implementasikan secara efektif atau bahwa manajemen senior telah menerima resiko juga harus diungkapkan kepada para pemangku kepentingan organisasi sesuai dengan hukum negara di mana ia beroperasi. Jenis lain dari Keterlibatan-keterlibatan konsultasi termasuk penyelidikan, proyek, upaya karena ketekunan, dan lain-lain memiliki kebutuhan komunikasi yang berbeda
0 notes
Text
CHAPTER 12 & 13 - The Engagement Process
Secara umum, auditor internal menyediakan dua jenis layanan : jasa assurance dan jasa consulting, baik yang berbentuk control-focused maupun yang sifatnya performance-focused. Proses penugasan (engagements) kedua jenis layanan tersebut terdiri dari 3 tahap utama yaitu :
1. Perencanaan
2. Pelaksanaan
3. Komunikasi (pelaporan)
Berikut ini adalah gambaran umum proses Assurance Engagement
Meskipun gambaran di atas menunjukkan tiga tahap dari engagement sebagai langkah yang terpisah dan menunjukkan urutan, sebenarnya praktik yang dilakukan tidak sepenuhnya seperti gambaran di atas. Tidak terdapat garis tegas hubungan antara perencanaan, pelaksanaan dan pelaporan.
1. Perencanaan Assurance Engagements
Terdapat sebuah ungkapan 7P : “Proper Prior Planning Prevents Poor Performance” dan ungkapan lain “Failing to plan means planning to fail” menunjukkan betapa pentingnya perencanaan. Dalam assurance engagement, tahapan yang dilalui antara lain:
a. Menentukan Tujuan dan Lingkup engagement
Pertimbangan penting
1) Kategori tujuan bisnis (strategis, operasional, pelaporan dan kepatuhan) : Apakah fokusnya pada efekti&itas operasi dan efsiensi auditee, aspek pelaporan keuangan auditee, atau keduanya.
2) Hasil yang diharapkan dari Tim Audit Internal : Tim diharapkan dapat membatasi fokusnya untuk mengkomunikasikan observasi atas pengendalian selama proses engagements, atau diharapkan untuk menyampaikan opini keseluruhan atas area khusus yang ditanyakan
3) Batasan Engangement : Dari Proses/subproses bisnis mana dimulai/diakhiri, unit mana yg dikunjungi, dsb
BAB 13
JAMINAN KETERLIBATAN PROSES
MENENTUKAN TUJUAN KETERLIBATAN DAN SCOPE
Alasan Melakukan Engagement
Ada berbagai jenis keterlibatan jaminan dan mungkin ada alasan yang berbeda untuk melakukan salah satu dari mereka. Jenis keterlibatan dan alasan untuk melakukan hal itu secara signifikan dapat mempengaruhi bagaimana pertunangan dilakukan. Oleh karena itu, penting untuk memahami alasan untuk melakukan pertunangan sebelum memulai perencanaan. Ada sejumlah alasan untuk melakukan keterlibatan jaminan, termasuk, namun tidak terbatas pada:
Keterlibatan ini diidentifikasi dalam rencana audit internal tahunan karena risiko yang melekat diidentifikasi selama proses penilaian risiko bisnis, risiko terdeteksi terakhir kali daerah itu diaudit, dan faktor-faktor lain yang relevan. Untuk keterlibatan tersebut, auditor internal harus memahami apa risiko bisnis yang mendasari menyebabkan keterlibatan untuk dimasukkan dalam rencana, dan kemudian merancang rencana pertunangan untuk memberikan jaminan yang tepat mengenai kecukupan desain dan efektivitas operasi pengendalian yang diterapkan untuk mengurangi risiko tersebut.
Keterlibatan adalah bagian dari kebutuhan tahunan untuk mengevaluasi sistem organisasi pengendalian intern untuk tujuan pelaporan eksternal, seperti AS Sarbanes-Oxley Act of 2002 Pasal 404 persyaratan di Amerika Serikat dan hukum pelaporan keuangan serupa di negara lain. Untuk keterlibatan tersebut, auditor internal harus memastikan bahwa keterlibatan ini dirancang untuk menguji area yang tercakup dalam peraturan yang mendasari (misalnya, memberikan jaminan mengenai kecukupan desain dan efektivitas operasi pengendalian internal atas pelaporan keuangan).
Sebuah acara baru-baru ini (misalnya, bencana alam, penipuan, atau kebangkrutan pelanggan) telah menguji proses di bawah kondisi yang tidak biasa dan manajemen menginginkan "post mortem" untuk menentukan di mana proses itu efektif dan mana tidak. Untuk keterlibatan tersebut, auditor internal harus menyesuaikan pengujian dan evaluasi di sekitar peristiwa tertentu yang terjadi.
Perubahan dalam bisnis atau industri membutuhkan modifikasi langsung ke proses dan manajemen menginginkan validasi cepat yang modifikasi ini tampaknya dirancang tepat untuk mengatasi perubahan. Untuk keterlibatan ini, auditor internal dapat melakukan audit kontrol yang berfokus penuh atau mereka mungkin lingkup untuk fokus hanya pada kontrol yang berubah
Menetapkan Tujuan Engagement
Setelah alasan untuk keterlibatan jaminan dipahami, tujuan keterlibatan formal harus ditetapkan. Tujuan-tujuan ini, yang biasanya dinyatakan dalam jaminan komunikasi keterlibatan akhir, mengartikulasikan khusus apa keterlibatan sedang mencoba untuk menyelesaikan. Sementara tujuan dapat dinyatakan dalam berbagai cara, harus jelas apa jaminan pertunangan akan menyediakan. Misalnya, tujuan bisa mulai dengan kalimat berikut (kata kerja yang berbeda dapat digantikan untuk yang digunakan dalam contoh ini):
Mengevaluasi kecukupan desain
Menentukan efektivitas operasi
Menilai kepatuhan
Menentukan efektivitas dan efisiensi
Mengevaluasi akurasi
Menilai pencapaian
Menentukan kinerja
Menentukan efektivitas dan efisiensi
Mengevaluasi akurasi
Menilai pencapaian
Menentukan kinerja
Lingkup Keterlibatan Setelah tujuan keterlibatan telah ditetapkan, ruang lingkup keterlibatan harus ditentukan. Sejak keterlibatan mungkin tidak mencakup segala sesuatu yang dapat diaudit berkaitan dengan tujuan keterlibatan, pernyataan ruang lingkup khusus harus menyatakan apa atau tidak termasuk dalam keterlibatan. Pernyataan lingkup tersebut dapat mencakup:
Batas dari proses. Sementara beberapa proses kecil dan mandiri, banyak yang sangat luas dan tumpang tindih dengan proses lainnya. Oleh karena itu, penting untuk mendefinisikan apa titik dalam proses keterlibatan akan dimulai dan dimana akan berakhir.
Dalam-lingkup dibandingkan out-of-lokasi. Untuk proses yang mencakup beberapa lokasi, hanya beberapa lokasi tersebut dapat dimasukkan dalam keterlibatan
Subproses. Sebagian diskrit dan dikenali atau komponen dari sebuah proses
Komponen. Bagian-bagian tertentu, atau komponen, dari sebuah proses dapat diabaikan.
Kerangka waktu
Keterlibatan dapat mencakup satu tahun kalender, 12 bulan sebelumnya, atau beberapa kerangka waktu lainnya. Hasil yang diharapkan dan Publikasi Sebelum pindah ke langkah berikutnya dalam proses perencanaan, pada tugas akhir harus dilakukan. Masing-masing dijelaskan lebih lengkap sebagai berikut: - - Potensi hasil tes yang akan dilakukan selama keterlibatan. Mampu mengantisipasi berbagai jenis pengujian pengecualian yang dapat diidentifikasi dalam keterlibatan yang diberikan membantu rencana uji internal auditor untuk memberikan jaminan reaasonable bahwa perbedaan tersebut terdeteksi.
Pengecualian khas meliputi:
Kesalahan statment keuangan atau misclassifications dalam rekening keuangan, saldo, atau pengungkapan.
Kontrol kekurangan menunjukkan kontrol tertentu yang tidak mencapai efek yang diinginkan, yaitu, mengurangi risiko sesuai dengan tingkat yang diinginkan.
Kekurangan dalam pencapaian tujuan, karena kekurangan kontrol atau kinerja yang tidak memadai
Inefisiensi karena sumber daya tidak digunakan secara optimal.
Situasi out-of-kepatuhan saat hukum, peraturan, atau kebijakan tidak dipenuhi secara konsisten. Auditee pengecualian mengenai keterlibatan. Anak perusahaan, unit bisnis, departemen, kelompok, atau bagian ketatanegaraan didirikan lain dari suatu organisasi yang merupakan subjek dari keterlibatan jaminan. Jenis-jenis komunikasi meliputi:
Lingkup penuh, laporan internal biasanya memiliki distribusi yang luas dan, dengan demikian, memerlukan bukti yang tepat cukup untuk mendukung kesimpulan dan rekomendasi untuk perbaikan.
Internal memeronda dapat digunakan untuk distribusi lebih terbatas, yang menyatakan pekerjaan yang dilakukan dan dukungan untuk kesimpulan dan rekomendasi hanya tertalu sejauh necessay untuk audiens yang dituju untuk memahami kekurangan yang mendasari.
Laporan untuk penggunaan pihak ketiga harus mengasumsikan pihak tersebut kurang akrab dengan kebijakan dan prosedur yang unik bagi organisasi dan, oleh karena itu, mungkin memerlukan tingkat yang lebih detail untuk memastikan pembaca memahami sifat dan konteks pengamatan dan rekomendasi.
Kadang-kadang, tingkat yang lebih tinggi kerahasiaan mungkin diperlukan untuk keterlibatan tertentu. contoh tersebut harus dibicarakan di depan dengan manajemen proses untuk memastikan kiriman mendukung tingkat yang diperlukan confidientiality. MEMAHAMI AUDIT Ketika merencanakan keterlibatan, tim audit internal harus terlebih dahulu memahami auditee. Menentukan Tujuan Auditee Memahami proses dimulai dengan menentukan tujuan proses kunci. Ini membantu auditor internal mengerti mengapa proses itu ada, yang akan menjadi penting ketika mengidentifikasi dan menilai risiko tingkat proses dan kontrol.
Tujuan operasi adalah jenis yang paling umum dari tujuan pada tingkat proses dan biasanya menentukan alasan proses ada. Tujuan ini biasanya adalah pemerintahan atau berorientasi pada tugas, dan, sebagai hasilnya, sering fokus pada accurancy, ketepatan waktu, kelengkapan, atau atribut kontrol.
Tujuan strategis pada tingkat proses adalah mereka diciptakan untuk khusus selaras dengan tujuan strategis organisasi. COSO Tujuan Kategori:
operasi
pelaporan
pemenuhan
strategis
Pemilik proses atau staf yang terlibat dalam proses tersebut mungkin dapat memberikan daftar tujuan proses. Namun, dalam banyak kasus, tujuan-tujuan tersebut mungkin belum diartikulasikan secara formal. Mengumpulkan Informasi Ada banyak cara untuk mengumpulkan informasi tentang proses. Auditor internal harus mempertimbangkan berbagai jenis dan sumber informasi yang relevan tersedia. Selain itu, analisis, data dan kontrol tingkat-entitas dapat membantu memberikan wawasan tambahan ke proses. Jenis dan Sumber Informasi Relevan Titik awal untuk memahami proses sedang mengkaji dokumentasi yang sudah ada. Sebagai contoh, berikut ini mungkin tersedia dari pemilik proses atau keluarga lain eith proses yang dapat memberikan informasi yang berguna mengenai bagaimana proses kerjanya:
Kebijakan yang berkaitan dengan proses.
Prosedur manual.
Bagan organisasi atau informasi serupa menguraikan jumlah karyawan dan hubungan pelaporan kunci.
Deskripsi pekerjaan bagi orang-orang yang terlibat dalam proses.
Peta proses atau alur depictig aliran keseluruhan proses.
Deskripsi naratif kontrak kunci dengan pelanggan, vendor, mitra outsorcing, dll
Informasi yang relevan mengenai hukum dan peraturan yang mempengaruhi proses.
Mengidentifikasi Indikator Kinerja Utama Setelah memperoleh pemahaman tentang aliran proses, akan sangat membantu bagi auditor internal untuk juga memahami bagaimana manajemen tingkat proses memantau kinerja. Sering, akan ada indikator kinerja utama (KPI) yang dimonitor secara berkala untuk memberikan pemilik proses dengan informasi tentang seberapa baik proses kinerja. Pemantauan KPI ini mungkin mirip dengan prosedur analitis auditor internal yang dilakukan, seperti yang dijelaskan dalam sectio sebelumnya, atau sangat berbeda. Ini adalah karakteristik tertentu dari indikator kinerja kunci yang baik. Mereka harus:
Relevan, yaitu mengukur apa yang penting yang bertentangan dengan apa yang terukur.
Terukur, yaitu ada informasi kuantitatif untuk menentukan kinerja sukses.
Tersedia, yaitu informasi yang dibutuhkan tersedia pada waktu yang tepat dan orang yang tepat, memungkinkan untuk pengukuran tepat waktu kinerja proses.
Sejalan dengan tujuan utama dari proses (informasi pembayaran duplikat ditangkap karena ada tujuan untuk tidak memilikinya).
Artikulasi kepada orang-orang yang terlibat dalam proses sehingga kunci dalam proses sehingga mereka mengerti apa yang sedang diukur dan pentingnya mencapai level kinerja yang (rekening karyawan hutang dapat melihat statistik tepat waktu dan menyesuaikan kinerja mereka sesuai)
Indikator kinerja utama, baik formal maupun informal, dapat menentukan proses pemilik toleransi terhadap penyimpangan kinerja. Manajemen menentukan apa tingkat kesalahan mereka bersedia diterima ketika proses tidak dilakukan seperti yang diharapkan. Mengetahui tingkat toleransi akan membantu auditor internal mengevaluasi hasil pengujian
Mengevaluasi Proses tingkat Penipuan Resiko Akhirnya, penting untuk memahami potensi tingkat proses risiko penipuan. Sebagaimana dibahas dalam bagian berikutnya dalam bab ini, sebagian besar risiko didasarkan pada uncertanty peristiwa yang mungkin terjadi karena sifat yang melekat pada proses. Yang melekat kemungkinan risiko tertentu terjadi meningkat jika ada niat oleh seorang individu untuk melakukan penipuan dan / atau kolusi antara beberapa individu yang terlibat dalam proses. Oleh karena itu, sebelum memulai proses penilaian risiko formal dalam pertunangan, penting untuk mengevaluasi potensi skenario penipuan dalam proses. Melibatkan tiga langkah berikut:
1. Mengidentifikasi potensi skenario penipuan. Brainstroming dengan individu yang terlibat dalam proses tersebut merupakan cara yang efektif untuk mengidentifikasi kemungkinan cara dengan mana individu, bekerja sendiri atau dalam kolusi dengan orang lain, bisa menghindari proses.
2. Memahami dampak penipuan potensial. Potensi dampak dari setiap skenario penipuan harus ditentukan.
3. Tentukan apakah untuk menguji risiko kecurangan tertentu. Berdasarkan dua langkah pertama, auditor internal dapat menilai, berdasarkan risiko yang melekat penipuan dalam proses, apakah tes khusus harus dirancang untuk menentukan kerentanan untuk penipuan
IDENTIFIKASI DAN MENILAI RISIKO
Mengidentifikasi Proses-tingkat Skenario Risiko Sebuah organisasi yang didirikan proses untuk melaksanakan rencana usaha dan mencapai tujuannya. Proses ini mungkin diskrit dan terfokus, atau mereka mungkin lintas fungsional. Risiko ada di semua proses, terlepas dari luasnya, lokasi, atau fokus. Tugas pertama dalam menilai risiko tingkat proses adalah untuk mengidentifikasi skenario risiko yang melekat dalam proses. Skenario risiko potensial kejadian kehidupan nyata yang dapat berdampak negatif terhadap pencapaian tujuan.
Tujuan mengidentifikasi skenario risiko adalah untuk menjawab pertanyaan: Apa yang bisa terjadi yang akan mencegah pencapaian setiap tujuan tingkat proses? Untuk menjawab pertanyaan ini, auditor internal harus otak-badai skenario risiko yang mungkin terjadi. Berikut ini memberikan garis besar tentang bagaimana hal ini dapat dilakukan.
1. Pilih tujuan tingkat proses tunggal. Latihan ini bekerja baik jika dilakukan satu tujuan pada suatu waktu.
2. Brainstorm hambatan (peristiwa, masalah, keadaan, dll) yang mungkin mengancam pencapaian tujuan. Contohnya adalah sebagai berikut:
a. Peristiwa eksternal yang organisasi tidak siap atau tidak bereaksi untuk tepat waktu atau tepat.
b. Tidak cukup dirancang atau kurang didokumentasikan prosedur.
c. Kerusakan dalam prosedur yang ada.
d. Kurangnya orang yang tepat, dengan keterampilan yang tepat, digunakan dengan cara yang benar.
e. Komunikasi yang tidak memadai antara daerah interfacing.
f. Karyawan yang dengan sengaja melanggar kebijakan atau bertindak tidak etis.
g. Tidak cukup dirancang atau usang aplikasi komputer.
h. Terlalu cepat, akurat, atau tidak memadai informasi untuk pengambilan keputusan.
i. Kegagalan untuk mengukur kinerja.
3. Lanjutkan latihan untuk tujuan tingkat proses yang tersisa.
4. Sejak beberapa skenario risiko akan serupa di tujuan tingkat proses, mengelompokkan dan menggabungkan skenario risiko serupa.
Latihan bertukar pikiran akan dioptimalkan jika individu yang terlibat dalam proses berpartisipasi. Mereka mungkin dapat mengidentifikasi skenario risiko berdasarkan pengalaman tangan pertama. Namun, auditor internal yang berpengalaman harus bisa melakukan latihan ini tanpa bantuan dari individu tingkat proses. Sebuah cara yang efektif untuk auditor internal untuk melakukan seperti sesi brainstorming adalah untuk menulis skenario yang berbeda pada catatan diri menempel dan menempatkan mereka di dinding atau papan besar. Setelah brainstroming selesai, catatan dapat :
Diatur oleh tujuan untuk memastikan komprehensif menutup-usia masing-masing tujuan, dan
Dikategorikan menurut jenis skenario serupa untuk mendukung definisi risiko.
Mendefinisikan Proses Risiko-tingkat
Sebagaimana ditunjukkan di atas, skenario risiko serupa memberikan dasar untuk mengidentifikasi risiko tingkat proses. Para skenario risiko mewakili spesifik peristiwa kehidupan nyata yang dapat mempengaruhi pencapaian tujuan. Risiko adalah deskripsi yang lebih luas dari sebab dan akibat peristiwa tersebut. Tugas berikutnya dalam menilai risiko tingkat proses adalah untuk menentukan risiko yang relevan. Ada banyak cara untuk mendefinisikan risiko. Pendekatan yang optimal tergantung pada budaya dan "bahasa risiko" dari organisasi. Namun, terlepas dari pendekatan yang unik yang mungkin ada dari satu organisasi ke depan, penting untuk konsisten. Kurangnya konsistensi dapat membuat lebih sulit bagi resiko secara luas dipahami seluruh organisasi.
Pembayaran ganda kegagalan untuk identitas beberapa input faktur dapat mengakibatkan pembayaran ganda kepada vendor yang bisa tidak terdeteksi.
Ketepatan waktu Ketidakmampuan untuk memproses pembayaran tepat waktu dapat mengakibatkan denda atau hukuman (untuk pembayaran terlambat).
Akses sistem Kurangnya praktik keamanan logis yang efektif dapat menciptakan peluang bagi individu yang tidak sah untuk mengakses, memanipulasi, atau menghapus data.
Sumber daya mnusia Ketidakmampuan untuk menarik, mengembangkan, menyebarkan, dan mempertahankan individu yang kompeten dapat menyebabkan pembayaran yang tidak akurat atau tidak tepat waktu
0 notes
Text
CHAPTER 11 - Data Analytics and Audit Sampling
Analisis Data
Analisis data adalah proses mengumpulkan dan menganalisis data dan kemudian menggunakan hasilnya untuk membuat keputusan yang lebih baik. Survei kepala eksekutif eksekutif (CAE) mengungkapkan makna paling populer untuk istilah “analisis data” sebagai berikut:
Analisis data operasional, keuangan, dan lainnya yang mengukur dan menyoroti risiko dan / atau peluang
Informasi data-mining di berbagai sumber untuk memberikan hasil yang bisa ditindaklanjuti
Proses berulang dan otomatis yang mencari pola dan mengidentifikasi anomali
Auditor internal yang menggunakan analisis data untuk mengidentifikasi anomali harus berpengalaman dalam empat atribut lingkungan data saat ini yang diperkenalkan sebelumnya. Secara khusus:
Volume data secara signifikan lebih besar daripada sebelumnya karena mengumpulkan data dari internet of things, data dari pencarian internet, dan berbagai bentuk data tidak terstruktur
Kecepatan data meningkat karena jumlah perangkat, jumlah data yang dikumpulkan, dan globalisasi dan konektivitas saat ini menghasilkan data yang diproduksi dengan kecepatan tinggi
Data sedang diidentifikasi, diambil, dan disimpan dari semakin banyak sumber, yang menyediakan tingkat keragaman yang signifikan
Veracity adalah kuncinya. Agar analitik data berhasil, data yang mendasarinya harus dibersihkan dan dinormalisasi untuk membatasi kemungkinan skenario “sampah masuk, sampah keluar”
Dibawah ini merupakan kerangka kerja analisis data
1. Mengembangkan Visi untuk Analisis Data
Visi analitik data yang paling efektif berusaha menjawab pertanyaan yang didefinisikan dengan baik seperti “Apa masalah utama yang dihadapi organisasi?” atau “Bagaimana fungsi audit internal menambah nilai?” Jawaban atas pertanyaan-pertanyaan ini membantu mengembangkan visi analitik data, yang harus dapat dicapai, aspirasional, dan diisi dengan kemenangan kecil yang mengarah pada tujuan jangka panjang
2. Mengevaluasi Kemampuan Saat Ini
Setelah auditor internal mengartikulasikan visi tentang bagaimana analitik data dapat melayani mereka, langkah selanjutnya adalah menentukan kemajuan mereka dalam membangun kemampuan analitik data- dan langkah-langkah apa yang harus mereka ambil untuk meningkatkan kinerja
3. Meningkatkan SDM, Proses, dan Teknologi
Begitu fungsi audit internal telah mengembangkan visi yang diartikulasikan dengan baik untuk bagaimana analitik data dapat mendukung pekerjaan mereka dan melakukan diagnostik untuk mendapatkan pemahaman yang lebih baik tentang status analisis data saat ini, langkah-langkah selanjutnya membutuhkan pengeluaran dana di dua bidang penting: keahlian melalui pelatihan dan staffing dan teknologi pada perangkat lunak dan perangkat keras
4. Menerapkan, Memantau, dan mengembangkan
Menerapkan rencana teknologi baru tidak sesederhana membalik saklar. Banyak waktu dan upaya harus dicurahkan untuk mengoordinasikan lintas orang, proses, dan teknologi. Analitik data memungkinkan auditor internal untuk memfokuskan sumber dayanya pada transaksi yang berisiko tinggi dan memberikan manajemen jaminan operasional yang lebih tinggi. Proses analisis data tersebut terdiri dari beberapa tahap, yaitu :
1. Tetapkan pertanyaan yang ingin dijawab
Fungsi audit internal harus terlebih dahulu menentukan apa yang ingin dicapai dan nilai yang diantisipasi
2. Dapatkan data
Langkah selanjutnya adalah mendapatkan akses ke data yang dibutuhkan untuk analisis, suatu proses yang biasa disebut sebagai penemuan informasi. Mendapatkan akses ke data dan membuatnya dapat digunakan bisa sulit dan mahal
3. Bersihkan dan normalkan data.
Membersihkan data melibatkan tindakan seperti menghilangkan informasi duplikat dan memastikan bahwa bidang data dengan nama yang sama dari sistem yang berbeda memiliki arti yang sama
4. Analisis data.
Dengan data yang diproes sebelumnya, analisis dapat dimulai. Sementara analisis aktual berbeda tergantung pada tujuan penyelidikan, paket perangkat lunak analisis data standar dapat membantu menyelesaikan analisis
5. Komunikasikan hasilnya
Kegagalan untuk menggunakan sumber daya yang memadai untuk membantu orang memahami hasil analisis data dapat berarti kegagalan seluruh program.
Kegunaan Analisis Data
Dibawah ini merupakan contoh kegunaan analisis data berdasarkan fungsi internal audit yang dilakukan
1. Compliance
Mengevaluasi laporan pengeluaran dan penggunaan kartu pembelian untuk semua transaksi
Melakukan audit vendor dengan menggunakan data penagihan item baris untuk mengidentifikasi anomali dan tren untuk diselidiki
Menilai persyaratan peraturan
Mengidentifikasi kualitas dan integritas data yang buruk di sekitar berbagai sistem data yang merupakan pendorong utama risiko kepatuhan
2. Deteksi dan Investigasi Kecurangan
Identifikasi karyawan palsu, calon vendor palsu, dan hubungan vendor atau pihak terkait karyawan.
Menyoroti anomali data yang menimbulkan risiko finansial dan / atau reputasi terbesar bagi organisasi.
Menyelidiki skema penyelewengan aset untuk menjawab pertanyaan “siapa, apa, di mana, kapan”.
3. Operasional
Metrik utama seputar analisis pengeluaran (mis., Waktu pembayaran, efisiensi pembayaran).
Analisis dan pemulihan pembayaran rangkap.
Melakukan analisis pendapatan / kebocoran biaya.
Analisis inventaris yang bergerak lambat.
Identifikasi kinerja utama dan indikator risiko utama lintas industri dan lini bisnis
4. Pengendalian Internal
Pemisahan analisis tugas
Analisis akses pengguna
Menilai kinerja control
Identifikasi pencilan potensial yang akan menunjukkan kegagalan atau kelemahan kontrol.
Audit Sampling
Audit sampling adalah penerapan prosedur audit untuk kurang dari 100 persen item dalam suatu populasi untuk tujuan menggambar kesimpulan tentang seluruh populasi
Risiko audit adalah risiko mencapai kesimpulan yang tidak valid dan / atau memberikan saran yang salah berdasarkan pekerjaan audit yang dilakukan
Risiko sampling adalah risiko bahwa kesimpulan auditor internal berdasarkan pengujian sampel mungkin berbeda dari kesimpulan yang dicapai jika prosedur audit diterapkan pada semua item dalam populasi.
Risiko non-sampel = Risiko yang terjadi ketika auditor internal gagal melakukan pekerjaannya dengan benar.
Ada dua pendekatan umum untuk pengambilan sampel: statistik dan non-statistik
Sampling Audit Statistik dalam Uji Pengendalian
Attribute sampling adalah pendekatan sampling statistik yang didasarkan pada teori distribusi binomial yang memungkinkan pengguna untuk mencapai kesimpulan tentang suatu populasi dalam hal tingkat kejadian
Stratified attribute sampling adalah variasi dari atribut sampling dari suatu populasi yang dapat dibagi lagi
Stop-or-go sampling adalah variasi lain dari atribut sampling
Discovery sampling adalah variasi ketiga dari atribut sampling. Sampel dirancang untuk menjadi cukup besar untuk mendeteksi setidaknya satu penyimpangan jika tingkat penyimpangan dalam populasi berada pada atau di atas tingkat yang ditentukan
Saat melakukan tes nilai moneter, auditor internal memperhatikan dua aspek risiko pengambilan sampel:
Risiko penerimaan yang salah (risiko tipe II, risiko beta). Ini adalah risiko bahwa sampel mendukung kesimpulan bahwa nilai yang dicatat (misalnya, saldo akun) tidak salah secara material saat itu
Risiko penolakan yang salah (risiko tipe I, risiko alpha). Ini adalah risiko bahwa sampel mendukung kesimpulan bahwa jumlah yang dicatat (misalnya, saldo akun) salah secara material padahal sebenarnya tidak
Sampling Probability-proportional-to-size (PPS) adalah bentuk modifikasi dari atribut sampling yang digunakan untuk mencapai kesimpulan mengenai jumlah uang daripada tingkat kejadian
Sampling Audit Non-Statistik dalam Uji Pengendalian
Pengambilan sampel secara statistik memerlukan dua hal mendasar:
sampel harus dipilih secara acak, dan
hasil sampel harus dievaluasi secara matematis berdasarkan teori probabilitas. Pengambilan sampel yang tidak statis memungkinkan auditor internal lebih leluasa dalam memilih dan mengevaluasi sampel.
Hapzard sampling adalah teknik pemilihan nonrandom yang digunakan oleh auditor internal untuk memilih sampel yang diharapkan mewakili populasi.
Auditor internal yang menggunakan sampling non-statistik juga harus memproyeksikan hasil sampel kepada populasi
Ketidakmampuan untuk mengukur risiko pengambilan sampel secara statistik adalah fitur utama dari pengambilan sampel non-statistik yang membedakannya dari pengambilan sampel statistik. Penarikan kesimpulan auditor internal tentang populasi dari mana sampel diambil adalah benar-benar penilaian yang bukan didasarkan pada teori probabilitas
0 notes
Text
CHAPTER 10 - Audit Evidence and Working Papers
Professional skepticism adalah keadaan pikiran auditor internal untuk tidak menerima begitu saja; mereka terus-menerus mempertanyakan apa yang mereka dengar dan lihat dan secara kritis menilai bukti audit.
Reasonable assurance merupakan tingkat kepastian yang didukung oleh prosedur dan penilaian audit yang diterima secara umum.
Bukti audit bersifat persuasif jika memungkinkan auditor internal untuk merumuskan kesimpulan dan saran yang dibuat dengan baik. Agar persuasif, bukti harus: Risiko audit adalah risiko dalam mencapai kesimpulan audit yang tidak valid dan / atau memberikan saran yang salah berdasarkan pekerjaan audit yang dilakukan.
Berikut ini adalah tabel keandalan dokumen audit:
Apakah bukti sesuai dengan tujuan audit? Apakah ini secara logis mendukung kesimpulan atau saran auditor internal?
Apakah bukti berasal dari sumber yang kredibel? Apakah auditor internal secara langsung mendapatkan bukti?
Sudahkah auditor internal memperoleh cukup bukti? Apakah potongan-potongan bukti yang berbeda tetapi saling terkait saling menguatkan?
Prosedur audit adalah tugas khusus yang dilakukan oleh auditor internal untuk mengumpulkan bukti yang diperlukan untuk mencapai tujuan audit yang ditentukan. Tujuan penerapan proses audit yaitu untuk:
Kertas Kerja atau Working Paper merupakan dokumen kerja yang dibutuhkan oleh auditor internal. Berikut ini adalah beberapa tipe dari kertas kerja tersebut:
Sebelas poin penting yang harus diingat mengenai bukti audit dan kertas kerja adalah sebagai berikut:
Kualitas kesimpulan dan saran auditor internal tergantung pada kemampuan mereka untuk mengumpulkan dan mengevaluasi bukti pendukung yang memadai dan memadai.
Skeptisme profesional berarti bahwa auditor internal menerima begitu saja; mereka terus-menerus mempertanyakan apa yang mereka dengar dan lihat dan secara kritis menilai bukti audit.
Agar persuasif, bukti audit harus relevan, relevan, dan memadai.
Prosedur audit adalah tugas khusus yang dilakukan untuk mengumpulkan bukti yang diperlukan untuk mencapai tujuan audit yang ditentukan.
Vouching melibatkan pelacakan informasi ke belakang; digunakan untuk menguji validitas informasi.
Melacak melibatkan pelacakan informasi ke depan; digunakan untuk menguji kelengkapan informasi.
Prosedur analitik melibatkan perbandingan informasi yang diperoleh selama perikatan dengan harapan yang telah ditentukan.
Auditor internal harus tahu cara menggunakan perangkat lunak audit umum (GAS), seperti ACL atau Case Ware IDEA, untuk mengekstraksi dan menganalisis data yang disimpan secara elektronik.
Kertas kerja berfungsi sebagai catatan utama dari prosedur yang diselesaikan, bukti yang diperoleh, kesimpulan yang dicapai, dan rekomendasi yang dirumuskan selama perikatan audit internal.
Kertas kerja juga berfungsi sebagai dukungan utama untuk komunikasi tim audit internal kepada pihak yang diaudit, manajemen senior, dewan direksi, dan pemangku kepentingan lainnya.
Kertas kerja elektronik, seperti TeamMate EWP, meningkatkan efisiensi audit dan memfasilitasi organisasi yang konsisten dan penyimpanan dokumentasi audit.
0 notes
Text
CHAPTER 8 - RISK OF FRAUD AND ILLEGAL ACTS
Salah satu risiko paling signifikan yang dihadapi organisasi kontemporer adalah risiko fraud/kecurangan. Ketika fraud muncul, apakah dilakukan oleh indibidual karyawan, kolusi diantara banyak karyawan, atau pihak ketiga diluar perusahaan yang merugiikan perusahaan bisa menyebabkan kerugian tidak hanya kerugian finansial tetapi juga rusaknya reputasi yang serius. Dalam banyak kasus, terjadinya fraud pada perusahaan publik dengan cepat menyebabkan penurunan pada harga saham dan kapitalisasi pasar, dan dapat menjadi indikator awal dari financial distress/ kesulitan keuangan. Mengingat konsekuensi ekonomi yang serius dari fraud, manajemen senior dan governing boards semakin menekankan program anti fraud dan kontrol untuk menangani bisnis utama, kepatuhan terhadap peraturan, dan driver pasar. Pembaruan fokus global pada tata kelola perusahaan berasal dari kesadaran bahwa kecurangan pelaporan keuangan dengan mudah dapat menyebabkan kegagalan organisasi.
Tindakan llegal adalah kegiatan yang melanggar hukum dan peraturan yurisdiksi tertentu di mana perusahaan beroperasi. Auditor internal di perusahaan besar sering mengambil peran untuk memastikan kepatuhan terhadap peraturan. Langkah pertama biasanya termasuk penyelesaian penilaian risiko fraud. Telah terjadi peningkatan dalam penerapan peran baru dalam banyak organisasi, seperti direktur kepatuhan (CCO) dan pejabat risiko kepala (CRO).
OVERVIEW OF FRAUD IN TODAY'S BUSINESS WORLD
Fraud tidak terbatas hanya pada negara atau industri tertentu. Fraud dapat timbul dalam organisasi hampir setiap saat. Pada awal abad kedua puluh satu, skandal akuntansi besar di AS (misalnya, Enron dan World Com) adalah berita utama di seluruh dunia. Skandal perusahaan tersebut tidak hanya merugikan investor miliaran dolar AS, kejadian tersebut juga mengakibatkan hilangnya kepercayaan pasar modal AS. Association of Certified Fraud Examiners (ACFE) melakukan survei dua tahunan kepada anggotanya dan menyiapkan A Report To The Nation On Occupational Fraud And Abuse (Report To Nation).. Akhir tahun 2012 Laporan mencakup 94 negara dan dengan demikian memberikan wawasan tentang fraud di seluruh dunia. Laporan tahun 2012 didasarkan pada data yang dikumpulkan dari 1.388 kasus penipuan dari berbagai industri yang diteliti pada tahun 2010 dan 2011. Fraud terus menjadi perhatian utama bagi organisasi di seluruh dunia, dengan lebih dari seperlima dari insiden fraud yang menyebabkan kerugian sebesar $ 1 juta pada 2011.
Informasi dari kasus-kasus tersebut dilaporkan oleh certified fraud examiners (CFEs) yang menyelidiki kasus-kasus tersebut . Berikut rangkuman dari beberapa temuan selama tahun 2012 :
Peserta dalam survei memperkirakan bahwa organisasi kehilangan 5 persen dari pendapatan tahunan mereka dari fraud, sedikit menurun dari 6 persen diperkirakan (untuk AS saja) pada tahun 2010 laporan kepada bangsa.
Skema penipuan kerja cenderung sangat mahal.
Skema penipuan Kerja sering berlanjut selama bertahun-tahun sebelum mereka terdeteksi.
Skema penipuan yang paling umum adalah penyalahgunaan aset, yang terjadi pada 87 persen dari semua kasus, dan mengakibatkan kerugian rata-rata $ 120.000.
Penipuan kerja jauh lebih mungkin untuk dideteksi dengan tip(petunjuk/informasi) daripada audit, kontrol, atau cara lain.
Corruption and billing schemes menimbulkan risiko terbesar bagi organisasi di seluruh dunia.
Semakin lama pelaku fraud telah bekerja untuk sebuah organisasi, kerugian akan fraud cenderung semakin tinggi.
Fraud dapat terjadi dalam setiap jenis organisasi, industri yang paling sering menjadi korban adalah perbankan dan jasa keuangan, pemerintah dan administrasi publik, dan manufaktur.
Occupational frauds yang paling sering dilakukan oleh individu yang bekerja di salah satu dari enam departemen: akuntansi, operasional, penjualan, eksekutif / manajemen atas, layanan pelanggan, dan pembelian.
Occupational fraudsters umumnya merupakan pelanggar pertama kali.
Fraud perpetrators / Pelaku penipuan sering menampilkan ciri-ciri perilaku yang mengindikasikan kemungkinan perilaku ilegal; ini tercatat dalam 81 persen dari kasus yang dilaporkan
Poin kunci di sini adalah bahwa tidak ada organisasi yang kebal terhadap fraud. Hal ini dapat terjadi di organisasi besar dan kecil, dan di negara atau industri. Selama manusia, dengan kelemahan yang melekat pada mereka, yang terlibat dalam organisasi, risiko fraud adalah nyata.
DEFINITIONS OF FRAUD
1. Black's Authoritative Definition Of Fraud
Fraud adalah istilah generik, yang mencakup segala cara dimana kecerdikan manusia dapat merancang, dan yang dilakukan oleh satu individu untuk mendapatkan keuntungan lebih dari yang lain dengan saran palsu atau dengan menekan kebenaran, dan mencakup semua kejutan, trik, licik, dissembling, dan cara yang tidak adil dimana ada pihak lain yang ditipu.
2. The Institute of Internal Auditors (IIA)
(From the Glossary to its Standards in the International Professional Practices Framework)
Fraud adalah setiap tindakan ilegal yang ditandai dengan tipu daya, penyembunyian, atau pelanggaran kepercayaan. Penipuan dilakukan oleh partai dan organisasi untuk memperoleh uang, properti, atau layanan; untuk menghindari hilangnya pembayaran jasa, atau untuk mengamankan keuntungan pribadi atau bisnis.
3. The American Institute of Certified Public Accountants (AICPA) (From Statement on Auditing Standard No. 99)
Fraud adalah tindakan disengaja yang mengakibatkan salah saji material dalam laporan keuangan yang tunduk pada audit. Salah saji timbul dari kecurangan pelaporan keuangan dan penyalahgunaan aset.
4. Association of Certified Fraud Examiners (ACFE)
(From the 2008 Report to the Nation on Occupational Fraud)
Penggunaan kedudukan seseorang untuk memperkaya diri melalui penyalahgunaan yang disengaja atau penyalahgunaan sumber daya atau aset organisasi.
The ACFE's Occupational Fraud and Abuse Classification System menjelaskan tiga jenis utama fraud: pernyataan palsu, yang umumnya melibatkan pemalsuan laporan keuangan suatu organisasi (misalnya, melebih-lebihkan pendapatan dan mengecilkan kewajiban dan beban); penyalahgunaan aset, yang melibatkan pencurian atau penyalahgunaan aset organisasi (misalnya, menggelapkan pendapatan, mencuri persediaan, atau penipuan gaji); dan korupsi, di mana pelaku fraud menggunakan pengaruh mereka dalam sebuah transaksi bisnis untuk mendapatkan manfaat bagi diri sendiri atau orang lain, bertentangan dengan kewajiban mereka kepada atasan mereka atau hak-hak dari pihak lain.
OUTLINE OF THE ACFE'S OCCUPATIONAL FRAUD AND ABUSE CLASSIFICATION SYSTEM
1. Manipulasi secara sengaja terhadap laporan keuangan, yang dapat menyebabkan:
Tidak tepatnya pelaporan pendapatan.
Tidak tepatnya pelaporan biaya.
Tidak tepatnya penggambaran jumlah neraca, termasuk cadangan.
Tidak tepatnya peningkatan dan / atau pengungkapan yang tidak transparan.
Menyembunyikan penyalahgunaan aset.
Menyembunyikan penerimaan dan pengeluaran yang tidak sah.
Menyembunyikan akuisisi tidak sah, disposisi, dan penggunaan aset.
2. Penyelewengan atas:
a. Aset berwujud oleh:
Karyawan
Pelanggan
Vendors.
Mantan karyawan dan lain-lain di luar organisasi
b. Aset tak berwujud
c. Peluang bisnis yang dimilik.
3. Korupsi, termasuk:
a. Penyuapan dan Bribery and gratifikasi untuk:
Perusahaan
Individu
Pejabat publik
b. Penerimaan suap, kickbacks dan gratifikasi
c. Membantu dan bersekongkol penipuan oleh pihak lain (misalnya, pelanggan, vendor)
THE FRAUD TRIANGLE
Sebuah kerangka konseptual penting dalam memahami fraud adalah konsep fraud triangle yang terdiri dari kesempatan (opportunity), kebutuhan/tekanan (need/pressure) dan rasionalisasi (rationalization).
Opportunity biasanya muncul sebagai akibat lemahnya pengendalian inernal di organisasi tersebut. Terbukanya kesempatan ini juga dapat menggoda individu atau kelompok yang sebelumnya tidak memiliki motif untuk melakukan fraud.
Pressure atau motivasi pada sesorang atau individu akan membuat mereka mencari kesempatan melakukan fraud, beberapa contoh pressure dapat timbul karena masalah keuangan pribadi, Sifat-sifat buruk seperti berjudi, narkoba, berhutang berlebihan dan tenggat waktu dan target kerja yang tidak realistis.
Rationalization terjadi karena seseorang mencari pembenaran atas aktivitasnya yang mengandung fraud. Pada umumnya para pelaku fraud meyakini atau merasa bahwa tindakannya bukan merupakan suatu kecurangan tetapi adalah suatu yang memang merupakan haknya, bahkan kadang pelaku merasa telah berjasa karena telah berbuat banyak untuk organisasi. Dalam beberapa kasus lainnya terdapat pula kondisi dimana pelaku tergoda untuk melakukan fraud karena merasa rekan kerjanya juga melakukan hal yang sama dan tidak menerima sanksi atas tindakan fraud tersebut.
KEY PRINCIPLES FOR MANAGING FRAUD RISK
The Fraud Guide menekankan betapa pentingnya bagi entitas untuk menetapkan upaya ketat dan berkelanjutan untuk melindungi diri dari tindakan penipuan. Ada lima prinsip inti yang perlu diikuti oleh organisasi:
Prinsip 1: Fraud Risk Governance
Sebuah entitas perlu membangun struktur tata kelola yang kuat untuk mengawasi manajemen risiko dan aktivitas lainnya yang berada di tempat untuk membantu memastikan pencapaian tujuan bisnis, terutama untuk mengidentifikasi dan mengelola risiko fraud.
Prinsip 2: Fraud Risk Assessment
Entitas harus terlebih dahulu mengidentifikasi kejadian fraud yang potensial atau scenario yang mungkin rentan.
Prinsip 3 dan 4: Fraud Prevention and Detection
Program manajemen risiko fraud harus memiliki keseimbangan pencegahan dan deteksi kontrol yang tepat. Kontrol Pencegahan dapat dirancang untuk menghentikan penipuan dari yang terjadi.
Sementara organisasi biasanya lebih memilih untuk mencegah penipuan, yang tidak selalu efektif, adalah penting untuk merancang dan menerapkan kontrol deteksi yang efektif juga.
Prinsip 5: Fraud Reporting, Investigation and Resolution
Penting bagi suatu organisasi untuk membangun sistem pelaporan untuk memfasilitasi dan mendorong pelaporan insiden penipuan potensial.
GOVERNANCE OVER THE FRAUD RISK MANAGEMENT PROGRAM
Pada organisasi yang telah mengembangkan budaya perusahaan yang mencakup praktik tatakelola dewan sampai dengan operasional di level manajemen, termasuk:
· Arus informasi dan agenda Dewan Komisaris
· Akses ke berbagai level manajemen dan pengendalian efektif dari jalur whistleblower
· Proses nominasi yang independen
· Tim Manajemen Senior yang efektif à evaluasi, manajemen kinerja, kompensasi dan rencana suksesi
· Pedoman perilaku yang spesifik bagi manajemen senior, sebagai tambahan pedoman perilaku organisasi
· Penekanan yang kuat pada efektivitas independen BoC dan proses melalui evaluasi BoC, sesi pimpinan dan partisipasi aktif dalam upaya pengawasan strategis dan mitigasi risiko.
ROLES AND RESPONSIBILITIES
Peran dan TanggungJawab dalam program manajemen risiko fraud harus dilakukan secara formal dan dikomunikasikan. Kebijakan dan prosedur, job description, piagam dan delegasi dari pihak berwenang penting dalam mendefinisikan beragam peran dan tanggungjawab program tersebut.
1. Board of Directors
Board of Director melakukan praktik governace seperti yang dijelaskan di atas. Board of Director
menjalankan peran oversight termasuk dalam program manajemen risiko perusahaan
. Manajemen
Manajemen senior selain harus memberikan contoh atau “tone of the top” juga berperan dalam membangun sistem monitoring dan pelaporan yang memungkinkan evaluasi apakah manajemen risiko fraud berjalan secara efektif.
3. Pegawai
Pelaksanaan program manajemen risiko fraud, khususnya kontrol yang dirancang untuk mencegah dan mendeteksi kecurangan, harus melibatkan setiap orang dalam organisasi. Seluruh pegawai dilibatkan dalam pelaksanaan program manajemen risiko fraud melalui internalisasi budaya perusahaan dan dibekali pemahaman untuk membangun fraud awareness
4. Unit Audit Internal
Sebagai unit yang memiliki peran assurance dalam perusahaan memegang peran penting dalam tatakelola dan program manajemen risiko kecurangan di perusahaan.
Components of a Fraud Risk Management Program
Meskipun tidak ada "satu ukuran cocok untuk semua" pendekatan untuk merancang program manajemen risiko fraud, ada komponen tertentu yang umum umumnya efekti. Biasanya, program- program yang terintegrasi sukses memiliki komponen kunci tertentu, yaitu:
1. Komitmen board dan senior manajemen
2. Fraud awareness yang membantu karyawan dalam memahami tujuan, persyaratan, dan tanggung jawab program.
3. Affirmation proses/ penegasan berkala kepada karyawan agar karyawan memahami dan mematuhi kebijakan dan prosedur.
4. A conflict disclosure protocol/ prosedur pengungkapan konflik
5. Assesment atas risiko fraud yang membantu untuk mengidentifikasi semua skenario penipuan
6. Posedur pelaporan dan perlidungan terhadap whistleblower
7. Proses investigasi yang menjamin semua hal dilaksanakan tepat waktu dan penyelidikan yang menyeluruh.
8. Tindakan disipliner dan / atau perbaikan yang mengatasi ketidakpatuhan dengan menetapkan kebijakan dan membantu mencegah perilaku fraud.
9. Prose evaluasi dan perbaikan untuk memberikan jaminan kualitas bahwa program ini akan berlanjut untuk mencapai tujuan.
10. Pemantauan terus-menerus untuk memastikan program secara konsisten beroperasi aeperti yang dirancang.
FRAUD RISK ASSESMENT
Proses Fraud Risk Assesment mirip dengan tahapan pelaksanaan pengukuran risiko perusahaan secara keseluruhan. Terdapat tiga langkah kunci sbb:
1. Mengidentifikasi Risiko Fraud yang melekat (inherent)
2. Mengukur dampak dan keterjadian (impact & likelihood) dari risiko yang diidentifikasi
3. Mengembangkan respon atas risiko yang memiliki dampak dan keterjadian tinggi pada kejadian diluar toleransi manajemen
4. Dalam melakukan pengukuran risiko fraud, penting untuk melibatkan individu dengan beragam pengetahuan, kemampuan dan perspektif. Umumnya terdiri atas personel sebagai berikut:
a. Personel Akuntansi dan Keuangan. Mmembantu mengidentifikasi skenario kecurangan pelaporan keuangan maupun pencurian aset perusahaan
b. Personel Unit Bisnis Non-Keuangan. Meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggan dan vendor, serta skenario kecurangan terkait industri lainnya
c. Personel Bidang Hukum dan Kepatuhan (Legal & Compliance Officer). Meningkatkan pengetahuan mereka dari operasi harian perusahaan, interaksi dengan pelanggan dan vendor, serta skenario kecurangan terkait industri lainnya
d. Personel Manajemen Risiko, Membantu mengidentifikasi skenario kecurangan pasar dan asuransi dan memastikan bahwa
e. Fraud risk assesment terintegrasi dengan risk assesment perusahaan secara keseluruhan
f. Auditor Internal, sebagai pihak yang memiliki pemahaman luas tentang skenario risiko kecurangan dan pengendalian serta Pihak lain dari intern maupun ekstern yang dapat menyediakan tambahan keahlian
g. Proses Fraud Risk Assesment mirip dengan proses risk assesment dalam tahapan manajemen risiko perusahaan (enterprise Risk Management) yang di Garuda dijalankan oleh fungsi VP Risk Management, yaitu menilai dampak dan keterjadian (impact & likelihood) fraud pada perusahaan. Metode yang dilakukan antara lain melalui (1) Wawancara ; (2) Survei, dan (3) Rapat fasilitasi (facilitated meeting) dengan pihak terkait.
FRAUD RISK IDENTIFICATION
Identifikasi Fraud Risk yang dilakukan harus dapat mengidentifikasi hal-hal sebagai berikut:
· Insentif, Tekanan dan Kesempatan
· Risiko Pelanggaran Pengendalian dari manajemen
· Populasi Fraud Risk
· Kecurangan Pelaporan Keuangan
· Penyalahgunaan Aset
· Korupsi
· Risiko Kecurangan Lainnya
Penilaian dampak dan kemungkinan risiko Fraud
Menentukan potential impact dan likelihood dari tiap scenario fraud merupakan proses yang subjektif. Berikut adalah beberapa poin yang harus dipertimbangkan ketika melakukan assessment resiko fraud
1. Impact
Penting untuk mempertimbangkan impact yang tidak hanya terkait laporan keuangan maupun dampak moneter. Karena impact yang lain bisa jadi mempunyai kemungkinan dampak negative yang lebih besar terhadap laporan keuangan maupun dampak moneter. Contohnya, legal impact, reputational impact, operational impact, dll
2. Likelihood
3. Response to Fraud Risk
Berikut merupakan COSO ERM – Integrated Framework dalam merespon resiko fraud
- Jika resiko tidak dapat ditoleransi untuk terjadi pada perusahaan, bahkan dalam skala kecil, manajemen dapat mempertimbangkan untuk menghindari resiko tersebut
- Jika organisasi tidak mempunyai toleransi terhadap resiko, tetapi tidak dapat menghindarinya tanpa mengganggu tujuan organisasi, pengendalian harus didesign untuk mengurangi kemungkinan terjadinya insiden/resiko.
- jika suatu organisasi menginginkan untuk mengurangi dampak atau kemungkinan risiko, tetapi tidak yakin memiliki keterampilan atau pengalaman untuk melakukannya secara efektif dan efisien, organisasi dapat membagi pengoperasian kontrol preventif dan detektif dengan organisasi yang lebih siap untuk melaksanakan kontrol tersebut
- jika terjadinya risiko dapat ditoleransi, manajemen dapat memutuskan untuk menerima risiko sebagaimana level saat ini dan tidak membuat upaya khusus untuk mengelola risiko
Illegal Act and Response
IIA mendefinisikan fraud sebagai “setiap tindakan ilegal dengan karakteristik tipu daya, menyembunyikan, atau pelanggaran terhadap kepercayaan”. Beberapa topik seputar Foreign Corrupt Practices Act (FCPA) yang relevan untuk auditor internal yang berfokus pada upaya kepatuhan adalah:
· Ketentuan anti-penyuapan dan masalah terkait kepatuhan.
· pencatatan dan ketentuan pengendalian akuntansi internal.
· melakukan due diligence dan menetapkan langkah-langkah terhadap kepatuhan.
· penyelidikan internal, kewajiban keterbukaan, dan monitor
· bisnis terkait, kontrak, dan masalah ketenagakerjaan.
· tindakan untuk tetap menghindari pelanggaran terhadap FCPA dan tindakan penegakan hukum preemptif
Fraud Prevention
Sebagai tambahan terhadap pelaksanaan lingkungan tata kelola yang kuat, panduan fraud menguraikan unsur-unsur umum yang dapat memainkan peran penting dalam mencegah penipuan:
· Melakukan investigasi latar belakang
· memberikan pelatihan anti-fraud
· mengevaluasi kinerja dan program kompensasi
· melakukan wawancara ketika pegawai keluar
· Pembatasan otoritas
· Prosedur transaksi yang berlapis
Fraud Prevention
Berikut ini merupakan beberapa metode deteksi:
· Whistleblower hotlines
· Process Control
· Pengendalian yang umum dilakukan adalah melalui proses yang dilakukan sehari-hari.
· Proactive fraud detection procedures
· Proactive procedure yang umum dilakukan termasuk diantaranya data analysis, auditing berkelanjutan, dan penggunaan tools lainnya yang dapat mendeteksi anomaly, maupun tren yang tidak wajar.
Menerima Tuduhan/laporan
The investigation and response system should include a process for:
· Mengkategorikan permasalahan
· Mengkonfirmasi validitas laporan/aduan
· Mendefinisikan tingkat keparahan laporan/aduan
· Menyelidiki permasalahan disaat yang tepat
· Mengacu pada isu isu permasalahan di luar lingkup program
· Melakukan investigasi dan pencarian fakta
· Menjaga permasalahan yang dikategorikan confidential
· Mendefinisikan bagaimana investigasi akan didokumentasikan
· Mengelola dan mempertahankan, menjaga keamanan dokumen dan informasi Mengevaluasi laporan/aduan
· Menentukan apakah laporan ini memerlukan investigasi formal atau informasi sudah didapatkan secara cukup untuk menarik kesimpulan
· Siapa yang harus memimpin investigasi?
· Apakah diperlukan keahlian atau tools khusus untuk investigasi?
· Siapa yang perlu diwaspadai, dan kapan?
· Menentukan prosedur formal Establishing investigation protocols
· Time sensitivity
· Notification
· Confidentiality
· Legal previleges
· Compliance
· Securing evidence
· Objectivity
· Goals
UNDERSTANDING FRAUDSTERS
Selain harus memiliki pengetahuan mengenai karakteristik fraud, teknik-teknik yang digunakan dalam melakukan fraud, dan jenis-jenis fraud yang mungkin terjadi pada berbagai proses bisnis, Auditor internal harus mampu memahami pola pikir dan perilaku para pelaku fraud serta memiliki rasa professional skepticism yang tinggi dan tidak berasumsi bahwa orang akan "melakukan hal yang benar." Auditor internal harus "berpikir seperti seorang penjahat untuk menangkap penjahat." Mereka harus mencoba untuk memahami mengapa seorang individu yang dinyatakan jujur akan melakukan tindakan yang tidak jujur. Dengan pemahaman ini maka akan meningkatkan kemungkinan bahwa internal auditor dapat mendeteksi, dan dalam beberapa kasus bahkan mencegah, seorang individu dari melakukan fraud.
Behavioral science/ Ilmu perilaku sejauh ini belum mampu mengidentifikasi satu karakteristik psikologis atau seperangkat karakteristik yang dapat berfungsi sebagai penanda yang andal atas kecenderungan seseorang untuk melakukan fraud. Salah satu forensic accountant and fraud examiner berpengalaman, Thomas Golden, percaya bahwa pelaku fraud pelaporan keuangan akan sesuai dengan salah satu dari dua profil berikut ini, yaitu: "greater good oriented" or "scheming, self-centered" types. Mereka yang cocok dengan profil greater good oriented adalah "individu tidak jujur yang menggambarkan angka dengan rasionalisasi bahwa apa yang mereka lakukan yang terbaik bagi perusahaan. Scheming, self- centered adalah "individu yang menunjukkan pengabaian atas kebenaran, sangat menyadari apa yang mereka lakukan, dan mencoba untuk mencapai tujuan dengan tidak jujur.
Dengan mendapatkan wawasan atas red flag potensial yang mensinyalkan individu yang lebih rentan terhadap melakukan fraud akan membantu auditor internal memahami kapan risiko penipuan akan meningkat. Red flags tersebut adalah termasuk orang-orang yang:
· Menunjukkan gaya hidup yang tampaknya di luar kemampuan mereka saat ini.
· Apakah mengalami masalah keuangan yang ekstrim dan / atau memiliki utang pribadi yang luar biasa.
· Memiliki kecenderungan yang tidak biasa untuk menghabiskan uang.
· Apakah menderita depresi atau masalah emosional lainnya.
· Memiliki obsesi perjudian.
· Memiliki kebutuhan atau keinginan atas status, dan percaya bahwa uang bisa membeli status.
Auditor internal tidak diharapkan untuk menjadi behavioral psychologists or criminologists/ psikolog perilaku atau kriminolog. Namun, dengan mendapatkan wawasan yang mendalam tentang apa yang memotivasi pelaku fraud dapat membantu auditor internal "menjaga antena mereka" di tempat kerja dan mengantisipasi individu yang dapat menimbulkan risiko fraud yang lebih besar. Sebagai "mata dan telinga, lengan dan kaki dari komite audit," auditor internal perlu mempertimbangkan pertanyaan-pertanyaan berikut:
· Risiko fraud apa yang sedang dipantau oleh manajemen secara periodik atau berkala? Apakah risiko kritis fraud yang berulang dan bahkan terus menerus, monitoring?
· Apa prosedur khusus yang sedang dilakukan oleh fungsi audit internal untuk mengatasi pengesampingan manajemen atas kontrol internal?
· Apakah sesuatu telah terjadi yang mengarahkan fungsi audit internal untuk mengubah penilaian risiko atas pengesampingan manajemen atas kontrol internal?
· Kompetensi dan keterampilan apa yang auditor internal butuhkan untuk mengatasi risiko fraud dalam organisasi? Kapan mereka harus memakai/mendapatkan layanan dari spesialis dari luar untuk menangani masalah yang sangat kompleks?
· Sebagai tambahan untuk membagun jalur langsung pelaporan kepada komite audit, bagaimana status organisasi independen dari fungsi audit internal bisa diperkuat? Apakah mereka diandalkan sebagai profesional yang kompeten dan obyektif dalam menangani risiko dan pengendalian masalah fraud?
· Bagaimana seharusnya fungsi audit internal mencurahkan perhatiannya pada pencegahan, penghindaran, detektif, dan aspek investigasi fraud?
· Bagaimana audit internal menambahkan perangkat lunak analisis data untuk memberikan deteksi dini?
Professional Skepticism, Professional Judgment, And Forensic Technology
Pelaksanaan professional judgment terletak di kegiatan assurance dan konsultasi fungsi audit internal. Ketika menilai risiko fraud, auditor internal harus menunjukkan tingkat professional skepticism yang tinggi, yaitu, kemampuan secara kritis mengevaluasi bukti dan informasi yang tersedia. Hal ini khususnya terjadi karena pelaku fraud yang biasanya "menutupi jejak mereka". Sebagai contoh, diperlukan ketekunan yang kuat oleh 2004 Time magazine's Person of the Year, Cynthia Cooper dan tim audit internal nya di WorldCom, untuk menggali fraud besar-besaran yang dilakukan oleh manajemen WorldCom.
Dengan menggunakan teknologi komunikasi, investigasi forensik dan pemeriksaan fraud di masa depan akan sangat bergantung pada forensik komputer, pencitraan data komputer, penemuan bukti elektronik, dan analisis data terstruktur dan tidak terstruktur. Dengan kata lain, penggunaan teknologi tidak akan terbatas pada analisis data (setelah data terstruktur telah dikumpulkan); sebaliknya, penggalian dan pelestarian bukti elektronik biasanya dalam bentuk tekstual, data tidak terstruktur yang membutuhkan pencarian kata kunci. Dalam konteks seperti itu, akan sangat penting bagi pemeriksa fraud untuk memiliki pemahaman dan penguasaan yang baik atas alat dan teknik digital teknologi forensik.
Use of Fraud Specialists
Fungsi audit internal dapat memainkan berbagai peran untuk memerangi fraud dalam suatu organisasi, termasuk melakukan training kesadaran fraud, menilai rancangan program antifraud dan kontrol, menguji efektivitas operasi pengendalian tersebut, menyelidiki kejanggalan dan keluhan whistleblower, dan melakukan investigasi penuh dengan matang atas perintah komite audit. Namun, fungsi audit internal mungkin tidak memiliki pengalaman dan keterampilan untuk melakukan semua peran ini. Akibatnya, adalah umum bagi CAE untuk mencari bantuan spesialis fraud untuk melengkapi keterampilan mereka dalam fungsi tersebut. Ada banyak keuntungan untuk menggunakan outside fraud specialists, ditambah lagi independensi yang mereka bawa dalam pekerjaan. Sebagai contoh, mereka memiliki pengalaman yang luas dalam mengidentifikasi dan menyelidiki berbagai skema fraud yang berbeda. Oleh karena itu, mereka dapat membantu dalam mengidentifikasi dan menilai "usual suspect (tersangka biasa)" dan merekomendasikan metode optimal penyelidikan. Selain itu, dengan pernah bekerja bersama penasihat independen, penasihat umum, pengacara negara, regulator, aparat penegak hukum, akuntan dan auditor lain, dan jaksa, mereka memiliki pemahaman yang baik tentang isu-isu seperti:
Cara terbaik untuk menyelidiki jenis tertentu skema fraud.
Menilai kualitas dan kuantitas bukti yang dibutuhkan.
Mengevaluasi diterimanya bukti berkonsultasi dengan pengacara luar.
Melestarikan bukti dan chain of custody.
Kebutuhan, serta potensi untuk bertindak sebagai, saksi fakta atau sebagai ahli.
Communicating Fraud Audit Outcomes
Auditor internal merangkum hasil temuan mereka dan mengkomunikasikannya secara sistematis, terorganisir untuk meningkatkan kejelasan dan pemahaman, yang biasanya meliputi:
Sebuah pernyataan yang singkat dan jelas tentang masalah.
Sebuah kutipan dari kebijakan yang relevan, peraturan, standar, hukum, dan peraturan yang mungkin berlaku untuk kasus yang ditangani.
Analisis atas bukti yang terkumpul untuk membentuk pendapat profesional.
Kesimpulan; yaitu temuan dan rekomendasi
Ini akan membantu membuat komunikasi yang jelas dan berguna, terutama jika sedang diandalkan oleh penasihat umum (general counsel) atau pengacara luar melakukan penyelidikan, yang mungkin ingin membuat bagian komunikasi bagian dari komunikasi mereka. Pada setiap waktu, komunikasi yang dikeluarkan oleh auditor internal harus berisi fakta-fakta saja, dan setiap upaya harus dilakukan untuk menjauhkan diri dari pendapat pribadi atau segala jenis bias atau spekulasi yang berpotensi masuk ke analisis. Dalam hal apapun, mereka tidak harus berusaha untuk memperbaiki kesalahan pada karyawan tertentu, tetapi hanya harus menyatakan bahwa bukti yang dikumpulkan muncul untuk mendukung kesimpulan bahwa fraud mungkin telah dilakukan. Menentukan kesalahan adalah fungsi dari pengadilan (hakim dan juri), dan biasanya di luar lingkup tanggung jawab auditor internal.
OPPORTUNITIES TO PROVIDE INSIGHT
Auditor internal dapat memberikan pemahaman kepada manajemen senior mengenai pencegahan dan deteksi fraud dan tindakan ilegal dalam beberapa cara. Sepuluh peluang utama bagi auditor internal untuk memberikan pemahaman diuraikan dalam exhibit 8-13.
10 oppotunities fungsi auditor internal untuk menyediakan wawasan tentang risiko fraud dan tindakan ilegal
1. Membantu organisasi dalam pengembangan penilaian risiko fraud yang komprehensif.
2. Mengembangkan proses untuk deteksi dini fraud.
3. Mengembangkan alat analisis data yang dapat digunakan untuk mendeteksi fraud pada tahap awal.
4. Membantu dengan pengembangan prosedur hotline call.
5. Memberikan pelatihan kesadaran akan fraud di seluruh organisasi.
6. Bertindak tegas pada peristiwa fraud yang signifikan.
7. Membantu dalam analisis postmortem ketika fraud terjadi.
8. Menginformasikan kepada manajemen dari tindakan hukum potensial yang berisiko untuk organisasi.
9. Membantu manajemen dalam mengembangkan budaya perilaku etis dan toleransi rendah terhadap fraud.
10. Tetap mengikuti dan menginformasikan pengelolaan atas masalah-masalah yang muncul dan isu-isu yang berkembang terkait dengan kepatuhan dan peraturan.
0 notes
Text
CHAPTER 7 - Information Technology Risks and Controls
IT berubah dengan cepatnya dan memberi tantangan baru bagi seluruh organisasi, sekalipun dia tidak menginginkannya. Sosial media mengandung risiko pencitraan buruk terhadap organisasi yang dengan gampang diposting, risiko ini harus diantisipasi.
Penggunaan sosial media memiliki peluang dan risiko. Peluang yang diberikan antara lain:
Increase revenue
Meningkatkan kepuasan dan loyalitas pelanggan
Merekrut talenta terbaik
Meningkatkan pengembangan dan inovasi produk
Meningkatkan brand awareness dan persepsi pelanggan Pada saat yang sama sosial media mengandung risiko, yaitu:
Kurangnya corporate governance seputar penggunaan socmed
Kurangnya kesadaran kebutuhan regulasi
Gagal melakukan pengukuran socmed
Gagal melakukan kebijakan socmed yang efektif
Karena perkembangan teknologi, banyak perusahaan yang menerapkan BYOD (bawa devicemu sendiri). Pegawai mengakses data perusahaan melalui gadget mereka. Ini meningkatkan risiko ketidakamanan informasi. Seluruh organisasi berinvestasi besar-besaran pada IT untuk mencapai tujuan bisnisnya. IT membantu organisasi dalam hal: mengenable strategi bisnis, meningkatkan performance operasi, dan memfasilitasi pengambilan keputusan. Contoh: perusahaan yang ingin expansi ke penjualan online, tidak akan bisa berbuat apa2 jika ga punya teknologi e-commerce.
IT pada strategi organisasi mempengaruhi profesi internal audit. Hal ini mengubah kompetensi yang dibutuhkan internal audit dan bagaimana mereka melaksanakan tugas consulting dan assurance. IA harus memahami IT risk dan control serta dapat mengaplikasikan teknik audit berbasis teknologi. IT Auditor/IS auditor harus punya pengetahuan mendalam tentang IT, namun seluruh internal auditor harus memiliki pengetahuan memadai terkait dengan: sistem informasi organisasinya, IT risk yang mengancam, IT governance organisasinya, risk management dan control prosesnya
Komponen utama Sistem Informasi Modern:
1. Hardware Komputer: komponen fisik dari sistem informasi., yaitu; server, CPU, workstation, terminal, I/O device.
2. Network: Jaringan komputer yang terhubung dua atau lebih komputer sehingga dapat berbagi informasi/beban kerja. Tipe-tipenya antara lain:
Client-server: menghubungkan satu/lebih komputer dengan server
LAN: jaringan kecil dalam gedung
WAN: LAN yang saling terhubung (national, global)
Intranet: jaringan privat organisasi
Extranet: dapat diakses oleh pihak ketiga terpilih
Value added network (VAN): jaringan third-party yang menghubungkan organisasi dengan trading partners
Internet: jaring internet besar global
Peer-to-peer: hubungan mesra antar device tanpa perantara jaringan
3. Computer Software: termasuk OS, utility software, database management system (DBMS) software, aplikasi dan firewall.
4. Database: tempat penyimpanan data yang besar. Biasanya file-file yang saling terhubung dan disimpan agar dapat diretrieve dengan mudah.
5. Information: informasi adalah sumber daya utama organisasi, mulai dari penciptaan sampai penghancuran, teknologi dapat berperan. Sistem informasi mengumpulkan dan menyimpan data serta mengubahnya menjadi informasi yang berguna.
6. People: Peran dalam sistem informasi secara spesifik membutuhkan CIO, database administrator, system developer, data processing personel dan end user.
Peluang dan risiko IT
Peluang dan risiko dari IT memiliki porsi yang significan sehingga organisasi perlumengerti dan memanage dengan efektif.
Peluang yang ditimbulkan IT:
1. ERP system: enterprise resource planning, mengintegrasikan seluruh bisnis proses dalam satu database. Keuntungannya a.l online realtime processing, interaksi dan sharing informasi antar fungsi lancar,meningkatkan kinerja proses, eliminasi/kurangi data berulang dan eror, pengambilan keputusan lebih cepat.
2. EDI: electronic data interchange, pertukaran dokumen computer-to-computer antara organisasi dengan partner bisnis. Proses transaksi lebih efisien dan lebih sedikit data eror. EDI harus dua arah, organisasi dan partner harus sama2 punya EDI yang bagus.
Risiko IT:
Seluruh komponen sistem informasi punya risiko potensial, contoh: hardware komputer kehilangan daya sehingga memutus transaksi, jaringan bisa disadap atau dicuri, software yang tidak valid.
Beberapa tipe IT risk:
1. Selection risk: pemilihan IT solution yang tidak sesuai dengan strategic objective.
2. Development&deployement risk: saat pengembangan ataupun penerapan, dapat terjadi delay yang tak bisa diperkirakan, biaya yang overrun, bahkan proyek yang ditinggalkan/dilepas.
3. Availability risk: ketiadaan sistem saat dibutuhkan dapat memperlambat pengambilan keputusan
4. Hardware/sftware risk: kegagalan hard/software untuk berjalan dengan baik dapan menginterupsi bisnis secara temporari atau permanen dan merusak data.
5. Access risk: risiko akses fisik maupun logik oleh pihak yang tak berkepentingan dapat menyebabkan, modifikasi sofware yang membahayakan, pencurian, penyalahgunaan dan penghancuran data.
6. Risiko Reliabilitas sistem dan integritas informasi: eror yang terjadi bisa sistematik, sehingga informasi menjadi tidak reliable.
7. Confidentially dan privacy risk: pengungkapan tanpa ijin atas informasi partner bisnis, personal data individu, dapat hancurkan bisnis ata dituntut hukum
8. Risiko Fraud dan tindakan jahat: pencurian suamber daya IT, penyalahgunaan sumberdaya IT atau pengacauan/pengrusakan data dapat menimbulkan financial loss/misstated information.
IT Governance:
IT dapat digunakan untuk mengeksekusi strategi bisnis dan membantu pencapaian tujuan perusahaan. Dalam merespon pengaruh IT terhadap strategi bisnis dan operasinya, organisasi menentukan IT governance. IT governance terdiri dari kepemimpinan, struktur dan proses pengawasan yang meyakinkan IT organisasi menopang dan menyuport strategi dan tujuan organisasi.
IT risk management
Adalah proses yang dilaksanakan oleh manajemen untuk mengerti dan menangani risiko IT dan peluang yang daat mempengaruhi kemampuan perusahaan mencapai tujuan. Hal ini dilakukan untuk
- Mengidentifikasi dan mitigasi risiko yang mengancam organisasi
- Identifikasi dan memanfaatkan peluang yang membawa kesuksesan organisasi.
IT risk management berdasarkan COSO ERM:
1. Internal environment: tone of the top, board menetapkan IT risk appetite dan tollerance.
2. Objective setting: IT governance menetukan tujuan IT yang menetapkan arah aktivitas IT. Strategic operation dari IT managemen harus selaras dengan strategic managemen perusahaan keseluruhan.
3. Event identification: kejadian yang berpotensi muncul baik diluar maupun didalam organisasi yang dapat mempengaruhi eksekusi strategi organisasi dan pencapaian tujuan harus diidentifikasi.
4. Risk assesment: IT risk event yang teridentifikasi harus di assess dalam dampak bawaan dan keterjadiannya.
5. Risk response: respon terhadap risiko yang layak harus diformulasikan terhadap event yang teridentifikasi.
6. Control activities: Kebijakan respon terhadap risiko dan prosedur respon harus dedesain secara memadai dan dioperasikan efektif.
7. Information and communication: informasi penting terkait identifikasi, respon, dan assess harus dikomunikasikan dengan baik.
8. Monitoring: manajemen bertanggungjawab memonitor proses manajemen risiko IT, termasuk prose pengendalian IT dari waktu ke waktu untuk memastikan proses berjalan seiring perubahan-perubahan yang terjadi
0 notes
Text
CHAPTER 6 - INTERNAL CONTROL
Dalam merencanakan proses audit salah satu hal yang perlu diperhatikan oleh auditor adalah pemahaman mengenai pengendalian internal (internal control ). Menurut COSO, internal control didefinisikan sebaga suatu proses yang dipengaruhi oleh aktivitas Dewan Komisaris, Manajemen dan pegawai, yang dirancang untuk memberikan keyakinan yang wajar atas:
Keandalan pelaporan keuangan
Efektivitas dan efisiensi operasi, dan
Ketaatan terhadap hukum dan peraturan yang berlaku
Pentingnya internal control untuk suatu entitas karena berfungsi dalam melindungi aset dari pencurian oleh pihak tertentu, reliabilitas laporan keuangan, meningkatkan efektivitas dan efisiensi perusahaan, dan mendorong ditaatinya kebijakan dan peraturan yang berlaku.
Secara khusus yang akan dibahas kali ini adalah internal control terkait dengan audit laporan keuangan. Maka dari itu, penting untuk menentukan mana internal control yang relevan dengan laporan keuangan. Internal control juga dipengaruhi oleh perkembangan teknologi yang digunakan oleh perusahaan. penggunaan teknologi informasi akan berdampak pada mulainya transaksi, autorisasi, pencatatan, proses, dan pelaporan. Banyak keuntungan yang bisa diperoleh seperti konsistensi dalam melakukan kegiatan perusahaan termasuk perhitungan, meningkatkan performa terkait efektivitas dan efisiensi, memberikan tambahan informasi, dsb. Namun terdapat beberapa kekurangan seperti, ketidakakuratan dalam memproses data, perubahan data utama oleh pihak yang tidak berkeenangan, risiko kehilangan data, dsb. Sehingga akan lebih baik penggunaan tekonologi informasi ini tetap dikendalikan secara manual (kombinasi) juga untuk menghindari beberapa risiko yang mungkin terjadi.
Berdasarkan COSO framework internal control terdiri dari lima komponen, yaitu control environment, entity’s risk assessment process, information systems and communication, control activities, dan monitoring of controls. Lima komponen ini harus menjadi perhatian bagi auditor terutama mengenai efeknya terhadap laporan keuangan entitas. Namun auditor sekali lagi harus menentukan yang relevan terhadap realibilitas laporan keuangan.
Setelah memahami internal control perusahaan, auditor dapat memikirkan strategi dalam melakukan proses audit seperti menentukan audit risk model. Setelah melakukan prosedur risk assessment maka auditor dapat menentukan model pengendalian dan apakah pengendalian tersebut telah direalisasikan atau belum. Segala pemahaman mengenai internal control didokumentasikan sehingga dapat membantu proses audit ke depannya. Setelah itu, auditor dihadapkan pada dua pilihan antara mempercayai kontrol tersebut atau tidak. Jika tidak maka auditor depat mengatur control risk menjadi maksimum untuk menghidari adanya salah saji material (subbstantive strategy). Jika auditor memilih untuk menggunakan kontrol tersebut, maka dilanjutkan dalam perencenaan dan melakukan test of control untuk menentukan risiko berdasarkan hasil tes (reliance strategy). Standar auditing menentukan bahwa seorang auditor untuk memperoleh pemahaman untuk setiap komponen di atas. Sebagai contoh dalam penerapan teknologi informasi auditor dapat memperoleh pengetahuan mengenai segala macam program yang digunakan dengan menggunakan tenaga ahli di bidang untuk mengetahui kelima komponen secara lebih, auditor dapat menggunakan beberapa metode seperti, memberikan pertanyaan kepada manajemen, supervisor, atau bahkan langsung kepada staff melakukan inspeksi terhadap dokumen dan laporan dan melakukan observasi terhadap aktivitas produksi.
Standar auditing juga mengharuskan auditor untuk mendokumentasikan hasil pengetahuan mengenai internal control perusahaan. Seberapa sarana yang bisa didokumentasikan antara lain seperti SOP perusahaan dan struktur organisasi, narasi mengenai internal control dari perusahaan, kuisioner tentang internal control , dan flowchart sistem perusahaan. Konsep internal control dibuat untuk memenuhi tujuan perusahaan seefektif dan seefisien mungkin. Sebisa mungkin biaya yang digunakan sekecil mungkin dibandingkan benefit yang diperoleh. Namun, sistem ini memiliki keterbatasan dimana sebaik-baiknya perusahaan membangun internal control perusahaannya tetap saja bisa rusak..
0 notes
Text
CHAPTER 5 - Business Processes and Risks
Terdapat 3 (Tiga) tipe dari business activity :
1. Operating Processes
Operating Processes pada sebagian besar organisasi merupakan suatu proses inti yang dilalui untuk mencapai tujuan utamanya. Melalui proses ini organisasi menciptakan nilai dan menyampaikannya secara langsung kepada konsumen.
2. Management and Support Processes
Management and Support Processes merupakan kegiatan yang mengawasi dan mendukung proses penciptaan nilai inti dari perusahaan (organization’s core value-creation process)
3. Projects
Projects merupakan suatu metode yang digunakan untuk menyelenggarakan kegiatan yang menghasilkan nilai (value-creating activities). Projects digunakan ketika terjadi kegiatan selama jangka waktu tertentu, memerlukan proses pengerjaan yang rumit, dan relatif unik di mana memerlukan kegiatan spesifik yang tidak dilakukan secara berkesinambungan. Projects juga sering digunakan pada sebagian besar organisasi untuk membentuk kegiatan nonrutin untuk menciptakan aset untuk kepentingan organisasi.
Understanding Business Processes
Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai dan meningkatkan kinerja operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi, Misi, nilai serta Tujuan Tahunan) dan bagaimana struktur proses bisnisnya dapat mencapai tujuan tersebut (Strategi tingkat pimpinan dan tingkat Taktis). Model bisnis tersebut biasanya merupakan bagian dokumen internal yang tersedia untuk audior internal.
Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu organisasi dapat tersedia. Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategi organisasi. Sementara Visi, misi, nilai serta tujuan perusahaan relatif sama dari tahun ke tahun, fungsi internal audit harus di-update secara periodik mengenai pemahamannya tentang strategi organisasi.
Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses bisnis dan perannya dalam bisnis model:
1. Top dowm approach
Dimulai pada penetapan tujuan di level organisasi, dan kemudian diidentifikasi proses-proses kunci yang kritikal terhadap keberhasilan pencapaian setiap tujuan tersebut.
2. Bottom up approach
Dimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang yang bertanggung jawab terhadap kegiatan aktualnya.
Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya adalah menentukan tujuan kunci (key objectives) dari proses yang dilakukan. Auditor Internal perlu untuk mengetahui pemilik proses (process owner) untuk memahami tujuan proses (proecess objectives) Ketika tujuan proses sudah dipahami, langkah selanjutnya adalah memahami proses masukan, kegiatan spesifik yang diperlukan untuk mencapai tujuan proses dan output proses.
Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut memerlukan pemahaman tentang bagaimana manajemen dan pemilik proses mengetahui bahwa proses berjalan sesuai yang dikehendaki. Pemilik proses seharusnya memiliki KPI (Key performance Indicator), yang merupakan suatu metrik ataupun dalam bentuk lain untuk mengukur apakah suatu proses ataupun tugas individu telah dilakukan sesuai toleransi yang ditetapkan.
Documenting Business Processes
Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan Process Narative. Process Map merupakan gambaran yang merepresentasikan dari inout, langkah-langkah, workflows, dan output.Tidak ada standar yang absolut mengenai format dan simbol dari Process Mapping, namun harus konsisten penggunaannya. Process Map biasanya digambarkan berupa urutan dari suatu kegiatan dari kanan ke kiri.
Business Risk
Ketika internal auditor sudah memahami tujuan organisasi dan proses kunci yang digunakan untuk mencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat menghalangi pencapaian tujuan tersebut. Bagi organisasi yang telah menerapkan Enterprise Risk Management (ERM), umumnya manajemen telah mengembagkan suatu risk profile. Dalam kasus tersebut maka fungsi internal audit dapat membangun penilaian risikonya dari risk profile tersebut. Bila risk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil sebagai titik awal untuk perencanaan audit tahunan.
Pendekatan umum yang dapt dilakukan untuk mengembangkan risk profile adalah dengan melakukan sesi brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota fungsi internal audit. Potensi risiko dibagi ke dalam 4 (empat) kategori sesuai dengan ERM COSO yaitu Strategic Risks, Compliance Risks, Reporting Risks, dan Operations Risks.
Risiko yang beraneka ragam tersebut kemudian dinilai dampak dan keterjadiannya seperti gambar di bawah ini.
Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk Model ke dalam Matriks Risk Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan tujuan spesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua risiko kunci, dan dampak yang dihasilkan telah diidentifikasi
Memetakan Resiko Pada Proses Bisnis
A. Membangun Respon yang Sesuai untuk Masing-masing Risiko
Respon yang bisa diberikan oleh organisasi terhadap risiko (perspektif ERM):
1) Avoidance/Penghindaran
(contoh: tidak meluaskan pangsa pasar, menjual sebuah divisi)
2) Reduction/Pengurangan yaitu mengurangi dampak, keterjadian atau keduanya (contoh: mengimplementasikan control)
3) Sharing/Membagi dengan mentransfer atau membagi porsi risiko, (contoh: asuransi, hedging, outsource activity)
4) Acceptance/Penerimaan organisasi memilih menerima risiko dengan level tertentu daripada menggunakan sumber daya untuk merespon dengan cara lainnya.
IIA Standard 2010 bilang:
“Planning explicity requires CAE to ‘establish a risk-based plan to determine the priorities of the internal audit activity, consistent with the organization’s goals’”
Atau
“Perencanaan secara eksplisit membutuhkan CAE untuk 'menetapkan rencana berbasis risiko untuk menentukan prioritas kegiatan audit internal, yang konsisten dengan tujuan organisasi’”
B. Menganalisis Proses untuk menentukan adanya hubungan antara proses dan risiko
C. Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan mana yang kunci atau bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko. Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk memanaje risiko.
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko adalah dengan membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses (risk factor approach). Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess masing2 proses. Biasanya ada 2 jenis factor, external risk factor dan internal risk factor.
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin pencapaian tujuan, kinerja orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat perubahan dalam proses dan lingkungan di mana bisnis beroperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model diimplementasikan:
1. Menentukan skala untuk tiap factor yang di assess
2. Menentukan pembobotan untuk tiap factor
3. Menentukan bagaimana tiap factor dikombinasikan
Proses Bisnis dan Risiko dalam Assurance Engagement
Assurance engagement ialah pemeriksaan obyektif pada bukti-bukti dengan tujuan memberikan penilaian independen terhadap tata kelola, manajemen risiko dan proses kontrol untuk organisasi.
Business Process Outsorcing
Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis organisasi ke penyedia luar guna mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus meningkatkan kualitas pelayanan.
Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT. Sekarang berkembang menjadi HRD, engineering, CS, keuangan dan akuntansi.
Karena outsorce ini, beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan. Beberapa hal yang harus diperhatikan dalam IC pada bisnis proses outsorcing:
a. Mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di outsorce
b. Memastikan ada cara memantau efektivitas proses outsorce
c. Memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses outsorce beroperasi secara efektif, baik melalui audit internal kontrol atau tinjauan eksternal kontrol
d. Mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku
PELUANG UNTUK MEMBERIKAN WAWASAN
Kemampuan dari auditor internal dalam menganalisis proses bisnis dan risiko terkait penyediaan fungsi audit internal member kesempatan untuk menambah nilai yang signifikan bagi organisasi melalui wawasan mereka terkait pekerjaan yang dilakukan yang dapat diberikan kepada manajemen di tingkat operasional dan eksekutif. Kesempatan untuk menerapkan keterampilan ini mungkin datang sebagai akibat dari pekerjaan yang dilakukan untuk memberikan keyakinan pada manajemen risiko dan pengendalian internal dalam rangka keterlibatan jaminan tradisional seperti inisiatif rekayasa ulang proses bisnis, ulasan dalam merger dan akuisisi, atau review sebelum impelementasi sistem.
0 notes
Text
CHAPTER 4 - RISK MANAGEMENT
MANAJEMEN RISIKO
DEFINISI RISIKO COSO
kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan ISO : pengaruh ketidakpastian pada tujuan Risiko bisnis Risiko yang secara khusus terkait dengan organisasi didalam melakukan bisnis, berupa ketidakpastian mengenai adanya ancaman terhadap pencapaian tujuan bisnis.
COSO ERM FRAMEWORK
Setelah kita tahu bahwa banyak sekali risiko yang dihadapi organisasi ketika mereka mencoba menjalankan strategi dan mencapai tujuan mereka, maka terdapat kebutuhan yang sangat besar terhadap suatu hal yang dapat secara efektif mengelola risiko di dalam organisasi. Dan kebutuhan ini terjawab dengan adanya Enterprise Risk Management (ERM) yang pertama kali diperkenalkan COSO pada tahun 2004.
COSO mengidentifikasi adanya kebutuhan akan kerangka kerja yang kuat untuk membantu perusahaan secara efektif mengidentifikasi, menilai, dan mengelola risiko. Kerangka kerja yang dihasilkan merupakan perluasan dari kerangka kerja sebelumnya “Internal Control – Integrated Framework”, menggabungkan semua aspek kunci dalam kerangka kerja tersebut ke dalam kerangka kerja ERM yang lebih luas. Pengertian ERM secara singkat “proses yang dilakukan oleh manajemen untuk memahami dan mengatasi ketidakpastian yang dapat mempengaruhi kemampuan organisasi untuk mencapai tujuannya”
Definisi ERM menurut COSO “suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen dan pegawai lainnya, diterapkan dalam penyusunan strategi dan di segenap perusahaan, dirancang untuk mengidentifikasi peristiwa-peristiwa potensial yang dapat mempengaruhi entitas, dan untuk mengelola risiko sampai dalam batas hasrat risiko entitas, untuk menyajikan keyakinan memadai sehubungan dengan pencapaian tujuan entitas“
Definisi ini mencerminkan konsep-konsep fundamental tertentu. ERM adalah:
sebuah proses yang berlangsung terus menerus.
dilakukan oleh setiap orang di dalam organisasi pada tingkatan/jenjang organisasi.
diterapkan dalam penyusunan strategi.
diterapkan di segenap perusahaan, pada setiap tingkat dan satuan.
Berfokus pada pengambilan pandangan portofolio tingkat entitas mengenai risiko.
Dirancang untuk mengidentifikasi peristiwa-peristiwa yang secara potensial mempengaruhi entitas.
Sarana bagi manajemen dalam mengelola risiko dalam batas hasrat risiko entitas.
Menyajikan keyakinan memadai kepada manajemen dan dewan entitas
Dijalankan untuk mencapai tujuan-tujuan baik dalam satu atau dua kategori terpisah maupun secara bersama-sama
Kerangka kerja ERM digambarkan dalam kubus tiga dimensi yang mencerminkan hubungan antara jenis tujuan, komponen ERM, dan struktur bisnis perusahaan.
Jenis Tujuan
Di dalam konteks penetapan visi atau misi, manajemen menetapkan tujuan stratejik, memilih strategi dan menetapkan tujuan-tujuan lain secara menurun ke segenap perusahaan dan diselaraskan dengan serta dihubungkan kepada strategi. Kerangka ini memandang tujuan-tujuan entitas dalam konteks empat kategori:
Stratejik – berhubungan dengan sasaran tingkat tinggi, diselaraskan dengan dan mendukung misi entitas.
Operasional – berhubungan dengan penggunaan sumberdaya entitas secara efektif dan efisien.
Pelaporan – berhubungan dengan keandalan pelaporan entitas.
Ketaatan berhubungan dengan ketaatan entitas kepada hukum dan peraturan yang berlaku
Komponen ERM
Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Komponen- komponen ini diperoleh dari cara manajemen menjalankan suatu bisnis, dan dipadukan dengan proses manajemen. Komponen-komponen tersebut adalah:
1. Internal Environment (Lingkungan Internal)
“Manajemen menentukan suatu filosofi sehubungan dengan risiko dan menetapkan suatu hasrat risiko. Lingkungan internal menentukan fondasi tentang bagaimana risiko dan pengendalian dipandang oleh orang-orang dalam suatu entitas. Inti dari bisnis apapun adalan orang-orang – atribut individual mereka, termasuk integritas, nilai etika dan kompetensi – dan lingkungan di mana mereka beroperasi. Mereka adalah mesin yang mendorong entitas dan fondasi dari setiap komponen lainnya“
Lingkungan intern entitas merupakan fondasi bagi seluruh komponen lain dari manajemen risiko perusahaan, yang menyajikan disiplin dan struktur. Lingkungan intern mempengaruhi bagaimana strategi dan tujuan-tujuan ditetapkan, aktivitas bisnis distrukturkan, dan risiko-risiko diidentifikasi, ditaksir dan diperlakukan. Lingkungan intern mempengaruhi rancangan dan pelaksanaan aktivitas pengendalian intern, sistem informasi dan komunikasi, dan aktivitas pemantauan.
Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Yang terdiri dari banyak unsur antara lain:
Risk management philosopy.
Risk appetite.
Board of directors.
Integrity and ethical values
Commitment to competence
Organizational stucture
Assignment of authority and responsibility
Human resource standards
2. Objective Setting (Penentuan Tujuan)
Tujuan ditetapkan pada tingkat strategis, meletakkan dasar untuk operasi, pelaporan, dan tujuan kepatuhan. Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal, dan sebuah prasyarat yang efektif untuk untuk identifikasi peristiwa, penilaian risiko, dan penanganan risiko adalah pemantapan tujuan.
3. Event Identification (Identifikasi Peristiwa)
Manajemen harus mengidentifikisasi peristiwa potensial yang akan berdampak pada perusahaan, baik dalam arti positif maupun negatif. Peristiwa yang berdampak buruk dan menghambat tujuan organisasi di sebut sebagai risiko dimana manajemen harus melakukan penilaian dan penanganan. Sedangkan peristiwa yang berdampak positif pada organisasi disebut sebagai peluang dimana manajemen harus memanfaatkannya didalam proses perumusan strategi dan penentuan tujuan
Ketika mengidentifikasi risiko, manajemen harus mempertimbangkan berbagai faktor internal maupun eksternal yang dapat menjadi risiko ataupun peluang pada perusahaan.
COSO merumuskan beberapa eksternal faktor antara lain:
Economic events, seperti pergeseran harga, ketersediaan modal, dan persaingan usaha yang ketat.
Natural environment events, seperti banjir, kebakaran, gempa bumi maupun peristiwa alam lainnya.
Political events, seperti pemilihan umum terhadap pemimpin negara dengan agenda politik yang baru maupun pemberlakukan hukum dan regulasi yang baru.
Social events, seperti perubahan demografi, adat istiadat, struktur keluarga maupun prioritas hidup/pekerjaan.
Technological events, seperti penggunaan sarana baru didalam perdagangan, penyimpanan dan pemrosesan
COSO juga merumuskan beberapa internal faktor antara lain:
Infrastructure factors, seperti meningkatkan alokasi modal untuk pemeliharaan preventif atau dukungan call center.
Personnel factors, seperti kecelakaan kerja, kegiatan penipuan, atau kontrak kerja yang kadaluwarsa,
Process factors, seperti perubahan proses/cara kerja, kesalahan didalam proses pekerjaan, atau keputusan menggunakan outsorcing
Technology factors, seperti meningkatkan sumber daya untuk menangani volatilitas volume, pelanggaran keamanan, atau penghentian sistem.
4. Risk assessment (Penilaian Risiko)
Penilaian risiko mengharuskan manajemen untuk mempertimbangkan sejauh mana peristiwa potensial yang dapat menghambat tujuan perusahaan. Manajemen harus menilai risiko dari dua perspektif yaitu kemungkinan dan dampaknya. Dengan dua kombinasi itu manajemen menilai risiko mana yang berdampak sangat besar pada tujuan perusahaan maupun yang berdampak kecil.
5. Risk Response (Penanganan Risiko)
Setelah mengetahui risiko mana saja yang berdampak pada perusahaan, manajemen harus menentukan penanganan risiko yang cocok terhadap risiko-risiko tersebut. Ada empat macan penanganan risiko menurut COSO
Avoidance, yaitu menghindari risiko
Reduction, yaitu mengurangi risiko baik dari kemungkinan terjadinhya maupun dampaknya
Sharing, yaitu membagi risiko atau melimpahkan risiko kepada pihak lain (asuransi)
Acceptance, yaitu menerima risiko
6. Control Activities (Kegiatan Pengendalian)
Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu untuk meyakinkan manajemen bahwa risiko telah ditangani dengan baik. Beberapa contoh kegiatan pengendalian manajemen antara lain:
Top-level reviews
Direct functional or activity management
Information processing controls
Physical controls
Performance indicators
Segregation
7. Information and Communication
Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait manajemen risiko yang berasal dari internal maupun eksternal menjadi informasi yang berguna bagi manajemen didalam mengambil keputusan. Kemudian hal itu dikomunikasikan kepada setiap orang/personnel agar mereka melakukan tanggungjawabnya sesuai fungsi masing-masing. COSO mendefinisikan sebuah informasi harus:
Tepat dan rinci pada setiap tingkatan yang berbeda
Tepat waktu dan tersedia pada saat dibutuhkan
Mencerminkan kondisi yang sekarang baik (update) terutama pada informasi keuangan dan operasi
Akurat dan terpercaya
Dapat diakses oleh siapapun yang membutuhkan
8. Monitoring
ERM harus selalu dimonitoring, untuk menjamin keberadaan dan fungsi setiap komponen berjalan dengan baik setiap waktu. Auditor internal biasanya banyak berperan didalam hal ini karena mereka melakukan penilaian apakah kegiatan manajemen risiko perusahaan telah dilaksanakan dengan efektif.
Peran dan Tanggung Jawab dalam ERM
Dewan Komisaris, pihak manajemen, pegawai bidang pengelolaan risiko, pegawai bidang keuangan, auditor internal, dan tentu saja, seluruh pihak yang ada di dalam organisasi memiliki peran untuk mewujudkan ERM yang efektif. Peran dan tanggung jawab dari masing-masing pihak tersebut sebagaimana telah dijelaskan pada Bab.3 tentang “Tata Kelola”.
● Dewan Komisaris. Pihak dewan komisaris mengawasi dan memberikan arahan kepada pihak manajemen organisasi. Dewan komisaris berperan dalam menentukan strategi organisasi, merumuskan tujuan stratejik, mengalokasikan sumber-sumber daya organisasi dalam lingkup yang luas, dan mencontohkan/mewujudkan perilaku etis di lingkungan organisasi. Terkait dengan pengelolaan ERM, COSO menyebutkan bahwa dewan komisaris melakukan pemantauan melalui:
Pemahaman terkait sampai sejauh mana pihak manajemen telah mengelola ERM dengan efektif.
Mengetahui dan menyepakati selera risiko organisasi.
Meninjau portofolio risiko organisasi dan menyesuaikannya dengan selera risiko organisasi.
Menerima info terkait risiko organisasi yang paling signifikan dan apakah pihak manajemen telah menangani risiko tersebut secara memadai.
● Manajemen. Pihak manajemen bertanggung jawab atas segala aktivitas yang ada di organisasi, termasuk kegiatan ERM. Tanggung jawab pihak manajemen sangat beragam, tergantung tingkatannya dan karakteristiknya dalam organisasi.
CEO memiliki tanggung jawab puncak atas efektifitas dan kesuksesan program ERM. Salah satu aspek penting terkait dengan tanggung jawab CEO adalah memastikan keberadaan lingkungan internal yang positif. CEO memberikan contoh, mempengaruhi susunan dan perilaku dewan pimpinan, memimpin dan mengarahkan manajer senior, dan memonitor kegiatan pengelolaan organisasi dalam kaitannya dengan penentuan selera risiko dan kriterianya, seperti kapasitas risiko dan tingkat toleransi risiko. Keadaan terus mengalami perubahan, pemunculan risiko yang berbeda, perlu penerapan strategi, tindakan yang mengantisipasi kemungkinan yang tidak berkesusaian dengan kriteria risiko, maka CEO akan mengambil suatu tindakan agar organisasi tidak “keluar-jalur”.
Manajer senior yang memimpin berbagai jenis unit di organisasi, memiliki tanggung jawab pengelolaan risiko terkait dengan tujuan dari masing-masing unit yang dipimpinnya. Pihak manajer senior mengejawantahkan strategi organisasi yang bersifat umum menjadi berbagai kegiatan operasi, identifikasi kejadian risiko yang mungkin terjadi, mengukur risiko-risiko yang terkait, dan menerapkan penanganan yang memadai atas risiko-risiko tersebut. Pihak manajer membimbing kegiatan ERM organisasi sesuai dengan lingkup bidang tanggung jawabnya, memastikan bahwa penerapan komponen-komponen ERM tersebut sesuai dengan toleransi risiko yang telah ditetapkan. Mereka bertanggung jawab atas prosedur khusus ERM yang diperuntukan bagi para manajer fungsional. Dapat disimpulkan bahwa para manajer lebih berperan aktif dalam menggunakan dan melaksanakan prosedur khusus penanganan risiko yang terkait dengan tujuan suatu unit tertentu di organisasi, seperti teknik pengidentifikasian dan pengukuran risiko dan penentuan penanganan khusus risiko ( yang adalah strategi manajemen risiko, sebagai contoh kebijakan pengembangan dan prosedur pembelian barang atau melayani pelanggan baru. Staf fungsional, seperti bidang akuntansi, SDM, kepatuhan, atau hukum juga memiliki peran yang penting dalam mewujudkan perancangan dan pelaksanaan praktik-praktik ERM yang efektif. Fungsi-fungsi ini dimungkinkan untuk merancang dan menerapkan suatu program yang dapat mendukung pengelolaan risiko lintas unit dalam organisasi.
● Petugas pengelola risiko. Beberapa organisasi telah memiliki dan menunjuk seseorang untuk menempati posisi manajer senior yang bertugas/berperan sebagai pusat koordinasi dalam pengelolaan ERM. Seorang petugas pengelola risiko--biasanya disebut Chief Risk Officer (CRO)-- umumnya beroperasi dalam lingkup staff fungsional, bekerja bersama dengan pihak manajer lain dalam mewujudkan ERM pada unitnya masing-masing, Petugas pengelola risiko memiliki sumber daya untuk mempengaruhi pengelolaan ERM lintas anak perusahaan, proses bisnis, departemen, fungsi dan kegiatan. Mereka bertanggung jawab atas pemantauan kemajuan pengelolaan risiko dan mendampingi manajer lain melaporkan informasi yang relevan dengan risiko dalam organisasi.
Pedoman COSO menyebutkan tanggung jawab CRO secara khusus, yaitu:
Menyusun kebijakan ERM, meliputi definisi peran dan tanggung jawab, dan berpartisipasi dalam menentukan tujuan penerapan.
Membuat kerangka kewenangan dan pertanggungjawaban ERM di unit-unit bisnis.
Meningkatkan kompetensi ERM di seluruh entitas, meliputi memfasilitasi pengembangan ahli teknik ERM dan membantu pihak manajer menangani risiko sesuai dengan toleransi risiko entitas dan mengembangkan pengendalian yang memadai.
Memandu pengintegrasian ERM dengan perencanaan bisnis lainnya dan aktivitas manajemen.
Menyusun suatu istilah yang umum dalam pengelolaan risiko meliputi pengukuran atas keterjadian dan dampak risiko, dan kategori risiko yang umum.
Memfasilitasi pengembangan protokol pelaporan dari pihak manajemen, meliputi batasan kualitatif dan kuantitatif, dan pemantauan proses pelaporan.
Pelaporan kepada pihak pimpinan terhadap kemajuan dan pelaksanaan dan rekomendasi tindakan yang diperlukan.
● Financial Executive. Pimpinan bagian akuntansi dan keuangan beserta para staffnya bertanggung jawab hampir atas seluruh kegiatan yang ada di organisasi, karena pada dasarnya hampir seluruh kegiatan tersebut melibatkan peran serta bagian akuntansi dan keuangan. Mereka berperan penting dalam mencegah dan mendeteksi pelaporan fraud, dan mempengaruhi kerangka, penerapan, dan pengawasan pengendalian internal organisasi yang terkait dengan pelaporan keuangan dan sistem pendukung lainnya.
● Auditor Internal. Auditor Internal berperan penting dalam mengevaluasi efektifitas—termasuk merekomendasikan perbaikan—ERM.
● Pihak-pihak lain dalam organisasi. Kenyataannya ERM adalah tanggung jawab seluruh pihak yang ada dalam organisasi. Mungkin beberapa dari mereka bukanlah pemilik risikonya (risk owner), namun bagaimanapun juga peran mereka—mulai dari mengidentifikasi risiko hingga penerapan strategi penanganan risiko—turut berpengaruh dalam mewujudkan ERM yang efektif.
● Auditor Eksternal. Pihak auditor eksternal dapat memberikan informasi kepada Dewan Direksi maupun manajemen suatu pandangan pengelolaan risiko organisasi secara objektif dan independen, yang akan berguna menghasilkan laporan keuangan untuk pihak eksternal dan tujuan-tujuan lainnya.
● Para pembuat aturan. Pihak pembuat aturan dapat mempengaruhi penerapan ERM dalam organisasi melalui berbagai persyaratan untuk melaksanakan ERM atau sistem pengendalian internal atau melalui pemeriksaan terhadap entitas khusus.
● Pihak-pihak di luar perusahaan. Pelanggan, vendor, mitra bisnis, dan siapapun itu yang terlibat secara bisnis dengan organisasi berperan dalam menyediakan informasi risiko, sebagai sumber/bahan ERM. Pihak kreditor dapat memberikan suatu pengawasan atau arahan yang berpengaruh terhadap pencapaian tujuan organisasi. Analis keuangan, lembaga pemberi peringkat, media massa, dan pihak-pihak eksternal lainnya dapat mempengaruhi ERM. Hasil investigasi mereka, memberikan gambaran secara mendalam bagaimana persepsi orang luar terhadap kinerja organisasi, risiko industri dan ekonomi, proses operasi yang inovatif dan strategi keuangan, serta gambaran tren industri saat itu. Penyedia jasa menjadi semakin lazim bagi organisasi dalam menjalankan operasi hariannya terutama untuk menjalankan fungsi- fungsi yang bukan proses bisnis utama organisasi. Dengan adanya kerja sama dengan pihak luar tersebut maka kemungkinan akan ada pengembangan pengelolaan risiko terutama yang terkait dengan kerja sama tersebut.
COSO mengidentifikasi prinsip-prinsip dalam pengelolaan ERM yang dapat menjadi faktor pendorong:
Menyesuaikan selera risiko dan strategi
Meningkatkan pengambilan keputusan untuk merespon risiko
Mengurangi kemungkinan-kemungkinan buruk dalam proses operasi
Mengidentifikasi dan mengelola risiko antar-usaha
Menyiapkan respon terpadu atas berbagai risiko
Menangkap peluang
Meningkatkan penempatan modal
0 notes
Text
CHAPTER 3 - GOVERNANCE
Mungkin kalian sudah tidak asing lagi mendengar apa itu Governance..
Ya, governance bisa diartikan “Tata kelola”. Jadi Governance atau Tata Kelola adalah kombinasi dari proses dan struktur yang diterapkan oleh dewan untuk memberikan informasi, mengarahkan, mengelola dan memonitor aktivitas organisasi untuk mencapai tujuannya.
Dalam kebanyakan organisasi, Audit Internal dapat menjadi kunci dalam pencapaian tujuan. Meski struktur organisasi sesungguhnya berbeda dengan organisasi yang satu dengan lainnya, setiap organisasi harus menetapkan struktur governance secara keseluruhan untuk memastikan kebutuhan stakholder kunci bertemu. Struktur governance memberikan arahan dalam peneran aktivitas sehari-hari dari mengelola risiko yang melekat pada perusahaan
Gambar diatas menunjukkan bahwa governance meliputi semua aktivitas pada organisasi. Dewan dan manajemen dapat menetapkan struktur governance untuk memastikan kebutuhan stakeholder kunci bertemu dan organisasi telah beroperasi pada batasan dan nilai yang ditetapkan oleh dewan dan manajer senior.
Lapisan selanjutnya adalah manajemen risiko. Manajemen risiko dimaksudkan untuk:
1. Mengidentifikasi dan mengelola risiko yang mungkin secara buruk dapat mempengaruhi tujuan perusahaan.
2. Menggali peluang yang dapat membantu pencapaian tujuan.
Pengendalian internal terletak pada bagian tengah/pusat karenansistem pengendalian internal merupakan subset, tapi merupakan bagian integral, pada batas aktivitas manajemen risiko. Anak panah menunjukkan aliran arus informasi yang melalui struktur governance. Anak panah tersebut menggambarkan aliran dari arahan dan akuntabilitas dari lapisan satu ke lapisan berikutnya. Menurut OECD, Corporate Governance melibatkan hubungan antara manajer perusahaan, dewan, shareholder dan stakeholder lainnya. Corporate governance juga memberikan struktur yang melalui di mana tujuan perusahaan ditetapkan, sarana pencapaian tujuan, dan monitoring kinerja yang ditetapkan.
Dewan bertanggung jawab atas pemberian arahan strategi dan pedoman yang berhubungan dengan pembentukan tujuan kunci bisnis yang konsisten dengan model bisnis organisasi dan diselaraskan dengan prioritas stakeholder. Direktur membawa pengalaman bisnis yang bervariasi dan beragam kepada dewan dan oleh karena itu mereka berada pada posisi untuk memberikan informasi dan arahan yang akan membantu memastikan kesuksesan organisasi.
Poin penting yang dapat diambil dari gambaran terhadap governance adalah :
Governance dimulai dari dewan of director dan para komite.
Dewan harus memahami dan fokus terhadap kebutuhan dari stakeholder kunci.
Sehari-hari governance dilaksanakan oleh manajemen dari organisasi.
Aktivitas internal dan eksternal memberikan manajemen dan dewan dengan jaminan mengenai effektivitas dari aktivitas governance.
Stakeholder dapat memiliki satu atau lebih karakteristik dibawah ini:
Beberapa stakeholder secara langsung dilibatkan dalam operasi bisnis perusahaan.
Stakeholder lain tidak dilibatkan secara langsung, namun berkepentingan pada bisnis organisasi, oleh karena itu mereka dipengaruhi oleh kesuksesan ataupun outcome lain dari bisnis.
Beberapa stakeholder tidak terlibat maupun berkepentingan pada keberhasilan bisnis organisasi namun stakeholder ini mempengaruhi aspek dari bisnis organisasi dan sebagai hasilnya, keberhasilan organisasi
Secara umum, stakeholder adalah sebagai berikut :
Employee yang bekerja untuk organisasi dan krena itu terlibat langsung dengan tingkah laku dari bisnis organisasi.
Customer yang merupakan darah kehidupan dari bisnis organisasi dan otomatis terlibat secara langsung pada keberhasilannya.
Vendors memberikan barang dan jasa yang dibutuhkan oleh sebuah organisasi untuk menjalankan bisnisnya dan oleh karena itu terlibat langsung dalam bisnis.
Shareholders/investors tidak terlibat secara langsung dalam bisnis namum mempunyai kepentingan yang kuat pada keberhasilan organisasi.
Regulatory agencies mewakili lembaga pemerintah yang mungkin mempunyai kepentingan maupun kemampuan mempengaruhi keberhasilan bisnis.
Financial institution mempengaruhi struktur modal sebuah organisasi.
Karena keberagaman stakeholder mempunyai ekspektasi yang berbeda, hasil dari setiap jenis stakeholder yang dianggap tidak dapat diterima akan beragam. Dewan butuh mempertimbangkan jenis outcome berikut :
Financial, contoh : earning per share, cash liquidity, credit rating, return on investment, capital availability, tax exposure, material weaknesses, and disclosure transparency.
Compliance, contoh : proses pengadilan, pelanggaran kode etik, pelanggaran keamanan dan lingkungan, perintah penahanan, investigasi pemerintah, peraturan denda dan hukuman, dakwaan, dan penangkapan.
Operation, contoh : pencapaian tujuan, penggunaan asset secara efisien, pengamanan aset, perlindungan SDM, dan perlindungan masyarakat.
Strategic, contoh : reputasi, cocporate sustainability, moral pegawai, dan kepuasan pelanggan.
Dewan secara terbaik dapat melaksanakan tanggung jawab pengelolaannya dengan:
Membangun komite governance
Komite ini bisa menjadi komite baru atau perluasan tanggung jawab komite
Harus terdiri dari direktur independen
Komite harus memiliki tanggung jawab yang telah diuraikan di atas
2. Mengartikulasikan persyaratan untuk pelaporan dewan
Dewan harus mendelegasikan kepada manajemen kewenangan untuk mengoperasikan bisnis dalam batas toleransi relatif dewan terhadap hasil yang tidak dapat diterima
Sebagai bagian dari peran pengawasan dewan juga harus menetapkan batas pelaporan untuk manajemen yang mana hasil harus disetujui oleh dewan, melaporkan langsung ke papan, atau diringkas untuk forum diskusi sebagai bagian dari pertemuan triwulanan
· 3. Mengevaluasi kembali ekspektasi governance secara berkala
Ekspektasi stakeholder dapat berkembang dan berubah. Oleh karena itu, dewan harus mengidentifikasi perubahan-perubahan tersebut dan mengevaluasi kembali arah governance yang
Sebagai akibat dari perubahan-perubahan tersebut, tingkat toleransi dewan juga harus dievaluasi
Untuk melaksanakan tanggung jawab governance, manajemen senior bertanggung jawab untuk:
Memastikan bahwa seluruh lingkup arah dan wewenang dipahami dengan tepat
Mengidentifikasi proses dan kegiatan dalam organisasi yang merupakan bagian integral dalam melaksanakan arah pemerintahan yang disediakan oleh dewan. Oleh karena itu, manajemen senior harus menentukan:
Di mana organisasi mengelola risiko tertentu yang dapat menimbulkan dampak yang tidak dapat diterima
Siapa yang akan bertanggung jawab untuk mengelola risiko tersebut
Bagaimana risiko tersebut akan dikelola
Mengevaluasi apa pertimbangan bisnis lain atau faktor-faktor yang mungkin membuat pembenaran untuk mendelegasikan tingkat toleransi lebih rendah kepada pemilik risiko dari yang didelegasikan oleh dewan
Memastikan bahwa informasi yang memadai telah dikumpulkan dari pemilik risiko untuk mendukung kebutuhan pelaporan kepada dewan
Manajemen senior dapat menjadi yang terbaik dalam melaksanakan tanggung jawab governance dengan:
1. Membangun sebuah komite risiko
Komite ini biasanya dipimpin oleh seorang eksekutif senior: Chef Risk Officer (CRO), jika ada, atau eksekutif lainnya yang memiliki tanggung jawab pengawasan risiko yang luas
Ia bertanggung jawab untuk menentukan bahwa semua risiko kunci diidentifikasi, terkait dengan aktivitas manajemen risiko, dan ditugaskan kepada pemilik risiko
Mengevaluasi risk appetite organisasi yang sedang berlangsung dan memastikan bahwa tingkat toleransi didelegasikan kepada pemilik risiko konsisten dengan risk appetite
2. Mengartikulasikan persyaratan pelaporan
Pemilik risiko harus memahami sifat, format, dan waktu komunikasi mengenai efektivitas kegiatan manajemen risiko
Pelaporan ini dapat terjadi melalui pertemuan komite risiko yang dijadwalkan secara rutin atau sebagai bagian dari proses pengumpulan informasi untuk pelaporan ke dewan
3. Mengevaluasi kembali harapan governance secara berkala (biasanya pertahun)
Sebagai organisasi berkembang dan perubahan, manajemen senior harus menilai kembali arah governance dan tingkat toleransi yang sesuai yang telah didelegasikan kepada pemilik risiko
Sebagai hasil dari perubahan-perubahan tersebut, tingkat toleransi manajemen senior juga harus dievaluasi
Hal ini juga memberikan kesempatan manajemen senior untuk mengevaluasi keefektifan program manajemen risiko organisasi
Tanggung jawab pemilik risiko meliputi:
Mengevaluasi apakah kegiatan manajemen risiko dirancang secara memadai untuk mengelola risiko yang terkait dalam tingkat toleransi yang ditentukan oleh manajemen senior
Menilai kemampuan yang berkelanjutan dari organisasi untuk melaksanakan kegiatan-kegiatan manajemen risiko
Menentukan apakah kegiatan manajemen risiko saat ini yang beroperasi sesuai dengan yang dirancang, yaitu, apakah orang-orang dan sistem mengeksekusi proses konsisten dengan tujuan yang diinginkan
Melakukan kegiatan sehari-hari untuk mengidentifikasi pemantauan, pada waktu yang tepat, apakah anomali atau divergensi dari hasil yang diharapkan telah terjadi
Memastikan bahwa informasi yang dibutuhkan oleh manajemen senior dan dewan tersebut akurat dan tersedia, dan diberikan kepada manajemen senior secara tepat waktu
Risk owner dapat menjalankan tanggung jawab pemerintahan mereka secara terbaik dengan:
Menyajikan rekomendasi governance ke komite risiko
Memperhitungkan kembali kegiatan manajemen risiko secara berkala (minimal pertahun, dan lebih sering ketika dibenarkan)
0 notes
Text
CHAPTER 2 - 3rd Lines of Model
Malam ini aku akan membahas tentang 3rd Lines of model atau Model Tiga Lini
Mungkin sebagian orang masih bingung apa itu Model Tiga Lini. Jadi aku akan membahasnya secara singkat
Jadi Three Lines Model atau Model Tiga Lini adalah pembaruan pada Three Lines of Defense yang sudah kita kenal sebelumnya, mengklarifikasi dan memperkuat prinsip-prinsip yang mendasari, memperluas ruang lingkup, dan menjelaskan bagaimana peran-peran kunci dalam organisasi bekerja sama untuk memfasilitasi tata kelola yang kuat dan manajemen risiko.
Organisasi adalah bentuk usaha manusia, yang beroperasi dalam dunia yang semakin tidak menentu, kompleks, saling terkait, dan bergejolak. organisasi membutuhkan struktur dan proses-proses yang membantu pencapaian tujuan, seraya mendukung terciptanya manajemen risiko dan tata kelola yang kuat
Peran-Peran Utama Dalam Model Tiga Lini
Berbagai organisasi memiliki perbedaan yang besar dalam pembagian tanggung jawab. Namun, garis besar peran-peran berikut ini dapat digunakan untuk menekankan Prinsip-prinsip Model Tiga Lini
Organ Pengurus
Memiliki akuntabilitas kepada pemangku kepentingan untuk melakukan pengawasan terhadap organisasi.
Terlibat dengan pemangku kepentingan untuk memantau kepentingan mereka dan secara transparan mengkomunikasikan pencapaian tujuan-tujuan organisasi.
Menumbuhkan budaya yang mengedepankan perilaku etis dan akuntabilitas.
Membangun struktur dan proses-proses tata kelola, termasuk komite penunjang yang dipersyaratkan.
Mendelegasikan tanggung jawab dan menyediakan sumberday kepada manajemen untuk dapat mencapai tujuan organisasi.
Menentukan selera risiko organisasi dan menjalankan pengawasan manajemen risiko (termasuk pengendalian internal)
Menjaga pengawasan atas kepatuhan terhadap hukum, peraturan dan nilai-nilai etika.
Membangun dan mengawasi fungsi audit internal yang independen, objektif dan kompeten.
Manajemen
Peran Lini Pertama
Memimpin dan mengarahkan tindakan-tindakan (termasuk pengelolaan risiko) dan penerapan sumberdaya untuk mencapai tujuan-tujuan organisasi.
Menjaga dialog yang berkelanjutan dengan organ pengurus dan melaporkan rencana, realisasi dan hasil yang diharapkan dihubungkan dengan pencapaian tujuan organisasi dan risikonya.
Mengembangkan dan memelihara struktur dan proses-proses yang memadai untuk pengelolaan operasional dan risiko (termasuk pengendalian internal).
Memastikan kepatuhan terhadap hukum, peraturan dan nilai-nilai etika.
Peran Lini Kedua
Memberikan keahlian penunjang, dukungan, pemantauan dan tantangan dalam proses mengelola risiko, termasuk:
Memberikan analisis dan laporan-laporan mengenai kecukupan dan efektivitas manajemen risiko (termasuk pengendalian internal).
Pengembangan, penerapan, dan peningkatan berkelanjutan dari praktik-praktik manajemen risiko (termasuk pengendalian internal) pada level proses, sistem dan entitas.
Pencapaian tujuan manajemen risiko, seperti: kepatuhan terhadap hukum, peraturan, dan perilaku yang etis; pengendalian internal; keamanan teknologi dan informasi; keberlanjutan; dan asurans qualitas.
Audit Internal
Menjaga akuntabilitas utama kepada organ pengurus dan independensinya dari pelaksanaan pekerjaan yang menjadi tanggung jawab manajemen.
Mengkomunikasikan asurans dan advis yang independen dan objektif kepada manajemen dan organ pengurus mengenai kecukupan dan efektifitas tata kelola dan manajemen risiko (termasuk pengendalian internal) untuk mendukung pencapaian tujuan-tujuan organisasi, serta mempromosikan dan memfasilitasi peningkatan yang berkelanjutan.
Melaporkan kerusakan independensi dan objektivitas kepada organ pengurus dan menerapkan pengamanan yang dipersyaratkan.
Penyedia asurans eksternal
Memberikan asurans tambahan untuk:
Memenuhi ekspektasi ketentuan legislatif dan peraturan dalam rangka melindungi kepentingan pemangku kepentingan.
Memenuhi permintaan manajemen dan organ pengurus untuk melengkapi sumber asurans internal.
Hubungan Di Antara Peran-Peran Utama
Antara organ pengurus dan manajemen (Peran Lini Pertama dan Kedua)
Organ pengurus umumnya menetapkan arah organisasi dengan mendefinisikan visi, misi, nilai-nilai, dan selera organisasi terhadap risiko. Organ pengurus kemudian mendelegasikan tanggung jawab untuk pencapaian tujuan-tujuan organisasi kepada manajemen, berikut dengan sumberdaya yang diperlukan. Organ pengurus menerima laporan dari manajemen tentang hasil-hasil yang direncanakan, realisasi (aktual), dan yang diharapkan, serta laporan tentang risiko dan pengelolaan risiko.
Antara manajemen (Peran Lini Pertama maupun Lini Kedua) dan Audit Internal
Independensi audit internal atas manajemen memastikan audit internal bebas dari hambatan dan bias dalam merencanakan dan melaksanakan pekerjaannya, memiliki akses tanpa batas terhadap orang, sumberdaya, dan informasi yang diperlukannya. Audit internal bertanggung jawab kepada organ pengurus. Namun, independensi bukan berarti menyiratkan isolasi. Harus terdapat interaksi yang regular antara audit internal dan manajemen untuk memastikan pekerjaan audit internal relevan dan selaras dengan kebutuhan strategis dan operasional organisasi. Melalui semua kegiatannya, audit internal membangun pengetahuan dan pemahaman tentang organisasi, yang menyumbang terhadap asurans dan advis yang diberikan sebagai penasihat tepercaya (trusted advisor) dan mitra strategis (strategic partner).
Antara Audit Internal dan organ pengurus
Audit internal bertanggung jawab kepada, dan terkadang dikatakan sebagai “mata dan telinga” dari, organ pengurus. Organ pengurus berkewajiban mengawasi audit internal, mencakup: memastikan dibentuknya fungsi audit internal yang independen, termasuk pengangkatan dan pemberhentian Chief Audit Executive (CAE); menyediakan diri sebagai jalur pelaporan utama dari CAE; menyetujui rencana audit dan menyediakan sumberdaya; menerima dan memperhatikan laporan-laporan dari CAE; dan memberikan akses tanpa batas dari CAE kepada organ pengurus, termasuk sesi privat tanpa kehadiran manajemen.
Di antara semua peran
Organ pengurus, manajemen, dan audit internal memiliki tanggung jawab yang berbeda, akan tetapi semua kegiatannya perlu diselaraskan dengan tujuan organisasi. Syarat untuk koherensi yang berhasil adalah koordinasi, kolaborasi, dan komunikasi yang teratur dan efektif.
HUBUNGAN DI ANTARA PERAN-PERAN UTAMA
Antara organ pengurus dan manajemen (Peran Lini Pertama dan Kedua) Organ pengurus umumnya menetapkan arah organisasi dengan mendefinisikan visi, misi, nilai-nilai, dan selera organisasi terhadap risiko. Organ pengurus kemudian mendelegasikan tanggung jawab untuk pencapaian tujuan-tujuan organisasi kepada manajemen, berikut dengan sumberdaya yang diperlukan. Organ pengurus menerima laporan dari manajemen tentang hasil-hasil yang direncanakan, realisasi (aktual), dan yang diharapkan, serta laporan tentang risiko dan pengelolaan risiko.
Antara manajemen (Peran Lini Pertama maupun Lini Kedua) dan Audit Internal
Independensi audit internal atas manajemen memastikan audit internal bebas dari hambatan dan bias dalam merencanakan dan melaksanakan pekerjaannya, memiliki akses tanpa batas terhadap orang, sumberdaya, dan informasi yang diperlukannya. Audit internal bertanggung jawab kepada organ pengurus. Namun, independensi bukan berarti menyiratkan isolasi. Harus terdapat interaksi yang regular antara audit internal dan manajemen untuk memastikan pekerjaan audit internal relevan dan selaras dengan kebutuhan strategis dan operasional organisasi. Melalui semua kegiatannya, audit internal membangun pengetahuan dan pemahaman tentang organisasi, yang menyumbang terhadap asurans dan advis yang diberikan sebagai Terminologi penting Direktur utama/Kepala eksekutif (CEO, Chief executive officer) - Individu paling senior dalam organisasi yang bertanggung jawab atas kegiatan operasional.
Antara Audit Internal dan organ pengurus Audit internal bertanggung jawab kepada, dan terkadang dikatakan sebagai "mata dan telinga" dari, organ pengurus. Organ pengurus berkewajiban mengawasi audit internal, mencakup: memastikan dibentuknya fungsi audit internal yang independen, termasuk pengangkatan dan pemberhentian Chief Audit Executive (CAE); menyediakan diri sebagai jalur pelaporan utama dari CAE; menyetujui rencana audit dan menyediakan sumberdaya; menerima dan memperhatikan laporan-laporan dari CAE; dan memberikan akses tanpa batas dari CAE kepada organ pengurus, termasuk sesi privat tanpa kehadiran manajemen. Di antara semua peran Organ pengurus, manajemen, dan audit internal memiliki tanggung jawab yang berbeda, akan tetapi semua kegiatannya perlu diselaraskan dengan tujuan organisasi. Syarat untuk koherensi yang berhasil adalah koordinasi, kolaborasi, dan komunikasi yang teratur dan efektif
MENGAPLIKASIKAN MODEL
Struktur, peran, dan tanggung jawab
Model Tiga Lini paling efektif jika disesuaikan selaras dengan tujuan dan keadaan organisasi. Bagaimana struktur sebuah organisasi disusun dan bagaimana peran-peran didistribusikan adalah hal-hal yang penting yang harus ditetapkan oleh manajemen dan organ pengurus. Organ pengurus dapat membentuk komite untuk memberikan pengawasan tambahan untuk aspek-aspek spesifik dari tanggungjawabnya, seperti audit, risiko, keuangan, perencanaan, dan kompensasi. Peran lini kedua dapat mencakup pemantauan, pemberian advis, bimbingan, pengujian, analisis, dan pelaporan tentang hal-hal yang berkaitan dengan manajemen risiko.
Pengawasan dan asurans
Organ pengurus mengandalkan laporan-laporan dari manajemen (yang terdiri atas peran lini pertama dan kedua), audit internal, dan fihak lainnya dalam rangka menjalankan pengawasan dan pencapaian tujuannya, untuk hal-hal dimana organ pengurus bertanggungjawab kepada pemangku kepentingan. Manajemen memberikan asurans yang bernilai tambah (juga disebut sebagai atestasi) atas hasil-hasil yang direncanakan, direalisir, dan diperkirakan, atas risiko, dan atas pengelolaan risiko dengan memanfaatkan pengalaman langsung dan keahliannya. Mereka yang memiliki peran lini kedua memberikan asurans tambahan terhadap hal-hal yang berkaitan dengan risiko.
1 note
·
View note
Text
The International Professional Practises Framework: Authoritative Guidence for The Internal Audit
20 September 2021
Sesuai judulnya, hari ini aku akan membahas tentang Standar internasional Praktik Profesional audit internal atau yang sering di singkat IPPF
Internal audit profession’s authoritative guidance memungkinkan para profesional auditor internal untuk memberikan layanan yang dapat memberikan nilai tambah untuk memenuhi kebutuhan yang beragam dari stakeholder
A. Sejarah dari Guidance setting untuk profesi auditor internal
Perkembangan dari Guidance setting for the internal audit profession seiring dengan perkembangan organisasi yang terus berkembang, baik dari ukuran maupun kompleksitas dan operasi dari organisasi yang semakin menyebar dilihat dari segi geografi. Senior Management tidak lagi dapat mengawasi organisasi secara langsung atau tidak lagi bisa berinteraksi secara langsung dengan orang-orang yang melapor kepadanya, yang mana pengawasan tersebut merupakan tanggungjawab dari seorang senior management. Jarak atau gap inilah yang menjadi salah satu latar belakang, yang kemudian mendorong terciptanya suatu kondisi dimana dibutuhkan seseorang di organisasi untuk membantu senior management. Bantuan tersebut melalui pemeriksaan terhadap operasi organisasi dan menyediakan laporan mengenai hasil dari pemeriksaan terebut kepada senior management. Aktivitas yang dilakukan oleh orang orang ini disebut aktivitas Internal audit.
Perkembangan dari guidence untuk profesi auditor internal dimulai setelah terbentuknya IIA. Berikut ini adalah penjelasan mengenai perkembangan tersebut:
A. The International Professional Practices Framework
IPPF merupakan satu-satunya guidance untuk profesi internal audit yang diakui secara global. Didalamnya mengandung apa yang dianggap sebagai elemen penting dalam memberikan jasa audit internal. Elemen penting tersebut terdiri dari:
1. Kualitas dari individu internal auditor;
2. Karakteristik dari fungsi yang menyediakan jasa internal audit;
3. Sifat dari akitivitas internal audit; .
4. Kriteria kinerja terkait
Oleh karena itu, IPPF memberikan petunjuk kepada profesi internal auditor dan menetapkan harapan yang diinginkan oleh para stake holder sehubungan dengan kinerja jasa internal audit. Komponen dari IPPF termasuk didalamnya:
1.Mandatory Guidance, yang terdiri dari:
a. Definiton of Internal Auditing
b. The Code of Ethics
c. The Standards
2.Strongly Recommended Guidance, yang terdiri dari:
a. Practice Advisories
b. Position Papers
c. Practise Guides
IPPF memberikan dasar bagi fungsi internal audit untuk menunaikan peran mereka dan cara yang efektif memenuhi tanggungjawab mereka.
Mandatory Guidance
1. The Definitions
IPPF mendefiniskan Internal Auditing sebagai berikut:
“Internal auditing is an independent, objective assurance and consulting activity desaigned to add value and improve an organization’s operations. It helps an organization accomplish its objective by bringing systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance process.”
The Value of Internal Auditing for Stakeholders
a. The Code of Ethics
Tujuan dari adanya kode etik adalah untuk mendorong budaya beretika di dalam profesi internal audit. Kode etik terdiri dari dua komponen, yaitu:
b. The Principle;
The Principle menyatakan empat cita cita seorang auditor internal profesional yang harus terus dijaga dalam melaksanakan perkerjaannya dan merepresentasikan core value yang
harus dipegang teguh oleh internal auditor untuk mendapatkan kepercayaan dari mereka yang bergantung pada jasa mereka.
c. The Rule of Conduct.
The Rule of Conduct mendeskripsikan 12 norma perilaku yang harus diikuti oleh internal auditor untuk dapat mempraktikkan The Principle.
Berikut ini adalah 4 principle dan 12 role of conduct untuk internal auditor:
1. Integrity
Integritas dari seorang internal auditor membentuk kepercayaan dan kepercayaan memberikan dasar bagi stake holder untuk bergantung pada judgement seorang internal auditor.
The Rules of Conduct yang diasosiasikan dengan prinsip integritas menyatakan bahwa internal auditor:
Harus melaksanakan pekerjaan mereka dengan jujur, ketelitian dan tanggungjawab
Harus menaati hukum dan membuat pengungkapan yang diinginkan oleh hukum dan profesi.
Harus tidak terlibat dalam aktivitas ilegal, atau terikat dalam aktivitas yang dapat mendiskreditkan profesi internal auditor atau organisasi;
Harus menghormati dan berkontribusi pada tujuan yang sah dan etis dari organisasi
2. Objectivity
Auditor internal tidak dipengaruhi oleh kepentingan mereka sendiri atau oleh orang lain dalam membentuk penilaian
Tidak boleh berpartisipasi dalam suatu aktivitas atau hubungan yang mungkin merusak atau diasumsikan akan merusak penilaian auditor yang tidak berbias.
Tidak boleh menerima apapun yang dapat merusak atau diasumsikan merusak professional judgement
Harus mengungkapkan semua fakta, yang sifatnya material dalam pengambilan keputusan, yang mereka ketahui. Dimana jika fakta tersebut tidak diungkapkan maka akan mengubah hasil dari review suatu aktifitas.
3. Confidentiality
Auditor internal tidak mengungkapkan informasi yang mereka terima tanpa otoritas yang tepat kecuali ada kewajiban hukum atau profesional untuk melakukannya
The Rules of Conduct yang diasosiasikan dengan prinsip Confidentiality menyatakan bahwa internal auditor:
Harus berhati-hati dalam menggunakan dan melindungi informasi yang diperoleh saat pelaksanaan tugas.
Tidak boleh menggunakan data untuk keuntungan pribadi atau kepentingan lainnya yang bisa bertentangan dengan hukum atau yang dapat menganggu tujuan perusahaan.
4. Competency
Auditor internal menerapkan pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam pelaksanaan layanan audit internal
The Rules of Conduct yang diasosiasikan dengan prinsip Competency menyatakan bahwa internal auditor:
Hanya boleh melakukan perikatan dengan klien atas jasa pelayanan dimana mereka memiliki pengetahuan, keterampilan, dan pengalaman yang diperlukan dalam pelaksanaan layanan audit internal
Harus melaksanakan jasa internal audit yang sesuai dengan standar (International Standards for the Professional Practise of Internal Auditing)
Harus selalu meningkatkan kecakapan, efektifitas dan kualitas jasa pelayanan internal audit.
The International Standards for the Professional Practise of Internal Auditing Tujuan dari the Standards adalah:
Delineate basic principles that represent the practice of internal auditing
Provide a framework for performing and promoting a broad range of value-added internal auditing
Establish the basis for the evaluation of internal audit performances
Foster improved organizational processes and operations
The Attribute Standards :
1. Purpose, Authority, and Responsibility
Fungsi audit internal harus memiliki charter yang secara jelas menyatakan tujuan fungsi ini, otoritas, dan tanggungjawab dan menentukan sifat dari jasa assurance dan konsultasi. Charter tersebut juga harus menyatakan tanggung jawab dari fungsi audit internal agar patuh terhadap Definisi Audit Internal, Kode Etik, dan Standar.
2. Independence and Objectivity
Independence
Bebas dari kondisi yang mengancam kemampuan audit internal untuk melaksanakan tanggung jawab audit internal dalam cara yang tidak bias.
Objectivity
Sebuah sikap mental tidak bias yang memungkinkan auditor internal untuk melakukan perikatan dengan klien dalam sikap yang sedemikian rupa sehingga mereka percaya pada produk kerja dari internal auditor dan bahwa tidak ada kompromi kualitas yang dibuat. Objektivitas mensyaratkan bahwa auditor internal tidak menyerahkan penilaian mereka mengenai hal audit kepada orang lain. Independence adalah atribut dari fungsi audit internal, objektivitas adalah atribut dari auditor secara individual. Independences Organisasi terhadap fungsi audit internal memfasilitasi objektivitas auditor individual. Conflict of Interest atau Benturan kepentingan mengganggu independensi dan obyektivitas. Konflik kepentingan adalah setiap hubungan yang, atau tampaknya, tidak dalam kepentingan terbaik organisasi. Ancaman yang terkait pelaksanaan tugas yang berkaitan dengan independensi dan obyektivitas timbul dari sifat dari pekerjaan itu sendiri. Impairment terhadap indepensi atau objektivitas, dalam fakta atau appearances, mungkin tidak dapat dihindari dalam keadaan tertentu. Standard 1130: Impairment terhadap indepensi atau objektivitas, CAE harus mengungkapkan rincian impairment kepada pihak yang tepat.
Proficiency and Due Professional Care
The standard mensyaratkan bahwa fungsi auditor internal dan auditor itu sendiri memiliki pengetahuan, kemampuan dan kemampuan lainnya yang dibutuhkan untuk memenuhi tanggungjawab mereka dan melaksanakannya dengan due professional care. The standars tidak memandatkan secara spesifik pengetahuan, kemampuan dan kemampuan yang harus dimiliki. Salah satu kompetensi tertentu yang dibutuhkan oleh Standar adalah pengetahuan tentang risiko penipuan.
Standards or guidance yang terkait:
1. Auditor internal harus memiliki pengetahuan yang cukup untuk mengevaluasi risiko dari kecurangan terhadap hal yang dikelola oleh perusahaan...”;
2. Auditor internal harus memiliki pengetahuan yang cukup risiko dan pengendalian terhadapa teknologi informasi kunci dan teknik audit berbasis teknologi untuk melaksanakan perkerjaan yang ditugaskan kepada mereka
3. “Harus mendapatkan nasihat dan bantuan dari pihak yang kompeten”.
Managing the internal audit activity. Standard 2000 menerangkan bahwa seorang Chief Audit Eecutive bertanggung jawab untuk mengelola fungsi internal audit dan memastikan bahwa fungsi tersebut dapat memberikan nilai tambah bagi organisasi. Meskipun bila organisasi mengoutsource fungsi audit internal tersebut, organisasi tetap harus memiliki “someone in house” yang bertanggungjawab dalam menyetujui kontrak audit internal tersebut, mengawasi kualitas pekerjaan penyedia jasa, menyusun jadwal pelaporan jasa assurance dan konsultasi manajemen kepada manajemen senior dan dewan direksi dan menentukan hasil kesepakatan dengan penyedia jasa terebut. Pada banyak kasus, fungsi-fungsi tersebut dilaksanakan oleh CAE. Bagaimanapun ketika orang tersebut memiliki conflicting responsibilities /konflik pertanggungjawaban dengan fungsi outsourcerd tersebut, penyedia layanan audit internal tersebut memiliki kewajiban untuk membuat “organisasi tersebut waspada bahwa organisasi tersebut memiliki tanggung jawab untuk mempertahankan audit internal yang efektif” (Standard 2070: External service provider and organizational Responsibility for internal auditing)
Interpretasi dari standar tersebut dapat diartikan sebagai berikut : “Tanggung jawab tersebut ditunjukan melalui quality assurance dan improvement programs yang menilai kesesuaian tanggung jawab tersebut dengan yang tertuang di dalam definisi internal auditing, kode etik dan standar yang ada”.
· Hasil dari aktivitas pekerjaan internal audit mencapai tujuan dan tanggung jawab yang tercantum di dalam internal audit charter;
· Aktivitas internal audit telah sesuai dengan definisi internal audit dan standard yang ada dan
· Setiap individu yang menjadi bagian dari aktivitas internal audit menunjukan kesesuaian dengan kode etik dan standar (interpretasi dari standard 2000: Managing internal audit activity);
Subsequent standard secara berkelanjutan harus menunjukan bahwa seorang CAE haruslah:
· “…. Menyusun sebuah risk based plan untuk menentuan apakah prioritas dari aktivitas internal audit sudah konsisten dengan tujuan organisasi (Standard 2010: planning)
· “…. Mengkomunikasikan rencana aktivitas internal audit dan hal-hal yang dibutuhkan di dalam kegiatan audit internal, terasuk perubahan perubahan signifikan kepada managemen senior dan dewan direksi sebagai bahan review dan approval.” Seorang CAE ”juga harus mengkomunikasikan pengaruh dari keterbatasan hal-hal yang dibutuhkan tersebut” (standard 2020; communication and approval)
· “…memastikan bahwa kebutuhan internal audit sudah tepat, cukup, dan tersebar dengan baik untuk dapat mencapai tujuan yang telah direncanakan” (Standard 2030 : ‘Resources Management)
· “… Menyusun kebijakan dan prosedur sebagai arahan dalam kegiatan internal audit” (Standard 2040: Policies and procedures).
· “… Membagi informasi dan berkoordinasi dengan penyedia jasa assurance and consulting, baik yang berasal dari dalam maupun dari luar organisasi untuk memastikan pelaksanaan pekerjaan tidak tumpang tindih” (standard 2050 : koordinasi)
· “… secara periodic membuat laporan kepada manajemen senior dan dewan direksi terkait tujuan kegiatan internal audit, kewenangan, tanggung jawab, dan hasil yang ingin dicapai dari rencana tersebut.” Seorang CAE juga harus melaporkan pengaruh risiko dan kegiatan pengendalian yang dapat mempengaruhi kegiatan internal audit, termasuk risiko fraud, hal hal terkait dengan tata kelola (governance) dan hal-hal lainnya yang dapat mempengaruhi atau diminta oleh senior manajemen dan dewan direksi” (Standar 2060: Reporting to senior management and board)
Nature of Works. Standard 2100. Nature of work (sifat pekerjaan) adalah konsisten dengan definisi internal auditing yang telah didiskusikan di awal bab ini. “Kegiatan internal audit harus mengevaluasi dan berkontribusi terhadap peningkatan kualitas governance, manajemen risiko, dan proses pengendalian menggunakan pendekatan yang disiplin dan sistematis.
Fungsi internal audit harus memperkirakan dan membuat rekomendasi yang tepat untuk meningkatkan kualitas governance organisasi agar proses governance pada organisasi dapat mencapai tujuan berikut :
Mempromosikan etika dan nilai-nilai yang tepat bagi organiasasi
Memastikan efektifitas manajemen penilaian kinerja organiasasi dan akuntabilitas;
Mengkomunikasikan risiko dan pengendalian informasi pada area yang tepat dari organisasi
Mengkoordinasikan aktivitas tersebut dan menyampaikan informasi tersebut kepada dewan direksi, auditor eksternal dan auditor internal, dan juga manajemen (Standard 2010 : Governance)
Fungsi audit internal juga harus mengevaluasi efektivitas dan meningkatkan proses manajemen risiko organisasi (Standards 2120: Risk Managemen). Menentukan apakah fungsi proses manajemen risiko pada organisasi telah berjalan efektif apabila hasil penilaian auditor internal meyatakan :
Tujuan organisasi telah mendukung dan sesuai dengan misi organisasi
Risiko-risiko yang siginifikan telah diidentifiasi dan ditelaah
Respon terhadap risiko telah ditetapkan dengan sesuai dan telah selaras dengan risk apetite organisasi dan
Informasi mengenai risiko yang relevan telah dicatat dan dikomunikasikan secara berkala.di pada berbagai pihak di organisasi, termasuk staf, manajemen dan dewan direksi untuk menentukan tanggung jawab masing-masing pihak. (Interpretation to standard 2120 : Risk Managemen)
Fungsi audit internal juga harus membantu organisasi dalam “mempertahankan efektivitas pengendalian dengan cara mengevaluasi efetivitas dan efisisensi pengendalian dan mempromosikan pengembangan berkelanjutan. (standard 2130: Control)
Fungsi internal audit juga harus mengevaluasi kemungkinan terjadinya risiko tersebut, dan juga mengevaluasi efektivitas dan efisiensi pengendalian melalui promosi continuous improvement.
Fungsi Internal Audit harus melaksanakan evaluasi terhadap risk exposure dan mengevaluai kecukupan dan efektivitas operasional organisasi yag terkait dengan :
Pencapaian tujuan organisasi
Kecukupan dan integritas informasi keuangan dan operasional organisasi
Efektivitas dan efisiensi pelaksanaan dan program organisasi
Pengamanan asset
Kepatuhan terhadap aturan perundangan yang berlaku (standard 2120.A1 dan 2130 A.1)
0 notes
Text
INTERNAL AUDITING - Assurance & Advisory Services
Sabtu, 18 September 2021
Apa yang anda pikirkan Ketika mendengar tentang “Audit Internal” ? bagi sebagian orang, hal itu dapat menimbulkan pikiran negatif. Sebagai contoh banyak orang telah lama berpandangan bahwa audit secara umum hanyalah hal yang membosankan cabang akuntansi. Bagi orang lain, audit internal menyampaikan hal yang lebih negatif lagi konotasi, satu-satunya hal yang auditor lakukan adalah memeriksa pekerjaan orang lain dan melaporkan kesalahan yang mereka buat, seperti fungsi polisi.
Faktanya adalah bahwa audit internal secara luas dipandang sebagai prestisius, high-proile profesi, yang statusnya tidak pernah lebih tinggi dari sekarang. Permintaan untuk individu berbakat di semua tingkat audit internal jauh melebihi pasokan. Kepala eksekutif audit (CAE) perusahaan publik biasanya melapor langsung ke komite audit dewan direksi dan dipandang sebagai rekan di antara senior eksekutif manajemen. Atau bisa kita Tarik kesimpulan :
Audit internal merupakan aktivitas asurrance dan consulting yang indepeden dan objektif untuk menambah nilai tambah dan meningkatkan kemampuan organisasi. Audit internal membantu organisasi mencapai tujuannya dengan menerapkan kedisiplinan dan proses yang sistematis sehingga mampu meingkatkan keefektifan manajemen resiko, kendali dan proses tatakelola.
Dalam Audit internal terdapat tiga value prososition yang saling berkaitan satu sama lain dan menjadi bagian dari tubuh dalam proses audit internal yang tidak terpisahkan, diantara lain :
Assurance untuk menghasilkan tata kelola dan pengendalian.dalam kegiatan audit internal assurance dilakukan untuk menghasilkan tata kelola organisasi, manajemen risiko, dan pengendalian proses untuk membantu organisasi mencapai tujuan berupa strategi, operasional, dan finansial
Insight untuk menghasilkan katalisator, analisis, dan pengukuran. Proses audit internal merupakan katalisator untuk meningkatkan keefektiditasan dan efisiensi organisasi dengan menyediakan pengetahuan dan rekomendasi berdasarkan dari analisis dan pengukuran dan dan proses bisnis
Objectivity untuk menghasilkan integritas, akuntabilitas dan independensi. Dalam proses audit internal diperlukan komitmen untuk menjaga integritas dan akuntabilitas dalam setiap proses tata kelola
Definisi audit internal berdasarkan tujuan dasarnya dapat diuraikan dalam beberapa poin penting diantara lain :
1. Membantu organisasi dalam mencapai tujuannya. Tujuan organisasi mendefinisikan apa yang diinginkan oleh organisasi untuk tercapai. Tujuan organisasi tercermin dari visi dan misi. Misi merupakan sebuah pernyataan yang menyatakan apa yang ingin dicapai oleh organisisasi saat ini, sementara Visi menyatakan apa yang ingin dicapai organisasi pada masa yang akan datang. tujuan organisasi secara umum dapat dikategorikan sebagai berikut :
Tujuan strategis, merupakan
Tujuan operasional
Tujuan pelaporan
Tujuan pemenuhan
2. Mengevaluasi dan meningkatkan efektifitas dari manajemen risiko, pengendalian dan proses tata kelola
Organisasi tidak dapat mencapai tujuan dan kebehasilannya tanpa manajemen risiko, pengendalian dan tata kelola yang efektif. oleh karennanya dibutuhkan kemampuan dalam memahami manajemen risiko, . manajemen risiko berkaitan erat dengan proses tata kelola dimana prosesnya dilakukan oleh manajemen organisasi untuk memahami ketidakpastian (risiko dan peluang) yang dapat mempengaruhi organisasi dalam mencapai tujuannya. risiko dapat berupa negatif (ancaman) atau positive (peluang).
3. Assurance dan Consulting dirancang untuk memberi nilai tambah dan meningkatkan operasional dalam organisasi. dalam proses audit, assurance dan Consulting berbeda dalam tiga hal yaitu : tujuan dalam melakukan proses audit, penentuan sifat dan ruang lingkup audit, serta jumlah pihak lainnya yang terlibat dalam proses audit. Tujuan utama dalam layanan internal assuarance adalah untuk menemukan barang bukti yang berkaitan dengan subjek audit. Sementara tujuan utama dalam layanan internal consulting adalah untuk menyediakan saran dan pendampinga, umumnya merupakan permintaan yang spesifik dari pihak yang menggunakan jasa audit (customer).
4. Independensi dan Objektivitas, dalam kode etik yang dibuat oleh IIA dan satadar internaional untuk auditor internal objektivitas mengacu pada sikap mental pada setiap individu internl audit dimana setiap individu harus bersikap netral dan bebas dari segala pengaruh dan kepentingan pihak pihak yang terlibat (independensi). dalam praktek audit, auditor harus mampu memiliki kemampuan untuk tidak memihak dan tidak memberi penilaian yang bermakna ganda. untuk memastikan objektivitas, auditor internal tidak boleh melibatkan diinya dalam day to day operation, membuat keputusan management, ataupun melibatkan dirinya kedalam situasi yang berpotensi mengakibakan konflik kepentingan
Pendekatan yang sistematis dan disiplin
Dalam rangka memberika nilai tambah dan ntuk meningkatkan operasi, internal assurance dan konsultansi harus dilaksanakan secara sistematis dan disiplin. Terdapat tiga fase fundamental dalam pekerjaan audit, yaitu perencanaan pekerjaan, pelaksanaan pekerjaan dan mengkomunikasikan hasil pekerjaan. Perencanaan pekerjaan tersebut meliputi beberapa aktivitas, yaitu:
Pemahaman atas auditee dan pelanggan
Setting tujuan pekerjaan
Menentukan bukti yang diperlukan
Memutuskan sifat, waktu dan luas tes audit
Pelaksanaan pekerjaan meliputi prosedur audit spesifik, misalnya melaksanakan penyelidikan, observasi atas kegiatan operasi dan inspeksi dokumen. Mengkomunikasikan hasil audit merupakan komponen kritis dari seluruh pekerjaan internal assurance dan kolsultansi. Komunikasi atas hasil pekerjaan harus akurat, objektif, clear, singkat, membangun, lengkap dan tepat waktu.
Sifat dan lingkup internal audit modern
Secara umum tujuan dari internal audit adalah mencapai tujuan organisasi. Alhasil, target dari internal audit harus termasuk di dalamnya:
Operasi yang efektif dan efisien atas bisnis proses
Reliabilitas atas sistem informasi dan kualitas atas pengambilan keputusan
Perlindungan asset dari kerugian termasuk kerugian dari kecurangan manajemen dan pegawai
Kepatuhan terhadap organization policies, kontrak, peraturan dan regulasi
Internal auditor harus melaksanakan berbagai macam prosedur untuk melakukan tes atas kecukupan desain dan efektifitas operasi, manajemen risiko dan proses kontrol dengan melakukan prosedur sebagai berikut:
Penyelidikan/bertanya kepada manajer dan pegawai
Observasi atas aktivitas perusahaan
Inspeksi atas sumber daya dan dokumen
Reperforming atas aktivitas kontrol
Melaksanakan analisis trend an rasio
Melaksanakan teknik audit berbasis komputer
Mencari informasi dari pihak ketiga yang lebih independen
Melaksanakan tes atas transaksi
Itulah sedikit gambaran tentang “Internal Audit”. Semoga bermanfaat :)
0 notes