Peran Audit Internal dalamERMBYAUDITORINTERNAL25/01/2010POSTED IN:MANAJEMEN RISIKO,POSITION PAPERSDibaca 5,285 kaliSehubungan dengan penerbitan kerangka manajemen risiko perusahaan secara terpadu (Enterprise Risk Management IntegratedFramework) oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO), The Institute of Internal Auditor (IIA) bekerja sama dengan Afiliasi IIA di Inggris dan Irlandia, telah mengeluarkan sebuah makalah posisi (position paper) dengan judulThe Role of Internal Auditing in Enterprise-wideRisk Management.Tujuan makalah ini adalah untuk membantu Kepala Eksekutif Audit dalam menanggapi isu-isu ERM dalam organisasi mereka.Makalah ini memberikan pedoman bagi auditor internal untuk mempertahankan objektivitas dan independensi yang dipersyaratkan oleh Standar Internasional untuk Praktik Profesional Audit Internal ketika mereka memberikan layanan pemastian (assurance) dan layanan konsultasi.Peran inti audit internal yang berkaitan dengan ERM adalah untuk memberikan layanan pemastian yang objektif bagi Dewan mengenai efektivitas kegiatan ERM organisasi. Pemastian ini membantu meyakinkan bahwa risiko bisnis kunci telah dikelola dengan tepat, dan bahwa sistem pengendalian internal telah berjalan secara efektif. Faktor utama yang harus dipertimbangkan oleh Kepala Eksekutif Audit saat menentukan peran audit internal adalah apakah suatu kegiatan menimbulkan ancaman terhadap independensi dan objektivitas auditor internal serta apakah memang terdapat kemungkinan untuk meningkatkan proses manajemen risiko organisasi, kontrol, dan proses tata kelola.Peran auditor internal bervariasi dalam proses ERM bergantung pada kematangan proses ERM dalam organisasi.Sebelum auditor internal melaksanakan apapun peran yang terkait dengan ERM, harus dipastikan terlebih dahulu bahwa seluruh organisasi sepenuhnya memahami bahwa tanggung jawab manajemen risiko terutama berada pada manajemen. Makalah posisi IIA ini memberikan pedoman peran internal audit mana yang harus, boleh, dan tidak boleh dimainkan di dalam proses ERM organisasi.Peran inti audit internal dalam ERM adalah kegiatan yang berhubungan dengan layanan pemastian yang meliputi: Memberikan keyakinan pada desain dan efektivitas proses manajemen risiko. Memberikan keyakinan bahwa risiko dievaluasi dengan benar. Mengevaluasi proses manajemen risiko. Mengevaluasi pelaporan mengenai status dari risiko-risiko kunci dan pengendaliannya. Meninjau pengelolaan risiko-risiko kunci, termasuk efektivitas dari pengendalian dan respons lain terhadap risiko-risiko tersebut.Peran tambahan lain yang boleh dilaksanakan dalam layanan konsultasi dengan dibarengi pengamanan independensi dan objektivitas yang cukup, antara lain: Memulai pembentukan ERM dalam organisasi. Mengembangkan strategi manajemen risiko bagi persetujuan Dewan. Memfasilitasi identifikasi dan evaluasi risiko. Pelatihan manajemen tentang merespons risiko. Mengoordinasikan kegiatan ERM. Mengonsolidasi laporan mengenai risiko. Memelihara dan mengembangkan kerangka ERM.Peran dalam ERM yang TIDAK boleh dilakukan auditor internal adalah: Mengatur minat risiko (risk appetite). Menerapkan proses manajemen risiko. Menjamin manajemen risiko Membuat keputusan pada respons risiko. Menerapkan respons dan manajemen risiko atas nama manajemen. Akuntabilitas manajemen risiko.Variabilitas peran tersebut digambarkan dengan baik oleh gambar berikut, dari peran yang paling disarankan di sebelah kiri hingga peran yang paling terlarang di sebelah kanan.

Apa yang Baru dalamExposure Draft Internal Control Integrated FramewokCOSO?BYAUDITORINTERNAL27/12/2011POSTED IN:ARTIKEL,BERITA AUDIT INTERNAL,PENGENDALIAN INTERNALDibaca 2,054 kaliOleh: Setyo Wibowo, CIA, CISAMasih ingat ketika setahun lalu COSO memulai projekrevisiCOSOsInternal Control Integrated Framework?Ya. Berselang satu tahun setelah COSO menunjuk PricewaterhouseCoopers (PwC) untuk menjalankan projek revisi tersebut, kini telah tersediaExposure Draftyang disajikan kepada publik, tentu termasuk Anda, untuk mendapatkan komentar. Kini saatnya bagi Anda, apalagi bila Anda telah memberikan input kepada COSO padasaat digelarsurveiyang lalu,untuk memastikan bahwa input Anda diakomodasi dalam revisi kali ini.Sesuaitimetabledari COSO, projek ini diluncurkan pada November 2010 silam. Setelah melakukan survei pendahuluan pada akhir 2010 hingga awal 2011 kepada para pengguna framework danstakeholderslainnya untuk mendapatkan gambaran awal mengenai apa yang perlu dilakukan revisi, selama tahun 2011 ini PwC telah menyusun dan menyelesaikan draf hasil revisi dimaksud. Selanjutnya draf tersebut akan disajikan kepada publik untuk mendapatkan masukan hingga tanggal 31 Maret 2012.Lantas, apa saja yang perlu kita komentari?SesuaijanjiChairman COSO, David Landsittel,projek ini tidak mengubahFrameworksecara fundamental. Namun tetap saja, sebelum memberikan masukan, Anda perlu mengetahui hal-hal apa sajakah yang berubah dan yang tidak berubah dalamFrameworkedisi revisi 2012 ini.Anda yang familiar denganFrameworkedisi 1992, tidak akan direpotkan dengan definisi pengendalian internal, lima komponen pengendalian internal, serta kriteria fundamental dan penggunaanjudgementdalam evaluasi efektivitas pengendalian internal. Hal-hal tersebut sejauh ini dianggap oleh COSO sebagai konsep utama yangtimeless, sehingga tidak berubah.Sementara itu perubahan akan dilakukan pada hal-hal yang bersifat lebih teknis. Menurut COSO, setidaknya ada tiga area besar yang akan menjadi perubahan dalam revisi 2012 ini, yaitu:1. Kodifikasiprinsip-prinsip dan atribut-atribut untuk memudahkan pengembangan dan evaluasi efektivitas sistempengendalian internal. Lima komponen yang ada dalam edisi revisi 2012 ini dirinci ke dalam 17 prinsip, dan setiap prinsip dirinci lebih lanjut dalam atribut-atribut.2. Perluasan tujuanpelaporan, bukan hanya pelaporan keuangan namun juga pelaporan nonkeuangan, baik pelaporan internalmaupun eksternal3. Peningkatan fokus pada tujuan operasi,kepatuhandan pelaporan nonkeuangan, berdasarkan input penggunaBagi kita yang cenderung mekanis dalam menerapkan dan mengevaluasi efektivitas pengendalian internal, tampaknya angka 17 prinsip tersebut lah yang akan segera menjadi alat yang populer. Terutama karena aspek kejelasan dan kemudahannya.Apa sajakah ke-17 prinsip tersebut?Inilah dia!Lingkungan Pengendalian1. Organisasi menunjukkan komitmen terhadap nilai-nilai integritas dan etika.2. Dewan menunjukkan kemandirian manajemen dan menjalankan pengawasan terhadap pengembangan dan bekerjanya pengendalian internal.3. Dengan pengawasan Dewan, manajemen menetapkan struktur, garis pelaporan, sertawewenang dan tanggung jawab yang sesuai dalam pencapaian tujuan.4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompetendalam keselarasan dengan tujuan.5. Organisasi mempertahankan individu dalam tanggung jawab pengendalian internal merekadalam mengejar tujuan.Penilaian Risiko6. Organisasi menetapkan tujuan dengan cukup jelas sehingga memungkinkan identifikasi dan penilaian risiko terkait.7. Organisasi mengidentifikasi risiko pencapaian tujuan di seluruh penjuru organisasi danmenganalisisnya sebagai dasar penentuan pengelolaan risiko.8. Organisasi tersebut memperhitungkan potensi kecurangan (fraud) dalam menilai risiko pencapaiantujuan.9. Organisasi mengidentifikasi dan menilai perubahan-perubahan yang secara signifikan dapat mempengaruhisistem pengendalian internal.Aktivitas Pengendalian10. Organisasi memilih dan mengembangkan aktivitas pengendalian yang turut memitigasirisiko pencapaian tujuan pada tingkat yang dapat diterima.11. Organisasi memilih dan mengembangkan aktivitas pengendalian umum (general control) atas teknologi untukmendukung pencapaian tujuan.12. Organisasi menerapkan aktivitas pengendalian sebagaimana dimanifestasikan dalam kebijakan untuk menetapkan apa yang diharapkan, dan prosedur yang relevan untuk menjalankan kebijakan.Informasi dan Komunikasi13. Organisasi memperoleh atau menghasilkan serta menggunakan informasi yang relevan dan berkualitas untukmendukung berfungsinya komponen lain dari pengendalian internal.14. Organisasi mengomunikasikan informasi secara internal, termasuk komunikasi atas tujuan dan tanggung jawab pengendalian internal, yang diperlukan untuk mendukung berfungsinya komponen lain daripengendalian internal.15. Organisasi berkomunikasi dengan pihak eksternal tentang hal-hal yang mempengaruhi berfungsinya komponen lain dari pengendalian internal.Pemantauan Kegiatan16. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang terus-menerus (ongoing) dan/atau terpisahuntuk memastikan apakah komponen-komponen pengendalian internal adadan berfungsi.17. Organisasi mengevaluasi dan mengomunikasikan kelemahan pengendalian internal secaratepat waktu kepada pihak-pihak yang sesuai dan bertanggung jawab untuk mengambil tindakan korektif, termasukmanajemen senior dan Dewan.

Menilai Kecukupan Proses PengendalianBYAUDITORINTERNAL10/06/2011POSTED IN:PENGENDALIAN INTERNAL,PRACTICE ADVISORIES,STANDAR KINERJADibaca 1,659 kaliSebuah organisasi membangun dan memelihara proses manajemen risiko dan pengendalian yang efektif dengan tujuan untuk mendukung organisasi dalam mengelola risiko dan pencapaian tujuan yang telah ditetapkan dan dikomunikasikan sebelumnya.Proses pengendalian diharapkan dapat memastikan, antara lain, hal-hal sebagai berikut: Informasi keuangan dan informasi operasional yang handal dan memiliki integritas, Operasi dilakukan secara efisien dan mencapai sasaran yang ditetapkan, Aset telah dilindungi, dan Tindakan dan keputusan organisasi telah sesuai dengan ketentuan perundang-undangan yang berlaku dan kontrak.Peran manajemen senior adalah untuk mengawasi penetapan, administrasi, serta penilaian sistem dalam proses manajemen risiko dan pengendalian.Sementara itu tanggung jawab manajer lini organisasi adalah memastikan proses pengendalian yang telah ditetapkan tersebut berjalan di area mereka masing-masing.Di lain pihak, auditor internal memberikan layanan pemastian mengenai tingkat efektivitas proses manajemen risiko dan pengendalian yang berjalan.CAE menyusun dan menyampaikan pendapat keseluruhan (overall opinion) mengenai kecukupan dan efektivitas proses pengendalian.Penyampaian pendapat tersebut oleh CAE didasarkan pada bukti audit yang cukup yang diperoleh melalui audit dan, bila diperlukan, juga didasarkan pada hasil pekerjaan penyedia pemastian lainnya.CAE mengomunikasikan pendapat tersebut kepada manajemen senior dan Dewan.CAE mengembangkan rencana audit internal yang dirancang untuk mendapatkan bukti yang memadai untuk mengevaluasi efektivitas dari proses pengendalian.Rencana tersebut mencakup penugasan audit dan/atau prosedur lain untuk memperoleh bukti audit yang cukup dan relevan pada semuaunitutamadan fungsi bisnis yang akan dinilai, serta penelaahan terhadappengendalianutamadalam proses operasi di seluruh organisasi.Rencana tersebut harus fleksibel sehingga penyesuaian dapat dilakukan sepanjang tahun untuk menyesuaikan dengan perubahan strategi manajemen, kondisi eksternal, area berisiko besar, atau revisi asumsi/ekspektasi dalam pencapaian tujuan organisasi.Rencana audit harus memberikan perhatian khusus terhadap operasi-operasi yang paling terpengaruh oleh perubahan terbaru atau perubahan tak terduga.Perubahan keadaan dapat diakibatkan, antara lain, dari kondisi pasar atau investasi, akuisisi dan divestasi, restrukturisasi organisasi, sistem baru, dan usaha baru.Dalam menentukan cakupan audit yang diharapkan untuk rencana audit yang diusulkan, CAE perlu mempertimbangkan hasil kerja terkait yang dilakukan oleh pihak lain yang juga memberikan layanan pemastian kepada manajemen senior (misalnya, unit kepatuhan).Rencana audit juga perlu mempertimbangkan hasil audit oleh auditor eksternal dan penilaian yang dilakukan sendiri oleh manajemen dalam proses manajemen risiko, pengendalian, dan peningkatan kualitas.CAE harus mengevaluasi luasnya lingkup rencana audit yang diusulkan untuk menentukan apakah lingkup tersebut memdai sebagai dasar menyatakan pendapat tentang proses manajemen risiko dan pengendalian organisasi.CAE harus memberitahukan kepada manajemen senior dan Dewan bila terdapat kesenjangan dalam cakupan audit yang mengganggu penyampaian pendapat terhadap semua aspek proses-proses tersebut .Tantangan utama bagi aktivitas audit internal adalah mengevaluasi efektifitas pengendalian organisasi secara agregat berdasarkan hasil penugasan individual pada beberapa area terpilih. Hasil penilaian sebagian besarnya diperoleh dari penugasan audit internal, reviewself-assessmentmanajemen, dan pekerjaan pemberi layanan pemastian lainnya. Seiring dengan berjalannya penugasan-penugasan, auditor internal melaporkan temuan kepada tingkat manajemen yang sesuai secara tepat waktu sehingga tindakan cepat dapat diambil untuk memperbaiki atau mengurangi konsekuensi dari kekurangan atau kelemahan pengendalian yang ditemukan.Dalam mengevaluasi efektivitas proses pengendalian organisasi secara keseluruhan/agregat, CAE perlu mempertimbangkan apakah: Terdapat temuan-temuan kekurangan/kelemahanan pengendalian yang signifikan, Dilakukan tindakan-tindakan perbaikan atas temuan-temuan tersebut Temuan-temuan tersebut dan konsekuensi-konsekuensi potensial mengarah pada kesimpulan bahwa telah terjadi kondisi pervasif yang mengakibatkan tingkat risiko yang tidak dapat diterima.Adanya kekurangan atau kelemahan signifikan tidak selalu mengarah pada kesimpulan bahwa kondisi pervasif eksis menimbulkan risiko yang tidak dapat diterima.Auditor internal harus mempertimbangkan sifat dan tingkat eksposur risiko serta tingkat konsekuensi potensial, dalam menentukan apakah efektivitas proses pengendalian dalam kondisi membahayakan dan ada risiko yang tidak dapat diterima.Laporan CAE tentang proses pengendalian organisasi biasanya disajikan sekali dalam setahun kepada manajemen senior dan papan tulis.Laporan tersebut menyatakan peran penting yang dimainkan oleh proses pengendalian dalam pencapaian tujuan organisasi.Laporan ini juga menggambarkan sifat dan luasnya pekerjaan yang dilakukan oleh aktivitas audit internal, serta sifat dan tingkatrelianceterhadap penyedia layanan pemastian lainnya, dalam merumuskan pendapat.