Pert 8 Peran Audit Internal dan Manajemen Resiko Perspektif IIA Menurut IIA, definisi internal audit adalah

an independent, objective assurance and consulting activity designed to add value and improve an organizations operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Tujuan utama dari kegiatan internal audit menurut IIA adalah untuk mendorong dan membantu perusahaan dalam mencapai tujuan strategisnya. Menurut IIA, kegiatan internal audit, baik dilakukan sepenuhnya dari internal perusahaan atau dari eksternal (outsource) harus didukung dengan tenaga-tenaga profesional yang kompeten di bidangnya. IIA juga menambahkan bahwa banyak kesepakatan yang dilakukan antara perusahaan dengan pihak eksternal dalam rangka menyediakan jasa internal audit telah menghasilkan suatu cara yang efektif dan berkontribusi dalam pencapaian tujuan strategis perusahaan. Satu hal yang perlu digarisbawahi adalah jika perusahaan memutuskan untuk mengoutsource seratus persen dari kegiatan internal audit nya, tanggung jawab dan pengawasan kegiatan ini tidak bisa dioutsource juga, dengan kata lain kedua hal ini merupakan tanggung jawab manajer/senior manajer sepenuhnya. Pihak yang bertanggung jawab terhadap aktivitas internal audit ini haruslah diperhatikan independensinya dengan melihat keterkaitannya dengan fungsi-fungsi lain yang dijalankannya dalam perusahaan. Dalam hal pengawasan, peran board sebagai pengawas sangat dianjurkan oleh IIA dengan beberapa kewenangannya seperti mengevaluasi dan menyetujui beberapa keputusan-keputusan penting terkait aktivitas internal audit yang dilakukan perusahaan. Terkait keputusan tentang outsourcing internal audit, yaitu misalnya keputusan tentang seberapa besar porsi outsource yang akan dilakukan dan untuk aktivitas yang mana, juga harus disetujui terlebih dahulu oleh board. Beberapa konsiderasi untuk mengevaluasi keputusan outsource internal audit. Ketersediaan Sumber Daya Karena beberapa alasan seringkali kebutuhan akan internal audit oleh sumber daya internal perusahaan tidak dapat terpenuhi dan outsourcing dapat menjadi alternatif untuk menyediakan internal auditor yang profesional dan kompeten. Ukuran Perusahaan Baik perusahaan besar ataupun kecil memiliki kebutuhannya masing-masing akan outsource internal audit. Perusahaan kecil seringkali membutuhkan outsource internal audit karena ketidakmampuannya dalam mempekerjakan internal auditor baik berupa full time ataupun part time. Tipe Outsourcing yang Tersedia. Beberapa tipe outsourcing yang dapat diambil sebagai alternatif diantaranya adalah mengoutsorce 100% dari sumber daya untuk internal audit, mengoutsource sebagian, melakukan co-sourcing dimana pihak eksternal dan internal dari aktivitas audit melakukan joint pada suatu proyek yang sama (perikatan), dan yang terakhir melakukan subcontracting dimana melakukan outsourcing hanya untuk sebagian aktivitas pada perikatan yang dilakukan oleh pihak internal perusahaan. Hukum dan Peraturan Faktor hukum dan peraturan di suatu negara harus diperhatikan dalam terkait outsourcing internal audit. Pada beberapa negara, praktek outsourcing internal audit kepada eksternal audit dilarang, namun walaupun tidak dilarang, IIA menyarankan hal ini untuk tidak dilakukan karena akan mencederai independensi auditor internal. Keuntungan dan Kerugian outsourcing. Keuntungan dan kerugian dari outsourcing harus benar-benar diperhatikan sebelum melakukan suatu keputusan terkait hal ini. Untuk menganalisis hal ini ada beberapa pertimbangan yang

dapat dilakukan seperti kualifikasi dari pihak eksternal, kompleksitas dari proses staffingnya, budaya dan tingkat adaptasi perusahaan terhadap pihak eksternal, pertimbangan biaya, dll. Kontrak dan Surat Perjanjian Pertimbangan harus diperhatikan dalam menganalisis isi dan konteks kontrak yang disepakati. Beberapa hal yang harus diperhatikan dalam kontrak diantaranya adalah berbagai 2ublic penyampaiannya seperti workpaper, reports, rekomendasi, pendapat dll. Sistem follow up, 2ublic kompensasi, penggunaan hasil, kepemilikan workpaper, kekurangan, batasan dan manfaat juga adalah salah satu yang harus diperhatikan dalam menganalisis kontrak dan surat perjanjian outsource internal audit. Kebijakan perusahaan dalam meng-outsource. Beberapa perusahaan menganggap perlu untuk mengeluarkan serangkaian kebijakan/prosedur tertulis mengenai outsource internal audit yang harus diperhatikan oleh perusahaan sebelum melakukan outsource. Standar IIA Practice Advisory 1210.A1-1 menjelaskan standar IIA yang lebih detil dalam meng-guide proses outsource yang dilakukan perusahaan. Aturan ini tentu saja juga harus di review dalam menganalisis kemungkinan melakukan outsource internal audit.

Enterprise-wide risk management (ERM) adalah proses yang terstruktur, konsisten dan berkelanjutan di dalam keseluruhan organisasi untuk mengidentifikasi, menghitung dan memutuskan untuk meresponkan dan melaporkan peluang dan ancaman yang mempengaruhi pencapaian dari tujuan perusahaan. Responsibility for ERM Board secara menyeluruh bertanggung jawab untuk menentukan resiko yang di atur. Dalam prakteknya, dewan direksi akan mendelegasikan operasi dari kerangka manajemen resiko kepada tim manajemen , yang akan bertanggung jawab untuk menyelesaikan aktifitas tersebut. Setiap orang di dalam organisasi memainkan peranan untuk memastikan kesuksesan enterprise-wide risk management, tetapi tanggung jawab utama untuk mengidentifikasi dan mengatur resiko merupakan tanggung jawab manajemen. Benefits of ERM Meningkatkan kemungkinan dalam mencapai tujuan Mengkonsolidasi laporan dari resiko perbedaan pada level board Mengidentifikasi dan sharing dari resiko bisnis Meningkatkan fokus manajemen mengenai isu yang penting Mengurangi krisis Meningkatkan fokus secara internal dalam melakukan hal yang benar dengan cara yang benar Meningkatkan kemungkinan dari perubahan inisiatif yang akan dicapai Kapabilitas untuk mengambil resiko yang besar untuk reward yang besar Lebih menginformasikan resiko yang diambil dan mengambil keputusan The activities included in ERM Mengartikulasikan dan mengkomunikasikan tujuan organisasi Menentukan resiko yang mungkin diambil oleh organisasi Menyusun lingkungan internal yang baik Mengidentifikasi ancaman potensial untuk pencapaian tujuan Memilih dan mengimplementasikan respon resiko Mengambil kontrol dan respon aktivitas lain Providing assurance on ERM

Internal auditor akan memberikan assurance untuk tiga bagian,yakni : Proses manajemen resiko Pengelolaan risiko-risiko yang berpengaruh besar, termasuk keefektifan dalam mengontrolnya dan mesponnya. Keandalan penilaian dan pelaporan risiko dan status kontrol. The role of internal auditing in ERM Penelitian menunjukan kalau board directors dan internal audit setuju terdapat dua cara agar internal auditor dapat memberikan nilai bagi organisasi, pertama dengan cara menyediakan assurance bahwa resiko bisnis yang besar akan diatur dengan baik dan kedua menyediakan assurance bahwa manajemen resiko dan kerangka internal control telah beroperasi secara efektif. Consulting roles Peran konsultasi internal audit yang mungkin dilakukan : Membuat teknik dan management tools memungkinkan digunakan oleh Internal auditor untuk menganalisa dan mengontrol risiko Mengenalkan ERM pada organisasi dan meminjamkan pengetahuan pengelolaan risiko dan kontrol pada organisasi Menyediakan masukan,memberi pelatihan mengenai risiko dan pemahaman mengenai kontrol risiko Mendukung kinerja manajemen dalam mengidentifikasi dan mengurangi risiko Safeguards Kondisi agar internal audit dapat berperan dalam pengembangan ERM adalah : Adanya kejelasan bahwa manajemen tetap bertanggung jawab terhadap manajemen resiko Dasar tanggung jawab internal auditor yang harus didokumentasikan kepada perjanjian internal audit dan disetujui oleh audit komite. Internal audit tidak harus mengatur resiko pada manajemen Internal audit harus menyediakan saran, penelitian dan mendukung keputusan yang dibuat manajemen, untuk mengatasi resiko dari keputusan manajemen. Segala pekerjaan diluar assurance activities seharusnya dijadikan sebagai perjanjian konsultasi dan harus mengikuti standar yang ada Conclusion Manajemen resiko adalam elemen yang fundamental pada tata kelola perusahaan. Manajemen bertanggung jawab untuk membangun dan mengoperasikan kerangka manajemen resiko atas nama board. Enterprise-wide risk management memberikan banyak manfaat karena mendapat hasil dari pendekatan yang terstruktur, konsisten, dan terkordinasi. Internal audit seharusnya melindungi independensi dan objektifitas dari jasa assurance yang diberikan. Dengan hal tersebut, ERM dapat membantu meningkatkan profil dan meningkatkan efektifitas internal audit. Peran Audit Internal pada Tata Kelola Perusahaan Modern (KPMG) Internal auditor berfungsi untuk membantu peran dewan direksi untuk memastikan bahwa kontrol internal perusahaan berjalan. Beberapa peran utama dewan direksi adalah sebagai berikut: 1. Menilai efektifitas dan lingkup dari sistem yang dibuat oleh manajemen untuk mengindentifikasi, menilai, memonitor berbagai macam resiko yang bisa muncul dari aktivitas perusahaan. 2. Memastikan manajer senior menerapkan dan memelihara internal kontrol yang cukup dan efektif. 3. Memastikan adanya kontrol untuk memonitor kepatuhan terhadap hukum, regulasi, pengawasan yang dibutuhkan dan peraturan internal yang sesuai.

Memonitor dan me-review peran dari internal audit. Me-review dan menilai perencanaan audit serta kemajuan yang dicapai. Memastikan audit internal nyaman dan tercukupi sumber dayanya di organisasi/perusahaan. Memikirkan respon dari manajemen terhadap major internal audit serta kemajuan dalam implementasinya. 8. Menyetujui penunjukkan dan pemecatan ketua internal audit. Peran internal audit untuk membantuk dewan direksi untuk melaksanakan kewajiban tata kelola perusahaannya dengan menyediakan: 1. evaluasi yang objektif dari resiko yang ada dan kerangka kerja kontrol internal 2. analisis yang sistematis pada proses bisnis dan kontrol yang berkaitan 3. me-review eksistensi aset dan nilainya 4. review ad-hoc pada area lain termasuk yang memiliki resiko yang tidak bisa ditoleransi 5. review dari isu-isu compliance framework dan specific compliance 6. review dari performas operasi dan keuangan 7. rekomendasi penggunaan sumber daya yang efektif dan efisien 8. penilaian apa yang telah pencapaian sasaran perusahaan 9. feedback dari penerapan nilai-nilai perusahaan dan code of ethics Peran internal audit serin terjadi anomali karena auditor internal melapor dan mengawasi manajer senior. Sehingga sebagai solusi mereka harus melapor ke dewan direksi atau komite audit. Banyak perdebatan yang muncul kemana audit internal harus bertanggung jawab. Faktor suksesnya fungsi audit adalah sebagai berikut: Apakah posisi internal audit sudah strategis untuk performa perusahaan misi dan peran dari audit internal tercermin pada tingkat governance framework yang lebih luas dan dikomunikasikan secara efektif strukur audit internal mempromosikan objektifitas, kosistensi, dan understanding business pendanaan audit internal denga mempromosikan objektifitas dan konsistensi dalam kualitas pelayanan yang disediakan untuk organisasi audit internal ikut andil dalam kontribusi nilai dalam bisnis yang tercermin dalam kriteria keberhasilan Apakah proses internal audit bisa menyediakan kebutuhan bisnis 1. audit internal mempunyai identifikasi resiko dan metodologi perencanaan yang kuat dan bisa menyediakan hasil kerja yang berkualitas 2. penggunaan teknologi yang sesuai untuk untuk meningkatkan pengawasan dari audit internal 3. kerangka kerja yang sesuai untuk meniali performa audit 4. audit internal mengembangkan dan me-manage hubungan yang sesuai dengan shareholder utama Apakah audit internal mempunyai orang yang tepat untuk menjalankan misinya 1. kompetensi utama audit internal berhunbungan langsung dengan misi, peran, dan lingkup kerjanya 2. perekrutan audit internal mencerminkan misi, peran, kompetensi yang dibutuhkan 3. strategi yang bisa disesuaikan sesuai dengan perubahan permintaan

4. 5. 6. 7.

Untuk jalur pelaporan (reporting line) audit internal adalah, audit internal, secara fungsional melapor kepada ketua komite audit dan untuk secara administratif ke CEO. Namun Institute of Internal Auditor menerapkan key measurement untuk memastikan jalur pelaporan audit internal mendukung dan memunngkinkan efektifitas dan independensi dari kerja audit internal. Berikut adalah key measurement:

 Ketua audit internal sebaiknya bertemu secara pribadi dengan dewan direksi atau komite audit
tanpa hadirnya manajemen. Hal tersebut bertujuan untuk menjamin hubuangan independensi dan laporan langsung. Komite audit atau dewan komisaris mempunyai otoritas final untuk me-review dan menyetujui rencana audit tahunan dan perubahan besar terhadap rencana audit. Komite audit atau dewan komisaris mer-review performa dari ketua audit internal serta fungsi keseluruhan dari audit internal setidaknya sekali dalam setahun serta penyetujuan kompensasi ketua audit internal. Charter untuk auditor internal harus menjelaskan fungsi dan jalur pelaporan administratif serta aktifitas dasar dari audit internal. Jalur pelaporan sebaiknya dipegang oleh pihak yang mempunyai otoritas yang cukup untuk menyediakan audit internal dengan dukungan untuk melakukan aktifitas audit rutin. Jalur pelaporan sebaiknya bis memfasilitasi komunikasi yang langsung dan terbuka dengan CEO. jalur pelaporan sebaiknya bisa bisa menyalurkan informasi yang cukup sehingga audit internal bisa mendapatkan informasi yang up to date terkait dengan aktivitas, rencana dan inisiatif bisnis. Kontrol terhadap anggaran dan jalur pelaporan administratif tidak membebani audit internal mencapai sasarannya.

Untuk audit internal yang independen, berikut adalah guideline yang disediakan: audit internal harus independen dalam hal aktifitas audit yang dilakukan dan proses internal rutin yang independen audit internal sebaiknya melaksanakan tugasnya dengan inisiatif sendiri di semua departemen dan fungsi yang ada di organisasi audit internal sebaiknya bebas melaporkan temuannya dan penilaiannya dan mengungkapkannya secara internal ketua audit internal sebaiknya memiliki otoritas yang jelas untuk berkomunikasi secara langsung dan dengan insiati sendiri kepada dewan komisaris, ketua dewan dan anggota komite audit Manfaat dan tantangan yang dapat muncul pada pelaporan lansung ke komite audit Manfaat: kemapuan untuk mendahului seluruh departemen tanpa batasan ruang lingkup kerja yang ada dewan komisaris dan komite audit mendapatkan informsi yang sebenarnya tanpa proses filterisasi independensi audit internal yang absolut anggaran audit internal yang di luar anggaran normal sehingga memungkinkan sumber daya yang dialokasikan sesuai dengan apa yang dibutuhkan untuk assurance yang dinilai oleh dewan komisaris atau komite audit memungkinkan dewan komisaris atau komite audit untuk menganalisa secara langsung dan kritis serta mengevluasi fungsi internal audit dalam memenuhi tanggung jawab dewan komisaris terhadap kontrol internal memperkuat pengetahuan dan profil resiko dewan komisaris atau komite audit ketika berurusan dengan manajer Kerugian internal audit tidak bisa mendapatkan semua rahasia umum karena strukturnya di luar manajemen.

 Ketua komite audit kemungkinan tidak bisa mengalokasikan waktu dan sumber daya yang cukup
untuk mengawasi fungsi audit internal

perlunya dibuat charter dengan poin yang spesifik yang menjelaskan perand an tanggung jawab
dari komite audit terhadap audit internal

asumsi komite audit yang beranggapan lebih banyak tanggung jawab lebih banyak kewajiban
untuk kecukupan kontrol internal dan sistem resiko di dalam organisasi berpontensi menghambat CEO untuk menggunakan audit internal untuk memperkuat prinsip kontrol atau pada proyek khusus. Overview Kasus Bank Mega Kasus bank mega yang menimpa PT. Elnusa dan Pemda Batu Bara, Sumatra Utara adalah pelarian dana nasabah yang dilakukan oleh pihak internal bank dengan modus penempatan dana dengan modus bunga/return yang tinggi. Yang dilakukan adalah mendekati nasabah kakap untuk menempatkan dana mereka pada deposito berjangka di bank mega dengan bunga/return yang tinggi. Kemudian setelah ditempatkan di deposito berjangka, pihak internal bank mega yang sudah menjadi jaringan pengggasak dana nasabah, merubahnya sebagai deposit on call yang mana dana tersebut bisa ditarik kapan pun. Kemudian dengan tanda tangan yang dipalsukan dari kedua pihak yang memindahkan dana tersebut maka advis atau surat kepemilikan deposito tersebut diubah menjadi deposit on call dari sebelumnya deposit berjangka. Pada akhirnya dana tersebut, untuk Elnusa ditempatkan di dua perusahaan investasi yaitu PT Discovery Indonesia dan PT Harvestindo Investama. Bahkan CFO dari PT Elnusa mengetahui pada saat pembobolan di Bank Mega senilai Rp 111 miliar. CFO dan Direktur Elnusa pada saat itu menerima masing-masing Rp 5 miliar dan Rp 2.5 miliar untuk imbalan. Meskipun tanda tangan direktur Elnusa dipalsukan oleh CFO. Keterangan dari audit internal Elnusa pun menyatakan penempatan dana di deposito sesuai dengan prosedur. Bahkan audit eksternal dari Ernst & Young juga menunjukkan hal yang sama. Sedangkan dana Pemda Batu Bara dicairkan dan ditransfer PT Pacific Fortune dan PT Noble Mandiri Investment. Kedua perusahaan tersebut diketahui fiktif. Kemudian sisanya, sekitar 20 persen, dibagikan sebagai fee. Untuk menutupi niat jahatnya pelaku rutin membayar return dari penempatan dana tersebut. Sehingga deposit yang ditanam seolah-olah berbunga. Kasus pembobolan ini diotaki oleh Richard Latief yang mempunyai anak buah di PT Harvestindo Asset Management, PT Discovery Indonesia yang menjabat jabatan penting. Dari PT Harvestindo, Richard memiliki kaki tangan bernama Ivan C.H. Lita yang menjabat sebagai dewan komisaris. Sedangkan dari Discovery Indonesia adalah Rahman Hakim yang merupakan direktur dari perusahaan tersebut. Penggunaan kantor cabang yang untuk membobol dana sering digunakan. Dalam kasus Bank Mega ini, digunakan Bank Mega cabang Jababeka, diakibatkan karena lemahnya pengawasan kantor cabang oleh BI. Dalam menanggapi kasus ini Bank Mega merespon dengan menonaktifkan sementara KCP Jababeka untuk memudahkan proses audit internal, melakukan proses audit internal untuk memastikan prosedur yang dilakukan dalam pencairan deposit on call telah sesuai Standard Operational Procedure (SOP) atau tidak dan mengurangi wewenang cabang. Kami menilai proses audit internal yang baru dilakukan Bank Mega setelah terjadinya kasus pembobolan seperti ini sebagai paradigma yang salah dan sudah terlambat. Seharusnya proses audit internal perusahaan dilakukan secara berkelanjutan untuk memastikan proses bisnis yang dilakukan perusahaan dapat terbebas dari fraud, inefisiensi,

penyimpangan strategi danterutama dalam kasus inipelanggaran SOP. Hal ini juga menunjukkan bahwa perangkat audit internal Bank Mega tidak berjalan dengan baik dan tidak dilakukan dilakukan secara berkelanjutan dan menyeluruh. Apabila Bank Mega telah melakukan audit internal dengan baik dan cukup maka proses audit yang diadakan setelah munculnya kasus ini tidak akan diperlukan karena pihak direksi, BI dan kepolisian hanya tinggal memeriksa working paper audit internal yang sudah ada. BI juga mendeteksi pelanggaran ketentuan intern dan kelemahan dalam manajemen risiko Bank Mega setelah dilakukan pemeriksaan khusus. Hal ini tercermin dari kelemahan sistem dan prosedur (SOP) dan pengendalian internal sebagaimana diatur dalam PBI No.5/8/PBI/2003 yang telah diubah dengan PBI No.11/25/PBI/2009 tentang Penerapan Manajemen Risiko Bagi Bank Umum. Selain BI, Fitch ratings juga merespon atas lemahnya pengendalian internal ini. Fitch Ratings telah menetapkan peringkat Nasional Jangka Panjang A+(idn) dan peringkat utang subordinasi A(idn) untuk Bank Mega dalam Rating Watch Negative. Dalam siaran persnya, Selasa, 31 Mei 2011, Fitch menegaskan kembali peringkat individu di D dan peringkat dukungan di 4. Penetapan ini sejalan dengan pengumuman dari Bank Indonesia yang telah menjatuhkan sanksi terhadap Bank Mega atas lemahnya pengendalian internal. Menurut Deputi Gubernur BI Muliaman D. Hadad kelemahan prosedur juga ditandai dengan belum adanya prosedur pembukaan rekening tanpa kehadiran calon nasabah dan penetapan tata cara pemberian data nasabah pada pihak ketiga termasuk Kantor Akuntan Publik dan belum dilakukan peninjauan kembali terhadap penetapan limit di kantor cabang pembantu. Bi juga menemukan adanya perangkapan fungsi marketing dan otorisasi nasabah baru oleh pimpinan KCP dan dalam pengendalian internal ditemukan kelemahan pengawasan KC dan Kanwil terhadap KCP, kelemahan atas pemantauan kewajaran transaksi nasabah serta lemahnya pemantauan atas perubahan gaya hidup pegawai (prinsip know your employee) dikaitkan dengan posisi jabatannya. Atas pelanggaran-pelanggaran ini Bank Indonesia memberikan sanksi kepada Bank Mega dengan menghentikan penambahan nasabah Deposit on call (Doc) baru dan menghentikan perpanjangan Doc lama, termasuk untuk produk sejenis, seperti Negotiable Certificate of Deposit (NCD) selama satu tahun. Selain itu BI juga menghentikan pembukaan jaringan kantor baru selama satu tahun. Selain sanksi diatas BI juga melakukan fit and proper test ulang terhadap manajemen dan pejabat eksekutif Bank Mega. BI juga menginstruksikan Bank Mega untuk: 1. Me-review seluruh kebijakan dan prosedur, khususnya aktivitas pendanaan (funding) termasuk penetapan target, limit dan kewenangan untuk kantor cabang, kantor cabang pembantu, kantor kas dan individu, baik nominal maupun suku bunga, pengaturan wilayah kerja kantor serta mekanisme inisiasi nasabah baru. 2. Memperbaiki fungsi internal control dan risk management, termasuk kecukupan jumlah auditor di setiap kantor, proses check and balance baik melalui tahapan kewenangan maupun sistem, fungsi pengawasan kantor pusat terhadap kantor-kantor dibawahnya dan prinsip know your employee. 3. Memberhentikan pegawai di bawah pejabat eksekutif yang terlibat dalam kasus dana nasabah PT. Elnusa dan dana Pemkab Batubara, Sumatera Utara di KCP Bekasi Jababeka. 4. Segera membentuk escrow account senilai dana PT. Elnusa dan Pemkab Batubara, Sumatera Utara di KCP Bekasi Jababeka. Pencairan escrow account tersebut hanya dapat dilakukan dengan persetujuan BI dalam hal sudah tidak terdapat sengketa antara bank dengan nasabah, baik yang diselesaikan melalui keputusan pengadilan yang berkekuatan hukum tetap atau melalui kesepakatan para pihak. (per 24 Mei 2011)