Audit Internal

Dr. Eddy RS, MH

 Auditor Internal
The Institute of Internal Audit (IIA) sebagai lembaga konsorsium auditor internal secara internasional
telah mendefinisikan audit internal sebagai berikut:
Internal auditor is an independent, objective assurance and consulting activity designed to add value and improve an
organizations operation. It helps an organization accomplish its objectives by bringing a systematic disciplined approach
to evaluate and improve the effectiveness of risk management, control, and governance process.
Kegiatan assurance dan konsultasi dilakukan secara independen dan objektif yang dirancang untuk
memberikan nilai tambah dan meningkatkan kegiatan operasi organisasi. Audit internal membantu
organisasi mencapai tujuan melalui suatu pendekatan yang sistematik dan teratur untuk mengevaluasi
dan meningkatkan efektivitas pengelolaan resiko, pengendalian, dan tata kelola.
Terdapat pergeseran filosofi dari paradigma lama menuju paradigma baru mengenai peran dan fungsi
audit internal di organisasi, yaitu peran sebagai watchdog yang telah berlangsung sekitar tahun 1940
menjadi peran sebagai konsultan setelah tahun 1970.
Abad 21, auditor internal lebih berorientasi sebagai strategic business partner bagi manajemen dan
dewan direksi. Pendekatan perencanaan audit lebih difokuskan pada risk-based audit sehingga auditor
internal dalam penyusunan perencanaan audit tahunan terlibat dalam indentifikasi dan analisis resiko-
resiko bisnis yang dihadapi organisasi.

Istilah Satuan Kerja Audit Internal (SKAI) digunakan untuk menyebutkan unit kerja di dalam organisasi
yang menjalankan fungsi audit internal.
Fungsi: Audit Internal Memberikan Nilai
Tambah Bagi Perusahaan

Lingkup audit internal meliputi mengevaluasi dan memberikan

kontribusi bagi peningkatan tata kelola, manajemen risiko dan
proses pengendalian dengan menggunakan pendekatan yang
sistematis dan disiplin.
 Tata Kelola 1

Aktivitas audit internal harus mengevaluasi dan membuat rekomendasi yang sesuai untuk
peningkatan proses tata kelola dalam pencapaian tujuan-tujuan sebagai berikut:
1. Mempromosikan etika dan nilai-nilai yang sesuai dalam organisasi;
2. Memastikan bahwa pengelolaan dan akuntabilitas kinerja organisasi telah efektif;
3. Mengkomunikasikan informasi risiko dan pengendalian pada area yang sesuai dalam
organisasi; dan
4. Mengkoordinasikan kegiatan dan mengkomunikasikan informasi secara efektif diantara
Dewan Pengawas, auditor eksternal dan internal, serta manajemen.

Aktivitas audit internal harus mengevaluasi rancangan, penerapan, dan efektivitas sasaran,
program, dan kegiatan terkait etika organisasi.
Aktivitas audit internal harus menilai apakah tata kelola teknologi informasi organisasi
telah mendukung strategi dan tujuan organisasi.
 Manajemen Risiko 2
Aktivitas audit internal harus mengevaluasi efektivitas dan memberikan kontribusi pada peningkatan
proses manajemen risiko.
Interpretasi:
Menentukan apakah proses manajemen resiko telah efektif merupakan hasil keputusan dari penilaian
auditor internal bahwa:
1. Dukungan tujuan organisasi dan menyelaraskan dengan misi organisasi;
2. Risiko signifikan telah didefinisikan dan dinilai;
3. Respon risiko yang sesuai telah dipilih untuk menyelaraskan risiko dengan minat risiko organisasi;
4. Informasi risiko yang relevan diterima dan dikomunikasikan tepat waktu di seluruh unit
organisasi sehingga memungkinkan staf, manajemen, dan dewan untuk melaksanakan tanggung
jawabnya.
Aktivitas audit internal dapat memperoleh informasi untuk mendukung penilaian tersebut dari
berbagai penugasan. Hasil berbagai penugasan tersebut, apabila dilihat secara bersamaan, akan
memberikan pemahaman proses manajemen risiko organisasi dan efektivitasnya. Proses manajemen
risiko dipantau melalui aktivitas manajemen yang berkelanjutan, evaluasi terpisah, atau keduanya.
 Manajemen Risiko 2
Aktivitas audit internal harus mengevaluasi eksposur risiko terkait dengan tata kelola, operasi, dan
sistem informasi organisasi, mencakup:
1. Pencapaian tujuan strategis organisasi;
2. Reliabilitas dan integritas informasi keuangan dan operasi;
3. Efektivitas dan efisiensi operasi dan program;
4. Pengamanan aset; dan
5. Kepatuhan terhadap hukum, peraturan perundangundangan, kebijakan, prosedur dan kontrak.
Aktivitas audit internal harus mengevaluasi potensi timbulnya kecurangan dan bagaimana
organisasi mengelola risiko tersebut.
Selama penugasan konsultansi, auditor internal harus memperhatikan risiko yang terkait dengan
tujuan penugasan serta harus waspada terhadap risiko lain yang signifikan.
Auditor Internal harus menerapkan pengetahuan mengenai risiko yang diperolehnya melalui
penugasan konsultansi dalam penugasan evaluasi proses manajemen risiko organisasi.
Ketika membantu manajemen dalam penyusunan atau peningkatan proses manajemen risiko,
auditor internal harus menolak menerima tanggung jawab manajemen yang sebenarnya melakukan
pengelolaan risiko.
 Pengendalian 3

Aktivitas audit internal harus membantu organisasi memelihara pengendalian yang

efektif dengan cara mengevaluasi efisiensi dan efektivitasnya serta mendorong
pengembangan berkelanjutan.
Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas pengendalian
dalam merespon risiko dalam proses governance, operasi, dan sistem informasi
organisasi, yang mencakup:
1. Pencapaian tujuan strategis organisasi;
2. Reliabilitas dan integritas informasi keuangan dan operasi;
3. Efektivitas dan efisiensi operasi dan program;
4. Pengamanan aset; dan
5. Ketaatan terhadap hukum, peraturan, kebijakan, prosedur dan perjanjian kontrak.
Auditor Internal harus menggabungkan pengetahuannya mengenai pengendalian yang
diperolehnya melalui penugasan konsultansi dalam penugasan evaluasi proses
pengendalian organisasi.
 Komunikasi Hasil Penugasan 1

Auditor Internal harus mengomunikasikan hasil penugasannya

i. Kriteria Komunikasi
Komunikasi harus mencakup tujuan, ruang lingkup penugasan, serta
kesimpulan, rekomendasi, dan rencana tindak lanjutnya.
1. Komunikasi final hasil penugasan, bila memungkinkan harus memuat pendapat
dan/atau kesimpulan.
2. Auditor Internal dianjurkan untuk memberi apresiasi dalam komunikasi hasil
penugasan terhadap kinerja yang memuaskan dari kegiatan yang diperiksa.
3. Ketika hasil penugasan disampaikan kepada pihak di luar organisasi, maka harus
disebutkan pembatasan distribusi dan penggunaan hasil penugasan.
4. Komunikasi tentang kemajuan dan hasil penugasan konsultasi akan bervariasi
dalam bentuk dan isi bergantung pada sifat penugasan dan kebutuhan klien.
Komunikasi Hasil Penugasan 2

ii. Kualitas Komunikasi - Komunikasi yang disampaikan harus akurat, objektif, jelas, ringkas,
konstruktif, lengkap, dan tepat waktu.

Interpretasi:
Komunikasi yang akurat berarti bebas dari kesalahan dan distorsi, dan didasarkan
atas fakta. Komunikasi yang objektif berarti adil, tidak memihak, tidak berat sebelah, dan
merupakan hasil dari pemikiran adil dan seimbang atas seluruh fakta dan keadaan
yang relevan.
Komunikasi yang jelas berarti mudah dipahami dan logis, terhindar dari
pemakaian istilah teknis yang tidak penting dan menyajikan seluruh informasi
yang signifikan dan relevan. Komunikasi yang ringkas berarti langsung pada masalahnya, dan menghindari
uraian yang tidak perlu, detail yang berlebihan, pengulangan, dan terlalu panjang.
Komunikasi yang konstruktif berarti memiliki sifat membantu klien penugasan dan organisasi, dan
tertuju pada upaya perbaikan yang diperlukan. Komunikasi yang lengkap berarti tidak meninggalkan hal-
hal penting bagi pengguna hasil penugasan dan telah mencakup seluruh informasi dan observasi signifikan
dan relevan untuk mendukung kesimpulan dan rekomendasi. Komunikasi yang tepat waktu berarti pada
waktunya dan bermanfaat dengan mempertimbangkan tingkat signifikansi isu sehingga memungkinkan
manajemen dapat melakukan tindakan koreksi yang tepat.
 Komunikasi Hasil Penugasan 3

Kesalahan dan Kelalaian

Jika komunikasi akhir mengandung kesalahan atau kealpaan, Kepala Audit Internal harus mengkomunikasikan
informasi yang telah dikoreksi kepada semua pihak yang sebelumnya telah menerima komunikasi asli.

iii. Penggunaan frasa Dilaksanakan sesuai dengan SIPPAI (Standar Internasional Praktik Profesional Audit
Internal)
Auditor Internal dapat melaporkan bahwa hasil penugasannya Dilaksanakan sesuai dengan Standar Internasional
Praktik Profesional Audit Internal, hanya jika hasil program, jaminan kualitas dan peningkatan kualitas mendukung
pernyataan tersebut.

Pengungkapan Ketidakpatuhan
Ketika terdapat ketidakpatuhan terhadap definisi audit internal, kode etik, atau standar berdampak pada suatu
penugasan, dalam komunikasi hasil penugasan harus diungkapkan:
1. Prinsip atau aturan perilaku pada Kode Etik, atau Standar yang tidak sepenuhnya dipatuhi;
2. Alasan ketidakpatuhan; dan
3. Dampak ketidakpatuhan tersebut terhadap penugasan dankomunikasi hasil penugasan.
 Komunikasi Hasil Penugasan 4
iv. Diseminasi Hasil Penugasan
Kepala Audit Internal harus mengkomunikasikan hasil penugasan kepada pihak yang berkepentingan.
Interpretasi:
Kepala SKAI bertanggungjawab memeriksa dan menyetujui komunikasi final penugasan sebelum diterbitkan, serta
menentukan bagaimana dan kepada siapa komunikasi tersebut akan disampaikan.
Kepala SKAI bertanggungjawab mengkomunikasikan hasil akhir penugasan kepada pihak-pihak yang dapat memastikan
bahwa hasil penugasan akan diperhatikan.
Apabila tidak ditentukan lain oleh hukum, ketentuan, atau peraturan perundang-undangan yang berlaku, sebelum
menyampaikan hasil penugasan kepada pihak di luar organisasi, Kepala Audit Internal harus:
1. Menilai potensi risiko yang dihadapi organisasi;
2. Berkonsultansi dengan manajemen senior dan/atau ahli hukum seperlunya; dan
3. Membatasi penyampaian hasil penugasan dengan melakukan pembatasan penggunaan hasil penugasan.

Kepala Audit Internal bertanggungjawab mengkomunikasikan hasil akhir penugasan konsultansi kepada klien.
Selama penugasan konsultansi, permasalahan tata kelola, manajemen risko, dan pengendalian, dapat sekaligus
diidentifikasi. Apabila isu tersebut berpengaruh signifikan terhadap organisasi, maka hal tersebut harus
dikomunikasikan kepada Manajemen Senior dan Dewan.
 Komunikasi Hasil Penugasan 5
v. Opini Keseluruhan
Ketika opini keseluruhan dikeluarkan, harus memperhatikan ekspektasi Manajemen Senior, Dewan,
serta pemangku kepentingan lainnya, dan harus didukung oleh informasi yang cukup, reliabel,
relevan dan bermanfaat.
Interpretasi:
Komunikasi penugasan mengidentifikasi:
1. Ruang lingkup, termasuk periode waktu yang terkait dengan pendapat umum
tersebut;
2. Batasan ruang lingkup;
3. Pertimbangan terhadap proyek terkait lainnya termasuk keterkaitannya
dengan penyedia jasa asurans lain;
4. Risiko atau kerangka pengendalian, atau kriteria lain yang dipergunakan
sebagai dasar pengungkapan pendapat umum (opini); dan
5. Pendapat (opini), pertimbangan, atau kesimpulan yang bersifat umum yang
dapat ditarik.
6. Alasan atas pendapat umum yang tidak memuaskan harus dijelaskan.
 Komunikasi Hasil Penugasan 6
Pemantauan Tindak Lanjut
Kepala Audit Internal harus menetapkan dan memelihara sistem untuk memantau disposisi atas hasil penugasan yang
telah dikomunikasikan kepada manajemen.
Kepala Audit Internal harus menetapkan proses tindak lanjut untuk memantau dan memastikan bahwa manajemen
senior telah melaksanakan tindakan perbaikan secara efektif, atau menerima risiko untuk tidak melaksanakan
tindakan perbaikan.
Aktifitas audit internal harus memantau disposisi hasil penugasan konsultansi untuk memantau tindakan perbaikan
yang telah dilakukan oleh klien sesuai dengan hasil kesepakatan penugasan konsultansi.

Resolusi Penerimaan Resiko Oleh Manajemen

Jika Kepala Audit Internal menyimpulkan bahwa manajemen telah menanggung risiko yang tidak dapat ditanggung
oleh organisasi, Kepala Audit Internal harus membahas masalah ini dengan manajemen senior. Jika Kepala Audit
Internal meyakini bahwa permasalahan tersebut belum terselesaikan, maka Kepala Audit Internal harus
mengkomunikasikan hal tersebut kepada Dewan Pengawas.
Interpretasi:
Identifikasi atas risiko yang diterima oleh manajemen dapat dilakukan melalui penugasan asurans maupun
konsultansi, monitoring perkembangan atas tindakan yang dilakukan manajemen atas hasil penugasan sebelumnya,
atau melalui media lainnya. Mengatasi risiko bukan merupakan tanggung jawab dari Kepala Audit Internal
Fungsi Audit Internal

Satuan Kerja Audit internal memiliki peran audit internal pada perusahaan. Dalam
menjalankan fungsi tersebut , terdapat beberapa pihak yang harus didefinisikan
dengan jelas tugas masing-masing level dalam SKAI. Pihak pihak yang dapat
didefinisikan dalam struktur organisasi SKAI adalah Kepala SKAI, Manajer Audit
Internal, dan staf auditor.

Agar berjalan dengan efektif dan efisien maka SKAI dapat mendesain struktur
organisasi sesuai dengan kebutuhan di organisasi. Dalam model piagam aktivitas
audit internal yang diterbitkan oleh Institude of Internal Auditors (IIA) disebutkan
bahwa lingkup audit internal tidak terbatas hanya pada pemeriksaan , evaluasi
kecukupan, efektivitas tata kelola organisasi, manajemen risiko, dan pengendalian
internal dalam rangka melaksanakan tanggung jawab yang ditugaskan untuk
mencapai tujuan dan sasaran yang dinyatakan organisasi, tetapi lebih rinci dalam 13
poin
 partner

Fungsi Audit Internal menurut IIA strategis tone

at the top
organisasi
1. Mengevaluasi risk exposure yang berkaitan dengan pencapaian tujuan organisasi yang strategis
2. Mengevaluasi keandalan dan integritas informasi dan cara yang digunakan untuk mengidentifikasi, mengukur, mengklasifikasi dan
melaporkan informasi tersebut.
3. Mengevaluasi penyediaan sistem untuk memastikan kepatuhan dengan kebijakan-kebijakan, rencana, prosedur, hukum, dan
peraturan yang dapat memiliki dampak yang signifikan pada organisasi.
4. Mengevaluasi sarana asset pengamanan dan, jika perlu, memverifikasi keberadaan asset tersebut
5. Mengevaluasi efektivitas dan efisiensi sumber daya yang digunakan
6. Mengevaluasi operasi atau program untuk memastikan apakah hasilnya konsisten dengan tujuan yang dibuat serta sasaran dan
apakah operasi atau program yang sedang dilakukan telah sesuai sebagaimana direncanakan
7. Memantau dan mengevaluasi proses tata kelola
8. Memantau dan mengevaluasi efektivitas manajemen risiko organisasi proses
9. Mengevaluasi kualitas kinerja audit eksternal dan tingkat koordinasi dengan audit internal
10. Melakukan konsultasi dan jasa konsultasi terkait dengan tata kelola, manajemen risiko dan kontrol yang sesuai untuk organisasi
11. Membuat laporan berkala pada aktivitas audit internal tentang tujuan, wewenang, tanggung jawab, dan kinerja relatif terhadap
rencananya
12. Membuat laporan signifikan risk exposure dan masalah pengendalian, termasuk risiko kecurangan, isu-isu pemerintahan, dan hal
lain yang diperlukan atau diminta oleh dewan
13. Mengevaluasi operasi tertentu atas permintaan dewan atau manajemen
 PERAN AUDITOR INTERNAL DALAM
1
PENGENDALIAN PERUSAHAAN
Petikan International Standars for the Professional Practice of Internal Auditing (IPPF)
Control
The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and
by promoting continuous improvement.
The internal audit activity must evaluate the adequacy and effectiveness of controls in responding to risks within the organization's
governance, operations, and information systems regarding the:
1. Achievement of the organizations strategic objectives
2. Reliability and integrity of financial and operational information;
3. Effectiveness and efficiency of operations and programs;
4. Safeguarding of assets; and
5. Compliance with laws, regulations, policies, procedures, and contracts.
Internal auditors must incorporate knowledge of controls gained from consulting engagements into evaluation of the organization's
control processes
 PERAN AUDITOR INTERNAL DALAM
2
PENGENDALIAN PERUSAHAAN
IPPF mengharuskan audit internal membantu organisasi dalam memelihara pengendalian internal
yang efektif dengan cara mengevaluasi kecukupan, efisiensi dan efektivitas pengendalian tersebut,
serta mendorong peningkatan pengendalian internal secara berkesinambungan.
1. Peran Auditor adalah membantu manajemen dalam memelihara system pengendalian yang
memadai dengan cara:
2. Menaksir area beresiko tinggi yang merupakan tujuan utama dari pengendalian
3. Mendefinisikan dan menjalankan program untuk meninjau system pencegah resiko
4. Meninjau setiap system dengan melakukan pengujian evaluasi terhadap system pengendalian
internal untuk mempertimbangkan pencapaian kelima tujuan pokok pengendalian
5. Memberi masukan kepada manajemen apakah pengendalian berjalan dengan tepat dan efektif
atau tidak, apakah pelaksanaannya mendorong pencapaian tujuan system atau pengendalian
6. Merekomendasikan saran yang diperlukan untuk memperbaiki system pengendalian
7. Melakukan audit tindak lanjut untuk mengetahui apakah manajemen telah melakasanakan
rekomendasi audit yang telah disepakati
 PERAN AUDITOR INTERNAL DALAM
3
PENGENDALIAN PERUSAHAAN
Berdasarkan penaksiran risiko, auditor internal mengevaluasi kecukupan dan
efektivitas pengendalian di dalam tata kelola organisasi, kegiatan operasi, dan
system informasi yang mencakup lima aspek kunci berikut:
1. Pencapaian tujuan strategis organisasi
2. Keandalan dan integritas atas catatan keuangan dan informasi operasi
3. Efektivitas dan efisiensi kegiatan operasi dan program
4. Pengamanan asset organisasi
5. Kepatuhan terhadap peraturan perundang-undangan
Three Lines of Defence (3LD)

Model 3LD membedakan antara fungsi-fungsi bisnis sebagai fungsi-fungsi

pemilik risiko (owning risks/risk owner) terhadap fungsi-fungsi yang
menangani risiko (managing risks), dan antara fungsi-fungsi yang mengawasi
risiko (overseeing risks) dengan fungsi-fungsi yang menyediakan pemastian
independen (independent assurance). Kesemua fungsi tersebut memainkan
peran penting dalam platform Enterprise Risk Management (ERM) baik
untuk organisasi korporasi perbankan atau sektor riil, maupun organisasi-
organisasi pemerintahan.
Model Pertahanan Tiga Lapis
 Tipe Penugasan Audit Internal
1. Audit Keuangan: merupakan audit yang dilakukan terhadap transaksi, catatan akuntansi, dan laporan keuangan baik di tingkat bagian atau tingkat laporan keuangan
perusahaan pusat. Pada aspek pengendalian, auditor memastikan transaksi tersebut telah diotorisasi, disajikan dalam catatan akuntansi dan diungkapkan dalam
laporan keuangan secara tepat dan akurat.
2. Audit Non Keuangan
a. Audit Kepatuhan dilakukan untuk menentukan apakah aktivitas dan/atau entitas telah mematuhi hukum, peraturan, kebijakan, dan prosedur yang dibuat
oleh organisasi dan oleh pihak-pihak yang mengikat misalnya terkait peraturan pemerintah tentang kepatuhan perpajakan, upah minimum, dan lainnya.
Auditor biasanya memberikan rekomendasi untuk perbaikan dalam pengendalian dan proses yang digunakan untuk mematuhi berbagai peraturan.
b. Audit Kinerja untuk menentukan bagaimana suatu entitas atau unit kerja mengelola penggunaan sumber daya secara ekonomis, efektif, dan efisien dalam
memenuhi misi dan tujuan entitas. Pengelolaan sumber daya yang dimaksud meliputi prosedur, proses, dan kinerja peronel yang melaksanakan fungsi
pengelolaaan tersebut.
c. Tinjauan Struktur Pengendalian Internal merupakan audit yang bertujuan untuk menilai efektivitas dan efisiensi aktivitas unit kerja, keandalan proses
laporan keuangan, kesesuaian dengan peraturan yang berlaku dan pengamanan aset unit kerja. Audit ini dilaksanakan seiring dengan pelaksanaan audit
keuangan bagi unit yang sudah membuat laporan keuangan dan dilaksanakana tersendiri bagi unit yang tidak memiliki kewajiban untuk membuat laporan
keuangan.
d. Audit Pengadaan merupakan fungsi audit internal yang mengawasi pelaksanaan pengadaan barang dan/atau jasa di lingkungan entitas. Pengawasan meliputi
seluruh proses pengadaan barang atau jasa dari pemeriksaaan RAB sampai dengan penyerahan barang atau jasa yang diminta. Audit fisik merupakan bagian
dari audit kepatuhan dan lebih efektif untuk mencegah timbulnya kecurangan.
e. Audit Sistem Informasi bertujuan untuk menelaah pengendalian internal dari sistem informasi dan bagaimana orang menggunakan sistem tersebut. Audit
yang dilakukan berupa evaluasi sistem input, output, dan proses, backup dan recovery plant, sistem keamanan dan fasilitas sistem informasi.
3. Audit Tujuan Khusus
a. Follow-up audit dilaksanakan sebagai tindak lanjut dari hasil audit yang telah dilakukan sebelumnya. Audit ini dilakukan baik berdasarkan permintaan dari
auditee maupun berdasarkan perintah dari entias.
b. Audit Investigasi dilaksanakan jika terdapat indikasi adanya penggelapan penyimpangan dan atau penyalahgunaan wewenang dalam suatu unit kerja yang
menyebabkan timbulnya kerugian pada entitas.
c. Audit Identifikasi dilaksanakan untuk mengidentifikasi unit-unit kerja yang berada di bawah unit organisasi atau memakai nama organisasi namun belum jelas
posisinya dalam organisasi. Tujuan audit adalah untuk memastikan keberadaan unit kerja di bawah organisasi telah memiliki legitimasi baik prosedural
maupun fungsional yang membawa identitas organisasi.
.Sekian.