Ujian Sertifikasi CIA Akan Berubah Menjadi 3 Parts

By

auditorinternal

Common body of knowledge Audit Internal yang terus berkembang secara langsung telah mempengaruhi pula rumusan kerangka kompetensi seorang auditor internal. Perkembangan-perkembangan ini telah mendorong IIA untuk melakukan penilaian ulang terhadap materi-materi yang diujikan dalam sertifikasi CIA (Certified Internal Auditor). Job analysis  study yang dilakukan IIA tahun 2011 lalu, antara lain menyimpulkan perlunya dilakukan perubahan dalam ujian sertifikasi CIA.
Kapan akan diimplementasikan perubahan tersebut?
IIA menjadwalkannya pada pertengahan tahun 2013. Masih cukup lama. Namun penting bagi Anda yang sedang menyusun strategi mengikuti ujian untuk menyiasati periode transisi dari sekarang!
Lantas, apa sajakah yang berubah?
Yang paling mudah ditandai sekaligus terpenting adalah jumlah parts yang harus diikuti. Bila dalam format ujian CIA yang lama terdiri dari 4 parts, maka dalam format ujian yang baru hanya akan terdiri dari 3 parts. Ketiga parts tersebut adalah:

1. Ujian Part 1: Internal Auditing Basics (2.5 jam, 125 soal). Materinya berfokus pada mandatory guidance, pengendalian internal dan risiko, serta alat dan teknik dalam penugasan audit.
2. Ujian Part 2: Internal Audit Practice (2 jam, 100 soal). Materinya berfokus pada pengelolaan fungsi audit internal, pengelolaan penugasan, serta risiko dan pengendalian kecurangan.
3. Ujian Part 3: Internal Audit Knowledge Elements (2 jam, 100 soal). Materinya berfokus pada GRC, komunikasi, struktur organisasi dan proses bisnis, kepemimpinan, manajemen keuangan, IT/business continuity, dan lingkungan bisnis global.

Bagi Anda yang pernah mengikuti ujian CIA atau cukup familiar dengan format ujian yang lama, akan tampak bahwa format ujian baru ini ‘hanya’ menghilangkan Ujian Part 4 dan kemudian menggabungkannya dengan Ujian Part 3.  Secara umum perkiraan semacam itu tidak terlalu salah, namun untuk persisnya IIA telah membuat mapping perubahan dari ujian format 4 parts ke 3 parts yang dapat dilihat di sini.
Hal penting selanjutnya adalah, PRC4 ditiadakan. PRC4 atau Professional Recognition Credit untuk menggantikan (waive) ujian Part 4 tidak diberlakukan dalam format ujian CIA yang baru. Ini tentu akan mempengaruhi strategi Anda dalam mengikuti ujian. Bagi Anda yang berniat menukarkan gelar profesi yang diakui, sebaiknya segera dilakukan mengingat proses pengakuan dalam PRC4 ini juga memerlukan waktu.
Bagi Anda yang berencana mengikuti ujian nanti setelah diberlakukan format baru, tentu tidak ada masalah. Anda tinggal bersiap dengan silabus yang baru dan mengikuti format baru dari awal. Lalu, bagaimana dengan Anda yang telah mengikuti atau bahkan telah lulus beberapa parts ujian dalam format ujian yang lama?
Berikut ini ringkasan panduannya:

• Bila Anda telah lulus Ujian Part 1 dan/atau 2  (lama), maka akan tetap diakui (tidak perlu mengulang dalam format baru)
• Bila Anda telah lulus Ujian Part 4 (lama), namun belum lulus Ujian Part 3 (lama), Anda harus mengulang ujian Part 3 dalam format baru.
• Bila Anda telah lulus Ujian Part 3 (lama), namun belum lulus Ujian Part 4, dalam waktu 6 bulan Anda harus lulus Ujian Part 4 atau mengikuti PRC4. Bila gagal, Anda harus mengikuti ujian Part 3 dalam format baru.

Menilai Kecukupan Proses Pengendalian

Sebuah organisasi membangun dan memelihara proses manajemen risiko dan pengendalian yang efektif dengan tujuan untuk mendukung organisasi dalam mengelola risiko dan pencapaian tujuan yang telah ditetapkan dan dikomunikasikan sebelumnya. Proses pengendalian diharapkan dapat memastikan, antara lain, hal-hal sebagai berikut:
Informasi keuangan dan informasi operasional yang handal dan memiliki integritas,
Operasi dilakukan secara efisien dan mencapai sasaran yang ditetapkan,
Aset telah dilindungi, dan
Tindakan dan keputusan organisasi telah sesuai dengan ketentuan perundang-undangan yang berlaku dan kontrak.

Peran manajemen senior adalah untuk mengawasi penetapan, administrasi, serta penilaian sistem dalam proses manajemen risiko dan pengendalian. Sementara itu tanggung jawab manajer lini organisasi adalah memastikan proses pengendalian yang telah ditetapkan tersebut berjalan di area mereka masing-masing. Di lain pihak, auditor internal memberikan layanan pemastian mengenai tingkat efektivitas proses manajemen risiko dan pengendalian yang berjalan.

CAE menyusun dan menyampaikan pendapat keseluruhan (overall opinion) mengenai kecukupan dan efektivitas proses pengendalian. Penyampaian pendapat tersebut oleh CAE didasarkan pada bukti audit yang cukup yang diperoleh melalui audit dan, bila diperlukan, juga didasarkan pada hasil pekerjaan penyedia pemastian lainnya. CAE mengomunikasikan pendapat tersebut kepada manajemen senior dan Dewan.

CAE mengembangkan rencana audit internal yang dirancang untuk mendapatkan bukti yang memadai untuk mengevaluasi efektivitas dari proses pengendalian. Rencana tersebut mencakup penugasan audit dan/atau prosedur lain untuk memperoleh bukti audit yang cukup dan relevan pada semua unit utama dan fungsi bisnis yang akan dinilai, serta penelaahan terhadap pengendalian utama dalam proses operasi di seluruh organisasi. Rencana tersebut harus fleksibel sehingga penyesuaian dapat dilakukan sepanjang tahun untuk menyesuaikan dengan perubahan strategi manajemen, kondisi eksternal, area berisiko besar, atau revisi asumsi/ekspektasi dalam pencapaian tujuan organisasi.

Rencana audit harus memberikan perhatian khusus terhadap operasi-operasi yang paling terpengaruh oleh perubahan terbaru atau perubahan tak terduga. Perubahan keadaan dapat diakibatkan, antara lain, dari kondisi pasar atau investasi, akuisisi dan divestasi, restrukturisasi organisasi, sistem baru, dan usaha baru.

Dalam menentukan cakupan audit yang diharapkan untuk rencana audit yang diusulkan, CAE perlu mempertimbangkan hasil kerja terkait yang dilakukan oleh pihak lain yang juga memberikan layanan pemastian kepada manajemen senior (misalnya, unit kepatuhan). Rencana audit juga perlu mempertimbangkan hasil audit oleh auditor eksternal dan penilaian yang dilakukan sendiri oleh manajemen dalam proses manajemen risiko, pengendalian, dan peningkatan kualitas.

CAE harus mengevaluasi luasnya lingkup rencana audit yang diusulkan untuk menentukan apakah lingkup tersebut memdai sebagai dasar menyatakan pendapat tentang proses manajemen risiko dan pengendalian organisasi. CAE harus memberitahukan kepada manajemen senior dan Dewan bila terdapat kesenjangan dalam cakupan audit yang mengganggu penyampaian pendapat terhadap semua aspek proses-proses tersebut .

Tantangan utama bagi aktivitas audit internal adalah mengevaluasi efektifitas pengendalian organisasi secara agregat berdasarkan hasil penugasan individual pada beberapa area terpilih. Hasil penilaian sebagian besarnya diperoleh dari penugasan audit internal, review self-assessment manajemen, dan pekerjaan pemberi layanan pemastian lainnya. Seiring dengan berjalannya penugasan-penugasan, auditor internal melaporkan temuan kepada tingkat manajemen yang sesuai secara tepat waktu sehingga tindakan cepat dapat diambil untuk memperbaiki atau mengurangi konsekuensi dari kekurangan atau kelemahan pengendalian yang ditemukan.

Dalam mengevaluasi efektivitas proses pengendalian organisasi secara keseluruhan/agregat, CAE perlu mempertimbangkan apakah:
Terdapat temuan-temuan kekurangan/kelemahanan pengendalian yang signifikan,
Dilakukan tindakan-tindakan perbaikan atas temuan-temuan tersebut
Temuan-temuan tersebut dan konsekuensi-konsekuensi potensial mengarah pada kesimpulan bahwa telah terjadi kondisi pervasif yang mengakibatkan tingkat risiko yang tidak dapat diterima.

Adanya kekurangan atau kelemahan signifikan tidak selalu mengarah pada kesimpulan bahwa kondisi pervasif eksis menimbulkan risiko yang tidak dapat diterima. Auditor internal harus mempertimbangkan sifat dan tingkat eksposur risiko serta tingkat konsekuensi potensial, dalam menentukan apakah efektivitas proses pengendalian dalam kondisi membahayakan dan ada risiko yang tidak dapat diterima.

Laporan CAE tentang proses pengendalian organisasi biasanya disajikan sekali dalam setahun kepada manajemen senior dan papan tulis. Laporan tersebut menyatakan peran penting yang dimainkan oleh proses pengendalian dalam pencapaian tujuan organisasi. Laporan ini juga menggambarkan sifat dan luasnya pekerjaan yang dilakukan oleh aktivitas audit internal, serta sifat dan tingkat reliance terhadap penyedia layanan pemastian lainnya, dalam merumuskan pendapat.


Referensi:

PA 2130-1: Assessing the Adequacy of Control Processes (Jan. 1, 2009)

Dikutip dari : http://auditorinternal.com

Mengelola Risiko Aktivitas Audit Internal

Peran dan pentingnya audit internal telah berkembang pesat, dan ekspektasi para stakeholder kunci juga terus berkembang. Aktivitas audit internal memiliki mandat yang luas untuk meng-cover risiko-risiko keuangan, operasional, teknologi informasi, hukum/peraturan, dan risiko strategis. Pada saat yang sama, banyak aktivitas audit internal menghadapi kesulitan sehubungan dengan ketersediaan personil yang qualified, tingkat kompensasi yang meningkat, serta permintaan yang tinggi untuk sumber daya dengan keahlian khusus (misalnya dalam bidang sistem informasi, fraud, derivatif, pajak).

Kombinasi dari berbagai faktor ini menyebabkan tingkat risiko yang tinggi bagi aktivitas audit internal yang bersangkutan. Oleh karenanya, CAE perlu mempertimbangkan risiko-risiko tersebut dalam pencapaian tujuan aktivitas audit internal. Hal ini sekaligus menunjukkan bahwa aktivitas audit internal juga tidak kebal terhadap risiko. Mereka harus mengambil langkah yang diperlukan untuk memastikan bahwa risiko mereka sendiri juga telah dikelola secara memadai.

Secara garis besar, risiko untuk aktivitas audit internal dapat dibedakan ke dalam tiga kategori:
Kegagalan audit (audit failure),
Keyakinan yang keliru (false assurance), dan
Risiko reputasi.

Pembahasan berikut ini menyoroti atribut-atribut kunci berkaitan dengan risiko-risiko tersebut dan bagaimana langkah-langkah yang perlu diambil oleh aktivitas audit internal untuk memitigasinya.

1. Kegagalan Audit (Audit Failure)

Setiap organisasi dapat saja mengalami kelemahan pengendalian. Ketika kelemahan pengendalian tersebut dimanfaatkan sehingga terjadi kerugian ataupun kecurangan, banyak pihak biasanya akan menanyakan: “Di mana auditor internal?”

Pertanyaan tersebut tidak sepenuhnya keliru, mengingat aktivitas audit internal dapat saja ‘berkontribusi’ dalam terjadinya kerugian tersebut melalui faktor-faktor seperti berikut ini:
Tidak mengikuti Standar Internasional untuk Praktik Profesional Audit Internal.
Program pemastian dan peningkatan kualitas (QAIP-Standard 1300) yang tidak berjalan sebagaimana mestinya, termasuk prosedur untuk memonitor independensi dan objektivitas auditor.
Proses penilaian risiko yang kurang efektif pada saat mengidentifikasi area-area audit yang penting dalam penilaian risiko strategis (rencana tahunan), serta area-area berisiko tinggi dalam perencanaan audit individual. Sebagai akibatnya, kegagalan untuk melakukan audit secara tepat dan/atau waktu yang terbuang karena ketidaktepatan audit tersebut.
Kegagalan untuk mendesain prosedur audit internal yang efektif untuk menguji risiko yang riil beserta pengendalian terkait yang tepat.
Kegagalan untuk mengevaluasi kecukupan desain dan efektifitas pengendalian sebagai bagian dari prosedur audit internal.
Penggunaan tim audit yang tidak memiliki tingkat kompetensi yang tepat berdasarkan pengalaman atau pengetahuan atas area-area yang berisiko tinggi.
Kegagalan untuk menerapkan skeptisisme profesional yang tinggi dan penambahan prosedur audit yang diperlukan atas temuan atau kelemahan pengendalian.
Kegagalan supervisi audit internal yang memadai.
Mengambil keputusan yang keliru ketika menemukan beberapa indikasi kecurangan – seperti, “Ini mungkin tidak material” atau “Kita tidak memiliki waktu atau sumber daya untuk menangani masalah ini.”
Kegagalan untuk mengomunikasikan kecurigaan kepada orang yang tepat.
Kegagalan untuk membuat pelaporan secara memadai.

Kegagalan-kegagalan audit di atas bukan hanya akan memalukan bagi aktivitas audit internal, namun lebih penting lagi juga dapat membawa organisasi tereskpos risiko secara signifikan. Meskipun tidak ada jaminan mutlak bahwa kegagalan audit tersebut tidak akan terjadi, aktivitas audit internal dapat menerapkan praktik-praktik berikut ini untuk mengurangi risiko-risiko tersebut:
Menyusun dan menerapkan secara konsisten program pemastian dan peningkatan kualitas.
Mereview semesta audit (audit universe) secara periodik dengan memastikan metodologi review untuk menentukan kelengkapan semesta audit dengan memperhatikan dinamika profil risiko organisasi.
Mereview rencana audit secara periodik untuk menilai kembali mana tugas yang memiliki risiko yang lebih tinggi. Dengan “penandaan” tugas berisiko tinggi, manajemen aktivitas audit internal memiliki visibilitas yang lebih baik dan memiliki lebih banyak waktu terhadap tugas-tugas kritikal.
Merencanakan audit secara efektif, karena tidak ada pengganti untuk perencanaan audit yang efektif. Proses perencanaan yang menyeluruh dengan mencakup fakta-fakta terkini yang relevan tentang klien, serta penilaian risiko yang efektif, secara signifikan dapat mengurangi risiko kegagalan audit. Selain itu, pemahaman ruang lingkup tugas dan prosedur audit internal yang akan dilakukan, adalah elemen penting dari proses perencanaan, yang juga akan mengurangi risiko kegagalan audit.
Membuat checkpoint yang harus dilakukan oleh manajemen audit internal dalam proses audit, dan memperoleh persetujuan penyimpangan lingkup/prosedur dari rencana yang telah disepakati, juga merupakan pengendalian penting.
Mendesain audit yang efektif. Dalam banyak kasus, cukup banyak waktu yang dihabiskan untuk memahami dan menganalisa desain sistem pengendalian internal untuk menentukan apakah itu memberikan pengendalian yang memadai sebelum memulai pengujian untuk efektivitasnya. Cara ini akan memberikan dasar yang kuat untuk menemukan sebab mendasar/root causes (bukan sekedar gejala), yang terkadang juga merupakan akibat dari desain pengendalian yang kurang. Mengidentifikasi pengendalian yang kurang/hilang ini juga akan mengurangi kemungkinan kegagalan audit.
Menerapkan review manajemen secara lebih dini dan prosedur eskalasi. Keterlibatan manajemen audit internal dalam proses audit internal (yaitu, sebelum penyusunan draf laporan) memainkan peran penting dalam mengurangi risiko kegagalan audit. Keterlibatan di sini bisa berupa review kertas kerja, diskusi terkait dengan temuan secara lebih dini, atau terlibat dalam rapat penutupan (closing meeting). Dengan keterlibatan manajemen aktivitas audit internal dalam proses audit internal secara lebih dini, masalah potensial dalam penugasan dapat diidentifikasi dan dinilai secara lebih dini. Selain itu, aktivitas audit internal perlu juga memiliki prosedur atau pedoman yang menguraikan kapan dan apa jenis isu-isu yang perlu diangkat atau dieskalasi ke tingkat manajemen audit internal.
Alokasi sumber daya yang tepat untuk menetapkan staf yang tepat bagi setiap penugasan audit internal. Hal ini terutama penting ketika merencanakan suatu risiko yang lebih tinggi atau penugasan yang sangat teknis. Memastikan kompetensi yang sesuai ada di tim yang ditugaskan dapat memainkan peran penting dalam mengurangi risiko kegagalan audit. Selain kompetensi yang tepat, penting pula untuk memastikan tingkat pengalaman dalam tim yang bersangkutan, termasuk keterampilan manajemen projek yang kuat bagi mereka yang memimpin penugasan audit internal.

2. Keyakinan yang Keliru (False Assurance)

Aktivitas audit internal mungkin saja secara tidak sengaja memberikan efek keyakinan yang keliru. “False Assurance” adalah suatu keyakinan atau pemastian dari audit beneficiaries yang lebih didasarkan pada persepsi atau asumsi ketimbang fakta. Dalam banyak kasus, fakta dan persepsi tercampur campur baur dalam hal keterlibatan auditor internal pada suatu masalah dapat menyebabkan false assurance. False assurance sering terjadi pada aktivitas-aktivitas yang melibatkan auditor internal dalam penugasan-penugasan di luar penugasan formal audit internal.

Sebagai contoh, sebuah aktivitas audit internal diminta oleh unit bisnis untuk menyediakan auditor demi membantu implementasi sistem komputer baru perusahaan. Dalam kenyataannya auditor yang diperbantukan tersebut hanya membantu beberapa pengujian pada area-area tertentu dalam sistem tersebut sesuai permintaan unit bisnis yang bersangkutan. Tak lama setelah implementasi sistem tersebut, ditemukan kesalahan dalam desain sistem yang mengakibatkan dampak yang cukup serius. Ketika unit bisnis ditanya bagaimana hal tersebut bisa terjadi, mereka menjawab bahwa aktivitas audit internal telah terlibat dalam proses dan tidak mengidentifikasi masalah tersebut. Di sini terlihat inkonsistensi fakta bahwa auditor hanya menguji secara parsial dan bukan dalam rangka penugasan audit sistem informasi secara penuh, dengan persepsi unit bisnis yang bersangkutan bahwa auditor telah terlibat dalam projek.
Meskipun tidak ada mitigasi yang dapat menghilangkan secara keseluruhan risiko false asurance, suatu aktivitas audit internal secara proaktif dapat mengelola risiko ini dengan melakukan komunikasi yang cukup sering dan jelas dengan berbagai pihak. Praktik-praktik lain yang dapat dilakukan antara lain:
Secara proaktif mengomunikasikan peran dan mandat dari aktivitas audit internal kepada komite audit, manajemen senior, dan stakeholder kunci lainnya.
Secara mengomunikasikan apa yang tercakup dalam penilaian risiko, rencana audit internal dan penugasan audit internal. Juga secara eksplisit mengomunikasikan apa yang tidak termasuk dalam lingkup penilaian risiko dan rencana audit internal.
Memiliki mekanisme persetujuan terhadap projek-projek yang dimintakan kepada aktivitas audit internal untuk terlibat. Dalam mekanisme itu ada penilaian peran audit internal dalam projek tersebut dan seberapa besar tingkat risiko yang terkait. Penilaian ini dapat menggunakan pertimbangan: lingkup projek; peran audit internal; ekspektasi pelaporan; kompetensi yang dibutuhkan, dan independensi auditor internal.
Jika auditor internal diperbantukan untuk menambah staf dari suatu projek, dokumentasikan peran mereka dan lingkup keterlibatan mereka, serta potensi gangguan objektivitas dan independensi mereka sebagai auditor internal di masa depan.

3. Risiko Reputasi

Reputasi yang kredibel suatu aktivitas audit internal merupakan bagian penting dari efektivitasnya. Aktivitas audit internal yang dipandang dengan penghormatan tinggi akan mampu menarik para profesional terbaik dan akan sangat dihargai oleh organisasi mereka. Mempertahankan brand yang kuat sangat penting untuk keberhasilan aktivitas audit internal dan kemampuan untuk memberikan kontribusi optimal kepada organisasi. Dalam banyak kasus, brand aktivitas audit internal perlu dibangun selama bertahun-tahun melalui kerja-kerja yang berkualitas tinggi secara konsisten. Sangat disayangkan apabila brand ini kemudian hancur hanya karena satu kejadian buruk yang tidak semestinya.

Sebagai contoh, pada organisasi di mana aktivitas audit internal begitu dihargai, sehingga menjadi tempat rotasi bagi eksekutif kunci yang dipersiapkan untuk menduduki jabatan lanjutan. Akan sangat memalukan apabila aktivitas audit internal itu sendiri tidak memiliki sumber daya dan sistem yang siap menjadi ‘tempat sekolah’ para calon pemimpin tersebut.Ini terkait kredibilitas institusional. Pada contoh yang lain, perekrutan auditor internal yang tidak memperhatikan background check, sehingga misalnya mendapatkan personal yang pernah terlibat kriminal atau tidak memiliki kualifikasi yang sesuai, juga dapat mencederai kredibilitas aktivitas audit internal. Situasi-situasi tersebut tidak hanya memalukan namun juga merusak efektivitas aktivitas audit internal. Dan menjaga reputasi ini bukan hanya melindungi brand aktivitas audit internal, namun juga untuk keseluruhan organisasi.

Dengan demikian menjadi sangat penting bagi aktivitas audit internal untuk senantiasa menimbang risiko-risiko yang dihadapi yang dapat mempengaruhi reputasi ini serta mengembangkan strategi mitigasi untuk mengatasi risiko-risiko tersebut. Di antara praktik-praktik yang lazim untuk memitigasi risiko-risiko ini, antara lain:
Menerapkan program pemastian kualitas dan peningkatan (QAIP) yang kuat terhadap semua proses dalam aktivitas audit internal, termasuk SDM dan perekrutan.
Secara berkala melakukan penilaian risiko untuk aktivitas audit internal sendiri, untuk mengidentifikasi potensi risiko terhadap brand-nya.
Terus-menerus menegakkan kode etik dan standar perilaku untuk auditor internal.
Memastikan bahwa aktivitas audit internal telah mematuhi seluruh kebijakan dan peraturan yang berlaku di organisasi.
Walaupun tentu tidak diharapkan, dalam hal kondisi atau kejadian buruk tersebut di atas menimpa aktivitas audit internal, maka CAE harus mereview dan menganalisis akar permasalahannya. Root cause analysis ini akan memberikan pemahaman apakah ada perubahan yang terjadi dalam proses dan lingkungan pengendalian aktivitas audit internal yang perlu diperhatikan, agar masalah tersebut sedapat mungkin tidak terjadi lagi di masa depan.


Referensi:
PA 2120-2: Managing the Risk of the Internal Audit Activity (April 2009)

Dikutip dari http://auditorinternal.com/

IIA Terbitkan 2 Practice Advisories terkait Penilaian Eksternal

Bulan Juni 2011 ini, IIA merilis dua Practice Advisories (PA) terkait Penilaian Eksternal (External Assessment). PA ini termasuk dalam rumpun Standar #1312 dan menambah dua PA terkait yang telah ada sebelumnya, menjadi empat.

Kedua PA yang baru terbit tersebut adalah:
PA 1312-3: Independence of External Assessment Team in the Private Sector
PA 1312-4: Independence of the External Assessment Team in the Public Sector

Sesuai namanya, kedua PA ini berfokus pada masalah independensi yang dipersyaratkan bagi praktisi penilai atau tim penilai dalam Penilaian Eksternal. Sebagaimana kita ketahui, Penilaian Eksternal diatur pada Standar #1312. Dalam standar tersebut dinyatakan bahwa penilaian eksternal (terhadap Aktivitas Audit Internal) harus dilakukan sekurang-kurangnya sekali dalam lima tahun oleh pereview atau tim review independen dengan kualifikasi tertentu dari luar organisasi.

Pada dua PA terdahulu, diatur penjabaran Standar #1312 tersebut (PA #1312-1) dan juga adanya pilihan untuk melakukan penilaian secara self-assessment dengan validasi pihak independen eksternal (PA #1312-2). Namun demikian, kriteria yang lebih tegas mengenai independensi bagi pihak eksternal dimaksud belum tercakup dalam kedua PA tersebut. Kedua PA terakhir ini memberikan batasan-batasan lebih rinci tersebut.

Hal-hal penting yang diatur dalam kedua PA yang baru saja dirilis tersebut meliputi antara lain:
Independen artinya tidak terdapat konflik kepentingan dan tidak di bawah pengaruh organisasi yang audit internal-nya sedang direview. Konflik kepentingan dimaksud meliputi realita (in fact), persepsi (in appearance), dan juga potensinya. Konflik kepentingan dimaksud bisa berasal dari kejadian yang telah lalu, saat ini, maupun kejadian di masa yang akan datang.
Independensi dibedakan dalam konteks sektor privat dan sektor publik. Yang dimaksud dengan sektor publik adalah badan atau perusahaan yang dikontrol/dimiliki oleh pemerintah (government). Sementara itu sektor privat adalah perusahaan-perusahaan yang tidak terkait dengan pemerintah. Termasuk juga dalam sektor privat adalah badan-badan/perusahaan multilateral yang melibatkan kontrol/pemilikan beberapa pemerintahan, seperti PBB.
Pada sektor privat, pereview eksternal organisasi yang berasal dari organisasi yang masih terkait (mis: perusahaan induk, perusahaan afiliasi), dianggap tidak independen dalam pelaksanaan penilaian eksternal.
Pada sektor publik, pereview yang berasal dari entitas audit lain yang terpisah pada tingkat yang sama (Auditor Itjen A terhadap Itjen B, Auditor Bawasda Prop C terhadap Bawasda Prop D, dst), dianggap independen. Namun, walaupun entitas terpisah, apabila kedua entitas bertanggung jawab pada CAE yang sama, pereview yang bersangkutan tidak dianggap independen.

Reference:

http://auditorinternal.com

Bank Mega Audit Internal Kasus Elnusa

SENIN, 9 MEI 2011, 11:43 WIB


Nasabah sedang berdialog degan CS Bank Mega
VIVAnews – PT Bank Mega Tbk mengungkapkan beberapa langkah dalam menindaklanjuti perkembangan kasus pembobolan dana PT Elnusa Tbk senilai Rp111 miliar di Bank Mega Cabang Jababeka, Bekasi.

Menurut Sekretaris Perusahaan Bank Mega, Gatot Aris Munandar, perseroan menerapkan sejumlah langkah untuk menindaklanjuti kasus yang saat ini sudah ditangani pihak berwajib dan instansi terkait lainnya. Langkah itu di antaranya, menonaktifkan sementara pimpinan Kantor Cabang Pembantu Bank Mega Jababeka untuk memudahkan pemeriksaan dan melakukan audit internal.

“Audit internal perseroan ditempuh untuk memastikan prosedur yang dilakukan dalam pencairan deposito on call telah sesuai dengan SOP (prosedur standar operasional) atau tidak,” kata dia dalam penjelasan tertulis kepada PT Bursa Efek Indonesia (BEI) di Jakarta, Senin 9 Mei 2011.

Gatot menambahkan, selain menerapkan langkah-langkah tersebut, perseroan belum melakukan pencadangan apa pun terkait dengan kasus tersebut. Bahkan, kata dia, kasus itu belum berdampak terhadap kinerja keuangan dan operasional perseroan.

Sebelumnya, Elnusa membantah dana yang ditempatkan di Bank Mega merupakan deposito on call yang bisa ditarik sewaktu-waktu. Elnusa memiliki bukti penempatan dana deposito berjangka dan hanya pernah ditarik selama satu kali sebesar Rp50 miliar.

Direktur Utama Elnusa, Suharyanto, mengatakan, awalnya deposito ditempatkan sebesar Rp161 miliar di Bank Mega Cabang Jababeka, Cikarang, Bekasi. Bukti itu berupa penawaran penempatan dalam bentuk deposito berjangka dengan bunga sekitar 7,25-8 persen tergantung jangka waktu. (art)

Sumber/Link asli:

http://bisnis.vivanews.com/news/read/219238-bank-mega-audit-internal-dana-elnusa

Baca Juga:
Cegah Pembobolan, Bank Harus Perkuat Audit Internal
Kinerja Komisaris dan Auditor Internal Emiten Buruk
BI akan Memperbaiki Pengawasan Internal Bank
Penelitian COSO: Kasus-kasus Kecurangan Dekade 1998-2007
Studi Kasus ERM – Integrasi dan Agregasi Risiko Pasar dengan CFaR
BI Tegaskan Audit Internal di Perbankan Tidak Bisa Outsource
Perkuat GCG, BI Akan Sempurnakan Aturan

Kinerja Komisaris dan Auditor Internal Emiten Buruk

KAMIS, 05 MEI 2011 | 10:41 WIB
TEMPO Interaktif, Jakarta – Ketua Badan Pengawas Pasar Modal dan Lembaga Keuangan (Bapepam-LK), Nurhaida, memandang komite pengawas internal manajemen perusahaan yang masuk menjadi anggota bursa masih lemah.

Akibatnya, banyak celah pelanggaran-pelanggaran yang bisa dilakukan pegawai hingga anggota direksi. “Pengawas internalnya lemah, harus ada peningkatan,” kata dia, Kamis, 5 Mei 2011.

Ada beberapa contoh pelanggaran, salah satunya penggangsiran dana cadangan PT Elnusa Tbk yang disimpan di PT Bank Mega Tbk berupa dana simpanan deposito berjangka sebesar Rp 111 miliar. Menurut Nurhaida, sebenarnya para emiten memiliki komisaris perusahaan yang bertugas mengawasi dan mengontrol kinerja manajemen perusahaan.

Para emiten juga memiliki auditor keuangan internal yang saban tahun selalu mengontrol aliran keluar-masuk dana. Namun kenyataanya, pengawasan maupun kontrol masih lemah. “Jadi, komite internal kontrolnya harus lebih kuat,” imbuhnya.

Dia berpendapat emiten belum perlu memiliki manajemen risiko yang siap menanggung andai terjadi pelanggaran karena sebenarnya emiten sudah memiliki aturan atau norma yang berlaku. Bapepam akan menindak semua pelanggaran.

MUHAMMAD TAUFIK



Link Asli/Sumber:
http://www.tempointeraktif.com/hg/perbankan_keuangan/2011/05/05/brk,20110505-332275,id.html

Pemahaman Dasar Praktik Internal Audit berbasis Risiko (Risk-based Audit)

October 22, 2010 by Diane Christina

Risk-based Auditing is auditing in which audit objectives and audit planning are driven by a risk assessment philosophy.

David Galloway, IIA, 2004

Audit Berbasis Risiko adalah metodologi pemeriksaan yang dipergunakan untuk memberikan jaminan bahwa risiko telah dikelola di dalam batasan risiko yang telah ditetapkan manajemen pada tingkatan korporasi.

Ada 2 hal utama yang harus dipahami oleh internal auditor:

• Aspek pengendalian dari setiap proses bisnis yang terkait
• Risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran perusahaan

Peranan internal auditor dalam praktik audit berbasis risiko antara lain:

• MULAI dari memfokuskan pekerjaan audit pada risiko signifikan korporasi, yang telah diidentifikasi oleh fungsi manajemen risiko korporasi dan melakukan audit atas proses manajemen risiko lintas organisasi guna memastikan pengelolaan risiko yang telah teridentifikasi
• UNTUK berperan aktif sebagai konsultan internal yang melakukan training dan edukasi bagi staf lini dalam memastikan efektivitas pengendalian internal
• UNTUK memberikan dukungan dan partisipasi aktif dalam proses pengendalian internal perusahaan
• UNTUK melalukan koordinasi pelaporan audit berbasis risiko kepada Direksi dan Dewan Komisaris, dan Komite Audit

Alokasi waktu pemeriksaan untuk setiap tahapan audit tradisional vs audit berbasis risiko diilustrasikan sebagai berikut:

Audit Process Time Allocation

Pendekatan dan metodologi audit berbasis risiko diilustrasikan dalam 3 tahapan besar yaitu:

1. ASESMEN RISIKO

Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu audit dengan cara mengidentifikasi, mengukur, dan menentukan prioritas risiko agar keterbatasan sumber daya yang kita miliki dapat diarahkan ke area dengan bobot risiko tinggi. Tahap ini dapat ditiadakan bilamana profil risiko yang dihasilkan oleh unit Manajemen Risiko Korporasi sudah tersedia dan dapat diyakini keandalannya

Pada tahap ini, internal auditor juga perlu menetapkan kriteria auditable units antara lain:

• Unit tersebut memberikan kontribusi yang berdampak cukup besar pada tujuan perusahaan
• Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang lebih besar daripada biaya yang dikeluarkan untuk pengendalian termasuk biaya audit.

2. PENYUSUNAN PROGRAM AUDIT INTERNAL

Berdasarkan hasil asesmen risiko, masing-masing auditable units ditetapkan nilai akhirnya menggunakan faktor risiko seperti:

• Audit Assurance; Melihat relevansi hasil kajian audit periode sebelumnya atas area yang memiliki risiko dengan rating tinggi
• Materialistis; Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan parameter keuangan maupun non keuangan
• Residual Risk; Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki perusahaan seperti pengendalian internal
• Audit Judgement; Pertimbangan auditor atas perubahan sistem dan prosedur, restrukturisasi organisasi yang mempunyai dampak kepada area tertentu

3. PELAKSANAAN PROGRAM AUDIT INTERNAL

• Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan tujuan perusahaan; Auditor Internal harus memastikan bahwa tujuan bisnis sudah diterapkan secara efektif dan telah dikomunikasikan ke seluruh tingkatan dalam organisasi.
• Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan batasan risiko (corporate risk appetite and risk tolerance) berdasarkan kebijakan dan prosedur di dalam perusahaan; Auditor Internal harus dapat memberikan keyakinan bahwa manajemen bekerja dalam parameter risiko yang telah ditetapkan.
• Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya berdasarkan kerangka kerja yang telah ditetapkan; Auditor Internal harus melakukan evaluasi terhadap proses implementasi kerangka kerja penerapan manajemen risiko yang telah didokumentasikan dan diyakini dapat memfasilitasi perubahan dinamis perusahaan.
• Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap pengendalian; Auditor Internal harus memahami rancangan pengendalian dan ketepatannya berhubungan dengan bagaimana suatu tindakan pengendalian tersebut dilakukan secara konsisten sesuai dengan arah dan kebijakan perusahaan.
• Menyediakan jaminan independen dan berfungsi sebagai konsultan internal dalam rangka memastikan pencapaian tujuan perusahaan; Auditor Internal harus memberikan jaminan yang obyektif kepada Direksi bahwa risiko bisnis telah dikelola secara tepat dan pengendalian internal telah berjalan secara efektif

Last but not least… Intisari proses audit berbasis risiko:

Intisari Proses Audit Berbasis Risiko