Professional Documents
Culture Documents
Prepare Uts Internal Audit
Prepare Uts Internal Audit
TM 2
1. Which is not the following the Pillars of
Internal Audit Services ?
a. Independence
b. Proficiency
c. Due professional care
d. All are Incorrect
9. When nonconformance with the Code of The Ethics or The Standards impact a
specific engagement, communication of the result must disclosed the..., EXCEPT
a. Internal auditor can't accumulate audit evidence
b. Principle or rule of conduct of the code of ethics or standards was not achieve
c. Reason for nonconformance
d. Impact of nonconformance on the engagement and the communicated
engagement result
4. Is the process conducted by the board of directors to authorize, direct, and oversee
management toward the achievement of the organization’s objectives
a. Risk Management
b. Governance
c. Internal Auditing
d. Internal Control
8. The internal audit activities must assess and make appropriate recommendations to
improve the organization’s governance process for
a. Responding audit finding
b. Improve material weakness internal control
c. Promoting appropriate ethics and value within the organization
d. All are incorrect
TM 4
1. The CEO is ultimately responsible for the effectiveness and success of ERM.
True
2. The possibility that event occur and affect the achievement of a strategy and
objectives called ERM.
False
3. ERM memberikan manfaat bagi suatu organisasi untuk meningkatkan kinerja
organisasi. True
4. The COSO exposure draft describes these risk components as follows are risk,
strategy, Objective-Setting ,and risk in execution. False
5. The ISO Risk Management Process is comprised the following activities are establish
the context, asses the risk, treat the risk, and management control risk.
FALSE
6. Tahap awal dalam proses manajemen risiko menurut ISO 31000 adalah dengan
menganalisis risiko. False
9. Peran Internal auditor dalam manajemen risiko adalah melakukan review atas
penilaian manajemen risiko yang dan kontrol internal yang efektif. True
10. Lingkungan internal yang membentuk dasar bagi keberlangsungan manajemen risiko
sehingga menempatkannya sebagai criteria teratas untuk pengukuran manajemen
risiko salah satunya adalah "board of director attitudes” TRUE
11. Respon Terhadap Risiko yaitu “Accept” yang berarti menerima risiko saja atau dan
tidak ada aksi dalam merespon risiko
TRUE
12. Pengembangan Manajemen Risiko dimulai dari level atas kebawah dalam hal ini
melibatkan boards of directors untuk memberikan oversight terhadap level
dibawahnya untuk mengelola risiko sampai pada level risiko yang masih dapat
diterima organisasi
True
13. The type and amount of risk on a broad level, an organization willing to accept in
pursuit of value called risk appetite
True
15. Memberikan advice atas perbaikan dan desain sistem kontrol dan strategi mitigasi
risiko merupakan nilai tambah yang dapat diberikan internal auditor terhadap
perusahaan
True
TM 5
1. Dokumen-dokumen proses bisnis suatu perusahaan disiapkan oleh
a. Board of director
b. Process owner
c. Internal auditor
d. Employee
2. Berikut pernyataan yang salah terkait dengan proses bisnis sebuah perusahaan :
a. Internal auditor adalah pihak yang tidak terlibat langsung dengan kunci sukses
sebuah perusahaan
b. Proses kunci (key process) dengan pendekatan bottom up sangat tepat
digunakan perusahaan yang bisnis berskala besar dan kompleks
c. Key process berkaitan dengan proses untuk mendukung strategi dan
berkontribusi terhadap kesuksesan sebuah perusahaan
d. Pendekatan Top Down diawali dengan proses identifikasi pada entity level
3. Case 1 : Dalam proses operasional yaitu pelaksanaan ujian UTS yang nanti akan
dihadapi semua mahasiswa Universitas X, maka Universitas X harus mengidentifikasi
resiko potensial yang bakal terjadi antara lain :
a. Kesalahan materi
b. Kebocoran soal
c. Kecurangan pelaksanaan ujian
d. Semua jawaban benar
4. Risiko kecurangan (fraud risk) dan tindakan melawan hukum (illegal act) termasuk
dalam basic business model
a. Operating
b. Reporting
c. Strategy
d. Compliance
5. Dalam audit planning (Standard 2010), IIA mensyaratkan seorang CAE untuk
a. Menetapkan tujuan organisasi
b. Menetapkan perencanaan audit berbasis risiko
c. Menentukan aktivitas audit berbasis priority risk
d. Jawaban b dan c benar
6. Process maps in documenting process comprise
I. Workflows
II. Input
III. Steps
IV. Output
7. Dalam perspektif ERM, penentuan risk profile and critical risk dilakukan oleh :
a. Management
b. CAE
c. Internal Auditor
d. Eksternal Auditor
9. Internal audit harus memahami proses kunci dalam mencapai tujuan suatu organisasi/
perusahaan, dan langkah selanjutnya
a. Menyelaraskan dengan kepentingan stakeholder
b. Internal audit harus mengevaluasi risiko bisnis
c. Melakukan pengendalian manajemen atas resiko yang akan terjadi
d. Evaluasi Key Performance Indicator (KPI)
5. ….. are designed to ensure that individual operational activities, tasks, or transactions,
as well as related groups of operational activities (tasks) or transactions, are accurately
processed timely
a. Transaction level control
b. Entity level control
c. Key control
d. Process level control
6. Reconciliation of key account, process employee supervision and performance
evaluation and monitoring/ oversight of specific transaction are part of :
a. Transaction level control
b. Entity level control
c. Detective control \
d. Process level control
9. Gudang yang dikelola oleh Mr.X dijaga oleh satpam dan akses masuk gudang dibatasi
hanya untuk orang yang punya ID Cards untuk masuk gudang. Hal ini termasuk jenis
pengendalian (control)
a. Detective control
b. Transaction level control
c. Process level control
d. Preventive control
10. Act Decisively when potentially significant or material internal control changes or
deficiencies are identified is responsibility. ….
a. Board of Director
b. Management
c. Audit Committee
d. Internal Auditor
11. Pemasangan CCTV di dalam ruangan kelas belajar lebih tepatnya termasuk jenis
pengendalian :
a. Transaction control
b. Detective control
c. Compensating control
d. Jawaban b dan c benar
12. The following of the transaction level controls
a. Authorization
b. Documentation
c. Reconciliation of key bank (proses)
d. Jawaban c salah
TM 7
1. Masalah risiko teknologi informasi yang muncul, harus dipandang sebagai suatu
opportunities dalam fungsi internal audit yaitu dengan memberikan layanan konsultasi
yang membantu manajemen menangani risiko IT yang muncul adapun beberapa
peluang wawasan tentang risiko dan control, kecuali
a.memahami teknologi baru yang berdampak pada organisasi terlepas dari apakah
organisasi saat ini menggunakannya
b. memastikan risiko IT disertakan dalam penilaian risiko tahun
c. menunjuk supplier IT dikenal oleh auditor
d. Memberikan rekomendasi pengendalian saat teknologi baru diterapkan
2. IT Governance saat ini dianggap penting (IIA Standard 2110.A2 >AG : Auditing
IT Governance) dalam hal ini apakah fungsi dari internal audit ?
a.Memperkuat struktur IT Governance dalam fungsi kontrol
b. Menilai apakah IT Governance organisasi mendukung strategi dan tujuan
organisasi
c. Menilai apakah IT Governance organisasi telah berjalan dengan baik
d. Menjadi bagian dari struktur IT Governance
3. Sebagai seorang Internal Auditor, keperluan ID pengguna dan kata sandi akan
dipandang sebagai jenis kontrol …
a.Detective
b. Preventive
c. Detective
d. Corrective
4. Manakah dari berikut ini yang paling menggambarkan audit internal berkelanjutan?
a. Oversight of continuous monitoring
b. Pengembangan teknik audit berbantuan komputer (CAATs)
c. Peningkatan kemampuan auditor internal untuk terus melakukan
langkah-langkah audit.
d. Penggunaan penilaian risiko berkelanjutan, penilaian kontrol
berkelanjutan, dan penilaian pemantauan berkelanjutan
5. Seorang internal auditor akan melihat bahwa informasi yang dihasilkan oleh suatu
sistem informasi mempunyai manfaat jika
a.relevan, andal, lengkap, akurat, dan tepat waktu
b. relevan, andal lengkap, dan tepat waktu
c. relevan, lengkap dan akurat
d. relevan,andal, lengkap, akurat, tepat waktu, dan sesuai dengan kebutuhan
6. Bidang pengetahuan yang paling penting untuk auditor internal modern saat ini antara
lain
a. Internal control
b. Dampak IT terhadap internal audit
c. ERM
d. Semua jawaban benar
8. Jika catatan transaksi penjualan ditolak selama input karena nomor rekening nasabah
yang dimasukkan tidak tercantum dalam master file nasabah, kemungkinan besar error
tersebut terdeteksi oleh…
a.Validity check
b. Completeness check
c. Reasonableness check
d. Limit check
9. Jika saudara mendapatkan adanya larangan untuk menambah segala fasilitas standard
dari hardware dan software tanpa sepengetahuan yang berwenang (CIO atau CISO),
hal ini sebenarnya dalam rangka mengelola risiko…
a. Availability Risk
b. Development/Acquisition and Deployment Risk
c. Hardware/Software Risk
d. Selection Risk
10. Top skill yang harus dimiliki oleh seorang internal auditor di era modern saat ini
kecuali,
a. Memahami perubahan manajemen yang berdampak terhadap pencapaian
tujuan organisasi
b. memiliki pengetahuan tentang cybersecurity
c. mampu memitigasi risiko informasi
d. memiliki pengetahuan dan mampu menganalisa data yang begitu besar
(data analytics)
11. Dalam mengaplikasikan suatu IT mungkin tidak semua karyawan dan anggota
organisasi paham atau siap thererama sistem IT tersebut sehingga menimbulkan
banyak risiko error , hal yang tidak disarankan untuk mengatasi risiko ini adalah…
a.Menerapkan reward and punishment system
b. Memberikan pendampingan karyawan dalam mengaplikasikan sistem IT
c. Memberikan pelatihan karyawan dalam mengaplikasi system IT
d. Memberikan pengertian kepada seluruh anggota tentang tujuan dan manfaat dari IT
system yang akan diaplikasikan dan dampaknya terhadap pencapaian tujuan
organisasi.
12. Seperti yang telah disebutkan terdapat salah satu jenis IT Risk yaitu fraud and
malicious acts risk, adapun salah satu faktor yang paling besar menyebabkan
terjadinya risiko tersebut adalah…
a.Ketidakpuasan karyawan pada umumnya
b. Ketidakpuasan pemasok IT
c. Ketidaksesuaian IT dengan tujuan organisasi
d. Ketidakpuasan karyawan bagian IT
PREPARE UTS INTERNAL AUDIT
1. Fundamental Internal Audit Concepts ( Bab 1)
Definisi Internal Audit
● Internal audit adalah kegiatan jaminan dan konsultasi yang independen dan
objektif
● yang dirancang untuk menambah nilai dan meningkatkan operasi
organisasi.
● Membantu suatu organisasi mencapai tujuannya dengan membawa pendekatan
yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan
efektivitas manajemen risiko, pengendalian, dan proses tata kelola.
2. Governance (Chapter 3)
Tujuan utama dari fungsi audit internal adalah membantu organisasi mencapai tujuan
bisnisnya. Oleh karena itu, sasaran perhatian audit internal dapat mencakup:
1. Efektivitas dan efisiensi proses bisnis.
2. Keandalan sistem informasi dan kualitas informasi pengambilan keputusan yang
dihasilkan oleh sistem tersebut.
3. Melindungi aset dari kerugian, termasuk kerugian akibat penipuan oleh manajemen
dan karyawan.
4. Kepatuhan dengan kebijakan organisasi, kontrak, hukum, dan peraturan.
"Dewan pengawas dan manajemen senior mengandalkan Audit Internal untuk jaminan
objektif dan wawasan tentang efektivitas dan efisiensi proses tata kelola, manajemen risiko,
dan kontrol internal." Fungsi audit internal membantu organisasi mencapai tujuan bisnisnya
dengan mengevaluasi dan meningkatkan efektivitas proses tata kelola, manajemen risiko, dan
kontrol serta memberikan rekomendasi perbaikan.
● Governance, adalah proses yang dilakukan oleh dewan direksi untuk mengotorisasi,
mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan organisasi. Tata
kelola perusahaan melibatkan serangkaian hubungan antara manajemen perusahaan,
dewan, pemegang saham, dan pemangku kepentingan lainnya. Tata kelola perusahaan
juga menyediakan struktur di mana tujuan perusahaan ditetapkan, dan sarana untuk
mencapai tujuan tersebut dan memantau kinerja ditentukan. melingkupi semua
kegiatan dalam suatu organisasi. Struktur governance dibentuk untuk
1) mematuhi hukum dan peraturan di wilayah organisasi beroperasi. Peraturan itu
bertujuan untuk melindungi kepentingan publik
2) dewan dan manajemen organisasi menetapkan struktur governance untuk memastikan
- apakah kebutuhan stakeholder utama terpenuhi?
- apakah organisasi beroperasi di dalam batas dan nilai-nilai yang ditetapkan oleh
dewan dan manajemen senior.
● Internal Control
mewakili subset, dari aktivitas manajemen risiko yang lebih luas. Respons risiko, yang
mencakup kontrol, dirancang untuk mengeksekusi risiko strategi manajemen.
Akhirnya, ada tanda panah yang mewakili rendahnya informasi di struktur pemerintahan.
● Dewan memberikan arahan kepada manajemen senior untuk membimbing dalam
melaksanakan kegiatan manajemen risiko.
● Manajemen senior memberikan arahan kepada tingkat manajemen yang lebih rendah
yang bertanggung jawab atas kontrol khusus.
● Manajer tingkat bawah bertanggung jawab kepada manajemen senior sehubungan
dengan keberhasilan kontrol tersebut.
● Manajemen senior bertanggung jawab untuk memberikan dewan jaminan mengenai
efektivitas risiko kegiatan manajemen.
3. ERM
Proses Risk Management
ERM (Enterprise Risk Management) atau Manajemen Risiko Perusahaan adalah suatu
pendekatan strategis yang digunakan oleh perusahaan untuk mengidentifikasi,
mengevaluasi, dan mengelola risiko-risiko yang mungkin terjadi dalam kegiatan bisnis
mereka.
Proses ERM
a) Mengenali budaya dan kemampuan (Recognizing culture and capabilities)
➔ aspek kunci dari ERM.
➔ Budaya berhubungan dengan orang-orang di semua tingkatan organisasi,
termasuk mereka yang menetapkan misi, strategi, dan tujuan bisnis, serta
semua yang menjalankan praktik manajemen risiko.
➔ ERM membantu orang memahami risiko dan bagaimana kaitannya dengan
strategi organisasi dan tujuan bisnis. Sebuah organisasi yang memiliki
kemampuan untuk beradaptasi dengan perubahan lebih mampu bersaing dan
berkembang di pasar.
b) Menerapkan praktik (Applying practices )
➔ prosedur dan tugas yang dilakukan oleh organisasi untuk memastikan
manajemen risiko yang efektif.
➔ Praktik-praktik ini diterapkan dari tingkat tertinggi organisasi dan mengalir ke
bawah melalui divisi, unit bisnis, dan fungsi.
4. Internal Control
Objectives of Internal Control
[COSO] [framework menetapkan tiga kategori objektif, yang memungkinkan organisasi
untuk fokus pada aspek yang berbeda dari pengendalian internal:
1. Operations Objective
Ini berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk tujuan kinerja
operasional dan keuangan, serta menjaga aset dari kerugian.
2. Reporting Objective
Ini berkaitan dengan pelaporan keuangan dan non-keuangan internal dan eksternal dan
dapat mencakup keandalan, ketepatan waktu, transparansi, atau istilah lain yang
ditetapkan oleh regulator, pengatur standar, atau kebijakan entitas.
3. Compliance Objective
Ini berkaitan dengan kepatuhan terhadap undang-undang dan peraturan yang berlaku
untuk entitas tersebut.
Type Of Controls
A. Entity-Level Control
Kontrol yang beroperasi di seluruh entitas dan, dengan demikian, tidak terikat oleh, atau
terkait dengan, proses individu. Kontrol tingkat entitas meliputi:
● Kontrol yang terkait dengan lingkungan kontrol,
● Kontrol atas penggantian manajemen,
● Proses penilaian risiko perusahaan,
● Pemrosesan dan kontrol terpusat, termasuk lingkungan layanan bersama,
● Kontrol untuk memantau hasil operasi,
● Kontrol untuk memantau kontrol lain, termasuk kegiatan fungsi audit internal, komite
audit, dan program penilaian diri,
● Kontrol atas proses pelaporan keuangan akhir periode.
B. Process-Level Control
Kegiatan yang beroperasi dalam proses tertentu untuk tujuan mencapai tujuan tingkat proses.
Kontrol tingkat proses meliputi:
● Rekonsiliasi akun utama,
● Verifications physical aset (seperti jumlah persediaan),
● Memproses pengawasan karyawan dan evaluasi kinerja,
● Penilaian risiko tingkat proses,
● Pemantauan/pengawasan transaksi spesifik.
C. Transaction-level Control
Kegiatan yang mengurangi risiko relatif terhadap kelompok atau berbagai tugas atau transaksi
tingkat operasional dalam suatu organisasi. Kontrol tingkat transaksi meliputi:
● Penghematan,
● Dokumentasi (seperti dokumen sumber),
● Segregasi tugas,
● Kontrol aplikasi TI (input, pemrosesan, output).
E. Compensating Controls
Kegiatan yang dapat membantu mengurangi risiko terkait jika kontrol kunci tidak sepenuhnya
beroperasi secara efektif. Kontrol tersebut tidak akan mengurangi risiko ke tingkat yang dapat
diterima dengan sendirinya
F. Preventive Controls
● Dirancang untuk mencegah peristiwa yang tidak diinginkan terjadi di tempat pertama.
● Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari menyebabkan
kesulitan untuk merancang kontrol pencegahan yang ekonomis dan efisien.
● Akibatnya, sebagian besar organisasi menggunakan kombinasi kontrol pencegahan
dan kontrol detektif ketika merancang sistem pengendalian internal yang efektif dan
efisien.
● Contoh kontrol pencegahan termasuk kontrol akses fisik dan logis, seperti pintu
terkunci dan ID pengguna dengan kata sandi unik.
G. Detective Controls
● Dirancang untuk menemukan peristiwa yang tidak diinginkan yang telah terjadi.
● Untuk dianggap efektif, kontrol tersebut harus terjadi tepat waktu (sebelum peristiwa
yang tidak diinginkan memiliki dampak negatif yang tidak dapat diterima pada
organisasi)
● Contohnya seperti kamera keamanan untuk mengidentifikasi akses fisik yang tidak
sah dan meninjau log komputer yang mencantumkan upaya akses yang tidak sah.
Application Controls
- Termasuk langkah-langkah terkomputerisasi dalam perangkat lunak aplikasi dan
prosedur manual terkait untuk mengontrol pemrosesan berbagai jenis transaksi.
b) Credibility
Kemampuan untuk membangkitkan kepercayaan berdasarkan kompetensi dan
integritas yang konsisten.
c) Connectivity
Kemampuan untuk memahami kebutuhan setiap pemangku kepentingan secara
individual dalam keseluruhan organisasi.
d) Communication
Menggunakan metode penyampaian informasi (secara lisan dan dalam
berbagai bentuk tulisan) dan mendengarkan individu yang dilayani.
e) Courage
Keteguhan pribadi untuk tetap independen dan objektif serta berpegang pada
hasil dari penugasan yang dilakukan.
Organisasi profesional lainnya juga mensponsori program sertifikasi yang relevan bagi
auditor internal. Misalnya, ISACA (dulunya dikenal sebagai Asosiasi Audit dan Pengendalian
Sistem Informasi) mensponsori program Auditor Sistem Informasi Bersertifikasi (CISA), dan
Asosiasi Ahli Penipuan Bersertifikasi mensponsori program Ahli Penipuan Bersertifikasi
(CFE).
Assurance Services
Pemeriksaan objektif atas bukti untuk tujuan memberikan penilaian independen atas
tata kelola, manajemen risiko, dan proses pengendalian untuk organisasi.
Keterlibatan jaminan dilakukan untuk memberikan penilaian independen.
Struktur perikatan asurans lebih kompleks. Biasanya melibatkan tiga pihak: 1) pihak
yang secara langsung bertanggung jawab atas proses, sistem, atau hal-hal lain yang
dinilai oleh auditee, 2) pihak yang menjadikan penilaian sebagai fungsi audit internal,
dan 3) pihak/pihak yang menggunakan penilaian pengguna.
Kompleksitas relatif dari perikatan asurans tercermin dalam Standar. Fungsi audit
internal harus merencanakan dan melaksanakan perikatan asurans dan melaporkan
hasil perikatan dengan cara yang memenuhi kebutuhan pengguna pihak ketiga yang
tidak terlibat langsung dalam perikatan.
2. IPPF
Mandatory Guidance
Kepatuhan dengan prinsip-prinsip yang diatur dalam panduan wajib diperlukan dan penting
untuk praktik profesional audit internal. Panduan wajib ini dikembangkan setelah melalui
proses peninjauan yang telah ditetapkan, yang meliputi periode paparan publik untuk
masukan pemangku kepentingan.
A. Core Principles
Prinsip-prinsip inti dari audit internal diwujudkan dalam Standar yang ditetapkan oleh The
IIA. Pendahuluan dari Standar mengakui bahwa "Audit internal dilakukan dalam lingkungan
hukum dan budaya yang beragam; untuk organisasi yang berbeda dalam tujuan, ukuran,
kompleksitas, dan struktur; dan oleh orang-orang di dalam atau di luar organisasi." Meskipun
perbedaan yang ada di antara organisasi dapat mempengaruhi praktik audit internal,
"kesesuaian dengan [Standar] sangat penting dalam memenuhi tanggung jawab auditor
internal dan aktivitas audit internal."
B. Standards (Attribute Standards & performance standard)
Standar tersebut mencakup sebuah Glosarium istilah yang diberikan makna spesifik. Standar,
interpretasinya, dan istilah-istilah yang didefinisikan dalam Glosarium harus dipertimbangkan
secara bersama-sama untuk memahami dan menerapkan Standar dengan benar. Standar ini
direproduksi secara lengkap dalam lampiran A dari buku teks ini. Terdapat dua kategori
Standar:
1. Attribute Standards "mengatasi atribut organisasi dan individu yang melakukan audit
internal."
2. Performance Standards "mendeskripsikan sifat audit internal dan memberikan kriteria
kualitas yang menjadi acuan terhadap kinerja layanan tersebut."
C. Code of Ethics
Tujuan dari Kode Etik adalah untuk mempromosikan budaya etis dalam profesi audit
internal. Kode Etik terdiri dari dua komponen: Prinsip Kode dan Aturan Perilaku. Profesional
audit internal mengikuti keempat Prinsip Kode dan 12 Aturan Perilaku, yakni:
Integritas. Menurut Kode Etik, "Integritas auditor internal membangun kepercayaan
dan dengan demikian memberikan dasar untuk mengandalkan penilaian mereka." Aturan
Perilaku yang terkait dengan prinsip integritas menyatakan bahwa “Auditor internal:
● Harus melakukan pekerjaan mereka dengan kejujuran, ketekunan, dan
tanggung jawab.
● Harus mematuhi hukum dan membuat pengungkapan yang diharapkan oleh
hukum dan profesi.
● Tidak boleh dengan sengaja menjadi pihak dalam aktivitas ilegal apa pun, atau
terlibat dalam tindakan yang dapat mendiskreditkan profesi audit internal atau
organisasi.
● Harus menghormati dan berkontribusi pada tujuan yang sah dan etis dari
organisasi.”
Objektivitas. Menurut Kode Etik, "Auditor internal menunjukkan tingkat objektivitas
profesional tertinggi dalam mengumpulkan, mengevaluasi, dan mengkomunikasikan
informasi tentang aktivitas atau proses yang diperiksa. Auditor internal membuat penilaian
yang seimbang dari semua keadaan yang relevan dan tidak terlalu dipengaruhi oleh
kepentingan mereka sendiri atau oleh orang lain dalam membuat penilaian.” Aturan Perilaku
yang terkait dengan prinsip objektivitas menyatakan bahwa “Auditor internal:
● Tidak boleh berpartisipasi dalam aktivitas atau hubungan apa pun yang dapat merusak
atau dianggap mengganggu penilaian mereka yang tidak bias. Partisipasi ini
mencakup kegiatan atau hubungan yang mungkin bertentangan dengan kepentingan
organisasi.
● Tidak akan menerima apa pun yang dapat merusak atau dianggap mengganggu
penilaian profesional mereka.
● Harus mengungkapkan semua fakta material yang diketahui oleh mereka yang, jika
tidak diungkapkan, dapat mendistorsi pelaporan kegiatan yang sedang ditinjau."
Kerahasiaan. Kode Etik juga mensyaratkan bahwa "Auditor internal menghormati
nilai dan kepemilikan informasi yang mereka terima dan tidak mengungkapkan informasi
tanpa otoritas yang sesuai kecuali ada kewajiban hukum atau profesional untuk
melakukannya." Kerahasiaan adalah Auditor internal menghormati nilai dan kepemilikan
informasi yang mereka terima dan tidak mengungkapkan informasi tanpa otoritas yang sesuai
kecuali ada kewajiban hukum atau profesional untuk melakukannya. Aturan Perilaku yang
terkait dengan prinsip kerahasiaan menyatakan bahwa "Auditor internal:
● Harus berhati-hati dalam penggunaan dan perlindungan informasi yang
diperoleh selama tugas mereka.
● Tidak boleh menggunakan informasi untuk keuntungan pribadi apa pun atau
dengan cara apa pun yang akan bertentangan dengan hukum atau merugikan
tujuan sah dan etis organisasi."
Kompetensi. Terakhir, Kode Etik mensyaratkan bahwa "Auditor internal berlaku
pengetahuan, keterampilan, dan pengalaman yang dibutuhkan dalam kinerja internal jasa
audit." Aturan Perilaku yang terkait dengan prinsip kompetensi menyatakan bahwa " Auditor
internal:
● Akan terlibat hanya dalam layanan di mana mereka memiliki pengetahuan,
keterampilan, dan pengalaman yang diperlukan.
● Harus melakukan jasa audit internal sesuai dengan Standar Internasional untuk Praktik
Profesional Audit Internal
● Harus terus meningkatkan kemahiran mereka dan efektivitas dan kualitas layanan
mereka."
Kode Etik berlaku untuk semua individu dan entitas yang memberikan layanan audit
internal. Pelanggaran Kode Etik oleh mereka yang berada dalam lingkup The IIA dapat
mengakibatkan kecaman, pembekuan keanggotaan dan/atau sertifikasi, dan pengusiran
dan/atau pencabutan sertifikasi.
D. IPPF memberikan Definisi Audit Internal sebagai berikut: Audit internal adalah aktivitas
yang independen dan objektif serta mempertimbangkan yang dirancang untuk menambah
nilai dan meningkatkan operasi organisasi. Ini membantu organisasi mencapai tujuannya
dengan membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan
meningkatkan efektivitas manajemen risiko, kontrol, dan proses tata kelola.
Definisi tersebut berbeda dari pernyataan misi karena pernyataan misi menyatakan
apa yang ingin dicapai oleh profesi dan fungsi audit internal sedangkan definisi
menggambarkan apa itu audit internal. Seperti dalam misi, definisi tersebut mengakui bahwa
tujuan akhir dari profesi audit internal secara keseluruhan, dan fungsi audit internal individu
pada khususnya, adalah untuk menambah nilai bagi organisasi dengan memberikan jasa
assurance dan konsultasi.
3. Governance
Governance adalah proses yang dilakukan oleh dewan direksi untuk mengotorisasi,
mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan organisasi. Tata kelola
perusahaan melibatkan serangkaian hubungan antara manajemen perusahaan, dewan,
pemegang saham, dan pemangku kepentingan lainnya. Tata kelola perusahaan juga
menyediakan struktur di mana tujuan perusahaan ditetapkan, dan sarana untuk mencapai
tujuan tersebut dan memantau kinerja ditentukan.
● The first broad area of governance digambarkan dalam pameran sebagai
arah strategis.
Dewan bertanggung jawab untuk memberikan arahan dan bimbingan strategis
relatif terhadap penetapan tujuan bisnis utama, konsisten dengan model bisnis
organisasi dan selaras dengan prioritas pemangku kepentingan
Key component dari pengawasan tata kelola ditunjukkan dalam gambar 3-4.
Management.
Manajemen bertanggung jawab untuk melaksanakan semua aktivitas organisasi,
termasuk ERM. Sebenarnya, manajemen bertanggung jawab atas aspek-aspek dari
kelima komponen ERM. Namun, tanggung jawab ini akan bervariasi tergantung pada
tingkat di organisasi dan karakteristik organisasi tersebut. CEO bertanggung jawab
secara ultimat atas keefektifan dan kesuksesan ERM. Salah satu aspek terpenting dari
tanggung jawab ini adalah memastikan bahwa nada positif dan etis ditetapkan. CEO
mempengaruhi komposisi dan perilaku dewan, memberikan kepemimpinan dan
arahan kepada manajer senior, dan memantau aktivitas risiko organisasi secara
keseluruhan dalam hubungannya dengan nafsu risiko. Ketika keadaan yang berubah,
risiko baru muncul, implementasi strategi, atau tindakan yang diantisipasi
menunjukkan potensi ketidakselarasan dengan kriteria risiko, CEO mengambil
tindakan yang diperlukan untuk mengembalikan kesejajaran. Manajer senior yang
bertanggung jawab atas berbagai unit organisasi memiliki tanggung jawab untuk
mengelola risiko yang terkait dengan tujuan unit mereka. Mereka mengkonversi
strategi organisasi secara keseluruhan menjadi aktivitas operasional yang
berkelanjutan, mengidentifikasi potensi kejadian risiko, menilai risiko yang terkait,
dan melaksanakan tindakan untuk mengelola risiko tersebut. Manajer memandu
aplikasi komponen ERM organisasi sesuai dengan tanggung jawab dan ruang lingkup
mereka, memastikan bahwa penerapan komponen tersebut konsisten dengan tingkat
variasi kinerja yang dapat diterima oleh dewan dan manajemen. Mereka memberikan
tanggung jawab untuk prosedur ERM tertentu kepada manajer dari proses fungsional.
Sebagai hasilnya, manajer-manajer ini biasanya memainkan peran yang lebih aktif
dalam merancang dan melaksanakan prosedur risiko tertentu yang mengatasi tujuan
unit, seperti teknik identifikasi dan penilaian risiko, dan dalam menentukan strategi
manajemen risiko tertentu, misalnya, mengembangkan kebijakan dan prosedur untuk
pembelian barang atau penerimaan pelanggan baru. Fungsi staf, seperti akuntansi,
sumber daya manusia, kepatuhan, atau hukum, juga memiliki peran pendukung
penting dalam merancang dan melaksanakan praktik ERM yang efektif. Fungsi-fungsi
ini dapat merancang dan melaksanakan program-program yang membantu mengelola
beberapa risiko kunci di seluruh organisasi.
Internal auditors.
Fungsi audit internal memainkan peran penting dalam mengevaluasi efektivitas dan
merekomendasikan perbaikan pada ERM. Standar Internasional IIAs untuk Praktik
Profesional Audit Internal menentukan bahwa cakupan fungsi audit internal harus
meliputi tata kelola, manajemen risiko, dan sistem pengendalian. Ini termasuk
mengevaluasi keandalan pelaporan, efektivitas dan efisiensi operasi, dan kepatuhan
terhadap hukum dan peraturan. Dalam menjalankan tanggung jawab ini, fungsi audit
internal membantu manajemen dan dewan dengan memeriksa, mengevaluasi,
melaporkan, dan merekomendasikan perbaikan pada kecukupan dan efektivitas ERM
organisasi.
Sementara fungsi audit internal memberikan bentuk jaminan yang berharga, seperti yang
dijelaskan di atas, kebanyakan organisasi memiliki kelompok lain yang juga memberikan
beberapa bentuk jaminan (misalnya, departemen lingkungan dan keselamatan, kelompok
jaminan kualitas, atau aktivitas pengendalian perdagangan). Kelompok-kelompok ini
mungkin memberikan jaminan langsung kepada dewan, atau mereka dapat berkomunikasi
dengan anggota manajemen yang memberikan jaminan kepada dewan.
- Key Element of governance structure
- Governance, adalah proses yang dilakukan oleh dewan direksi untuk mengotorisasi,
mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan organisasi. Tata
kelola perusahaan melibatkan serangkaian hubungan antara manajemen perusahaan,
dewan, pemegang saham, dan pemangku kepentingan lainnya. Tata kelola perusahaan
juga menyediakan struktur di mana tujuan perusahaan ditetapkan, dan sarana untuk
mencapai tujuan tersebut dan memantau kinerja ditentukan.
-
3) mematuhi hukum dan peraturan di wilayah organisasi beroperasi. Peraturan itu
bertujuan untuk melindungi kepentingan publik
4) dewan dan manajemen organisasi menetapkan struktur governance untuk memastikan
- apakah kebutuhan stakeholder utama terpenuhi?
- apakah organisasi beroperasi di dalam batas dan nilai-nilai yang ditetapkan oleh
dewan dan manajemen senior.
● Internal Control
mewakili subset, dari aktivitas manajemen risiko yang lebih luas. Respons risiko, yang
mencakup kontrol, dirancang untuk mengeksekusi risiko strategi manajemen.
Akhirnya, ada tanda panah yang mewakili rendahnya informasi di struktur pemerintahan.
- Dewan memberikan arahan kepada manajemen senior untuk membimbing dalam
melaksanakan kegiatan manajemen risiko.
- Manajemen senior memberikan arahan kepada tingkat manajemen yang lebih rendah
yang bertanggung jawab atas kontrol khusus.
- Manajer tingkat bawah bertanggung jawab kepada manajemen senior sehubungan
dengan keberhasilan kontrol tersebut.
- Manajemen senior bertanggung jawab untuk memberikan dewan jaminan mengenai
efektivitas risiko kegiatan manajemen.
- Stakeholder
Governance menjadi tanggung jawab dari dewan direksi, meskipun tanggung jawab ini sering
dilakukan oleh berbagai komite yang ada (misalnya, komite audit). Tugas pertama dari dewan
direksi adalah mengidentifikasi pemangku kepentingan utama dari sebuah organisasi.
Pemangku kepentingan adalah pihak yang memiliki kepentingan langsung atau tidak
langsung dalam aktivitas dan hasil organisasi. Pemangku kepentingan dapat dilihat memiliki
satu atau lebih dari karakteristik berikut (contoh-contohnya menyusul setelah daftar ini):
Beberapa pemangku kepentingan terlibat langsung dalam operasi bisnis organisasi. Pemangku
kepentingan lain tidak terlibat langsung, tetapi tertarik dengan bisnis organisasi; yaitu, mereka
terpengaruh oleh keberhasilan atau hasil lain dari bisnis tersebut. Beberapa pemangku
kepentingan tidak terlibat langsung atau tertarik dalam keberhasilan bisnis organisasi, tetapi
pemangku kepentingan ini masih dapat memengaruhi aspek bisnis organisasi dan, sebagai
hasilnya, keberhasilan organisasi tersebut.
B. Financial Risk
Risiko keuangan adalah risiko yang berkaitan dengan aspek keuangan perusahaan.
Risiko ini dapat berkaitan dengan kemampuan perusahaan untuk menghasilkan laba
yang cukup, atau risiko keuangan yang diakibatkan oleh fluktuasi nilai tukar mata
uang atau fluktuasi pasar.
C. Compliance Risk
Risiko kepatuhan adalah risiko yang berkaitan dengan masalah kepatuhan perusahaan
terhadap peraturan dan undang-undang yang berlaku. Risiko ini dapat berkaitan
dengan kesesuaian perusahaan dengan undang-undang dan regulasi yang berlaku di
sektor bisnis perusahaan.
4. Business Process
- Klasifikasi dasar aktivitas bisnis dalam organisasi
Ada tiga jenis aktivitas bisnis:
a. Operating Process
proses inti di mana organisasi mencapai tujuan utamanya.
- Di perusahaan manufaktur, ini menjadi proses untuk membuat dan menjual
produk.
- Di penyedia layanan seperti perusahaan konsultan , ini menjadi proses dimana
mereka memasarkan dan memberikan layanan mereka kepada pelanggan.
Melalui proses ini, organisasi/perusahaan dapat menciptakan nilai dan
mengirimkannya langsung ke pelanggan mereka.
b. Management and Support process
aktivitas yang mengawasi dan mendukung dalam penciptaan nilai inti organisasi. ➔
Proses ini termasuk proses yang digunakan untuk mengelola sumber daya manusia,
keuangan, informasi dan teknologi, fisik organisasi (proses 7 sampai 10), program
kepatuhan organisasi (proses 11), dan proses yang digunakan organisasi untuk
mengelola hubungan eksternalnya (proses 12).
c. Projects
Projects digunakan ketika aktivitas terjadi selama periode waktu yang lama,
memerlukan urutan yang kompleks, dan relatif unik karena aktivitas tertentu tidak
dilakukan terus menerus. Contoh : perusahaan teknik dan konstruksi, perusahaan
pertambangan, minyak dan gas, dan kontraktor pertahanan.
- Proses 13 berlaku ketika organisasi merancang, membangun aset dan juga
mengoperasikannya
- Proses 14 berlaku ketika organisasi merancang dan membangun aset dan
menyerahkannya kepada organisasi lain untuk dioperasikan. Proyek juga sering
digunakan di sebagian besar organisasi untuk menyusun aktivitas nonrutin guna
menciptakan aset untuk penggunaan organisasi. Misalnya, untuk pemilihan dan
implementasi sistem akuntansi baru, implementasi awal inisiatif utama, atau
pembangunan fasilitas produksi baru
- Process narratives narasi memberikan lebih banyak detail tentang aktivitas tetapi juga
dapat mencakup deskripsi kontrol.
Risiko Strategis: Risiko strategis berkaitan dengan keputusan strategis perusahaan, termasuk
di dalamnya risiko yang berkaitan dengan inovasi produk atau jasa, perubahan lingkungan
bisnis, dan perubahan regulasi.
Risiko Pelaporan: Risiko pelaporan berkaitan dengan akurasi, keandalan, dan waktu
penyampaian informasi keuangan dan non-keuangan perusahaan. Risiko ini meliputi
keterlambatan atau ketidaktepatan laporan keuangan, penyalahgunaan informasi, atau
kesalahan pengungkapan.
Risiko Operasional: Risiko operasional berkaitan dengan efisiensi dan efektivitas operasional
perusahaan. Risiko ini meliputi masalah keamanan data, kesalahan manusia, masalah
teknologi, atau bencana alam.
5. Internal Control
- Definition internal control
This deinition emphasizes that internal control is: Geared to the achievement ofobjectives in
one or more separate but overlapping categoriesoperations, reporting, and compliance. A
process consisting of ongoing tasks and activitiesa means to an end, not an end in itself.
Effected by peoplenot merely about policy and procedure manuals, systems, and forms, but
about people and the actions they take at every level of an orga‹ nization to effect internal
control. Internal Control Able to provide reasonable assurance, but not absolute assurance,
to an entity’s senior management and board of directors. (COSO’s Definition) A process,
effected by an entity’s Adaptable to the entity structurelexible in application for the entire
entity or board of directors, management, and for a paticular subsidiary, division, operating
unit, or business process.10
- Komponen internal control
- Prinsip Internal Control
- Limitation of internal control
- Consequences of accepting excessive risk
- Consequences of implementing excessive internal control
- Auditor roles to internal control
- Types of control
a. Entity-Level Control
Kontrol yang beroperasi di seluruh entitas dan, dengan demikian, tidak terikat oleh,
atau terkait dengan, proses individu. Kontrol tingkat entitas meliputi:
- Kontrol yang terkait dengan lingkungan kontrol,
- Kontrol atas penggantian manajemen,
- Proses penilaian risiko perusahaan,
- Pemrosesan dan kontrol terpusat, termasuk lingkungan layanan bersama,
- Kontrol untuk memantau hasil operasi,
- Kontrol untuk memantau kontrol lain, termasuk kegiatan fungsi audit internal,
komite audit, dan program penilaian diri,
- Kontrol atas proses pelaporan keuangan akhir periode.
b. Process-Level Control
Kegiatan yang beroperasi dalam proses tertentu untuk tujuan mencapai tujuan tingkat
proses. Kontrol tingkat proses meliputi:
- Rekonsiliasi akun utama,
- Verifications physical aset (seperti jumlah persediaan), ● Memproses
pengawasan karyawan dan evaluasi kinerja,
- Penilaian risiko tingkat proses,
- Pemantauan/pengawasan transaksi spesifik.
c. Transaction-level Control
Kegiatan yang mengurangi risiko relatif terhadap kelompok atau berbagai tugas atau
transaksi tingkat operasional dalam suatu organisasi. Kontrol tingkat transaksi
meliputi:
- Penghematan,
- Dokumentasi (seperti dokumen sumber),
- Segregasi tugas,
- Kontrol aplikasi TI (input, pemrosesan, output).
● Secondary Controls
merupakan kegiatan yang dirancang untuk mengurangi risiko terkait dengan
objectives bisnis yang tidak penting untuk kelangsungan hidup atau
kesuksesan organisasi atau berfungsi sebagai cadangan untuk kontrol kunci.
e. Compensating Controls
Kegiatan yang dapat membantu mengurangi risiko terkait jika kontrol kunci tidak
sepenuhnya beroperasi secara efektif. Kontrol tersebut tidak akan mengurangi risiko
ke tingkat yang dapat diterima dengan sendirinya
Preventive Controls
- Dirancang untuk mencegah peristiwa yang tidak diinginkan terjadi di tempat
pertama.
- Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari menyebabkan
kesulitan untuk merancang kontrol pencegahan yang ekonomis dan efisien.
- Akibatnya, sebagian besar organisasi menggunakan kombinasi kontrol
pencegahan dan kontrol detektif ketika merancang sistem pengendalian
internal yang efektif dan efisien.
- Contoh kontrol pencegahan termasuk kontrol akses fisik dan logis, seperti
pintu terkunci dan ID pengguna dengan kata sandi unik.
f. Detective Controls
- Dirancang untuk menemukan peristiwa yang tidak diinginkan yang telah
terjadi.
- Untuk dianggap efektif, kontrol tersebut harus terjadi tepat waktu (sebelum
peristiwa yang tidak diinginkan memiliki dampak negatif yang tidak dapat
diterima pada organisasi)
- Contohnya seperti kamera keamanan untuk mengidentifikasi akses fisik yang
tidak sah dan meninjau log komputer yang mencantumkan upaya akses yang
tidak sah.
● Application Controls
- Termasuk langkah-langkah terkomputerisasi dalam perangkat lunak
aplikasi dan prosedur manual terkait untuk mengontrol pemrosesan
berbagai jenis transaksi
● Computer software
termasuk perangkat lunak sistem operasi, perangkat lunak utilitas, perangkat
lunak sistem manajemen basis data (DBMS), perangkat lunak aplikasi, dan
perangkat lunak firewall.
● Databases
tempat penyimpanan data yang besar, biasanya terdapat dalam banyak file
tertaut, dan disimpan dengan cara yang memungkinkan data mudah diakses,
diambil, dan dimanipulasi.
● Information
sumber daya utama untuk semua perusahaan, dan sejak informasi dibuat
hingga dihancurkan, teknologi memainkan peran penting.
● People
dimana peran sistem informasi spesifik bervariasi secara signifikan dari
satu organisasi ke organisasi lainnya
- IT Governance (risk and control)
IT Risks
● Perangkat keras komputer rentan terhadap pemadaman listrik yang mengganggu
pemrosesan transaksi
● Jaringan mengirimkan informasi yang dapat dicegat dan dicuri atau disalahgunakan.
● Database dapat disusupi untuk tujuan menyalahgunakan atau menyalahgunakan
informasi.
IT GOVERNANCE
● IT Governance merupakan proses kepemimpinan, struktur, dan pengawasan yang
memastikan TI organisasi mendukung tujuan dan strategi organisasi.
● Governance didefinisikan sebagai proses yang dilakukan oleh dewan direksi untuk
mengesahkan, mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan
organisasi.
IT RISK MANAGEMENT
Proses yang dilakukan oleh manajemen untuk memahami dan menangani risiko dan peluang
TI yang dapat mempengaruhi kemampuan organisasi untuk mencapai tujuannya.
IT CONTROLS
● Pengendalian didefinisikan sebagai proses tertanam dalam manajemen risiko dan
dilakukan oleh manajemen untuk mengurangi risiko ke tingkat yang dapat diterima.
● Kontrol umum berlaku untuk semua komponen sistem, proses, dan data untuk
organisasi atau lingkungan sistem tertentu.
● Kontrol aplikasi berkaitan dengan ruang lingkup proses bisnis individu atau sistem
aplikasi dan termasuk kontrol dalam aplikasi di sekitar input, pemrosesan, dan output.
IT Governance Controls
Tata kelola TI merupakan komponen integral dari tata kelola secara keseluruhan. Kontrol TI
di tingkat tata kelola adalah bagian penting dari keseluruhan sistem kontrol internal
organisasi, seperti:
● Kebijakan umum tentang tingkat keamanan dan privasi di seluruh organisasi.
● Pernyataan tentang klasifikasi informasi dan hak akses pada setiap tingkatan.
● Definisi konsep kepemilikan data, sistem, dan otorisasi penting untuk memulai
● Kebijakan personalia yg menetapkan dan menegakkan ketentuan staf di area sensitif.
● Definisi persyaratan perencanaan kesinambungan bisnis secara keseluruhan.
IT Management Controls
● Manajemen bertanggung jawab untuk memastikan bahwa kontrol TI dirancang secara
memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan, risiko
yang mengancam pencapaian tujuan, serta proses bisnis & sumber daya organisasi.
● Standar TI mendukung kebijakan TI dengan lebih spesifik mendefinisikan apa yang
diperlukan untuk mencapai tujuan organisasi. Standar ini harus mencakup, misalnya:
○ Systems development processes.
○ Systems software configuration.
○ Application controls.
○ Data structures & Documentation
IT Organization and Management Controls
● Memberikan jaminan bahwa organisasi terstruktur dengan garis pelaporan dan
tanggung jawab yang jelas dan menerapkan proses pengendalian yang efektif, seperti:
○ Pemisahan tugas adalah elemen penting dari banyak kontrol.
○ Kontrol anggaran dan keuangan diperlukan untuk memastikan bahwa
teknologi menghasilkan pengembalian investasi yang diproyeksikan
○ Kurangnya manajemen perubahan dapat berdampak serius pada sistem dan
ketersediaan layanan.
IT Physical and Environmental Controls
● Melindungi sumber daya sistem informasi dari kerusakan, penyalahgunaan, atau
kerugian yang tidak disengaja atau disengaja, seperti:
○ Menemukan server di ruang terkunci yang aksesnya dibatasi.
○ Membatasi akses server ke individu tertentu.
○ Menyediakan peralatan deteksi dan pemadam kebakaran.
○ Menempatkan peralatan, aplikasi, dan data yang sensitif jauh dari bahaya
lingkungan seperti dataran banjir, jalur lampu, atau cairan mudah terbakar
IT Technical Control
● System software memfasilitasi penggunaan perangkat keras sistem dan mencakup
sistem operasi, sistem jaringan, sistem manajemen basis data, firewall, dan antivirus.
● System software control membatasi akses logis ke sistem dan aplikasi organisasi,
memantau penggunaan sistem, dan menghasilkan jejak audit.
○ Hak akses dialokasikan dan dikendalikan sesuai dengan kebijakan yang
dinyatakan organisasi.
○ Pembagian tugas ditegakkan melalui software sistem dan kontrol konfigurasi
○ Penilaian pemantauan intrusi, kerentanan, pencegahan, dan deteksi di tempat
○ Pengujian intrusi dilakukan secara teratur.
● Sistem aplikasi harus memproses informasi secara efektif dan efisien sesuai dengan
kebutuhan pengguna, seperti:
○ Persyaratan pengguna harus didokumentasikan, dan pencapaiannya diukur.
○ Desain sistem harus mengikuti proses formal untuk memastikan bahwa
persyaratan pengguna dan kontrol dirancang ke dalam sistem.
○ Pengembangan sistem dilakukan dengan cara terstruktur untuk memastikan
bahwa persyaratan dan fitur desain yang disetujui dimasukkan ke produk
● Application-based controls diterapkan untuk memastikan bahwa:
○ Semua data input akurat, lengkap, resmi, dan benar.
○ Semua data diproses sebagaimana dimaksud.
○ Semua data yang tersimpan akurat dan lengkap.
○ Semua keluaran akurat dan lengkap
○ Catatan dipertahankan untuk melacak proses data dari input ke penyimpanan
dan ke output akhirnya.
● Application-based controls meliputi:
○ Input controls, digunakan untuk memeriksa integritas data yang dimasukkan
ke dalam aplikasi bisnis
○ Processing controls, menyediakan sarana otomatis untuk memastikan
pemrosesan selesai, akurat, dan disahkan.
○ Output controls, membahas apa yang dilakukan dengan data,
membandingkan hasil dengan hasil yang diinginkan dan memeriksanya
dengan masukan.
○ Integrity controls, memantau data dalam proses dan/atau penyimpanan untuk
memastikan bahwa data tetap konsisten dan benar.
○ Management trail, disebut sebagai jejak audit, memungkinkan manajemen
melacak transaksi dari sumber hingga hasil akhir dan menelusuri mundur dari
hasil untuk mengidentifikasi transaksi dan peristiwa yang dicatatnya.
● Physical Access Controls, memberikan keamanan atas sumber daya TI yang nyata.
● Logical Access Controls, berfungsi memberikan keamanan atas perangkat lunak dan
informasi yang tertanam dalam sistem.
Untuk memenuhi tanggung jawab terkait TI, fungsi audit internal harus:
1. Sertakan sistem informasi organisasi dalam proses perencanaan audit tahunannya.
2. Mengidentifikasi dan menilai risiko TI organisasi.
3. Pastikan bahwa ia memiliki keahlian audit TI yang memadai.
4. Menilai tata kelola TI, manajemen, dan kontrol teknis.
5. Tetapkan auditor dengan tingkat keahlian TI yang sesuai untuk setiap penugasan
jaminan.
6. Gunakan teknik audit berbasis teknologi yang sesuai.
IT Outsourcing
Pengalihdayaan TI (IT Outsourcing) yaitu mentransfer fungsi TI ke penyedia luar
untuk mencapai pengurangan biaya sekaligus meningkatkan kualitas dan efisiensi layanan.
Karena alasan inilah organisasi semakin mengalihdayakan fungsi TI ke vendor yang
berspesialisasi dalam menyediakan layanan TI. Outsourcing TI membawa risiko yang harus
dipahami dan dikelola oleh dewan dan manajemen organisasi. Oleh karena itu, mereka akan
mencari jaminan mengenai informasi yang menjadi dasar keputusan outsourcing mereka.
Fungsi audit internal dapat memberikan jaminan tersebut dan, sebagai tambahan, memberi
nasihat kepada dewan dan manajemen tentang risiko dan implikasi pengendalian dari
outsourcing TI. Dewan dan manajemen juga mempertahankan tanggung jawab untuk kontrol
atas fungsi TI yang dialihdayakan dan akan meminta CAE untuk memberi mereka jaminan
mengenai kecukupan desain dan efektivitas operasi dari kontrol ini. Jika fungsi TI berisiko
tinggi telah dialihdayakan, CAE harus mengalokasikan tingkat yang sesuai sumber daya audit
internal untuk menguji kontrol atas fungsi-fungsi tersebut
.
Komputasi awan (Cloud computing) adalah praktik menggunakan jaringan server
jarak jauh yang dihosting di internet untuk menyimpan, mengelola, memproses, dan
merupakan area yang mengalami pertumbuhan pesat dan mengubah cara bisnis beroperasi.
Ini menyediakan kapasitas sesuai permintaan, menghemat biaya perusahaan untuk melakukan
proyek infrastruktur besar untuk mendapatkan hasil yang sama. Solusi komputasi awan yang
tidak mencakup perawatan yang tepat, uji tuntas, dan pengendalian pasti akan menyebabkan
masalah yang tidak terduga. Lingkungan komputasi awan dapat dibuat secara internal atau
eksternal untuk perusahaan dan model mana pun dapat menyediakan kontrol yang memadai
jika ditetapkan untuk mengatasi risiko dan kontrol sebagaimana diuraikan dalam laporan
Committee of Sponsoring Organizations of the Treadway Commission (COSO's), Enterprise
Risk Management for Cloud Computing.
2. Continuous Auditing
Didefinisikan dalam "GTAG: Audit Berkelanjutan: Implikasi untuk Jaminan,
Pemantauan, dan Penilaian Risiko" sebagai "metode apa pun yang digunakan oleh [auditor
internal] untuk melakukan aktivitas terkait audit secara lebih berkelanjutan atau
berkelanjutan." Audit berkelanjutan terdiri dari dua kegiatan utama:
1. Penilaian kontrol berkelanjutan, yang tujuannya adalah "untuk memfokuskan
perhatian audit pada defisiensi kontrol sedini mungkin," dan
2. Penilaian risiko berkelanjutan, yang tujuannya adalah "untuk menyoroti proses
atau sistem yang mengalami tingkat risiko yang lebih tinggi dari yang
diharapkan."
Manajemen bertanggung jawab untuk memantau proses manajemen risiko organisasi,
termasuk proses pengendalian, dari waktu ke waktu untuk memastikan bahwa proses tersebut
terus beroperasi secara efektif dan efisien. Tanggung jawab audit berkelanjutan fungsi audit
internal adalah untuk menilai efektivitas kegiatan pemantauan berkelanjutan manajemen. Di
area organisasi di mana manajemen telah menerapkan proses pemantauan berkelanjutan yang
efektif, auditor internal dapat melakukan penilaian risiko dan pengendalian berkelanjutan
yang tidak terlalu ketat. Sebaliknya, jika pemantauan berkelanjutan tidak ada atau tidak
efektif, fungsi audit internal harus melakukan penilaian risiko dan pengendalian yang lebih
ketat.
7. ERM
- ERM Coso
Define risk and enterprise risk management
➔ Kata risiko dalam bahasa Inggris berasal dari kata Italia "risicare," yang berarti
"berani: pilihan di bawah kondisi yang tidak pasti."
➔ Kunci dari definisi ini adalah gagasan tentang ketidakpastian.
Memperluas definisi itu, dalam draf eksposur 2016 Komite Organisasi Sponsor
Komisi Treadway (COSO) mendefinisikan risiko sebagai "Kemungkinan bahwa
peristiwa akan terjadi dan mempengaruhi pencapaian strategi dan tujuan."
➔ Dan Organisasi Internasional untuk Standardisasi (ISO) dengan sangat sederhana
mendefinisikan risiko sebagai "efek ketidakpastian pada tujuan."
● Management/Manajemen
➔ Manajemen bertanggung jawab untuk menjalankan semua aktivitas organisasi,
termasuk ERM. Manajemen bertanggung jawab atas aspek dari kelima
komponen ERM.
➔ CEO pada akhirnya bertanggung jawab atas efektivitas dan keberhasilan ERM.
CEO mempengaruhi komposisi dan perilaku dewan, memberikan
kepemimpinan dan arahan kepada manajer senior, dan memantau aktivitas
risiko organisasi secara keseluruhan dalam kaitannya dengan risk appetite.
➔ Ketika keadaan yang berkembang, risiko yang muncul, implementasi strategi,
atau tindakan yang diantisipasi menunjukkan potensi ketidakselarasan dengan
kriteria risiko, CEO mengambil tindakan yang diperlukan untuk membangun
kembali keselarasan.
➔ Manajer senior bertanggung jawab untuk mengelola risiko yang terkait dengan
tujuan unit spesifik mereka. Mereka mengubah strategi keseluruhan organisasi
menjadi kegiatan operasi yang sedang berlangsung, mengidentifikasi peristiwa
risiko potensial, menilai risiko terkait, dan menerapkan tindakan untuk
mengelola risiko tersebut.
Fungsi staf, seperti akuntansi, sumber daya manusia, kepatuhan, atau hukum, juga memiliki
peran pendukung penting dalam merancang dan melaksanakan praktik ERM yang efektif.
Fungsi-fungsi ini dapat merancang dan mengimplementasikan program yang membantu
mengelola risiko utama tertentu di seluruh organisasi.
Petugas risiko/Risk officer
➔ Seorang pejabat risiko, chief risk officer (CRO) memfasilitasi kegiatan manajemen
risiko.
➔ CRO memiliki sumber daya untuk membantu mempengaruhi ERM di seluruh anak
perusahaan, bisnis, departemen, fungsi, dan aktivitas. Individu ini mungkin memiliki
tanggung jawab untuk memantau kemajuan manajemen risiko dan membantu manajer
lain dalam melaporkan informasi risiko yang relevan ke atas, ke bawah, dan di seluruh
organisasi.
- Internal Auditor roles (core IA roles and role IA should not undertaken)
Berbagai peran fungsi audit internal dalam manajemen risiko perusahaan.
➔ Peran-peran di bagian hijau
● mewakili kegiatan penjaminan.
● Mereka adalah bagian dari tujuan yang lebih luas untuk memberikan jaminan
atas aktivitas manajemen risiko.
Likelihood atau probabilitas risiko merujuk pada seberapa besar kemungkinan risiko terjadi di
masa depan. Probabilitas ini dapat diukur dalam skala numerik, misalnya dalam skala dari 1
sampai 5 atau dalam bentuk persentase. Probabilitas risiko dapat dipengaruhi oleh
faktor-faktor seperti kondisi pasar, kebijakan pemerintah, atau ketidakpastian lingkungan
bisnis.
Sementara itu, impact atau dampak risiko merujuk pada konsekuensi atau kerugian yang
mungkin terjadi jika risiko tersebut terjadi. Dampak risiko juga dapat diukur dalam skala
numerik, misalnya dalam skala dari 1 sampai 5 atau dalam bentuk presentase. Dampak risiko
dapat dipengaruhi oleh faktor-faktor seperti ukuran perusahaan, produk atau jasa yang
dihasilkan, dan risiko-risiko yang berdampak pada reputasi perusahaan.
Ketika kedua faktor ini dipertimbangkan bersama-sama, maka akan didapatkan nilai risiko.
Nilai risiko ini akan membantu organisasi dalam menentukan prioritas risiko yang perlu
ditangani terlebih dahulu. Risiko dengan nilai tinggi (yang memiliki probabilitas tinggi dan
dampak besar) dapat menjadi prioritas utama, sedangkan risiko dengan nilai rendah dapat
ditangani secara lebih rendah prioritas.