PREPARE UTS INTERNAL AUDIT

TM 2
1. Which is not the following the Pillars of
Internal Audit Services ?
a. Independence
b. Proficiency
c. Due professional care
d. All are Incorrect

2. Apa saja yang dipertimbangkan dalam melakukan perencanaan penugasan

(engagement planning), kecuali.
a. Tujuan (objectives)
b. Lingkup (scope)
c. Alokasi sumber daya
d. Bukti audit

3. Which of the following is/are components of standards?

I.Statements
II.Interpretation
III. Glossary
a. I only
b. I and II
c. I and III
d. II dan III

4. Which of the following are mandatory guidance in the IIA’s IPPF?

I.Implementation Guides
II. The code of ethics
III. The definition of internal audit
IV. The standards
 a. I, II , and IV
b. II and IV
c. II,III and IV
d. I, II,III, and IV

5. A primary purpose of The standards is to

a. Establish a basis for evaluating internal audit performance
b. Develop consistency in internal audit practices
c. Promote coordination of internal and external audit efforts
d. Provide a codification of existing practice

6. To determine what needs to be done regarding follow up on assurances engagement

the internal audit staff just completed, one would consul
a. The attribute Standards assurance services implementation standards
b. The attribute Standards Consulting services and implementation standards
c. The Performance Standards: Consulting Services Implementation Standards
d. The Performance Standards: Assurance Services Implementation
Standards

7. Assurance, Insight, and Objectivity comprise

a. The mission of Internal auditing
b. The value proposition
c. The three lines of defense model
d. The objectives of internal auditing
8. Which of the following is a Core Principle for the Professional Practice of Internal
auditing?
a. Maintain confidentially
b. Promote an ethical culture in the Internal audit Profession
c. Develop consistency in internal audit practices
d.Is appropriately positioned and adequately resources (RH)

9. When nonconformance with the Code of The Ethics or The Standards impact a
specific engagement, communication of the result must disclosed the..., EXCEPT
a. Internal auditor can't accumulate audit evidence
b. Principle or rule of conduct of the code of ethics or standards was not achieve
c. Reason for nonconformance
d. Impact of nonconformance on the engagement and the communicated
engagement result

10. Which of the following are components definition of internal auditing?

a. Independence and objectivity
b. A systematic and disciplined approach
c. Helping the organization accomplish its objectives
d. All of above
TM 3
1. When nonconformance with code’s ethics or the standards, communicating of the
result must disclose, Except :
a. Principle(s) or rule (s) of conduct the code ethics or standard (s) with which
full conformance was not achieved
b. Reason nonconformance
c. Impact of nonconformance
d. Monitoring progress

2. The broad area of Governance is/are

I. Strategic Direction
II. Internal Control
III. Risk Management
IV. Governance Oversight
a. I only
b. I, II, and IV
c. II and III
d. I and IV

3. The following in NOT directly stakeholder

a. Shareholder
b. Employee
c. Vendor
d. Customer
Direct = employee, customer, vendor
Non Direct = shareholder/investor
 Apakah proses yang dilakukan oleh dewan direksi untuk memberikan otorisasi,
arahan, dan pengawasan terhadap manajemen dalam mencapai tujuan organisasi?

4. Is the process conducted by the board of directors to authorize, direct, and oversee
management toward the achievement of the organization’s objectives
a. Risk Management
b. Governance
c. Internal Auditing
d. Internal Control

5. “Code of Ethics” adalah peraturan yang mengatur tentang

a. Cara bekerjanya Auditor Internal
b. Perilaku Auditor Internal
c. Kompetensi Auditor Internal
d. Hak dan kewajiban Auditor Internal

6. Key component of governance oversight is

a. Standards
b. Risk management
c. Internal control
d. Business model

7. The following is NOT key of Governance Structure

a. Performance Standards
b. Risk Management
c. Governance
d. Internal Control

8. The internal audit activities must assess and make appropriate recommendations to
improve the organization’s governance process for
 a. Responding audit finding
b. Improve material weakness internal control
c. Promoting appropriate ethics and value within the organization
d. All are incorrect

9. In strategic direction, the board

a. Has responsible for providing strategic direction
b. Give guidance relative to establishment of key business objectives
c. Align with stakeholder priorities
d. All are correct

10. Tanggung jawab utama tata kelola perusahaan ada ditangan

a. Board of Director
b. Stakeholder
c. Internal Auditor
d. Employee

TM 4
1. The CEO is ultimately responsible for the effectiveness and success of ERM.
True

2. The possibility that event occur and affect the achievement of a strategy and
objectives called ERM.
False
3. ERM memberikan manfaat bagi suatu organisasi untuk meningkatkan kinerja
organisasi. True

4. The COSO exposure draft describes these risk components as follows are risk,
strategy, Objective-Setting ,and risk in execution. False

5. The ISO Risk Management Process is comprised the following activities are establish
the context, asses the risk, treat the risk, and management control risk.
FALSE
6. Tahap awal dalam proses manajemen risiko menurut ISO 31000 adalah dengan
menganalisis risiko. False

7. Untuk mengurangi risiko yang tidak diinginkan, manajemen merespon risiko

(mitigasi) dengan melakukan outsourcing , lindung, nilai, dan asuransi. Hal ini
dinamakan risk avoid. False

8. Chief Risk Officer has responsible to overall risk oversight responsibility,

management is responsible for day today risk management responsibility. True

9. Peran Internal auditor dalam manajemen risiko adalah melakukan review atas
penilaian manajemen risiko yang dan kontrol internal yang efektif. True

10. Lingkungan internal yang membentuk dasar bagi keberlangsungan manajemen risiko
sehingga menempatkannya sebagai criteria teratas untuk pengukuran manajemen
risiko salah satunya adalah "board of director attitudes” TRUE
 11. Respon Terhadap Risiko yaitu “Accept” yang berarti menerima risiko saja atau dan
tidak ada aksi dalam merespon risiko
TRUE

12. Pengembangan Manajemen Risiko dimulai dari level atas kebawah dalam hal ini
melibatkan boards of directors untuk memberikan oversight terhadap level
dibawahnya untuk mengelola risiko sampai pada level risiko yang masih dapat
diterima organisasi
True

13. The type and amount of risk on a broad level, an organization willing to accept in
pursuit of value called risk appetite
True

14. ERM hanya mempertimbangkan aktivitas pada enterprise level

False

15. Memberikan advice atas perbaikan dan desain sistem kontrol dan strategi mitigasi
risiko merupakan nilai tambah yang dapat diberikan internal auditor terhadap
perusahaan
True

TM 5
1. Dokumen-dokumen proses bisnis suatu perusahaan disiapkan oleh
a. Board of director
b. Process owner
c. Internal auditor
d. Employee
2. Berikut pernyataan yang salah terkait dengan proses bisnis sebuah perusahaan :
a. Internal auditor adalah pihak yang tidak terlibat langsung dengan kunci sukses
sebuah perusahaan
b. Proses kunci (key process) dengan pendekatan bottom up sangat tepat
digunakan perusahaan yang bisnis berskala besar dan kompleks
c. Key process berkaitan dengan proses untuk mendukung strategi dan
berkontribusi terhadap kesuksesan sebuah perusahaan
d. Pendekatan Top Down diawali dengan proses identifikasi pada entity level

3. Case 1 : Dalam proses operasional yaitu pelaksanaan ujian UTS yang nanti akan
dihadapi semua mahasiswa Universitas X, maka Universitas X harus mengidentifikasi
resiko potensial yang bakal terjadi antara lain :
a. Kesalahan materi
b. Kebocoran soal
c. Kecurangan pelaksanaan ujian
d. Semua jawaban benar

4. Risiko kecurangan (fraud risk) dan tindakan melawan hukum (illegal act) termasuk
dalam basic business model
a. Operating
b. Reporting
c. Strategy
d. Compliance

5. Dalam audit planning (Standard 2010), IIA mensyaratkan seorang CAE untuk
a. Menetapkan tujuan organisasi
b. Menetapkan perencanaan audit berbasis risiko
c. Menentukan aktivitas audit berbasis priority risk
d. Jawaban b dan c benar
6. Process maps in documenting process comprise
I. Workflows
II. Input
III. Steps
IV. Output

input - step - workflow - output

a. I, II, II, and IV
b. II, I, III, and IV
c. II, III, I, and IV
d. I, III, II, and IV

7. Dalam perspektif ERM, penentuan risk profile and critical risk dilakukan oleh :
a. Management
b. CAE
c. Internal Auditor
d. Eksternal Auditor

8. Recruitment, accounting, cash management, payroll, purchasing, etc include

a. All are incorrect
b. Management and support system
c. Operating process
d. Project process

9. Internal audit harus memahami proses kunci dalam mencapai tujuan suatu organisasi/
perusahaan, dan langkah selanjutnya
a. Menyelaraskan dengan kepentingan stakeholder
b. Internal audit harus mengevaluasi risiko bisnis
c. Melakukan pengendalian manajemen atas resiko yang akan terjadi
d. Evaluasi Key Performance Indicator (KPI)

10. What is a business process?

a. How management plans to achieve the organization’s objectives
b. The set of connected activities linked with each other for the purpose of
achieving an objective or goal
c. A group of interacting, interrelated, or interdependent elements forming a
complex whole
d. A Finite endeavore (having specific start and completion dates) undertaken to
create a unique product or service that brings about beneficial changed or
added value.
 TM 6
1. Fungsi internal audit dalam internal control adalah memberikan wawasan dengan
cara:
a. Help the organization develop a comprehensive framework for assessing
the adequate design and effective operation of internal control
b. Mitigate critical risk to enhance organization performance
c. Reduce material weakness of internal control
d. All are incorrect

2. Consequences of Accepting Excessive Risk is/are, exclude :

a. Poor ot ineffective business decisions – making
b. Potential loss of assets
c. Increased bureaucracy
d. Potential for fraud to occur

3. Entity level control comprise :

I. Control over management override
II. Process level risk management
III. Control to monitor results of operations
IV. Control over the period – end financial reporting process
V. Physical verification of assets
a. I, II, III, IV, and IV
b. I, III, and V
c. Only I
d. I, III, and IV

4. Board of director has responsible to internal control that is :

a. Design adequately internal control and effective operation of the system of
internal controls
b. Reasonable assurance that the system of internal controls is designed
adequately and operating effectively
c. Produce information and take other actions needed to effect control
d. All are correct

5. ….. are designed to ensure that individual operational activities, tasks, or transactions,
as well as related groups of operational activities (tasks) or transactions, are accurately
processed timely
a. Transaction level control
b. Entity level control
c. Key control
d. Process level control
6. Reconciliation of key account, process employee supervision and performance
evaluation and monitoring/ oversight of specific transaction are part of :
a. Transaction level control
b. Entity level control
c. Detective control \
d. Process level control

7. What is residual risk ?

a. Impact of risk
b. Monitoring control
c. Risk that is under control
d. Risk that is not managed

8. Limitation of internal control is/are

a. Ability of management to override internal control
b. Ability of management, other personnel, and/or third parties to circumvent
controls through collusion
c. Contains material weakness that impact to organization objective
d. Jawaban a dan b benar

9. Gudang yang dikelola oleh Mr.X dijaga oleh satpam dan akses masuk gudang dibatasi
hanya untuk orang yang punya ID Cards untuk masuk gudang. Hal ini termasuk jenis
pengendalian (control)
a. Detective control
b. Transaction level control
c. Process level control
d. Preventive control
10. Act Decisively when potentially significant or material internal control changes or
deficiencies are identified is responsibility. ….
a. Board of Director
b. Management
c. Audit Committee
d. Internal Auditor

11. Pemasangan CCTV di dalam ruangan kelas belajar lebih tepatnya termasuk jenis
pengendalian :
a. Transaction control
b. Detective control
c. Compensating control
d. Jawaban b dan c benar
 12. The following of the transaction level controls
a. Authorization
b. Documentation
c. Reconciliation of key bank (proses)
d. Jawaban c salah

13. General control and Application control part of is

a. Control environment
b. Control activities
c. Monitoring
d. Information and communication

14. Governance controls and management oversight control are part of

a. Entity level control
b. Transaction level control
c. Division level control
d. Process level control

15. Proses monitoring dalam internal control termasuk, selain :

a.Mengidentifikasi pengendalian yang dibutuhkan untuk merespon risiko
b. Memonitor residual risk and appetite rise
c. Memonitor risiko yang memiliki prioritas tinggi
d. Melaporkan hasil monitoring kepada pihak yang tepat secara tepat waktu

TM 7
1. Masalah risiko teknologi informasi yang muncul, harus dipandang sebagai suatu
opportunities dalam fungsi internal audit yaitu dengan memberikan layanan konsultasi
yang membantu manajemen menangani risiko IT yang muncul adapun beberapa
peluang wawasan tentang risiko dan control, kecuali
a.memahami teknologi baru yang berdampak pada organisasi terlepas dari apakah
organisasi saat ini menggunakannya
b. memastikan risiko IT disertakan dalam penilaian risiko tahun
c. menunjuk supplier IT dikenal oleh auditor
d. Memberikan rekomendasi pengendalian saat teknologi baru diterapkan

2. IT Governance saat ini dianggap penting (IIA Standard 2110.A2 &GTAG : Auditing
IT Governance) dalam hal ini apakah fungsi dari internal audit ?
a.Memperkuat struktur IT Governance dalam fungsi kontrol
b. Menilai apakah IT Governance organisasi mendukung strategi dan tujuan
organisasi
c. Menilai apakah IT Governance organisasi telah berjalan dengan baik
d. Menjadi bagian dari struktur IT Governance
3. Sebagai seorang Internal Auditor, keperluan ID pengguna dan kata sandi akan
dipandang sebagai jenis kontrol …
a.Detective
b. Preventive
c. Detective
d. Corrective

4. Manakah dari berikut ini yang paling menggambarkan audit internal berkelanjutan?
a. Oversight of continuous monitoring
b. Pengembangan teknik audit berbantuan komputer (CAATs)
c. Peningkatan kemampuan auditor internal untuk terus melakukan
langkah-langkah audit.
d. Penggunaan penilaian risiko berkelanjutan, penilaian kontrol
berkelanjutan, dan penilaian pemantauan berkelanjutan

5. Seorang internal auditor akan melihat bahwa informasi yang dihasilkan oleh suatu
sistem informasi mempunyai manfaat jika
a.relevan, andal, lengkap, akurat, dan tepat waktu
b. relevan, andal lengkap, dan tepat waktu
c. relevan, lengkap dan akurat
d. relevan,andal, lengkap, akurat, tepat waktu, dan sesuai dengan kebutuhan

6. Bidang pengetahuan yang paling penting untuk auditor internal modern saat ini antara
lain
a. Internal control
b. Dampak IT terhadap internal audit
c. ERM
d. Semua jawaban benar

7. Tujuan dari Logical security control adalah untuk

a. Pembatasan akses ke data
b. Mencatat hasil pemrosesan
c.Pembatasan akses ke perangkat keras
d. Memastikan pemrosesan data yang lengkap dan akurat

8. Jika catatan transaksi penjualan ditolak selama input karena nomor rekening nasabah
yang dimasukkan tidak tercantum dalam master file nasabah, kemungkinan besar error
tersebut terdeteksi oleh…
a.Validity check
b. Completeness check
c. Reasonableness check
d. Limit check
9. Jika saudara mendapatkan adanya larangan untuk menambah segala fasilitas standard
dari hardware dan software tanpa sepengetahuan yang berwenang (CIO atau CISO),
hal ini sebenarnya dalam rangka mengelola risiko…
a. Availability Risk
b. Development/Acquisition and Deployment Risk
c. Hardware/Software Risk
d. Selection Risk

10. Top skill yang harus dimiliki oleh seorang internal auditor di era modern saat ini
kecuali,
a. Memahami perubahan manajemen yang berdampak terhadap pencapaian
tujuan organisasi
b. memiliki pengetahuan tentang cybersecurity
c. mampu memitigasi risiko informasi
d. memiliki pengetahuan dan mampu menganalisa data yang begitu besar
(data analytics)

11. Dalam mengaplikasikan suatu IT mungkin tidak semua karyawan dan anggota
organisasi paham atau siap thererama sistem IT tersebut sehingga menimbulkan
banyak risiko error , hal yang tidak disarankan untuk mengatasi risiko ini adalah…
a.Menerapkan reward and punishment system
b. Memberikan pendampingan karyawan dalam mengaplikasikan sistem IT
c. Memberikan pelatihan karyawan dalam mengaplikasi system IT
d. Memberikan pengertian kepada seluruh anggota tentang tujuan dan manfaat dari IT
system yang akan diaplikasikan dan dampaknya terhadap pencapaian tujuan
organisasi.

12. Seperti yang telah disebutkan terdapat salah satu jenis IT Risk yaitu fraud and
malicious acts risk, adapun salah satu faktor yang paling besar menyebabkan
terjadinya risiko tersebut adalah…
a.Ketidakpuasan karyawan pada umumnya
b. Ketidakpuasan pemasok IT
c. Ketidaksesuaian IT dengan tujuan organisasi
d. Ketidakpuasan karyawan bagian IT
 PREPARE UTS INTERNAL AUDIT
1. Fundamental Internal Audit Concepts ( Bab 1)
Definisi Internal Audit
● Internal audit adalah kegiatan jaminan dan konsultasi yang independen dan
objektif
● yang dirancang untuk menambah nilai dan meningkatkan operasi
organisasi.
● Membantu suatu organisasi mencapai tujuannya dengan membawa pendekatan
yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan
efektivitas manajemen risiko, pengendalian, dan proses tata kelola.

2. Governance (Chapter 3)
Tujuan utama dari fungsi audit internal adalah membantu organisasi mencapai tujuan
bisnisnya. Oleh karena itu, sasaran perhatian audit internal dapat mencakup:
1. Efektivitas dan efisiensi proses bisnis.
2. Keandalan sistem informasi dan kualitas informasi pengambilan keputusan yang
dihasilkan oleh sistem tersebut.
3. Melindungi aset dari kerugian, termasuk kerugian akibat penipuan oleh manajemen
dan karyawan.
4. Kepatuhan dengan kebijakan organisasi, kontrak, hukum, dan peraturan.

"Dewan pengawas dan manajemen senior mengandalkan Audit Internal untuk jaminan
objektif dan wawasan tentang efektivitas dan efisiensi proses tata kelola, manajemen risiko,
dan kontrol internal." Fungsi audit internal membantu organisasi mencapai tujuan bisnisnya
dengan mengevaluasi dan meningkatkan efektivitas proses tata kelola, manajemen risiko, dan
kontrol serta memberikan rekomendasi perbaikan.

Key Elements Of Governance ( Hubungan Antar Element)

● Governance, adalah proses yang dilakukan oleh dewan direksi untuk mengotorisasi,
mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan organisasi. Tata
kelola perusahaan melibatkan serangkaian hubungan antara manajemen perusahaan,
dewan, pemegang saham, dan pemangku kepentingan lainnya. Tata kelola perusahaan
 juga menyediakan struktur di mana tujuan perusahaan ditetapkan, dan sarana untuk
mencapai tujuan tersebut dan memantau kinerja ditentukan. melingkupi semua
kegiatan dalam suatu organisasi. Struktur governance dibentuk untuk
1) mematuhi hukum dan peraturan di wilayah organisasi beroperasi. Peraturan itu
bertujuan untuk melindungi kepentingan publik
2) dewan dan manajemen organisasi menetapkan struktur governance untuk memastikan
- apakah kebutuhan stakeholder utama terpenuhi?
- apakah organisasi beroperasi di dalam batas dan nilai-nilai yang ditetapkan oleh
dewan dan manajemen senior.

● Risk management , dimaksudkan untuk

1. mengidentifikasi dan mengelola risiko yang dapat merugikan keberhasilan organisasi,
2. memanfaatkan peluang yang memungkinkan keberhasilan itu.
Manajemen mengembangkan respons atau strategi risiko untuk mengelola risiko dan peluang
sebaik-baiknya. Kegiatan manajemen risiko harus beroperasi dalam keseluruhan arah struktur
tata kelola.

● Internal Control
mewakili subset, dari aktivitas manajemen risiko yang lebih luas. Respons risiko, yang
mencakup kontrol, dirancang untuk mengeksekusi risiko strategi manajemen.
Akhirnya, ada tanda panah yang mewakili rendahnya informasi di struktur pemerintahan.
● Dewan memberikan arahan kepada manajemen senior untuk membimbing dalam
melaksanakan kegiatan manajemen risiko.
● Manajemen senior memberikan arahan kepada tingkat manajemen yang lebih rendah
yang bertanggung jawab atas kontrol khusus.
● Manajer tingkat bawah bertanggung jawab kepada manajemen senior sehubungan
dengan keberhasilan kontrol tersebut.
● Manajemen senior bertanggung jawab untuk memberikan dewan jaminan mengenai
efektivitas risiko kegiatan manajemen.

3. ERM
Proses Risk Management
ERM (Enterprise Risk Management) atau Manajemen Risiko Perusahaan adalah suatu
pendekatan strategis yang digunakan oleh perusahaan untuk mengidentifikasi,
mengevaluasi, dan mengelola risiko-risiko yang mungkin terjadi dalam kegiatan bisnis
mereka.
Proses ERM
a) Mengenali budaya dan kemampuan (Recognizing culture and capabilities)
➔ aspek kunci dari ERM.
➔ Budaya berhubungan dengan orang-orang di semua tingkatan organisasi,
termasuk mereka yang menetapkan misi, strategi, dan tujuan bisnis, serta
semua yang menjalankan praktik manajemen risiko.
➔ ERM membantu orang memahami risiko dan bagaimana kaitannya dengan
strategi organisasi dan tujuan bisnis. Sebuah organisasi yang memiliki
kemampuan untuk beradaptasi dengan perubahan lebih mampu bersaing dan
berkembang di pasar.
b) Menerapkan praktik (Applying practices )
➔ prosedur dan tugas yang dilakukan oleh organisasi untuk memastikan
manajemen risiko yang efektif.
➔ Praktik-praktik ini diterapkan dari tingkat tertinggi organisasi dan mengalir ke
bawah melalui divisi, unit bisnis, dan fungsi.

c) Mengintegrasikan dengan penetapan strategi dan pelaksanaannya

( Integrating with strategy-setting and its execution )
➔ yang melibatkan manajemen mempertimbangkan implikasi dari setiap strategi
terhadap profil risiko organisasi.
➔ Manajemen secara khusus mempertimbangkan peluang baru yang muncul dari
strategi, serta potensi hambatan bagi keberhasilan strategi tersebut.

d) Mengelola risiko terhadap strategi dan tujuan bisnis

( Managing risk to strategy and business objectives )
➔ memberikan harapan yang wajar kepada manajemen dan dewan direksi bahwa mereka
dapat mencapai strategi dan tujuan bisnis secara keseluruhan.
➔ Praktik manajemen risiko yang kuat akan meningkatkan keyakinan organisasi bahwa
strategi dan tujuan bisnis akan tercapai.

e) Menghubungkan dengan menciptakan, melestarikan, dan mewujudkan nilai

( Linking to creating, preserving, and realizing value)
➔ berarti bahwa, pada akhirnya, keberhasilan manajemen risiko ditentukan oleh nilai.
Kecukupan nilai tersebut akan menjadi fungsi dari risk appetite organisasi.
COSO menunjukkan bahwa ketika manajemen risiko perusahaan dan penetapan
strategi terintegrasi, organisasi akan lebih baik dalam memahami:
- Bagaimana misi, visi, dan nilai inti dapat membantu membentuk artikulasi jenis dan
jumlah risiko yang dapat diterima untuk dipertimbangkan saat menetapkan strategi.
- Bahwa strategi dan tujuan bisnisnya harus selaras dengan misi, visi, dan nilai-nilai
inti.
- Ada berbagai jenis dan jumlah risiko yang berpotensi dihadapi organisasi dari strategi
yang telah dipilih.
 - Jenis dan jumlah risiko akan mempengaruhi bagaimana menjalankan strategi dan
mencapai tujuan bisnisnya.

Relationship between risk and control

Risiko dan kontrol adalah dua konsep yang saling terkait dan bergantung satu sama
lain. Faktanya, kontrol adalah elemen penting dalam manajemen risiko yang efektif. Berikut
ini adalah hubungan antara risiko dan kontrol:
1. Penilaian risiko membantu merancang kontrol:
Proses identifikasi dan penilaian risiko membantu organisasi merancang dan
mengimplementasikan kontrol yang tepat untuk mengurangi risiko yang mungkin terjadi.
Dengan memahami risiko yang ada, organisasi dapat menentukan jenis kontrol yang
diperlukan untuk mengelola risiko dengan efektif.

2. Kontrol membantu mengurangi risiko:

Kontrol adalah tindakan yang diambil untuk mengurangi atau meminimalkan risiko yang
mungkin terjadi. Dengan mengimplementasikan kontrol yang tepat, organisasi dapat
mengelola risiko dengan lebih baik dan meminimalkan dampak negatif yang mungkin terjadi
jika risiko tersebut terwujud.

3. Evaluasi kontrol membantu mengevaluasi efektivitas manajemen risiko:

Evaluasi kontrol yang ada membantu organisasi mengevaluasi seberapa efektif manajemen
risiko yang dilakukan. Dengan mengevaluasi kontrol, organisasi dapat menentukan apakah
kontrol tersebut cukup atau perlu ditingkatkan, sehingga dapat memastikan bahwa risiko
terkait dapat dikelola dengan efektif.

4. Internal Control
Objectives of Internal Control
[COSO] [framework menetapkan tiga kategori objektif, yang memungkinkan organisasi
untuk fokus pada aspek yang berbeda dari pengendalian internal:
1. Operations Objective
Ini berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk tujuan kinerja
operasional dan keuangan, serta menjaga aset dari kerugian.

2. Reporting Objective
Ini berkaitan dengan pelaporan keuangan dan non-keuangan internal dan eksternal dan
dapat mencakup keandalan, ketepatan waktu, transparansi, atau istilah lain yang
ditetapkan oleh regulator, pengatur standar, atau kebijakan entitas.

3. Compliance Objective
Ini berkaitan dengan kepatuhan terhadap undang-undang dan peraturan yang berlaku
untuk entitas tersebut.
Type Of Controls
A. Entity-Level Control
Kontrol yang beroperasi di seluruh entitas dan, dengan demikian, tidak terikat oleh, atau
terkait dengan, proses individu. Kontrol tingkat entitas meliputi:
● Kontrol yang terkait dengan lingkungan kontrol,
● Kontrol atas penggantian manajemen,
● Proses penilaian risiko perusahaan,
● Pemrosesan dan kontrol terpusat, termasuk lingkungan layanan bersama,
● Kontrol untuk memantau hasil operasi,
● Kontrol untuk memantau kontrol lain, termasuk kegiatan fungsi audit internal, komite
audit, dan program penilaian diri,
● Kontrol atas proses pelaporan keuangan akhir periode.

B. Process-Level Control
Kegiatan yang beroperasi dalam proses tertentu untuk tujuan mencapai tujuan tingkat proses.
Kontrol tingkat proses meliputi:
● Rekonsiliasi akun utama,
● Verifications physical aset (seperti jumlah persediaan),
● Memproses pengawasan karyawan dan evaluasi kinerja,
● Penilaian risiko tingkat proses,
● Pemantauan/pengawasan transaksi spesifik.

C. Transaction-level Control
Kegiatan yang mengurangi risiko relatif terhadap kelompok atau berbagai tugas atau transaksi
tingkat operasional dalam suatu organisasi. Kontrol tingkat transaksi meliputi:
● Penghematan,
● Dokumentasi (seperti dokumen sumber),
● Segregasi tugas,
● Kontrol aplikasi TI (input, pemrosesan, output).

D. Key Controls and Secondary Controls

● Key Control, merupakan kegiatan yang dirancang untuk mengurangi risiko yang
terkait dengan tujuan bisnis yang penting.
● Secondary Controls, merupakan kegiatan yang dirancang untuk mengurangi risiko
terkait dengan objectives bisnis yang tidak penting untuk kelangsungan hidup atau
kesuksesan organisasi atau berfungsi sebagai cadangan untuk kontrol kunci.

E. Compensating Controls
Kegiatan yang dapat membantu mengurangi risiko terkait jika kontrol kunci tidak sepenuhnya
beroperasi secara efektif. Kontrol tersebut tidak akan mengurangi risiko ke tingkat yang dapat
diterima dengan sendirinya
 F. Preventive Controls
● Dirancang untuk mencegah peristiwa yang tidak diinginkan terjadi di tempat pertama.
● Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari menyebabkan
kesulitan untuk merancang kontrol pencegahan yang ekonomis dan efisien.
● Akibatnya, sebagian besar organisasi menggunakan kombinasi kontrol pencegahan
dan kontrol detektif ketika merancang sistem pengendalian internal yang efektif dan
efisien.
● Contoh kontrol pencegahan termasuk kontrol akses fisik dan logis, seperti pintu
terkunci dan ID pengguna dengan kata sandi unik.
G. Detective Controls
● Dirancang untuk menemukan peristiwa yang tidak diinginkan yang telah terjadi.
● Untuk dianggap efektif, kontrol tersebut harus terjadi tepat waktu (sebelum peristiwa
yang tidak diinginkan memiliki dampak negatif yang tidak dapat diterima pada
organisasi)
● Contohnya seperti kamera keamanan untuk mengidentifikasi akses fisik yang tidak
sah dan meninjau log komputer yang mencantumkan upaya akses yang tidak sah.

H. Informations System (Technology) Controls

General Computing Controls
● Ini berlaku untuk banyak jika tidak semua sistem aplikasi dan membantu memastikan
operasi mereka yang berkelanjutan dan tepat.
● Batas-batas yang berhubungan dengan batas-batas penilaian manusia, kendala sumber
daya, dan kebutuhan
● Untuk mempertimbangkan biaya kontrol dalam kaitannya dengan manfaat yang
diharapkan, realitas bahwa kerusakan dapat terjadi, dan potensi kecelakaan

Application Controls
- Termasuk langkah-langkah terkomputerisasi dalam perangkat lunak aplikasi dan
prosedur manual terkait untuk mengontrol pemrosesan berbagai jenis transaksi.

Role Internal audit to Internal Control

Auditor internal memainkan peran penting dalam memverifikasi bahwa manajemen
telah memenuhi tanggung jawabnya. Fungsi audit internal secara independen memvalidasi
asersi manajemen. Fungsi audit internal memberikan jaminan yang wajar bahwa sistem
pengendalian internal dirancang secara memadai dan beroperasi secara efektif, sehingga
meningkatkan kemungkinan tercapainya tujuan dan sasaran bisnis organisasi.
Pilihan Ganda
1. Introduction
The value of proportion

● Assurance = Governance, Risk, and Control.

Audit internal memberikan jaminan atas tata kelola organisasi, manajemen risiko, dan
proses pengendalian untuk membantu organisasi mencapai tujuan strategis,
operasional, keuangan, dan kepatuhannya.

● Insight = Catalyst, Analyses, and Assessments

Audit internal merupakan katalis untuk meningkatkan efektivitas dan efisiensi
organisasi dengan memberikan wawasan dan rekomendasi berdasarkan analisis dan
penilaian data dan proses bisnis

● Objectivity = Integrity, Accountability, and Independence.

Dengan komitmen terhadap integritas dan akuntabilitas, audit internal memberikan
nilai pada tata kelola, badan-badan dan manajemen senior sebagai sumber nasihat
independen yang objektif.

Kompetensi yang dibutuhkan Internal Auditor menurut IPPF

Jika auditor internal ingin menjadi penasihat terpercaya bagi organisasi yang dilayani,
mereka harus memiliki lima karakteristik yang dikenal sebagai lima K, yaitu karakter,
kemampuan, keterampilan, komunikasi, dan kepatuhan. Karakter yang baik, kemampuan
yang terampil, keterampilan yang baik dalam mengevaluasi risiko dan mengembangkan
strategi audit, kemampuan komunikasi yang efektif, dan kepatuhan terhadap standar etika dan
tata kelola yang berlaku adalah penting untuk keberhasilan dalam profesi audit internal.:
 a) Competence
Keterampilan dan pengetahuan yang diperlukan untuk memberikan layanan
assurance dan advisory yang memberikan nilai tambah.

b) Credibility
Kemampuan untuk membangkitkan kepercayaan berdasarkan kompetensi dan
integritas yang konsisten.

c) Connectivity
Kemampuan untuk memahami kebutuhan setiap pemangku kepentingan secara
individual dalam keseluruhan organisasi.

d) Communication
Menggunakan metode penyampaian informasi (secara lisan dan dalam
berbagai bentuk tulisan) dan mendengarkan individu yang dilayani.

e) Courage
Keteguhan pribadi untuk tetap independen dan objektif serta berpegang pada
hasil dari penugasan yang dilakukan.

Sertifikasi Internal Auditor

Certified Internal Auditor (CIA): Sertifikasi utama yang disponsori oleh The IIA;
satu-satunya sertifikasi yang diterima secara global untuk auditor internal. Ujian CIA menguji
keahlian kandidat dalam tiga bagian: dasar-dasar audit internal, praktik audit internal, dan
elemen pengetahuan audit internal.

Dalam bidang kompetensi, The IIA mensponsori dua

program sertifikasi spesialis: Sertifikasi dalam Penilaian
Kendiri Pengendalian (CCSA) dan Sertifikasi dalam
Jaminan Manajemen Risiko (CRMA). Sertifikasi industri
mencakup Profesional Audit Pemerintahan Bersertifikat
(CGAP), Auditor Layanan Keuangan Bersertifikat (CFSA),
Auditor Lingkungan Profesional Bersertifikat (CPEA), dan
Auditor Keselamatan Proses Bersertifikat (CPSA).
Kualifikasi dalam Kepemimpinan Audit Internal (QIAL)
adalah sertifikasi untuk para pemimpin yang bekerja untuk
naik ke tingkat CAE dalam organisasi mereka. Informasi
terperinci tentang setiap program sertifikasi dapat
ditemukan di situs web The IIA.

Organisasi profesional lainnya juga mensponsori program sertifikasi yang relevan bagi
auditor internal. Misalnya, ISACA (dulunya dikenal sebagai Asosiasi Audit dan Pengendalian
Sistem Informasi) mensponsori program Auditor Sistem Informasi Bersertifikasi (CISA), dan
Asosiasi Ahli Penipuan Bersertifikasi mensponsori program Ahli Penipuan Bersertifikasi
(CFE).

Assurance Services
Pemeriksaan objektif atas bukti untuk tujuan memberikan penilaian independen atas
tata kelola, manajemen risiko, dan proses pengendalian untuk organisasi.
Keterlibatan jaminan dilakukan untuk memberikan penilaian independen.
Struktur perikatan asurans lebih kompleks. Biasanya melibatkan tiga pihak: 1) pihak
yang secara langsung bertanggung jawab atas proses, sistem, atau hal-hal lain yang
dinilai oleh auditee, 2) pihak yang menjadikan penilaian sebagai fungsi audit internal,
dan 3) pihak/pihak yang menggunakan penilaian pengguna.
Kompleksitas relatif dari perikatan asurans tercermin dalam Standar. Fungsi audit
internal harus merencanakan dan melaksanakan perikatan asurans dan melaporkan
hasil perikatan dengan cara yang memenuhi kebutuhan pengguna pihak ketiga yang
tidak terlibat langsung dalam perikatan.

2. IPPF
Mandatory Guidance
Kepatuhan dengan prinsip-prinsip yang diatur dalam panduan wajib diperlukan dan penting
untuk praktik profesional audit internal. Panduan wajib ini dikembangkan setelah melalui
proses peninjauan yang telah ditetapkan, yang meliputi periode paparan publik untuk
masukan pemangku kepentingan.

The mandatory elements of the IPPF are:

● the core principles for the professional practice of Internal auditing
● the code of ethics
● the standards
● the definition of internal auditing

A. Core Principles
Prinsip-prinsip inti dari audit internal diwujudkan dalam Standar yang ditetapkan oleh The
IIA. Pendahuluan dari Standar mengakui bahwa "Audit internal dilakukan dalam lingkungan
hukum dan budaya yang beragam; untuk organisasi yang berbeda dalam tujuan, ukuran,
kompleksitas, dan struktur; dan oleh orang-orang di dalam atau di luar organisasi." Meskipun
perbedaan yang ada di antara organisasi dapat mempengaruhi praktik audit internal,
"kesesuaian dengan [Standar] sangat penting dalam memenuhi tanggung jawab auditor
internal dan aktivitas audit internal."
 B. Standards (Attribute Standards & performance standard)
Standar tersebut mencakup sebuah Glosarium istilah yang diberikan makna spesifik. Standar,
interpretasinya, dan istilah-istilah yang didefinisikan dalam Glosarium harus dipertimbangkan
secara bersama-sama untuk memahami dan menerapkan Standar dengan benar. Standar ini
direproduksi secara lengkap dalam lampiran A dari buku teks ini. Terdapat dua kategori
Standar:
1. Attribute Standards "mengatasi atribut organisasi dan individu yang melakukan audit
internal."
2. Performance Standards "mendeskripsikan sifat audit internal dan memberikan kriteria
kualitas yang menjadi acuan terhadap kinerja layanan tersebut."

C. Code of Ethics
Tujuan dari Kode Etik adalah untuk mempromosikan budaya etis dalam profesi audit
internal. Kode Etik terdiri dari dua komponen: Prinsip Kode dan Aturan Perilaku. Profesional
audit internal mengikuti keempat Prinsip Kode dan 12 Aturan Perilaku, yakni:
Integritas. Menurut Kode Etik, "Integritas auditor internal membangun kepercayaan
dan dengan demikian memberikan dasar untuk mengandalkan penilaian mereka." Aturan
Perilaku yang terkait dengan prinsip integritas menyatakan bahwa “Auditor internal:
● Harus melakukan pekerjaan mereka dengan kejujuran, ketekunan, dan
tanggung jawab.
● Harus mematuhi hukum dan membuat pengungkapan yang diharapkan oleh
hukum dan profesi.
● Tidak boleh dengan sengaja menjadi pihak dalam aktivitas ilegal apa pun, atau
terlibat dalam tindakan yang dapat mendiskreditkan profesi audit internal atau
organisasi.
 ● Harus menghormati dan berkontribusi pada tujuan yang sah dan etis dari
organisasi.”
Objektivitas. Menurut Kode Etik, "Auditor internal menunjukkan tingkat objektivitas
profesional tertinggi dalam mengumpulkan, mengevaluasi, dan mengkomunikasikan
informasi tentang aktivitas atau proses yang diperiksa. Auditor internal membuat penilaian
yang seimbang dari semua keadaan yang relevan dan tidak terlalu dipengaruhi oleh
kepentingan mereka sendiri atau oleh orang lain dalam membuat penilaian.” Aturan Perilaku
yang terkait dengan prinsip objektivitas menyatakan bahwa “Auditor internal:
● Tidak boleh berpartisipasi dalam aktivitas atau hubungan apa pun yang dapat merusak
atau dianggap mengganggu penilaian mereka yang tidak bias. Partisipasi ini
mencakup kegiatan atau hubungan yang mungkin bertentangan dengan kepentingan
organisasi.
● Tidak akan menerima apa pun yang dapat merusak atau dianggap mengganggu
penilaian profesional mereka.
● Harus mengungkapkan semua fakta material yang diketahui oleh mereka yang, jika
tidak diungkapkan, dapat mendistorsi pelaporan kegiatan yang sedang ditinjau."
Kerahasiaan. Kode Etik juga mensyaratkan bahwa "Auditor internal menghormati
nilai dan kepemilikan informasi yang mereka terima dan tidak mengungkapkan informasi
tanpa otoritas yang sesuai kecuali ada kewajiban hukum atau profesional untuk
melakukannya." Kerahasiaan adalah Auditor internal menghormati nilai dan kepemilikan
informasi yang mereka terima dan tidak mengungkapkan informasi tanpa otoritas yang sesuai
kecuali ada kewajiban hukum atau profesional untuk melakukannya. Aturan Perilaku yang
terkait dengan prinsip kerahasiaan menyatakan bahwa "Auditor internal:
● Harus berhati-hati dalam penggunaan dan perlindungan informasi yang
diperoleh selama tugas mereka.
● Tidak boleh menggunakan informasi untuk keuntungan pribadi apa pun atau
dengan cara apa pun yang akan bertentangan dengan hukum atau merugikan
tujuan sah dan etis organisasi."
Kompetensi. Terakhir, Kode Etik mensyaratkan bahwa "Auditor internal berlaku
pengetahuan, keterampilan, dan pengalaman yang dibutuhkan dalam kinerja internal jasa
audit." Aturan Perilaku yang terkait dengan prinsip kompetensi menyatakan bahwa " Auditor
internal:
 ● Akan terlibat hanya dalam layanan di mana mereka memiliki pengetahuan,
keterampilan, dan pengalaman yang diperlukan.
● Harus melakukan jasa audit internal sesuai dengan Standar Internasional untuk Praktik
Profesional Audit Internal
● Harus terus meningkatkan kemahiran mereka dan efektivitas dan kualitas layanan
mereka."
Kode Etik berlaku untuk semua individu dan entitas yang memberikan layanan audit
internal. Pelanggaran Kode Etik oleh mereka yang berada dalam lingkup The IIA dapat
mengakibatkan kecaman, pembekuan keanggotaan dan/atau sertifikasi, dan pengusiran
dan/atau pencabutan sertifikasi.

D. IPPF memberikan Definisi Audit Internal sebagai berikut: Audit internal adalah aktivitas
yang independen dan objektif serta mempertimbangkan yang dirancang untuk menambah
nilai dan meningkatkan operasi organisasi. Ini membantu organisasi mencapai tujuannya
dengan membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan
meningkatkan efektivitas manajemen risiko, kontrol, dan proses tata kelola.
Definisi tersebut berbeda dari pernyataan misi karena pernyataan misi menyatakan
apa yang ingin dicapai oleh profesi dan fungsi audit internal sedangkan definisi
menggambarkan apa itu audit internal. Seperti dalam misi, definisi tersebut mengakui bahwa
tujuan akhir dari profesi audit internal secara keseluruhan, dan fungsi audit internal individu
pada khususnya, adalah untuk menambah nilai bagi organisasi dengan memberikan jasa
assurance dan konsultasi.

3. Governance
Governance adalah proses yang dilakukan oleh dewan direksi untuk mengotorisasi,
mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan organisasi. Tata kelola
perusahaan melibatkan serangkaian hubungan antara manajemen perusahaan, dewan,
pemegang saham, dan pemangku kepentingan lainnya. Tata kelola perusahaan juga
menyediakan struktur di mana tujuan perusahaan ditetapkan, dan sarana untuk mencapai
tujuan tersebut dan memantau kinerja ditentukan.
 ● The first broad area of governance digambarkan dalam pameran sebagai
arah strategis.
Dewan bertanggung jawab untuk memberikan arahan dan bimbingan strategis
relatif terhadap penetapan tujuan bisnis utama, konsisten dengan model bisnis
organisasi dan selaras dengan prioritas pemangku kepentingan

● The second broad area of governance digambarkan dalam governance

insight sebagai pengawasan tata kelola, yang fokus pada peran dewan direksi
dalam mengelola dan memantau operasi organisasi.

Key component dari pengawasan tata kelola ditunjukkan dalam gambar 3-4.

Poin-poin penting yang harus diambil dari penggambaran governance

a) Tata kelola dimulai dengan dewan direksi dan komitenya. Dewan berfungsi
sebagai “payung” pengawasan tata kelola untuk seluruh organisasi
b) Dewan harus memahami dan fokus pada kebutuhan pemangku kepentingan utama.
c) Dewan memiliki tanggung jawab fidusia kepada pemangku kepentingan organisasi.
d) Sehari-hari, tata kelola dijalankan oleh manajemen organisasi.
e) Aktivitas penjaminan internal dan eksternal memberikan jaminan kepada manajemen
dan dewan mengenai efektivitas kegiatan tata kelola

- Tanggung Jawab personel terhadap Governance ( BoD, Senior Management, Internal

Auditor)
Board of directors.
Meskipun dewan memiliki beberapa peran di seluruh aspek ERM, sebagian besar
tanggung jawabnya terkait dengan komponen pengelolaan risiko dan budaya. Peran
utama dewan terkait dengan prinsip #1, tanggung jawab pengawasan risiko. Dewan
juga membantu manajemen menetapkan model pengelolaan dan operasional,
mendefinisikan budaya dan perilaku yang diinginkan, menunjukkan komitmen
terhadap integritas dan etika, dan menetapkan akuntabilitas dan otoritas untuk
pengelolaan risiko.

Management.
Manajemen bertanggung jawab untuk melaksanakan semua aktivitas organisasi,
termasuk ERM. Sebenarnya, manajemen bertanggung jawab atas aspek-aspek dari
kelima komponen ERM. Namun, tanggung jawab ini akan bervariasi tergantung pada
tingkat di organisasi dan karakteristik organisasi tersebut. CEO bertanggung jawab
secara ultimat atas keefektifan dan kesuksesan ERM. Salah satu aspek terpenting dari
tanggung jawab ini adalah memastikan bahwa nada positif dan etis ditetapkan. CEO
mempengaruhi komposisi dan perilaku dewan, memberikan kepemimpinan dan
arahan kepada manajer senior, dan memantau aktivitas risiko organisasi secara
keseluruhan dalam hubungannya dengan nafsu risiko. Ketika keadaan yang berubah,
risiko baru muncul, implementasi strategi, atau tindakan yang diantisipasi
menunjukkan potensi ketidakselarasan dengan kriteria risiko, CEO mengambil
tindakan yang diperlukan untuk mengembalikan kesejajaran. Manajer senior yang
bertanggung jawab atas berbagai unit organisasi memiliki tanggung jawab untuk
mengelola risiko yang terkait dengan tujuan unit mereka. Mereka mengkonversi
strategi organisasi secara keseluruhan menjadi aktivitas operasional yang
berkelanjutan, mengidentifikasi potensi kejadian risiko, menilai risiko yang terkait,
dan melaksanakan tindakan untuk mengelola risiko tersebut. Manajer memandu
aplikasi komponen ERM organisasi sesuai dengan tanggung jawab dan ruang lingkup
mereka, memastikan bahwa penerapan komponen tersebut konsisten dengan tingkat
variasi kinerja yang dapat diterima oleh dewan dan manajemen. Mereka memberikan
tanggung jawab untuk prosedur ERM tertentu kepada manajer dari proses fungsional.
Sebagai hasilnya, manajer-manajer ini biasanya memainkan peran yang lebih aktif
dalam merancang dan melaksanakan prosedur risiko tertentu yang mengatasi tujuan
unit, seperti teknik identifikasi dan penilaian risiko, dan dalam menentukan strategi
manajemen risiko tertentu, misalnya, mengembangkan kebijakan dan prosedur untuk
pembelian barang atau penerimaan pelanggan baru. Fungsi staf, seperti akuntansi,
 sumber daya manusia, kepatuhan, atau hukum, juga memiliki peran pendukung
penting dalam merancang dan melaksanakan praktik ERM yang efektif. Fungsi-fungsi
ini dapat merancang dan melaksanakan program-program yang membantu mengelola
beberapa risiko kunci di seluruh organisasi.

Internal auditors.
Fungsi audit internal memainkan peran penting dalam mengevaluasi efektivitas dan
merekomendasikan perbaikan pada ERM. Standar Internasional IIAs untuk Praktik
Profesional Audit Internal menentukan bahwa cakupan fungsi audit internal harus
meliputi tata kelola, manajemen risiko, dan sistem pengendalian. Ini termasuk
mengevaluasi keandalan pelaporan, efektivitas dan efisiensi operasi, dan kepatuhan
terhadap hukum dan peraturan. Dalam menjalankan tanggung jawab ini, fungsi audit
internal membantu manajemen dan dewan dengan memeriksa, mengevaluasi,
melaporkan, dan merekomendasikan perbaikan pada kecukupan dan efektivitas ERM
organisasi.

- Three Lines Defense Model

Sementara fungsi audit internal memberikan bentuk jaminan yang berharga, seperti yang
dijelaskan di atas, kebanyakan organisasi memiliki kelompok lain yang juga memberikan
beberapa bentuk jaminan (misalnya, departemen lingkungan dan keselamatan, kelompok
jaminan kualitas, atau aktivitas pengendalian perdagangan). Kelompok-kelompok ini
mungkin memberikan jaminan langsung kepada dewan, atau mereka dapat berkomunikasi
dengan anggota manajemen yang memberikan jaminan kepada dewan.
- Key Element of governance structure
 - Governance, adalah proses yang dilakukan oleh dewan direksi untuk mengotorisasi,
mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan organisasi. Tata
kelola perusahaan melibatkan serangkaian hubungan antara manajemen perusahaan,
dewan, pemegang saham, dan pemangku kepentingan lainnya. Tata kelola perusahaan
juga menyediakan struktur di mana tujuan perusahaan ditetapkan, dan sarana untuk
mencapai tujuan tersebut dan memantau kinerja ditentukan.
-
3) mematuhi hukum dan peraturan di wilayah organisasi beroperasi. Peraturan itu
bertujuan untuk melindungi kepentingan publik
4) dewan dan manajemen organisasi menetapkan struktur governance untuk memastikan
- apakah kebutuhan stakeholder utama terpenuhi?
- apakah organisasi beroperasi di dalam batas dan nilai-nilai yang ditetapkan oleh
dewan dan manajemen senior.

● Risk management , dimaksudkan untuk

3. mengidentifikasi dan mengelola risiko yang dapat merugikan keberhasilan organisasi,
dan
4. memanfaatkan peluang yang memungkinkan keberhasilan itu.
Manajemen mengembangkan respons atau strategi risiko untuk mengelola risiko dan peluang
sebaik-baiknya. Kegiatan manajemen risiko harus beroperasi dalam keseluruhan arah struktur
tata kelola.

● Internal Control
mewakili subset, dari aktivitas manajemen risiko yang lebih luas. Respons risiko, yang
mencakup kontrol, dirancang untuk mengeksekusi risiko strategi manajemen.

Akhirnya, ada tanda panah yang mewakili rendahnya informasi di struktur pemerintahan.
- Dewan memberikan arahan kepada manajemen senior untuk membimbing dalam
melaksanakan kegiatan manajemen risiko.
- Manajemen senior memberikan arahan kepada tingkat manajemen yang lebih rendah
yang bertanggung jawab atas kontrol khusus.
- Manajer tingkat bawah bertanggung jawab kepada manajemen senior sehubungan
dengan keberhasilan kontrol tersebut.
- Manajemen senior bertanggung jawab untuk memberikan dewan jaminan mengenai
efektivitas risiko kegiatan manajemen.

- Stakeholder
Governance menjadi tanggung jawab dari dewan direksi, meskipun tanggung jawab ini sering
dilakukan oleh berbagai komite yang ada (misalnya, komite audit). Tugas pertama dari dewan
direksi adalah mengidentifikasi pemangku kepentingan utama dari sebuah organisasi.
Pemangku kepentingan adalah pihak yang memiliki kepentingan langsung atau tidak
langsung dalam aktivitas dan hasil organisasi. Pemangku kepentingan dapat dilihat memiliki
satu atau lebih dari karakteristik berikut (contoh-contohnya menyusul setelah daftar ini):
Beberapa pemangku kepentingan terlibat langsung dalam operasi bisnis organisasi. Pemangku
kepentingan lain tidak terlibat langsung, tetapi tertarik dengan bisnis organisasi; yaitu, mereka
terpengaruh oleh keberhasilan atau hasil lain dari bisnis tersebut. Beberapa pemangku
kepentingan tidak terlibat langsung atau tertarik dalam keberhasilan bisnis organisasi, tetapi
pemangku kepentingan ini masih dapat memengaruhi aspek bisnis organisasi dan, sebagai
hasilnya, keberhasilan organisasi tersebut.

- Basic Classification of business risk activities

A. Operational Risk
Risiko operasional merupakan risiko yang berkaitan dengan efisiensi dan efektivitas
operasional perusahaan. Risiko ini berkaitan dengan kegiatan operasional sehari-hari
perusahaan, termasuk di dalamnya risiko yang berkaitan dengan keamanan data,
kesalahan manusia, dan masalah teknologi.

B. Financial Risk
Risiko keuangan adalah risiko yang berkaitan dengan aspek keuangan perusahaan.
Risiko ini dapat berkaitan dengan kemampuan perusahaan untuk menghasilkan laba
yang cukup, atau risiko keuangan yang diakibatkan oleh fluktuasi nilai tukar mata
uang atau fluktuasi pasar.

C. Compliance Risk
Risiko kepatuhan adalah risiko yang berkaitan dengan masalah kepatuhan perusahaan
terhadap peraturan dan undang-undang yang berlaku. Risiko ini dapat berkaitan
dengan kesesuaian perusahaan dengan undang-undang dan regulasi yang berlaku di
sektor bisnis perusahaan.

D. Strategic Risks:Risiko-risiko ini muncul dari ketidakpastian dan volatilitas yang

terkait dengan lingkungan bisnis di mana sebuah organisasi beroperasi. Risiko-risiko
ini terkait dengan formulasi dan implementasi strategi untuk mencapai tujuan
organisasi. Contoh dari risiko strategis termasuk perubahan kondisi pasar, kemajuan
teknologi, dan perubahan perilaku konsumen.
 - Basic Business risk Model

4. Business Process
- Klasifikasi dasar aktivitas bisnis dalam organisasi
Ada tiga jenis aktivitas bisnis:
a. Operating Process
proses inti di mana organisasi mencapai tujuan utamanya.
- Di perusahaan manufaktur, ini menjadi proses untuk membuat dan menjual
produk.
- Di penyedia layanan seperti perusahaan konsultan , ini menjadi proses dimana
mereka memasarkan dan memberikan layanan mereka kepada pelanggan.
Melalui proses ini, organisasi/perusahaan dapat menciptakan nilai dan
mengirimkannya langsung ke pelanggan mereka.
 b. Management and Support process
aktivitas yang mengawasi dan mendukung dalam penciptaan nilai inti organisasi. ➔
Proses ini termasuk proses yang digunakan untuk mengelola sumber daya manusia,
keuangan, informasi dan teknologi, fisik organisasi (proses 7 sampai 10), program
kepatuhan organisasi (proses 11), dan proses yang digunakan organisasi untuk
mengelola hubungan eksternalnya (proses 12).

c. Projects
Projects digunakan ketika aktivitas terjadi selama periode waktu yang lama,
memerlukan urutan yang kompleks, dan relatif unik karena aktivitas tertentu tidak
dilakukan terus menerus. Contoh : perusahaan teknik dan konstruksi, perusahaan
pertambangan, minyak dan gas, dan kontraktor pertahanan.
- Proses 13 berlaku ketika organisasi merancang, membangun aset dan juga
mengoperasikannya
- Proses 14 berlaku ketika organisasi merancang dan membangun aset dan
menyerahkannya kepada organisasi lain untuk dioperasikan. Proyek juga sering
digunakan di sebagian besar organisasi untuk menyusun aktivitas nonrutin guna
menciptakan aset untuk penggunaan organisasi. Misalnya, untuk pemilihan dan
implementasi sistem akuntansi baru, implementasi awal inisiatif utama, atau
pembangunan fasilitas produksi baru

- Documenting business process

Proses bisnis harus didokumentasikan yang biasanya disiapkan oleh pemilik proses dan
orang-orang yang terlibat dalam proses. Namun, terdapat contoh saat pemilik proses
mengabaikan dokumentasi karena tuntutan sehari-hari dari pekerjaan atau karena tidak
melihat nilai dokumentasi formal. Meskipun tidak menyelesaikan dokumentasi proses
mungkin memiliki sedikit konsekuensi langsung, memelihara serangkaian dokumentasi
proses terkini untuk semua proses kunci sangat penting karena digunakan untuk
1. Mengorientasikan personel baru
2. Menentukan area tanggung jawab
3. Mengevaluasi efisiensi proses
4. Menentukan area perhatian utama
5. Mengidentifikasi risiko dan kontrol utama.

Auditor internal juga harus mendokumentasikan pemahaman mereka untuk mendukung

penilaian mereka secara keseluruhan atas risiko dan pengendalian dalam organisasi dan dalam
setiap penugasan jaminan khusus yang mereka lakukan dalam proses tersebut.

Metode Dokumentasi Proses

- Peta proses
adalah representasi bergambar dari input, langkah, alur kerja, dan output. Tujuan
dalam peta proses tingkat tinggi adalah untuk membuatnya tetap sederhana dan fokus
 pada hutan daripada pohon. Peta proses biasanya terstruktur sehingga urutan kegiatan
berjalan dari kiri ke kanan.

- Process narratives narasi memberikan lebih banyak detail tentang aktivitas tetapi juga
dapat mencakup deskripsi kontrol.

- Key performance indicator

Key performance indicators, baik formal maupun informal, dapat menentukan toleransi
pemilik proses terhadap penyimpangan kinerja. Manajemen menentukan tingkat kesalahan
yang mereka bersedia terima ketika proses tidak berjalan seperti yang diharapkan.
Mengetahui tingkat toleransi ini akan membantu auditor internal mengevaluasi hasil
pengujian. Sebagai contoh, jika auditor internal menemukan tingkat kesalahan dua persen
dalam pengujian, mengetahui apakah frekuensi kesalahan ini dapat diterima akan membantu
auditor internal menentukan apakah tingkat kesalahan ini signifikan. Contohnya, indikator
kinerja kunci untuk proses pengeluaran kas adalah sebagai berikut:
- 100 persen pengeluaran tepat, misalnya jumlah yang dibayarkan sesuai dengan faktur.
- 98 persen pengeluaran dibayar pada saat jatuh tempo. Dalam keadaan apa pun,
perusahaan tidak boleh membayar bunga atau denda atas keterlambatan pembayaran.
- 90 persen piutang dengan diskon pembayaran dini melebihi satu persen dibayarkan
tepat waktu untuk memanfaatkan diskon tersebut.

- Business risk model (strategic, compliance, reporting, and operational risk)

Terdapat beberapa klasifikasi risiko bisnis yang dapat diidentifikasi dalam kegiatan audit
internal. Berikut adalah penjelasan mengenai beberapa klasifikasi risiko bisnis yang umum
terjadi:

Risiko Strategis: Risiko strategis berkaitan dengan keputusan strategis perusahaan, termasuk
di dalamnya risiko yang berkaitan dengan inovasi produk atau jasa, perubahan lingkungan
bisnis, dan perubahan regulasi.

Risiko Kepatuhan: Risiko kepatuhan berkaitan dengan kesesuaian perusahaan dengan

peraturan dan undang-undang yang berlaku. Risiko ini meliputi masalah perpajakan, privasi
data, dan kepatuhan lingkungan.

Risiko Pelaporan: Risiko pelaporan berkaitan dengan akurasi, keandalan, dan waktu
penyampaian informasi keuangan dan non-keuangan perusahaan. Risiko ini meliputi
keterlambatan atau ketidaktepatan laporan keuangan, penyalahgunaan informasi, atau
kesalahan pengungkapan.

Risiko Operasional: Risiko operasional berkaitan dengan efisiensi dan efektivitas operasional
perusahaan. Risiko ini meliputi masalah keamanan data, kesalahan manusia, masalah
teknologi, atau bencana alam.
 5. Internal Control
- Definition internal control
This deinition emphasizes that internal control is: Geared to the achievement ofobjectives in
one or more separate but overlapping categoriesoperations, reporting, and compliance. A
process consisting of ongoing tasks and activitiesa means to an end, not an end in itself.
Effected by peoplenot merely about policy and procedure manuals, systems, and forms, but
about people and the actions they take at every level of an orga‹ nization to effect internal
control. Internal Control Able to provide reasonable assurance, but not absolute assurance,
to an entity’s senior management and board of directors. (COSO’s Definition) A process,
effected by an entity’s Adaptable to the entity structurelexible in application for the entire
entity or board of directors, management, and for a paticular subsidiary, division, operating
unit, or business process.10
- Komponen internal control
- Prinsip Internal Control
- Limitation of internal control
- Consequences of accepting excessive risk
- Consequences of implementing excessive internal control
- Auditor roles to internal control

- Types of control
a. Entity-Level Control
Kontrol yang beroperasi di seluruh entitas dan, dengan demikian, tidak terikat oleh,
atau terkait dengan, proses individu. Kontrol tingkat entitas meliputi:
- Kontrol yang terkait dengan lingkungan kontrol,
- Kontrol atas penggantian manajemen,
- Proses penilaian risiko perusahaan,
- Pemrosesan dan kontrol terpusat, termasuk lingkungan layanan bersama,
- Kontrol untuk memantau hasil operasi,
- Kontrol untuk memantau kontrol lain, termasuk kegiatan fungsi audit internal,
komite audit, dan program penilaian diri,
- Kontrol atas proses pelaporan keuangan akhir periode.

b. Process-Level Control
Kegiatan yang beroperasi dalam proses tertentu untuk tujuan mencapai tujuan tingkat
proses. Kontrol tingkat proses meliputi:
- Rekonsiliasi akun utama,
- Verifications physical aset (seperti jumlah persediaan), ● Memproses
pengawasan karyawan dan evaluasi kinerja,
- Penilaian risiko tingkat proses,
 - Pemantauan/pengawasan transaksi spesifik.

c. Transaction-level Control
Kegiatan yang mengurangi risiko relatif terhadap kelompok atau berbagai tugas atau
transaksi tingkat operasional dalam suatu organisasi. Kontrol tingkat transaksi
meliputi:
- Penghematan,
- Dokumentasi (seperti dokumen sumber),
- Segregasi tugas,
- Kontrol aplikasi TI (input, pemrosesan, output).

d. Key Controls and Secondary Controls

● Key Control
merupakan kegiatan yang dirancang untuk mengurangi risiko yang terkait
dengan tujuan bisnis yang penting.

● Secondary Controls
merupakan kegiatan yang dirancang untuk mengurangi risiko terkait dengan
objectives bisnis yang tidak penting untuk kelangsungan hidup atau
kesuksesan organisasi atau berfungsi sebagai cadangan untuk kontrol kunci.

e. Compensating Controls
Kegiatan yang dapat membantu mengurangi risiko terkait jika kontrol kunci tidak
sepenuhnya beroperasi secara efektif. Kontrol tersebut tidak akan mengurangi risiko
ke tingkat yang dapat diterima dengan sendirinya

Preventive Controls
- Dirancang untuk mencegah peristiwa yang tidak diinginkan terjadi di tempat
pertama.
- Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari menyebabkan
kesulitan untuk merancang kontrol pencegahan yang ekonomis dan efisien.
- Akibatnya, sebagian besar organisasi menggunakan kombinasi kontrol
pencegahan dan kontrol detektif ketika merancang sistem pengendalian
internal yang efektif dan efisien.
- Contoh kontrol pencegahan termasuk kontrol akses fisik dan logis, seperti
pintu terkunci dan ID pengguna dengan kata sandi unik.

f. Detective Controls
- Dirancang untuk menemukan peristiwa yang tidak diinginkan yang telah
terjadi.
 - Untuk dianggap efektif, kontrol tersebut harus terjadi tepat waktu (sebelum
peristiwa yang tidak diinginkan memiliki dampak negatif yang tidak dapat
diterima pada organisasi)
- Contohnya seperti kamera keamanan untuk mengidentifikasi akses fisik yang
tidak sah dan meninjau log komputer yang mencantumkan upaya akses yang
tidak sah.

g. Informations System (Technology) Controls

● General Computing Controls
- Ini berlaku untuk banyak jika tidak semua sistem aplikasi dan
membantu memastikan operasi mereka yang berkelanjutan dan tepat. ●
- Batas-batas yang berhubungan dengan batas-batas penilaian manusia,
kendala sumber daya, dan kebutuhan
- Untuk mempertimbangkan biaya kontrol dalam kaitannya dengan
manfaat yang diharapkan, realitas bahwa kerusakan dapat terjadi, dan
potensi kecelakaan

● Application Controls
- Termasuk langkah-langkah terkomputerisasi dalam perangkat lunak
aplikasi dan prosedur manual terkait untuk mengontrol pemrosesan
berbagai jenis transaksi

6. Information Technology risks and control

Key Components Of Modern IT
● Computer Hardware → terdiri dari komponen fisik dari sebuah sistem
informasi.
ex : (CPU), server, workstation dan terminal, chip komputer, perangkat
input/output

● Networks → Jaringan komputer menghubungkan dua atau lebih komputer atau

perangkat (berbagi informasi dan/atau beban kerja). Jenis jaringan :
a. Client-server network : menghubungkan satu atau lebih komputer klien
dengan server
b. Local area network (LAN) : menjangkau area yang relatif kecil seperti
gedung atau kelompok bangunan yang berdekatan.
c. Wide area network (WAN) : terdiri dari sistem LAN yang terhubung
bersama untuk menjangkau area regional, nasional, atau global.
d. Intranet : jaringan pribadi organisasi yang hanya dapat diakses oleh
personel organisasi tsb.
e. Extranet : dapat diakses oleh pihak ketiga terpilih seperti pemasok
resmi dan/atau pelanggan.
 f. The Internet : Jaringan publik yang sangat besar dan kompleks yang
memungkinkan pengguna untuk berkomunikasi secara global.
g. Dua perangkat dapat berbagi informasi hanya di antara mereka sendiri
tanpa ada terhubung ke jaringan lain melalui berbagai konvensi
elektronik (NFC)

● Computer software
termasuk perangkat lunak sistem operasi, perangkat lunak utilitas, perangkat
lunak sistem manajemen basis data (DBMS), perangkat lunak aplikasi, dan
perangkat lunak firewall.

● Databases
tempat penyimpanan data yang besar, biasanya terdapat dalam banyak file
tertaut, dan disimpan dengan cara yang memungkinkan data mudah diakses,
diambil, dan dimanipulasi.

● Big Data → istilah yang digunakan untuk merujuk pada:

- sejumlah besar informasi digital yang mengalir secara konstan,
- peningkatan besar dalam kapasitas untuk menyimpan data dalam
jumlah besar,
- jumlah daya pemrosesan data yang diperlukan untuk mengelola,
menginterpretasikan, dan menganalisis volume besar informasi digital.

● Information
sumber daya utama untuk semua perusahaan, dan sejak informasi dibuat
hingga dihancurkan, teknologi memainkan peran penting.

● People
dimana peran sistem informasi spesifik bervariasi secara signifikan dari
satu organisasi ke organisasi lainnya
- IT Governance (risk and control)
IT Risks
● Perangkat keras komputer rentan terhadap pemadaman listrik yang mengganggu
pemrosesan transaksi
● Jaringan mengirimkan informasi yang dapat dicegat dan dicuri atau disalahgunakan.
● Database dapat disusupi untuk tujuan menyalahgunakan atau menyalahgunakan
informasi.

Common Type of IT Risks

● Selection risk. Pemilihan solusi TI yang tidak selaras dengan tujuan strategis dapat
menghalangi pelaksanaan strategi yang bergantung pada TI.
 ● Development/Acquisition and Deployment risk. Masalah yang dihadapi saat solusi
TI sedang dikembangkan/diperoleh dan digunakan dapat menyebabkan penundaan
yang tidak terduga, kelebihan biaya, atau bahkan pengabaian proyek.
● Availability risk. Ketidaktersediaan sistem saat dibutuhkan dapat menyebabkan
keterlambatan dalam pengambilan keputusan, gangguan bisnis, hilangnya pendapatan,
dan ketidakpuasan pelanggan.

IT GOVERNANCE
● IT Governance merupakan proses kepemimpinan, struktur, dan pengawasan yang
memastikan TI organisasi mendukung tujuan dan strategi organisasi.
● Governance didefinisikan sebagai proses yang dilakukan oleh dewan direksi untuk
mengesahkan, mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan
organisasi.

IT RISK MANAGEMENT
Proses yang dilakukan oleh manajemen untuk memahami dan menangani risiko dan peluang
TI yang dapat mempengaruhi kemampuan organisasi untuk mencapai tujuannya.

IT CONTROLS
● Pengendalian didefinisikan sebagai proses tertanam dalam manajemen risiko dan
dilakukan oleh manajemen untuk mengurangi risiko ke tingkat yang dapat diterima.
● Kontrol umum berlaku untuk semua komponen sistem, proses, dan data untuk
organisasi atau lingkungan sistem tertentu.
● Kontrol aplikasi berkaitan dengan ruang lingkup proses bisnis individu atau sistem
aplikasi dan termasuk kontrol dalam aplikasi di sekitar input, pemrosesan, dan output.
IT Governance Controls
Tata kelola TI merupakan komponen integral dari tata kelola secara keseluruhan. Kontrol TI
di tingkat tata kelola adalah bagian penting dari keseluruhan sistem kontrol internal
organisasi, seperti:
● Kebijakan umum tentang tingkat keamanan dan privasi di seluruh organisasi.
● Pernyataan tentang klasifikasi informasi dan hak akses pada setiap tingkatan.
● Definisi konsep kepemilikan data, sistem, dan otorisasi penting untuk memulai
● Kebijakan personalia yg menetapkan dan menegakkan ketentuan staf di area sensitif.
● Definisi persyaratan perencanaan kesinambungan bisnis secara keseluruhan.

IT Management Controls
● Manajemen bertanggung jawab untuk memastikan bahwa kontrol TI dirancang secara
memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan, risiko
yang mengancam pencapaian tujuan, serta proses bisnis & sumber daya organisasi.
● Standar TI mendukung kebijakan TI dengan lebih spesifik mendefinisikan apa yang
diperlukan untuk mencapai tujuan organisasi. Standar ini harus mencakup, misalnya:
○ Systems development processes.
○ Systems software configuration.
○ Application controls.
○ Data structures & Documentation
IT Organization and Management Controls
● Memberikan jaminan bahwa organisasi terstruktur dengan garis pelaporan dan
tanggung jawab yang jelas dan menerapkan proses pengendalian yang efektif, seperti:
○ Pemisahan tugas adalah elemen penting dari banyak kontrol.
○ Kontrol anggaran dan keuangan diperlukan untuk memastikan bahwa
teknologi menghasilkan pengembalian investasi yang diproyeksikan
○ Kurangnya manajemen perubahan dapat berdampak serius pada sistem dan
ketersediaan layanan.
IT Physical and Environmental Controls
● Melindungi sumber daya sistem informasi dari kerusakan, penyalahgunaan, atau
kerugian yang tidak disengaja atau disengaja, seperti:
○ Menemukan server di ruang terkunci yang aksesnya dibatasi.
○ Membatasi akses server ke individu tertentu.
○ Menyediakan peralatan deteksi dan pemadam kebakaran.
○ Menempatkan peralatan, aplikasi, dan data yang sensitif jauh dari bahaya
lingkungan seperti dataran banjir, jalur lampu, atau cairan mudah terbakar

IT Technical Control
● System software memfasilitasi penggunaan perangkat keras sistem dan mencakup
sistem operasi, sistem jaringan, sistem manajemen basis data, firewall, dan antivirus.
● System software control membatasi akses logis ke sistem dan aplikasi organisasi,
memantau penggunaan sistem, dan menghasilkan jejak audit.
○ Hak akses dialokasikan dan dikendalikan sesuai dengan kebijakan yang
dinyatakan organisasi.
○ Pembagian tugas ditegakkan melalui software sistem dan kontrol konfigurasi
○ Penilaian pemantauan intrusi, kerentanan, pencegahan, dan deteksi di tempat
○ Pengujian intrusi dilakukan secara teratur.
● Sistem aplikasi harus memproses informasi secara efektif dan efisien sesuai dengan
kebutuhan pengguna, seperti:
○ Persyaratan pengguna harus didokumentasikan, dan pencapaiannya diukur.
○ Desain sistem harus mengikuti proses formal untuk memastikan bahwa
persyaratan pengguna dan kontrol dirancang ke dalam sistem.
○ Pengembangan sistem dilakukan dengan cara terstruktur untuk memastikan
bahwa persyaratan dan fitur desain yang disetujui dimasukkan ke produk
● Application-based controls diterapkan untuk memastikan bahwa:
○ Semua data input akurat, lengkap, resmi, dan benar.
○ Semua data diproses sebagaimana dimaksud.
○ Semua data yang tersimpan akurat dan lengkap.
○ Semua keluaran akurat dan lengkap
○ Catatan dipertahankan untuk melacak proses data dari input ke penyimpanan
dan ke output akhirnya.
 ● Application-based controls meliputi:
○ Input controls, digunakan untuk memeriksa integritas data yang dimasukkan
ke dalam aplikasi bisnis
○ Processing controls, menyediakan sarana otomatis untuk memastikan
pemrosesan selesai, akurat, dan disahkan.
○ Output controls, membahas apa yang dilakukan dengan data,
membandingkan hasil dengan hasil yang diinginkan dan memeriksanya
dengan masukan.
○ Integrity controls, memantau data dalam proses dan/atau penyimpanan untuk
memastikan bahwa data tetap konsisten dan benar.
○ Management trail, disebut sebagai jejak audit, memungkinkan manajemen
melacak transaksi dari sumber hingga hasil akhir dan menelusuri mundur dari
hasil untuk mengidentifikasi transaksi dan peristiwa yang dicatatnya.
● Physical Access Controls, memberikan keamanan atas sumber daya TI yang nyata.
● Logical Access Controls, berfungsi memberikan keamanan atas perangkat lunak dan
informasi yang tertanam dalam sistem.

- Implikasi IT Terhadap Aktivitas Internal Audit

TI telah mengubah cara organisasi dalam merumuskan strategi, melakukan operasi
sehari-hari, dan membuat keputusan. Perubahan ini telah menghasilkan risiko baru dan
memaksa organisasi untuk mengubah tata kelola, manajemen risiko, dan proses kontrol
mereka. Dampak luas TI pada organisasi pada gilirannya memaksa auditor internal untuk
meningkatkan pengetahuan dan keterampilan TI mereka dan menyesuaikan cara dalam
melakukan pekerjaan mereka.

IT Proficiency and Due Professional Care

Dua Standar Implementasi Atribut secara khusus membahas kecakapan TI yang harus
dimiliki auditor internal dan pertimbangan yang harus mereka berikan untuk menggunakan
teknik audit berbasis teknologi:
Dua Standar Implementasi Atribut

1210.A3 Auditor internal harus memiliki pengetahuan yang

memadai tentang risiko dan pengendalian teknologi
informasi utama dan teknik audit berbasis teknologi
yang tersedia untuk melakukan pekerjaan yang
ditugaskan kepada mereka. Namun, tidak semua
auditor internal diharapkan memiliki keahlian
sebagai auditor internal yang tanggung jawab
utamanya adalah audit teknologi informasi.
 1220.A2 Dalam melaksanakan kehati-hatian profesional,
auditor internal harus mempertimbangkan
penggunaan audit berbasis teknologi dan teknik
analisis data lainnya.
Standar 1210.A3 dan 1220.A2 menunjukkan bahwa semua auditor internal yang
memberikan layanan jaminan memerlukan setidaknya tingkat dasar risiko TI, pengendalian,
dan keahlian audit. Teknik audit berbasis teknologi, juga disebut sebagai analitik data atau
teknik audit berbantuan komputer (computer-assisted audit technique (CAATS) yang
mencakup perangkat lunak audit umum (GAS) seperti ACL dan CaseWare IDEA. GAS
adalah contoh alat audit TI yang semakin diharapkan oleh fungsi audit internal semua anggota
staf untuk memahami dan menerapkan secara efektif. Standar 1210.A3 juga menunjukkan
bahwa setiap auditor internal tidak perlu memiliki tingkat keahlian audit TI yang diharapkan
dari spesialis audit TI. Namun, karena permintaan auditor TI yang sangat terampil terus
melebihi pasokan, pembaca dengan minat di bidang ini didorong untuk menyelidiki lebih
lanjut kompetensi dan kredensial yang dibutuhkan untuk berhasil sebagai spesialis audit TI.

Assurance Engagement IT Responsibilities

Tiga Standar Pelaksanaan Kinerja secara khusus membahas tanggung jawab
keterlibatan jaminan auditor internal mengenai sistem informasi dan teknologi. Ketiga standar
ini mencerminkan fakta bahwa fungsi audit internal tidak dapat secara efektif mengevaluasi
tata kelola, manajemen risiko, dan proses pengendalian tanpa mempertimbangkan sistem dan
teknologi informasi.
Tiga Standar Pelaksanaan Kinerja

2110.A2 Aktivitas audit internal harus menilai

apakah tata kelola teknologi informasi
organisasi mendukung strategi dan
tujuan organisasi.
2120.A1 Aktivitas audit internal harus
mengevaluasi eksposur risiko yang
berkaitan dengan... sistem informasi
organisasi..
2130.A1 Aktivitas audit internal harus
mengevaluasi kecukupan dan efektivitas
pengendalian dalam merespons risiko
dalam ... sistem informasi organisasi..

Untuk memenuhi tanggung jawab terkait TI, fungsi audit internal harus:
1. Sertakan sistem informasi organisasi dalam proses perencanaan audit tahunannya.
2. Mengidentifikasi dan menilai risiko TI organisasi.
3. Pastikan bahwa ia memiliki keahlian audit TI yang memadai.
4. Menilai tata kelola TI, manajemen, dan kontrol teknis.
 5. Tetapkan auditor dengan tingkat keahlian TI yang sesuai untuk setiap penugasan
jaminan.
6. Gunakan teknik audit berbasis teknologi yang sesuai.

IT Outsourcing
Pengalihdayaan TI (IT Outsourcing) yaitu mentransfer fungsi TI ke penyedia luar
untuk mencapai pengurangan biaya sekaligus meningkatkan kualitas dan efisiensi layanan.
Karena alasan inilah organisasi semakin mengalihdayakan fungsi TI ke vendor yang
berspesialisasi dalam menyediakan layanan TI. Outsourcing TI membawa risiko yang harus
dipahami dan dikelola oleh dewan dan manajemen organisasi. Oleh karena itu, mereka akan
mencari jaminan mengenai informasi yang menjadi dasar keputusan outsourcing mereka.
Fungsi audit internal dapat memberikan jaminan tersebut dan, sebagai tambahan, memberi
nasihat kepada dewan dan manajemen tentang risiko dan implikasi pengendalian dari
outsourcing TI. Dewan dan manajemen juga mempertahankan tanggung jawab untuk kontrol
atas fungsi TI yang dialihdayakan dan akan meminta CAE untuk memberi mereka jaminan
mengenai kecukupan desain dan efektivitas operasi dari kontrol ini. Jika fungsi TI berisiko
tinggi telah dialihdayakan, CAE harus mengalokasikan tingkat yang sesuai sumber daya audit
internal untuk menguji kontrol atas fungsi-fungsi tersebut
.
Komputasi awan (Cloud computing) adalah praktik menggunakan jaringan server
jarak jauh yang dihosting di internet untuk menyimpan, mengelola, memproses, dan
merupakan area yang mengalami pertumbuhan pesat dan mengubah cara bisnis beroperasi.
Ini menyediakan kapasitas sesuai permintaan, menghemat biaya perusahaan untuk melakukan
proyek infrastruktur besar untuk mendapatkan hasil yang sama. Solusi komputasi awan yang
tidak mencakup perawatan yang tepat, uji tuntas, dan pengendalian pasti akan menyebabkan
masalah yang tidak terduga. Lingkungan komputasi awan dapat dibuat secara internal atau
eksternal untuk perusahaan dan model mana pun dapat menyediakan kontrol yang memadai
jika ditetapkan untuk mengatasi risiko dan kontrol sebagaimana diuraikan dalam laporan
Committee of Sponsoring Organizations of the Treadway Commission (COSO's), Enterprise
Risk Management for Cloud Computing.

Integrated and Continuous Auditing- Vany

Audit internal secara historis dilakukan secara retrospektif, misalnya, setelah transaksi
terjadi. Pendekatan audit setelah fakta ini dengan cepat menjadi usang karena kemajuan
teknologi memunculkan proses bisnis yang mendukung TI di mana pemrosesan transaksi
online dan real-time adalah hal biasa. Jejak audit berbasis kertas dari pemrosesan dan kontrol
transaksi semakin digantikan dengan jejak audit tanpa kertas dan kontrol otomatis tertanam
yang dirancang untuk menguji kepatutan transaksi saat terjadi.

1. Integrating IT auditing into assurance engagements.

Integrasi kontrol TI secara langsung ke dalam proses bisnis, bersama dengan
ketersediaan CAAT yang mudah digunakan, mendorong semakin banyak fungsi audit internal
untuk memodifikasi pendekatan audit mereka. Alih-alih melakukan penugasan jaminan
terpisah yang berfokus secara ketat pada risiko dan kontrol TI tingkat proses, fungsi audit
internal ini mengasimilasi penilaian risiko dan pengendalian TI ke dalam keterlibatan jaminan
yang dilakukan untuk menilai pelaporan keuangan tingkat proses, operasi, dan/atau risiko dan
kontrol kepatuhan.
Fungsi audit internal yang telah mengadopsi pendekatan ini menemukan bahwa itu
menguntungkan organisasi mereka dengan meningkatkan efektivitas dan efisiensi layanan
jaminan audit internal mereka. Keterlibatan jaminan terintegrasi lebih efektif karena auditor
internal berada dalam posisi yang jauh lebih baik untuk menilai seluruh portofolio risiko
auditee dan mencapai kesimpulan keseluruhan tentang kecukupan desain dan efektivitas
operasi pengendalian. Proses audit lebih efisien karena 1) perikatan yang sebelumnya
dilakukan secara terpisah digabungkan dan 2) identifikasi dan penilaian semua risiko dan
pengendalian utama dikonsolidasikan dalam perikatan audit terintegrasi.

2. Continuous Auditing
Didefinisikan dalam "GTAG: Audit Berkelanjutan: Implikasi untuk Jaminan,
Pemantauan, dan Penilaian Risiko" sebagai "metode apa pun yang digunakan oleh [auditor
internal] untuk melakukan aktivitas terkait audit secara lebih berkelanjutan atau
berkelanjutan." Audit berkelanjutan terdiri dari dua kegiatan utama:
1. Penilaian kontrol berkelanjutan, yang tujuannya adalah "untuk memfokuskan
perhatian audit pada defisiensi kontrol sedini mungkin," dan
2. Penilaian risiko berkelanjutan, yang tujuannya adalah "untuk menyoroti proses
atau sistem yang mengalami tingkat risiko yang lebih tinggi dari yang
diharapkan."
Manajemen bertanggung jawab untuk memantau proses manajemen risiko organisasi,
termasuk proses pengendalian, dari waktu ke waktu untuk memastikan bahwa proses tersebut
terus beroperasi secara efektif dan efisien. Tanggung jawab audit berkelanjutan fungsi audit
internal adalah untuk menilai efektivitas kegiatan pemantauan berkelanjutan manajemen. Di
area organisasi di mana manajemen telah menerapkan proses pemantauan berkelanjutan yang
efektif, auditor internal dapat melakukan penilaian risiko dan pengendalian berkelanjutan
yang tidak terlalu ketat. Sebaliknya, jika pemantauan berkelanjutan tidak ada atau tidak
efektif, fungsi audit internal harus melakukan penilaian risiko dan pengendalian yang lebih
ketat.

Top 10 risk the Global Internal CBOK

1. Cybersecurity
2. Information Security
3. IT Systems Development Projects
4. IT Governance
5. Outsourced IT Services
6. Social Media Use
7. Mobile Computing
 8. IT Skills Among Internal Auditors
9. Emerging Technologies
10. Board and Audit Committee Technology Awareness
- Soal soal Kuiz tentang IT and control

7. ERM
- ERM Coso
Define risk and enterprise risk management
➔ Kata risiko dalam bahasa Inggris berasal dari kata Italia "risicare," yang berarti
"berani: pilihan di bawah kondisi yang tidak pasti."
➔ Kunci dari definisi ini adalah gagasan tentang ketidakpastian.
Memperluas definisi itu, dalam draf eksposur 2016 Komite Organisasi Sponsor
Komisi Treadway (COSO) mendefinisikan risiko sebagai "Kemungkinan bahwa
peristiwa akan terjadi dan mempengaruhi pencapaian strategi dan tujuan."
➔ Dan Organisasi Internasional untuk Standardisasi (ISO) dengan sangat sederhana
mendefinisikan risiko sebagai "efek ketidakpastian pada tujuan."

- Coso ERM Framework-5 risk components

COSO ERM Framework
Pada tahun 2004, COSO mengidentifikasi kebutuhan akan kerangka kerja yang kuat
untuk membantu perusahaan mengidentifikasi, menilai, dan mengelola risiko secara efektif.
Kerangka kerja manajemen risiko yang dihasilkan diperluas pada Pengendalian Internal -
Kerangka Terintegrasi yang diterbitkan sebelumnya, menggabungkan semua aspek kunci dari
kerangka kerja tersebut dalam kerangka ERM yang lebih luas
Kerangka kerja ERM COSO terdiri dari 5 komponen yang terkait:
a) Tata Kelola Risiko dan Budaya / Risk Governance and Culture
➔ Tata kelola risiko menetapkan nada entitas, memperkuat pentingnya, dan
menetapkan tanggung jawab pengawasan untuk manajemen risiko perusahaan.
➔ Budaya berkaitan dengan nilai-nilai etika, perilaku yang diinginkan, dan
pemahaman tentang risiko dalam entitas.
➔ Budaya tercermin dalam pengambilan keputusan.

b) Risiko, Strategi, dan Penetapan Tujuan / Risk, Strategy, and Objective-Setting

➔ Manajemen risiko perusahaan diintegrasikan ke dalam rencana strategis entitas
melalui proses penetapan strategi dan tujuan bisnis.
➔ Dengan pemahaman konteks bisnis, organisasi dapat memperoleh wawasan
tentang faktor internal dan eksternal dan dampaknya terhadap risiko.
➔ Tujuan bisnis memungkinkan strategi untuk dipraktekkan dan membentuk
operasi dan prioritas entitas sehari-hari.

c) Risiko dalam Eksekusi / Risk in Execution

➔ Sebuah organisasi mengidentifikasi dan menilai risiko yang dapat
mempengaruhi kemampuan entitas untuk mencapai strategi dan tujuan
bisnisnya.
➔ Memprioritaskan risiko sesuai dengan tingkat keparahannya dan
mempertimbangkan risk appetite entitas.
➔ Organisasi kemudian memilih respons risiko dan memantau kinerja untuk
perubahan.

d) Risiko Informasi, Komunikasi, dan Pelaporan/ Risk Information,

Communication, and Reporting
➔ Manajemen menggunakan informasi yang relevan dan berkualitas baik dari
sumber internal maupun eksternal untuk mendukung manajemen risiko
perusahaan.
➔ Organisasi memanfaatkan sistem informasi untuk menangkap, memproses, dan
mengelola data dan informasi.
➔ Dengan menggunakan informasi yang berlaku untuk semua komponen,
organisasi melaporkan risiko, budaya, dan kinerja.

e) Memantau Kinerja Manajemen Risiko Perusahaan/Monitoring Enterprise Risk

Management Performance
➔ Dengan memantau kinerja manajemen risiko perusahaan, organisasi dapat
mempertimbangkan seberapa baik komponen manajemen risiko perusahaan
berfungsi dari waktu ke waktu dan dengan mempertimbangkan perubahan
substansial.
 - Peran BoD, Management, Risk Officer terhadap ERM
ERM Roles and Responsibilities
Dewan direksi, manajemen, pejabat risiko, pejabat keuangan, auditor internal, dan setiap
individu dalam suatu organisasi berkontribusi pada ERM yang efektif.
● Board of directors/Dewan direksi
➔ Peran utama dewan terkait dengan prinsip tanggung jawab pengawasan risiko.
➔ Dewan juga membantu manajemen menentukan model tata kelola dan operasi,
menentukan budaya dan perilaku yang diinginkan, menunjukkan komitmen
terhadap integritas dan etika, dan menetapkan akuntabilitas dan wewenang
untuk manajemen risiko.

● Management/Manajemen
➔ Manajemen bertanggung jawab untuk menjalankan semua aktivitas organisasi,
termasuk ERM. Manajemen bertanggung jawab atas aspek dari kelima
komponen ERM.

➔ CEO pada akhirnya bertanggung jawab atas efektivitas dan keberhasilan ERM.
CEO mempengaruhi komposisi dan perilaku dewan, memberikan
kepemimpinan dan arahan kepada manajer senior, dan memantau aktivitas
risiko organisasi secara keseluruhan dalam kaitannya dengan risk appetite.
➔ Ketika keadaan yang berkembang, risiko yang muncul, implementasi strategi,
atau tindakan yang diantisipasi menunjukkan potensi ketidakselarasan dengan
kriteria risiko, CEO mengambil tindakan yang diperlukan untuk membangun
kembali keselarasan.

➔ Manajer senior bertanggung jawab untuk mengelola risiko yang terkait dengan
tujuan unit spesifik mereka. Mereka mengubah strategi keseluruhan organisasi
menjadi kegiatan operasi yang sedang berlangsung, mengidentifikasi peristiwa
risiko potensial, menilai risiko terkait, dan menerapkan tindakan untuk
mengelola risiko tersebut.

➔ Manajer memandu penerapan komponen ERM organisasi relatif terhadap dan

dalam lingkup tanggung jawab mereka, memastikan penerapan komponen
tersebut konsisten dengan tingkat variasi kinerja yang dapat diterima dewan
dan manajemen. Mereka menugaskan tanggung jawab untuk prosedur ERM
khusus kepada manajer proses fungsional.

Fungsi staf, seperti akuntansi, sumber daya manusia, kepatuhan, atau hukum, juga memiliki
peran pendukung penting dalam merancang dan melaksanakan praktik ERM yang efektif.
Fungsi-fungsi ini dapat merancang dan mengimplementasikan program yang membantu
mengelola risiko utama tertentu di seluruh organisasi.
Petugas risiko/Risk officer
➔ Seorang pejabat risiko, chief risk officer (CRO) memfasilitasi kegiatan manajemen
risiko.
➔ CRO memiliki sumber daya untuk membantu mempengaruhi ERM di seluruh anak
perusahaan, bisnis, departemen, fungsi, dan aktivitas. Individu ini mungkin memiliki
tanggung jawab untuk memantau kemajuan manajemen risiko dan membantu manajer
lain dalam melaporkan informasi risiko yang relevan ke atas, ke bawah, dan di seluruh
organisasi.

Eksekutif keuangan/Financial executives

➔ Eksekutif keuangan dan akuntansi dan staf bertanggung jawab atas aktivitas yang
melintasi organisasi.
➔ Para eksekutif ini sering terlibat dalam mengembangkan anggaran dan rencana
organisasi, serta melacak dan menganalisis kinerja dari perspektif operasi, kepatuhan,
dan pelaporan.
➔ Mereka memainkan peran penting dalam mencegah dan mendeteksi pelaporan
penipuan, dan mempengaruhi desain, implementasi, dan pemantauan pengendalian
internal organisasi atas pelaporan keuangan dan sistem pendukungnya.

Auditor internal/Internal auditors

- Fungsi audit internal memainkan peran penting dalam mengevaluasi
efektivitas dan merekomendasikan perbaikan untuk REM.
- Fungsi audit internal membantu manajemen dan dewan dengan memeriksa,
mengevaluasi, melaporkan, dan merekomendasikan perbaikan kecukupan dan
efektivitas ERM.

- Internal Auditor roles (core IA roles and role IA should not undertaken)
Berbagai peran fungsi audit internal dalam manajemen risiko perusahaan.
➔ Peran-peran di bagian hijau
● mewakili kegiatan penjaminan.
● Mereka adalah bagian dari tujuan yang lebih luas untuk memberikan jaminan
atas aktivitas manajemen risiko.

➔ Peran-peran di bagian kuning

● mewakili layanan konsultasi yang dapat meningkatkan tata kelola organisasi,
manajemen risiko, dan proses pengendalian.
● Luasnya layanan tersebut akan bergantung pada sumber daya lain yang
tersedia untuk dewan dan pada kematangan risiko organisasi.
● Semakin jauh ke kanan dial yang dilakukan oleh fungsi audit internal, semakin
besar perlindungan yang diperlukan untuk memastikan bahwa independensi
dan objektivitasnya terjaga.

➔ Peran-peran di bagian merah

- tidak boleh dilakukan oleh fungsi audit internal karena peran tersebut
merupakan tanggung jawab manajemen yang sangat berpotensi mengganggu
independensi dan objektivitas auditor internal.

- ISO ERM (principle & guidance)

Discuss the different dimensions of ISO 31000:2009(E): Risk management - Principles
and guidelines.
ISO 31000 Principles
➔ Menciptakan dan menjaga sebuah nilai
➔ Merupakan kesatuan atas seluruh penerapan proses
➔ Merupakan bagian dari proses pembuatan keputusan
➔ Secara eksplisit membahas ketidakpastian pada proses
➔ Membantu perusahaan menjadi sistematis, terstruktur, dan tepat waktu
➔ Didasarkan kepada informasi terbaik yang tersedia
➔ Menyesuaikan perusahaan
➔ Mempertimbangkan faktor manusia dan budaya dalam perancangannya
➔ Transparan dan inklusif
➔ Responsive, repetitive, dan responsive kepada perubahan
➔ Memfasilitasi keberlanjutan peningkatan kualitas perusahaan
ISO 31000 Framework
➔ Mandat dan komitmen dari dewan dan manajemen senior untuk memastikan
keselarasan dengan tujuan perusahaan dan komitmen terhadap sumber daya yang
cukup untuk memungkinkan keberhasilan.
➔ Desain kerangka kerja untuk mengelola risiko, yang memastikan fondasi ditetapkan
untuk proses manajemen risiko yang efektif.
➔ Mengimplementasikan proses dan kerangka manajemen risiko untuk membantu
perusahaan mencapai tujuannya.
➔ Meningkatkan kerangka untuk menilai keberlanjutannya secara berkala.

ISO 31000 Process

- Tetapkan konteks yang berfokus pada pemahaman dan kesepakatan tentang
faktor eksternal dan internal yang akan mempengaruhi manajemen risiko.
- Menilai risiko melalui identifikasi, analisis, dan mengevaluasi risiko untuk
menentukan risiko yang perlu segera ditangani.
- Menangani risiko yang memiliki urgensi tertinggi.
- Mengawasi risiko untuk menilai dampak yang akan ditimbulkan.
- Menetapkan proses alur komunikasi dan konsultasi agar seluruh informasi
didapatkan oleh anggota perusahaan.

- Likelihood and impact of risk

Likelihood dan impact of risk adalah dua faktor penting yang digunakan untuk mengevaluasi
risiko dalam sebuah organisasi.

Likelihood atau probabilitas risiko merujuk pada seberapa besar kemungkinan risiko terjadi di
masa depan. Probabilitas ini dapat diukur dalam skala numerik, misalnya dalam skala dari 1
sampai 5 atau dalam bentuk persentase. Probabilitas risiko dapat dipengaruhi oleh
faktor-faktor seperti kondisi pasar, kebijakan pemerintah, atau ketidakpastian lingkungan
bisnis.

Sementara itu, impact atau dampak risiko merujuk pada konsekuensi atau kerugian yang
mungkin terjadi jika risiko tersebut terjadi. Dampak risiko juga dapat diukur dalam skala
numerik, misalnya dalam skala dari 1 sampai 5 atau dalam bentuk presentase. Dampak risiko
dapat dipengaruhi oleh faktor-faktor seperti ukuran perusahaan, produk atau jasa yang
dihasilkan, dan risiko-risiko yang berdampak pada reputasi perusahaan.

Ketika kedua faktor ini dipertimbangkan bersama-sama, maka akan didapatkan nilai risiko.
Nilai risiko ini akan membantu organisasi dalam menentukan prioritas risiko yang perlu
ditangani terlebih dahulu. Risiko dengan nilai tinggi (yang memiliki probabilitas tinggi dan
dampak besar) dapat menjadi prioritas utama, sedangkan risiko dengan nilai rendah dapat
ditangani secara lebih rendah prioritas.