Tantangan Auditor Internal Abad 21

Tantangan Auditor Internal Abad 21
Oleh : Muh. Arief Effendi (SPI PT. KS)
(Artikel ini telah dimuat di Majalah KSG, Edisi 63, Desember 2011, hal. 23-24, Rubrik “Info Special”)

Pendahuluan
Pada awal abad 21, organisasi / perusahaan sangat concern terhadap 4 (empat) hal, yaitu Risk Management, Governance, Control dan Assurance / Consulting. Profesi audit internal juga mengalami perkembangan cukup berarti sejak munculnya kasus Enron & Worldcom tahun 2001 yang menghebohkan kalangan dunia usaha. Meskipun reputasi audit internal sempat terpuruk oleh berbagai kasus kolapsnya beberapa perusahaan tersebut yang melibatkan peran auditor, namun profesi auditor internal ternyata semakin hari semakin dihargai dalam organisasi. Saat ini profesi auditor internal turut berperan dalam implementasi Good Corporate Governance (GCG) di berbagai perusahaan, baik swasta, BUMN maupun asing.
Pengertian internal auditing juga mengalami perkembangan dari waktu ke waktu. Menurut “Professional Practices Framework”: International Standards for The Professional Practice of Internal Audit, Institute of Internal Auditors (2004), internal auditing adalah suatu aktivitas independen, yang memberikan jaminan keyakinan serta konsultasi (consulting) yang dirancang untuk memberikan suatu nilai tambah (to add value) serta meningkatkan (improve) kegiatan operasi organisasi. Audit Internal membantu organisasi dalam usaha mencapai tujuannya dengan cara memberikan suatu pendekatan disiplin yang sistematis untuk mengevaluasi dan meningkatkan efektifitas manajemen risiko (risk management), pengendalian (control) dan proses tata kelola (governance processes).
Delapan Tantangan
Terdapat 8 (delapan) tantangan yang harus dihadapi oleh para auditor internal pada abad 21 antara lain sbb :
1. Risk- based Orientation.
Auditor internal harus merubah pendekatan dari audit secara konvensional menuju audit berbasiskan risiko (risk based audit approach). Pola audit yang didasarkan atas pendekatan risiko yang dilakukan oleh auditor internal lebih difokuskan terhadap masalah parameter risk assesment yang diformulasikan pada risk based audit plan. Berdasarkan risk assesment tersebut dapat diketahui risk matrix, sehingga dapat membantu auditor internal untuk menyusun risk audit matrix. Dalam hal ini auditor internal perlu bekerjasama dengan Divisi Manajemen Risiko, sehingga pelaksanaan audit berbasiskan risiko dapat berjalan lancar.
Manfaat yang akan diperoleh auditor internal apabila menggunakan risk based audit approach, antara lain auditor internal akan lebih efisien & efektif dalam melakukan audit, sehingga dapat meningkatkan kinerja Departemen Audit internal (Satuan Pengawasan Intern). Auditor internal juga harus dapat berubah dari paradigma lama (old paradigm) menuju paradigma baru (new paradigm), yang ditandai dengan perubahan orientasi dan peran profesi internal auditor.
2.Global Perspective.
Auditor internal harus berpandangan luas dan dalam menilai sesuatu berdasarkan perspektif global (makro) bukan secara sempit (mikro). Pada era globalisasi saat ini, sudah tidak ada lagi batas-batas antar negara dalam menjalankan bisnis. Untuk menuju world class company, maka kemampuan Sumber Daya Manusia (SDM) juga perlu ditingkatkan. Oleh karena itu, sudah saatnya para auditor internal mengambil gelar sertifikasi internasional, seperti Certified Internal Auditor (CIA), Certified Fraud Examiner (CFE), Certified Information System Audit (CISA), Certified Risk Management Assurance (CRMA) dll.
3.Governance Expertise.
Auditor internal harus melaksanakan prinsip tata kelola perusahaan yang baik yaitu Good Corporate Governance (GCG). Auditor internal harus memiliki pengetahuan yang cukup tentang GCG, karena auditor internal merupakan salah satu dari 4 (empat) pilar GCG, seliain Board of Director, Senior Management dan External Auditor. Auditor internal memiliki peranan penting dalam implementasi GCG di perusahaan. Efektivitas sistem pengendalian internal dan auditor internal merupakan salah satu kriteria penilaian dalam implementasi GCG. Para auditor internal harus menggunakan kompetensi yang dimiliki dan agar bekerja secara profesional sehingga dapat bernilai tambah (added value) bagi organisasinya. Agar auditor internal bernilai tambah, maka hendaknya dapat melakukan asesmen atas :
a. Operational & quality efefctiveness.
b. Business Risk
c. Business & process control.
d. Process & business efficiencies.
e. Cost reduction opportunities.
f. Waste elimination opportunities.
g. Corporate governance efectiveness.

4.Technologically Adept.
Auditor internal harus senantiasa mengikuti perkembangan teknologi, terutama Teknologi Informasi. Auditor internal harus memiliki technology proficiency, misalnya ahli dibidang Audit Sistem Informasi (System Information Audit). Hal inilah yang mendorong para auditor internal mengambil gelar sertifikasi CISA. Selain itu auditor internal harus dapat menggunakan kemampuan di bidang teknologi (technologicall skills) untuk menganalisis / mitigasi risiko, perbaikan proses ( improve process) dan evaluasi efisiensi (upgrade efficiency).
5.Business Acumen.
Auditor internal harus memiliki jiwa entrepeneurship yang tinggi, sehingga mengikuti setiap perkembangan dalam proses bisnis (business process). Pada masa lalu auditor internal lebih mengedepankan perannya sebagai watchdog, saat ini auditor internal diharapkan lebih berperan sebagai mitra bisnis (business partner) bagi manajemen dan lebih berorientasi untuk memberikan kepuasan kepada jajaran manajemen sebagai pelanggan (customer satisfaction). Oleh karena itu, auditor internal bukan hanya mahir dalam bidang audit, namun perlu juga mahir dalam bidang bisnis.
6.Creative Thinking & Problem Solving.
Auditor internal harus selalu berpikir kreatif, positif dan inovatif serta lebih berorientasi pada pemecahan masalah. Untuk menjadi problem solver auditor internal memerlukan pengalaman bertahun-tahun melakukan audit berbagai fungsi / unit kerja suatu organisasi / perusahaan.
7.Strong Ethical Compass.
Auditor internal dalam menjalankan tugas harus mengikuti Standar Profesi Audit Internal serta menjaga kode etik profesi yang ditetapkan oleh organisasi profesi, sehingga dapat terhindar dari perilaku yang melanggar kode etik profesi. Selain itu auditor internal juga harus mematuhi manual budaya perusahaan yang ditetapkan oleh manajemen.
8.Communication Skills.
Pekerjaan auditor internal berhubungan erat dengan unit organisasi lain, yaitu manajemen, komite audit, auditor eksternal (Kantor Akuntan Publik), oleh karena itu auditor internal harus menjalin komunikasi yang baik dengan pihak-pihak lain tersebut. Dalam hal ini, auditor internal perlu memiliki kemampuan dalam bidang komunikasi, baik lisan maupun tertulis.

Kesimpulan
Untuk menjawab 8 (delapan) tantangan tersebut para auditor internal harus selalu meningkatkan profesionalisme, pengetahuan dan keahliannya, sehingga dapat meningkatkan kinerja perusahaan dari waktu ke waktu. Beberapa langkah konkret yang dapat dilakukan oleh auditor internal, antara lain :
1.Melaksanakan standar profesional audit internal serta kode etik profesi yang ditetapkan oleh organisasi profesi secara konsisten.
2.Senantiasa mengikuti perkembangan mutakhir lingkungan bisnis yang sangat cepat serta teknologi informasi yang pesat.
3.Selalu mengikuti perkembangan terbaru tentang konsep & teknik dalam internal auditing melalui Pendidikan Profesi berkelanjutan (PPL), bagi pemegang gelar sertifikasi Qualified Internal Auditor (QIA).
4.Selalu meningkatkan kemampuan dibidang komunikasi (communication skills) baik lisan maupun tertulis.
5.Berusaha memperoleh gelar sertifikasi internasional di bidang audit, misalnya CIA, CFE, CISA, CRMA dll.

Peran Auditor Internal menghadapi Krisis Finansial Global

PERAN  AUDITOR  INTERNAL   MENGHADAPI  KRISIS FINANSIAL GLOBAL

(Artikel ini telah dimuat di Majalah Krakatau Steel Group/ KSG Edisi 43 / VII/ Tahun 2009, pada Rubrik “OPINI”, Hlm. 40-42)

Oleh : Muh. Arief Effendi / SPI PT. KS

 Pendahuluan

Krisis Finansial Global (KFG) yang melanda sektor bisnis sejak tahun 2007/2008 ternyata lebih sulit dihadapi dibandingkan dengan masa krisis moneter yang terjadi sekitar tahun 1997/1998 yang lalu. Hal tersebut disebabkan saat krisis moneter terjadi tahun 1997/1998 hanya bersifat regional (lokal) sehingga hanya melanda kawasan tertentu saja,  sedangkan KFG bersifat mendunia (global). Peran auditor internal di  perusahaan harus dapat mendorong pencapaian tujuan (goal) perusahaan dengan tata kelola perusahaan yang baik (Good Corporate Governance/GCG). Peran auditor internal sebagai konsultan internal (internal consulting) perusahaan harus dapat memberikan early warning kepada manajemen perusahaan untuk mencegah dan meminimalisasi dampak KFG yang dapat merugikan perusahaan.

Dampak Krisis Finansial Global

Fauzi Ichsan, Senior Vice President, Standard Chartered Bank (Bisnis Indonesia, 10 Oktober 2008), menyatakan bahwa “Lehman Brothers, Bear Stearns, Merrill Lynch, AIG, Freddie Mac dan Fannie Mae, sebagai lembaga finansial raksasa AS, selamat menghadapi resesi ekonomi AS paska serangan teroris tahun 2001. Mereka selamat menghadapi resesi ekonomi dunia akibat embargo minyak OPEC tahun 1973 dan selamat menghadapi dua perang dunia. Mereka juga selamat menghadapi resesi ekonomi dunia tahun 1930-an yang sering disebut ‘the great depression’, akibat krisis keuangan AS pada 1929. Namun, mereka tidak selamat menghadapi krisis kredit pembelian rumah (KPR) subprime di AS pada 2007/2008. Artinya, terpuruknya beberapa lembaga keuangan terbesar di dunia tersebut adalah indikasi bahwa permasalahan ekonomi AS dan dunia sekarang memang jauh lebih parah dari perkiraan kita sebelumnya.”

KFG yang mampu merontokkan beberapa lembaga penjamin keuangan raksasa di Amerika Serikat tersebut ternyata berimbas pula ke segenap penjuru negara-negara di dunia tak terkecuali  Indonesia. Dengan demikian,  tidak ada negara di dunia ini yang dapat mengisolasi negaranya (kebal) dari dampak KFG. Bahkan, menurut perkiraan para ahli ekonomi dampak KFG masih akan dirasakan Negara kita hingga 5 tahun ke depan.

Pada kwartal empat tahun 2008 yang lalu indeks harga saham pada Bursa saham di berbagai belahan dunia, misalnya Dow Jones, Nikei, Hanseng, IHSG dll mengalami terjun bebas. Gelombang pemutusan hubungan kerja (PHK) oleh perusahaan terjadi di mana-mana. Perusahaan di Indonesia yang berorientasi ekspor sangat terpukul dan paling merasakan dampaknya, sebab permintaan komoditi ekspor dari luar negeri menurun tajam. Bahkan, banyak kontrak-kontrak perjanjian / pengiriman barang ekspor yang dibatalkan secara sepihak. Hal ini tentu saja, sangat merugikan perusahaan-perusahaan eksportir. Meskipun di lingkungan perbankan di Indonesia sudah lebih siap dibandingkan pada masa krisis moneter tahun 1998 yang lalu, namun industri perbankan perlu ekstra hati-hati (prudential) dan  jangan sampai terjadi lagi krisis perbankan ”jilid 2”  yang tidak kita kehendaki bersama.

 Posisi Auditor Internal

Posisi auditor internal (satuan pengawasan intern) di lingkungan Badan Usaha Milik Negara (BUMN) telah diatur dalam UU No. 19 tahun 2003 tentang BUMN. Selain itu juga diatur dalam SK Menteri BUMN No. 117/M-BUMN/2002 tentang Penerapan GCG di BUMN. Sedangkan untuk perusahaan publik telah diatur melalui Keputusan Ketua Bapepam-LK Nomor : Kep-496/BL/2008 tanggal  28 Nopember 2008 tentang pembentukan dan pedoman penyusunan piagam  Unit Audit Internal.  Sarbanes Oxley Act (2002) memberikan kewenangan akses yang lebih luas kepada Departemen Audit Internal. Berdasarkan aturan (regulasi) tersebut, saat ini posisi auditor internal di Perusahaan merupakan pilar penting dan salah satu faktor kunci sukses (key success factor) dalam  sistem pengendalian manajemen (management control  system) agar pengelolaan perusahaan dapat berjalan sesuai prinsip–prinsip GCG.

Peran Auditor Internal

Mengingat dampak KFG sangat mempengaruhi kelangsungan usaha (going concern) serta dapat menurunkan kinerja perusahaan, maka auditor internal tidak boleh hanya berpangku tangan saja menjadi penonton, namun diharapkan dapat turut serta secara aktif membantu manajemen meminimalisasi dampak KFG yang mungkin timbul di perusahaan. Paling tidak terdapat 3 (tiga) peran   yang dapat dilakukan oleh auditor internal dalam menghadapi dampak KFG sbb :

1.   Mendorong terwujudnya GCG secara efektif.

Meskipun GCG bukan satu-satunya faktor yang menentukan dalam reformasi bisnis, namun komitmen perusahaan terhadap iplementasi prinsip-prinsip GCG merupakan salah satu faktor kunci sukses (key succes  factor) untuk mempertahankan dan menumbuhkan kepercayaan para investor (terutama investor asing) terhadap perusahaan di Indonesia. GCG saat ini sedang menjadi trend dan isu sentral di kalangan bisnis. Berdasarkan hasil penelitian, terjadinya skandal bisnis (business gate), misalnya Enron, Worldcom, Tyco, Global Crosing dll ternyata  salah satunya disebabkan prinsip-prinsip GCG tidak dijalankan secara sungguh-sungguh, konsekuen dan konsisten. Respon pihak Pemerintah, BUMN, perusahaan swasta maupun perusahaan multinasional sangat positif atas upaya mewujudkan GCG tersebut. Perusahaan yang tidak mengimplementasikan GCG, pada akhirnya dapat ditinggalkan oleh para investor, kurang dihargai oleh masyarakat (publik) dan, dapat dikenakan sanksi apabila berdasarkan hasil penilaian ternyata perusahaan tersebut melanggar hukum. Perusahaan seperti ini akan kehilangan peluang (opportunity) untuk dapat melanjutkan kegiatan usahanya (going concern) dengan lancar. Namun sebaliknya perusahaan yang telah mengimplementasikan GCG dapat menciptakan nilai (value creation) bagi masyarakat (publik), pemasok (supplier), distributor, pemerintah, dan ternyata lebih diminati para investor sehingga berdampak secara langsung bagi kelangsungan usaha perusahaan tersebut. Pada saat ini  GCG sudah bukan merupakan hal yang perlu diperdebatkan lagi, melainkan sudah menjadi kebutuhan bagi setiap pelaku bisnis untuk mengimplementasikan pada aktivitas operasional sehari-hari (day to day operation).

Auditor internal dapat berperan dalam mendorong terwujudnya GCG di perusahaan. Beberapa hal yang perlu mendapat dukungan penuh dari auditor internal, misalnya :

  • Mendorong transparansi (transparency) dan integritas (integrity) dalam pelaporan keuangan (financial reporting) perusahaan.
  • Mendorong akuntabilitas (accountability) dalam pengelolaan aset perusahaan.
  • Mendorong pertanggungjawaban (responsibility) perusahaan kepada public melalui Corporate Social Responsibility /CSR, Community Development atau Program Kemitraan & Bina Lingkungan (PKBL).
  • Mendorong independensi (independency) perusahaan terhadap pihak-pihak terkait, termasuk pemegang saham minoritas.
  • Mendorong kewajaran (fairness) dalam pengadaan barang & jasa termasuk dipastikannya tidak ada pelanggaran terhadap UU anti monopoli & persaingan usaha yang sehat.

 

2.   Melaksanakan audit yang bernilai tambah dengan pendekatan audit berbasiskan risiko.

Dalam rangka menghadapi KFG yang saat ini masih berlangsung, maka auditor internal hendaknya dapat melaksanakan audit yang bernilai tambah (value added internal auditing/VAIA) dengan pendekatan audit berbasis risiko (Risk Based Internal Auditing/RBIA). Auditor internal hendaknya dapat melakukan assesment atas Operational & quality effectiveness, Business risk., Business & process control, Process & business efficiencies, Cost reduction opportunities, Waste elimination opportunities, dan Corporate governance efectiveness.

Tujuan dari VAIA adalah agar auditor internal dapat  :

  • Memberikan analisis operasional secara obyektif & independen.
  • Menguji berbagai fungsi, proses dan aktivitas suatu organisasi serta external value chain.
  • Membantu organisasi dalam merancang strategi bisnis yang obyektif.
  • Melakukan assesment secara sistematis dengan pendekatan multidisiplin.
  • Melakukan evaluasi & menilai efektivitas  risk management , control & governance processes.

Terdapat tiga aspek yang cukup penting dalam implementasi RBIA, yaitu penggunaan faktor risiko (risk factor) dalam audit planning,  identifikasi independent risk & assesment dan partisipasi dalam inisiatif risk management & processes. Ruang lingkup RBIA termasuk dilakukannya identifikasi atas inherent business risks (IBR) dan control risk (CR) yang potensial. Mengingat data / informasi dari Divisi Manajemen Risiko (Risk Management) sangat membantu tugas auditor internal dalam pelaksanaan audit, maka perlu kerjasama dan sinergi antar kedua unit kerja tersebut. Departemen Audit Internal (Satuan Pengawasan Intern/SPI) dapat melakukan review secara periodik setiap tahun atas RBIA dikaitkan dengan audit plan. Manajemen puncak (Board of Director) dan Komite Audit (audit committee) dapat melakukan assessment atas kinerja (performance) dari RBIA untuk mengetahui realibilitas, keakuratan dan obyektivitasnya. Profil risiko (Risk profile) atas RBIA didokumentasikan dalam audit plan yang dibuat oleh Departemen Audit Internal. Risk profile tersebut dapat digunakan untuk melakukan evaluasi apakah metodologi risk assesment telah  rasional dan up to date. Beberapa manfaat diimplementasikannya pendekatan RBIA antara lain dapat meningkatkan efisiensi dan efektivitas internal auditor dalam melakukan audit, sehingga secara tidak langsung dapat meningkatkan kinerjanya dan diharapkan dapat membantu manajemen dalam upaya meminimalisasi dampak KFG terhadap perusahaan.

 3.   Melaksanakan pencegahan, pendeteksian & penginvestigasian kecurangan.

Auditor internal berfungsi membantu manajemen dalam pencegahan (prevention), pendeteksian (detection) dan penginvestigasian (investigation) kecurangan (fraud) yang terjadi di suatu organisasi (perusahaan). Sesuai Interpretasi Standar Profesional Audit Internal (SPAI) – standar 120.2 tahun 2004, tentang pengetahuan mengenai kecurangan, dinyatakan bahwa auditor internal harus memiliki pengetahuan yang memadai untuk dapat mengenali, meneliti dan menguji adanya indikasi kecurangan. Selain itu, menurut Statement on Internal Auditing Standards (SIAS) No. 3, tentang Deterrence, Detection, Investigation, and Reporting of Fraud (1985), memberikan pedoman bagi auditor internal tentang bagaimana auditor internal melakukan pencegahan, pendeteksian dan penginvestigasian terhadap fraud. SIAS No. 3 tersebut juga menegaskan tanggung jawab auditor internal untuk membuat laporan audit tentang fraud.

Pencegahan Kecurangan

Salah satu cara yang paling efektif untuk mencegah timbulnya fraud  adalah melalui peningkatan sistem pengendalian intern (internal control system) selain melalui struktur / mekanisme pengendalian intern. Dalam hal ini, yang paling bertanggung jawab atas pengendalian intern adalah pihak manajemen suatu organisasi. Dalam rangka pencegahan fraud, maka berbagai  upaya harus dikerahkan untuk membuat para pelaku fraud tidak berani melakukan fraud. Apabila fraud terjadi, maka dampak (effect) yang timbul diharapkan dapat diminimalisir. Auditor internal bertanggungjawab untuk membantu pencegahan fraud dengan jalan melakukan pengujian (test) atas kecukupan dan kefektivan sistem pengendalian intern, dengan mengevaluasi seberapa jauh risiko yang potensial (potential risk) telah diidentifikasi.

Dalam pelaksanaan audit reguler (rutin), misalnya audit kinerja (performance audit), audit keuangan (financial audit) maupun audit operasional  (operational audit), auditor internal harus mengidentifikasi adanya gejala kecurangan (fraud symptom) berupa red flag atau fraud indicator. Hal ini menjadi sangat penting, sehingga apabila terjadi fraud, maka memudahkan auditor internal melakukan audit investigasi.

Pendeteksian Kecurangan

Deteksi fraud mencakup identifikasi indikator-indikator kecurangan  (fraud  indicators) yang memerlukan tindaklanjut auditor internal untuk melakukan investigasi. Auditor internal perlu memiliki keahlian (skill) dan pengetahuan (knowledge) yang memadai dalam mengidentifikasi indikator terjadinya fraud. Auditor internal harus dapat mengetahui secara mendalam mengapa seseorang melakukan fraud termasuk penyebab fraud, jenis-jenis fraud, karakterisitik fraud, modus operandi (teknik-teknik) fraud yang biasa terjadi. Apabila diperlukan  dapat menggunakan alat bantu (tool) berupa ilmu akuntansi forensik (forensic accounting)  untuk memperoleh bukti audit (audit evidence) yang kuat dan valid.  Forensic accounting merupakan suatu  integrasi dari akuntansi (accounting), teknologi informasi (information technology) dan keahlian investigasi ( investigation skill).

Penginvestigasian Kecurangan

Investigasi merupakan pelaksanaan prosedur lebih lanjut bagi auditor internal untuk mendapatkan keyakinan yang memadai (reasonable assurance) apakah fraud yang telah dapat diidentifikasi tersebut memang benar-benar terjadi. Pelaksanaan audit investigasi mengikuti work instruction serta ketentuan yang telah ditetapkan oleh Standar Profesi Audit Internal maupun organisasi Institute of Internal Auditor (IIA).

Kesimpulan

  1. Dalam rangka menghadapi KFG , auditor internal tidak hanya berpangku tangan saja menjadi penonton, namun diharapkan turut serta secara aktif berperan sebagai Internal Consultant dan membantu manajemen untuk mendorong terwujudnya GCG di perusahaan secara efektif.
  2. Auditor internal  juga diharapkan dapat meminimalisasi  dampak KFG, melalui pelaksanaan audit yang bernilai tambah dengan pendekatan audit berbasis risiko.
  3. Mengingat kecurangan (fraud) dapat terjadi kapan saja dan di mana saja, maka auditor internal diharapkan dapat melaksanakan pencegahan, pendeteksian dan penginvestigasian fraud.

 *)  Artikel ini merupakan pengembangan lebih lanjut paper penulis yang berjudul “Role of Internal Audit in Global Crisis” yang telah dipresentasikan pada “Seminar Internal Audit Update 2009 : Learning of Global Crisis and Role of Internal Auditor” yang diselenggarakan oleh Forum Komunikasi Satuan Pengawasan Intern (FKSPI) Wilayah Jawa Barat & Banten pada tanggal 30 Januari 2009 di Bandung.

Pencegahan Pendeteksian dan Penginvestigasian Kecurangan Komputer oleh Auditor melalui Audit Sistem Informasi

PENCEGAHAN, PENDETEKSIAN DAN PENGINVESTIGASIAN KECURANGAN KOMPUTER OLEH AUDITOR MELALUI AUDIT SISTEM INFORMASI

Oleh : Muh. Arief Effendi *)

(Artikel ini telah dimuat di Jurnal TEKNOINFO, Vol. 02 No. 1, 2008, hlm 7-11, ISSN 1978-1687, Jurnal Ilmiah TEKNOLOGI INFORMASI yang diterbitkan oleh Jurusan Teknik Informatika Fakultas Teknologi Industri (FTI) Universitas Trisakti Jakarta)

These article was auditors aimed to discover the response of their organizations to the threat of computer fraud. The auditor’s responsibility within organization for the prevention, detection & investigation of the computer fraud, what the auditor does to prevent computer fraud. Computer fraud was one of the white collar crime in organization / company. Information system audit is one of the important tool for auditor to detect & investigate computer fraud with computer assisted audit technique (CAAT) .

 Key words: Computer fraud, detection, investigation, auditor, information system audit.

 Pendahuluan

Akhir-akhir ini pimpinan suatu organisasi / manajemen perusahaan banyak yang mengkhawatirkan timbulnya kecurangan (fraud) dilingkungan organisasi / perusahaannya. Fraud memang dapat terjadi kapan saja dan di perusahaan mana saja.  Meskipun suatu organisasi (perusahaan) telah menggunakan teknologi tinggi (computerized) namun sulit terdeteksi apabila terjadi kolusi antara oknum karyawan dengan pihak ketiga diluar organisasi / perusahaan. Fraud dapat dilakukan oleh orang dalam perusahaan (internal fraud) yang mengetahui kebijakan dan prosedur perusahaan.  Fraud juga dapat dilakukan oleh seseorang dari luar perusahaan. Mengingat adanya pengendalian (control) yang diterapkan secara ketat oleh hampir semua organisasi / perusahaan untuk mengamankan asetnya, membuat pihak luar sukar untuk melakukan pencurian. Internal fraud terdiri dari 2  (dua) kategori yaitu Employee fraud yang dilakukan oleh seseorang atau kelompok orang untuk memperoleh keuntungan finansial pribadi maupun kelompok dan Fraudulent financial reporting. Fraudulent financial reporting adalah perilaku yang disengaja atau ceroboh,  baik dengan tindakan atau penghapusan,yang menghasilkan laporan keuangan yang menyesatkan (bias).  Saat ini hampir semua organisasi telah menggunakan teknologi komputer dalam pengolahan data / informasi, sehingga baik internal fraud maupun fraudulent financial reporting dapat dilakukan melalui kejahatan komputer (computer fraud). Computer fraud saat ini sedang menjadi topik hangat dalam dunia keamanan sistem informasi (information system security). Kejahatan dunia maya (cyber crime) yang salah satunya akses internet melalui komputer desktop atau notebook dari tahun ke tahun selalu meningkat. Apabila computer fraud tidak segera ditangani dengan serius dan komprehensif, maka akan sangat merugikan organisasi (perusahaan), bahkan dapat menimbulkan kebangkrutan.

Mengingat kejahatan ini menggunakan teknologi tinggi, maka pembuktiannya relatif sulit dan memerlukan pengetahuan khusus, seperti forensic audit. Audit terhadap cyber crime dapat dilakukan dengan bantuan software, seperti CAAT (Computer Assisted Audit Tools). Auditor yang melakukan audit atas cyber crime, selain harus ahli di bidang EDP Audit juga ahli di bidang fraud audit. Untuk memiliki keahlian khusus dibidang audit sistem informasi, auditor dapat mengikuti ujian sertifikasi untuk memperoleh gelar CISA (Certified Information System Audit). Akan lebih baik lagi, apabila auditor tersebut juga memiliki gelar CFE (Certified Fraud Examiner). Melalui kombinasi keahlian dibidang audit sistem informasi dan fraud audit, diharapkan dapat mengungkap cyber crime secara  cermat dan cepat. Saat ini kita perlu mengembangkan disiplin khusus yaitu computer forensic, hal ini menjadi sangat penting mengingat cyber crime melalui kejahatan komputer (computer fraud) semakin meluas dan canggih. (Effendi, 2008).

Proses, Unsur dan Faktor Pemicu Fraud

Proses timbulnya fraud biasanya terdiri dari 3 (tiga) macam, yaitu pencurian (theft) dari sesuatu yang berharga (cash, inventory, tools, supplies, equipment atau data), konversi (conversion) asset yang dicuri kedalam cash dan pengelabuhan / penutupan (concealment) tindakan kriminal agar tidak dapat terdeteksi.    Unsur-unsur fraud  antara lain sekurang-kurangnya melibatkan dua pihak (collussion), tindakan penggelapan/penghilangan atau false representation dilakukan dengan sengaja, menimbulkan kerugian nyata atau potensial atas tindakan pelaku fraud. Meskipun organisasi / perusahaan secara hukum dapat menuntut para pelaku fraud, namun ternyata tidak mudah usaha untuk menangkap para  pelaku fraud, mengingat pembuktiannya relatif sangat sulit. Apalagi apabila fraud tersebut termasuk perbuatan kolusi dalam computer fraud. Ramos (2003), menggambarkan penyebab timbulnya fraud berupa segitiga fraud (the fraud triangle), sebagai berikut :

Figure 1:  The Fraud Triangle

Penyebab / faktor pemicu fraud dibedakan atas 3 (tiga) hal yaitu :

  • Tekanan (Unshareable pressure/ incentive) yang merupakan motivasi seseorang untuk melakukan fraud. Motivasi melakukan fraud, antara lain motivasi ekonomi, alasan emosional (iri/cemburu, balas dendam, kekuasaan, gengsi) dan nilai (values).
  • Adanya kesempatan / peluang (Perceived Opportunity) yaitu kondisi atau situasi yang memungkinkan seseorang melakukan atau menutupi tindakan tidak jujur.
  • Rasionalisasi (Rationalization) atau sikap (Attitude), yang paling banyak digunakan adalah hanya meminjam (borrowing) asset yang dicuri.

Fraud dapat dikatagorikan atas 3 (tiga) macam sbb. :

  • Penyalahgunaan wewenang/jabatan (Occupational Frauds); kecurangan yang dilakukan oleh individu- individu yang bekerja dalam suatu organisasi untuk mendapatkan keuntungan pribadi.
  • Kecurangan Organisatoris (Organisational Frauds); kecurangan yang dilakukan oleh organisasi itu sendiri demi kepentingan/keuntungan organisasi itu.
  • Skema Kepercayaan (Confidence Schemes). Dalam kategori ini, pelaku membuat suatu skema kecurangan dengan menyalahgunakan kepercayaan korban.

Menurut Raharjo (1998), jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal, antara lain:

  • Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line banking, electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak lainnya.
  • Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal. Padahal mencari operator dan administrator yang handal adalah sangat sulit.
  • Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
  • Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
  • Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.

Jenis-Jenis Fraud

Jenis-jenis fraud yang sering terjadi di suatu organisasi (perusahaan) pada umumnya dapat dibedakan atas 3 (tiga) kategori :

  • Pemalsuan (Falsification) data dan tuntutan palsu (illegal act). Hal ini terjadi karena pelaku fraud secara sadar dan sengaja memalsukan suatu fakta, laporan, penyajian  atau klaim yang mengakibatkan kerugian keuangan atau ekonomi dari para pihak yang menerima laporan atau data palsu tersebut.
  • Penggelapan kas (embezzlement cash), pencurian persediaan/aset (Theft of inventory / asset) dan kesalahan (false) atau misleading catatan dan dokumen.
  • Kejahatan Komputer (Computer fraud).

 Computer fraud adalah kejahatan / kecurangan dengan memanfaatkan teknologi komputer sebagai sarana pengolahan data / informasi. Computer fraud termasuk salah satu kejahatan kerah putih (white collar crime). White collar crime adalah kegiatan yang salah atau serangkaian dari tindakan yang dilakukan tanpa tindakan secara non-fisik dan rahasia atau tipu muslihat untuk mendapatkan uang atau property,untuk menghindari pembayaran atau kehilangan uang atau property, atau untuk mendapatkan bisnis termasuk keuntungan pribadi.  Computer fraud meliputi tindakan ilegal yang mana pengetahuan tentang teknologi komputer adalah sangat esensial untuk perpetration, investigation atau prosecution. Dengan menggunakan sebuah komputer seorang fraud perpetrator dapat mencuri lebih banyak dalam waktu lebih singkat dengan usaha yang lebih kecil. Pelaku  fraud  telah menggunakan berbagai metode untuk melakukan Computer fraud .

Jenis-jenis Computer Fraud

Pengkategorian Computer fraud melalui penggunaan model pemrosesan data (data processing model), dapat dirinci sbb  :

  • Cara yang paling sederhana dan umum untuk melaksanakan fraud adalah mengubah computer input.
  • Computer fraud dapat dilakukan melalui penggunaan sistem (dalam hal ini Processor) oleh yang tidak berhak, termasuk pencurian waktu dan jasa komputer serta penggunaan komputer untuk keperluan diluar job deskripsi pegawai.
  • Computer fraud dapat dicapai dengan mengganggu perangkat lunak (software) yang mengolah data perusahaan atau Computer istruction . Cara ini meliputi mengubah software, membuat copy ilegal atau menggunakannya tanpa otorisasi (unauothorized).
  • Computer fraud  dapat dilakukan dengan mengubah atau merusak data files organisasi / perusahaan atau membuat copy, menggunakan atau melakukan pencarian terhadap data tanpa otorisasi.
  • Computer fraud  dapat dilaksanakan dengan mencuri atau menggunakan secara tidak benar system output.

Pencegahan Computer Fraud

Salah satu cara untuk mencegah timbulnya computer fraud  adalah dengan merancang sebuah sistem yang dilengkapi dengan internal control yang cukup memadai sehingga computer fraud sukar dilakukan oleh pihak luar maupun orang dalam perusahaan. Selain itu manajemen perusahaan harus memiliki komitmen untuk selalu meningkatkan budaya integritas (culture of integrity). Mengingat computer fraud dewasa ini semakin meningkat, metode dan cara untuk melindungi perusahaan dari computer fraud masih sangat terbatas, secara hukum  Indonesia belum ada cyber law yang dapat dijadikan payung bagi petugas polisi dan aparat terkait lainnya untuk bertindak dan saat ini masih menggunakan KUHP umum. Berikut beberapa cara perlindungan yang dapat dilakukan oleh organisasi / perusahaan untuk melindungi / mencegah timbulnya  computer fraud, yaitu:

  • Personnel screening.
  • Definisi pekerjaan (job defined).
  • Pemisahan tugas (segregration of duties).
  • Etika profesional (professional ethics)
  • Lisensi (license)
  • System design control
  • Physical access security
  • Electronic access security.
  • Internal control and edit.

Computer fraud harus dicegah sebelum terjadi, merupakan tanggung jawab manajemen untuk menciptakan lingkungan yang kondusif sehingga dapat mencegah terjadinya computer fraud.

 Pendeteksian fraud oleh Internal Auditor

Pada awalnya perhatian utama internal auditor adalah langsung mendeteksi terjadinya computer fraud.  Namun fungsi internal auditor ternyata lebih bersifat protektif dan detektif daripada konstruktif. Berdasarkan Statement on Internal Auditing Standards (SIAS) No.3 dijelaskan 4 (empat) fungsi dan tanggung jawab dari internal auditor dalam menghadapi fraud, yaitu :

Pencegahan  computer fraud

Tanggung jawab utama pencegahan computer fraud berada pada pihak manajemen. Tanggung jawab internal auditor terletak pada audit dan evaluasi kelengkapan dan keefektifan tindakan yang dijalankan managemen untuk memenuhi kewajibannya

Pendeteksian computer fraud

Internal auditor harus memiliki pengetahuan yang cukup tentang computer fraud untuk dapat melakukan identifikasi indikasi computer fraud. Apabila pengendalian (control) terhadap kelemahan yang signifikan telah dideteksi, sebagai pengujian lanjutan (substantive test) internal auditor harus menambahkan pengujian  langsung (direct test) terhadap identifikasi dan indikator computer fraud. Meskipun prosedur  audit serta kemahiran jabatan professional (due professional care) dari internal auditor telah dilakukan dengan baik belum tentu dapat menjamin sepenuhnya computer fraud dapat dideteksi.

Penginvestigasian computer fraud

Investigasi terhadap computer fraud mungkin telah diarahkan atau telah ada partisipasi dari internal auditor, lawyer, investigators, security personnel, dan spesialis lainnya dari dalam maupun luar perusahaan. Internal auditor harus dapat mengakses fakta dari seluruh computer fraud investigation , sebagai berikut :

  • Menjelaskan kebutuhan pengendalian (control) yang harus diimplementasikan.
  • Merancang pengujian audit (design audit test) untuk membantu pengungkapan adanya computer  fraud di masa yang akan datang.
  • Membantu dokumentasi tanggung jawab internal auditor dalam pengembangan pengetahuan (knowledge) tentang computer fraud, sehingga dapat digunakan sebagai pedoman / acuan oleh para auditor berikutnya.

Pelaporan computer fraud .

Pelaporan (report) tentang computer fraud harus dibuat berdasarkan kesimpulan dari setiap tahapan / fase investigasi. Selain itu, harus melaporkan seluruh temuan (finding), kesimpulan, rekomendasi, dan tindak lanjut (feed back) perbaikan yang telah diambil. Apabila internal auditor menemukan indikasidan mencurigai terjadinya computer fraud di perusahaan, maka ia harus segera memberitahukan hal tersebut kepada top manajemen. Apabila indikasi tersebut cukup kuat, manajemen akan menugaskan suatu tim audit untuk melakukan investigasi. Tim yang ditugaskan tersebut biasanya yang memiliki keahlian dibidang Sistem Informasi (computer skill). Sertifikat internasional  bagi auditor yang lulus ujian sertifikasi spesialisasi bidang audit sistem informasi adalah Certified Information System Audit (CISA). Peran internal auditor untuk menemukan indikasi adanya computer fraud dan melakukan investigasi terhadap computer fraud adalah  sangat besar. Walaupun internal auditor tidak dapat menjamin bahwa computer fraud tidak akan terjadi, namun ia harus menggunakan kemahiran jabatannya (due professional care) dan dapat memberikan saran / rekomendasi yang bermanfaat kepada manajemen untuk mencegah terjadinya computer fraud. Rekomendasi internal audit tersebut akan membantu manajemen dalam mengambil tindakan perbaikan sehingga kemungkinan terjadinya computer fraud dapat diperkecil.

Pendeteksian fraud oleh Auditor Independen

Accounting Standard Board telah menerbitkan Statement on Auditing Standard (SAS) No. 99 “Consideration of Fraud in a Financial Statement Audit”  dan mulai diberlakukan efektif untuk audit laporan keuangan setelah tanggal 15 Desember 2002, penerapan lebih awal sangat dianjurkan. SAS No. 99, menyatakan Auditor bertanggungjawab untuk merencanakan dan melaksanakan audit guna mendapatkan keyakinan memadai (reasonable assurance) bahwa laporan keuangan bebas dari salah saji material, baik yang disebabkan oleh kekeliruan (error) maupun kecurangan (fraud). Dua  tipe salah saji (misstatements) yang relevan dengan  tanggung jawab auditor, yaitu salah saji yang diakibatkan oleh fraudulent financial reporting dan salah saji yang diakibatkan oleh penyalahgunaan asset (misappropriation of assets). SAS No. 99 menegaskan agar  auditor independen memiliki integritas serta menggunakan kemahiran professional (professional skepticism)  melalui penilaian secara kritis (critical assessment) terhadap bukti audit (audit evidence) yang dikumpulkan.

Selain itu, International Standard on Auditing (ISA) 240, “The Auditor’s Responsibility to Consider Fraud in an Audit of Financial Statements,” yang berlaku efektif untuk audit laporan keuangan periode mulai 15 Desember 2004, juga menyatakan bahwa auditor independen harus menggunakan Computer Assisted Audit Techniques (CAAT) untuk memperoleh bukti (evidence) yang signifikan terkait accounts /electronic transaction  files.

Profesi akuntan publik (auditor independen)  memiliki tangggung jawab yang sangat besar dalam mengemban kepercayaan yang diberikan kepadanya oleh masyarakat (publik). Seperti halnya internal auditor, maka auditor independen (Akuntan Publik) untuk dapat mencegah, mendeteksi dan melakukan investigasi adanya computer fraud terutama yang terkait dengan Fraudulent financial reporting , maka perlu menggunakan keahlian di bidang  audit sistem informasi atau EDP audit.

Audit Sistem Informasi

Saat ini perkembangan teknologi komputer sangat pesat, bahkan semakin banyak organisasi (perusahaan) yang telah melakukan pemrosesan datanya secara elektronik atau Electronic Data Processing (EDP). Komputer tidak akan dapat melakukan operasi EDP tanpa melalui prosedur yang dibuat oleh Programmer atas dasar hasil analisis oleh  analis sistem (system analyst).  Kumpulan prosedur biasanya membentuk suatu urutan-urutan perintah dalam bahasa komputer yang disebut program. Mengingat perkembangan teknologi komputer yang semakin cepat, maka diauditor juga harus memiliki kemampuan yang memadai tentang pengolahan data elektronik, tergantung atas pendekatan audit yang digunakan (audit around computer atau audit through computer).. Audit jenis ini biasa disebut EDP audit atau Audit sistem informasi (Information System Audit). Audit system informasi  dapat dilakukan oleh Auditor Internal maupun Auditor Eksternal.

Sesuai Standar Profesional Akuntan Publik (SPAP)  Standar Auditing Seksi 335 tentang “Auditing dalam Lingkungan Pengolahan Data Elektronik”, antara lain disebutkan, dalam mempertimbangkan perencanaan auditnya secara menyeluruh, auditor harus memperhatikan hal-hal sebagai berikut :

  • Menentukan tingkat kepercayaan, jika ada, yang diharapkan oleh auditor atas pengendalian pengolahan data elektronik dalam evaluasi yang menyeluruh oleh auditor atas pengendalian intern.
  • Merencanakan bagaimana, dimana, dan kapan fungsi pengolahan data elektronik akan direview, termasuk penjadwalan  pekerjaan tenaga ahli pengolahan data elektronik, jika hal ini digunakan.
  • Merencanakan prosedur audit dengan menggunakan teknik audit berbantuan komputer.

Coderro (1999) dalam artikelnya yang berjudul ”Computer-assisted techniques for fraud detection ” menyatakan :

Computer technology gives auditors a new set of techniques for examining the automated business environment. In fact, the detection of fraud is a perfect application for computer-assisted audit tools and techniques (CAATTs). As early as 1982 CAATTs was a powerful audit tool for detecting financial errors. In recent years, analytical techniques have become not only more powerful but also more widely used by auditors. But it is only in the last 10 years that the use of computer-assisted tools and auditing techniques has become standard practice. Audit software permits auditors to obtain a quick overview of the business operations and drill down into the details of specific areas of interest. The audit program can also be extended to perform a 100% verification of certain transactions and a recalculation of important ratios and figures.

Terdapat 3 (tiga) metode yang sering digunakan auditor untuk melaksanakan audit sistem informasi atau teknik audit berbantuan komputer (Computer Assisted Audit Technique)  yaitu  :

  • Audit Around The Computer

Auditor hanya memperhatikan input dan output saja melalui penelusuran (tracing) data dari dokumen sumber (source document) sampai dengan output serta melakukan verifikasi informasi dari output ke dokumen sumber.  Audit Around The Computer hanya memandang computer sebagai suatu kotak hitam (black box) yang berfungsi pemroses data menjadi informasi. Metode ini dapat digunakan apabila pemrosesan data (data processing) telah didokumentasikan dengan baik dan output yang dihasilkan oleh aplikasi computer tersedia dalam bentuk print out (hard copy) yang memadai. Efektivitas metode  Audit Around The Computer sangat tergantung atas telah memadai / tidaknya pengendalian manual (manual control), seperti batch control dan adanya jejak audit (audit trail). Kelebihan metode  Audit Around The Computer  auditor dapat menjalankan prosedur audit umum (general audit procedure) yang biasa digunakan dalam melakukan audit secara manual.

  • Audit Through The Computer

Apabila auditor memandang computer bukan sebagai black box, tetapi sebagai white box maka auditor dapat menggunakan metode Audit Through The Computer. Dalam Audit Through The Computer auditor dapat menggunakan beberapa teknik audit (audit technique) misalnya Test Deck dan Integrated Test Facility (ITF). Mengingat data entry dalam suatu sistem informasi yang berbasis Sistem Informasi Berbasis Komputer (SIBK) telah dilakukan secara on line dan real time, maka auditor sulit untuk mendapatkan audit trail secara langsung. Terdapat perangkat lunak (software) yang bias digunakan oleh auditor untuk melakukan Audit Through The Computer yaitu IDEA dan ACL (Audit Common Language). Kelebihan metode  Audit Through The Computer adalah auditor dapat melakukan pengujian (test) secara langsung terhadap komputer yang sedang memproses data sehingga auditor dapat menilai keandalan (realibility) dan keakuratan (accuracy) dalam pemrosesan data menjadi informasi.

  • Audit With The Computer.

Metode Audit With The Computer ini sering disebut  Audit using The Computer. Auditor dapat melakukan download beberapa data yang diperlukan dari suatu system aplikasi (application system) tertentu, selanjutnya auditor dapat melakukan interogasi data dengan bantuan computer.

Menurut Cascarino (2007) agar pelaksanaan audit teknologi informasi (information technology audit)  dapat berjalan dengan lancar auditor harus :

  • Menguasai teknologi informasi yang mutakhir yang sedang berkembang di kalangan bisnis.
  • Mengetahui komponen pengendalian dari lingkungan teknologi informasi (information technology environment).
  • Mengetahui pengendalian atas setiap tipe dari computer system.

Teknik dalam computer fraud saat ini sudah semakin canggih, sehingga semakin sulit para auditor dalam pembuktiannya. Oleh karena itu agar dapat mengungkap terjadinya computer fraud selain penggunaan audit sistem informasi auditor memerlukan alat bantu pengetahuan tentang akuntansi forensik (forensic accounting). Akuntansi forensik merupakan integrasi antara akuntansi (accounting), teknologi informasi (information technology) dan ketrampilan investigasi (investigation skill).

Regulasi Computer Fraud

Amerika Serikat (USA) telah memiliki ketentuan yang mengatur computer fraud yaitu “Computer fraud & Abuse Act”, sehingga mempermudah bagi auditor dalam melakukan audit atas kasus yang terkait computer fraud. Beberapa waktu yang lalu, Pemerintah bersama Dewan Perwakilan Rakyat (DPR) pada tanggal 21 April 2008 telah mengesyahkan Undang-Undang  (UU) No. 11/2008 tentang Informasi Transaksi Elektronik (ITE). Dua hal utama yang telah diatur dalam UU ITE tersebut adalah masalah pengakuan transaksi elektronik (electronic transaction) dan dokumen elektronik (electronic document) dalam kerangka hukum perikatan dan hukum pembuktian, sehingga ada kepastian hukum dalam pengungkapan kasus computer fraud. Selain itu, terdapat hal yang cukup signifikan yaitu telah diklasifikasikannya penyalahgunaan teknologi informasi termasuk kualifikasi pelanggaran hukum dan disertai dengan sanksi pidananya. Kita berharap, mudah-mudahan dengan adanya regulasi ini pencegahan, pendeteksian dan penginvestigasian computer fraud oleh auditor menjadi lebih lancar

Simpulan

Berdasarkan uraian tersebut diatas dapat disimpulkan sebagai berikut  :

  1. Fraud merupakan problem yang serius, dan Computer Fraud dapat terjadi kapan saja dan di organisasi (perusahaan) mana saja, maka manajemen perusahaan harus mengambil langkah-langkah komprehensif untuk mencegah timbulnya computer fraud antara lain melalui peningkatan internal control, review sistem & prosedur serta peningkatan integritas moral karyawan dan manajemen perusahaan.
  2. Auditor internal maupun auditor independen bertanggung jawab untuk melakukan pencegahan (prevention), pendeteksian (detection) serta penginvestigasian (investigation) terhadap computer fraud.
  3. Menurut SAS No. 99 dan SPAP,  auditor independen (Akuntan Publik) juga bertanggung jawab untuk mendeteksi adanya kecurangan (fraud) dalam audit umum (general audit) atas laporan keuangan perusahaan.
  4. Salah satu jenis audit yang dapat dilakukan oleh auditor internal maupun auditor independen untuk melakukan pencegahan, pendeteksian serta penginvestigasian terhadap computer fraud adalah melalui audit sistem informasi atau EDP audit.

Pustaka

Accounting Standard Board (2002), Statement on Auditing Standard (SAS) No. 99. “Consideration of Fraud in a Financial Statement Audit”.

Bologna, J. G. (1984). Corporate Fraud : The Basic of Prevention and Detection. Buston : Butter Worth Publisher.

Cascarino, R. E. (2007). Auditor’s Guide to Information Systems Auditing. John Wiley & Sons.

Coderro, D. (1999). “Computer-assisted techniques for fraud detection”,. (pp. 57-63) The CPA Journal. August.

Effendi, M. A. (2008). “ Cyber Crime : Langkah Pengamanan dan Audit” . Teknopreneur, Edisi 18, Mei, Hlm. 67.

http://www.fraud-magazine.com

Ikatan Akuntan Indonesia (2001). Standar Profesional Akuntan Publik per 1 Januari 2001. Jakarta : Salemba Empat.

International Standard on Auditing (ISA) 240 (2004)  “The Auditor’s Responsibility to Consider Fraud in an Audit of Financial Statements.”

Mancino, J. (1997). ”The Auditor and Fraud.” Journal of Accountancy . April.

MacErlean, N. (1993). “Fraud Prevention and the Accountant.” Accountancy 112 . (pp. 42-44).

Raharjo, B. (1998). Keamanan Sistem Informasi berbasis Internet. Bandung : PT. Insan Infonesia. Hlm. 5-6.

Ramos, M. (2003). “Auditors’ Responsibility for Fraud Detection.” Adapted from Fraud Detection in a GAAS Audit—SAS No. 99 Implementation Guide, Journal of Accountancy. Online Issues.  January .

Sawyer, L.B. et.all (2003). Sawyer’s Internal Auditing : The Practice of Modern Internal Auditing. The Institute of Internal Auditors. 5th Edition.

Undang-Undang No. 11 tahun 2008 tentang Informasi TransaksiElektronik.
*) Internal Auditor PT. Krakatau Steel.  Dosen Luar Biasa (Tidak Tetap) beberapa perguruan tinggi di Jakarta (FE Universitas Trisakti, STIE Trisakti, FE Universitas Mercu Buana & Program Magister Akuntansi Universitas Budi Luhur). Email:  muharief2005@yahoo.com .

( Sumber : http://garuda.ristekdikti.go.id/journal/article/470050   , Original Source : http://www.trijurnal.lemlit.trisakti.ac.id/index.php/infor/article/view/343   dan Google Scholar : Check in googleschoolar ).

Role of Internal Audit in Global Crisis

role-of-internal-auditor-in-global-crisis

Sarbanes Oxley Act sebagai Implementasi GCG

SARBANES OXLEY ACT SEBAGAI IMPLEMENTASI GCG  

Oleh : Muh. Arief Effendi

Internal Auditor BUMN & Dosen PTS di Jakarta

 

(Artikel ini telah dimuat di Majalah AKUNTAN INDONESIA, Edisi  No. 12, Tahun II, Oktober 2008, pada rubrik ”OPINI”, hlm. 39-40)

 

Dewasa ini perusahaan publik di Indonesia banyak yang belum mengetahui arti pentingnya pengendalian internal dalam rangka mencegah terjadinya praktik kecurangan (fraud). Fraud bisa terjadi kapan saja di perusahaan mana saja. Fraud bisa dilakukan oleh pihak internal perusahaan (karyawan & manajemen) atau pihak eksternal perusahaan. Fraud bisanya terjadi karena adanya kolusi, baik yang dilakukan oleh pihak internal maupun dengan pihak eksternal perusahaan. Bagi perusahaan publik, fraud yang sangat merugikan pihak investor, pemegang saham serta pemangku kepentingan lainnya adalah kecurangan pelaporan keuangan (fraudulent financial reporting).

Sarbanes-Oxley Act  (SOA) merupakan sebuah produk hukum (Undang- Undang) di Amerika Serikat (AS) yang mengatur tentang akuntabilitas, praktik akuntansi dan keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan publik. Eksistensi  SOA tersebut  diprakarsai oleh senator Paul Sarbanes dari Maryland dan Michael Oxley wakil rakyat dari Ohio. SOA telah disyahkan pada tahun 2002 oleh presiden AS (George W. Bush). UU tersebut mensyaratkan adanya pengungkapan (disclosure) tentang informasi keuangan yang cukup, keterangan tentang pencapaian hasil-hasil (kinerja) manajemen, kode etik bagi eksekutif di bidang keuangan dan independensi komite audit yang efektif serta pembatasan kompensasi bagi para eksekutif perusahaan termasuk pembaharuan tatakelola perusahaan (corporate governance). Latar belakang diundangkannya SOA, antara lain munculnya skandal akuntansi di Enron yang melibatkan kantor akuntan publik  Arthur Andersen (the big  five) serta adanya kasus kebangkrutan beberapa perusahaan besar seperti TICO, Worldcom dan Adelphia yang menimbulkan kepanikan  luar biasa kalangan dunia usaha. Manfaat SOA secara langsung berdampak positif dalam rangka implementasi GCG di perusahaan publik di berbagai belahan dunia lainnya. 

Perusahaan publik di Indonesia yang  listing di NYSE juga  harus tunduk pada ketentuan SOA tersebut, selain  terikat oleh ketentuan Badan Pengawas Pasar Modal- Lembaga Keuangan (Bapepam-LK). Di negara kita masih sedikit perusahaan yang menerapkan SOA, yaitu PT. Telkom dan PT. Indosat.

 

Tujuan

Tujuan utama SOA adalah meningkatkan kepercayaan publik terhadap implementasi prinsip GCG bagi perusahaan  yang telah go publik. SOA  mewajibkan perusahaan yang listed di NYSE untuk mematuhi berbagai ketentuan yang berlaku untuk menjamin transparansi dalam penyusunan laporan keuangan. Selain itu, SOA juga menjamin adanya kepastian terhadap integritas pelaporan keuangan (integrity of financial reporting). United StatesSecurities Exchange Commission (US-SEC) juga telah mengadopsi SOA sebagai syarat untuk memperketat persyaratan disclosure laporan keuangan serta menjamin akuntabilitas laporan keuangan perusahaan.  Dalam hal ini, SOA mewajibkan perusahaan publik untuk mereformasi tanggungjawab manajemen perusahaan perihal keterbukaan informasi keuangan serta mencegah terjadinya kecurangan pelaporan keuangan (fraudulent financial reporting)  yang bermula dari kecurangan akuntansi (accounting fraud). Amerika Serikat menerapkan regulasi ini secara ketat, antara lain meliputi pelaporan keuangan yang akurat dan tidak bias, review pengendalian intern serta kewajiban untuk menerapkan  Code of Ethics dan Code of Corporate Governance. SOA juga menuntut standar yang sangat tinggi terhadap operasi bisnis dan pelaksanaan audit  atas pengendalian intern.

 

SOA mewajibkan perusahaan yang listing di AS untuk membuat dokumentasi pengendalian kuncidan melaporkan kondisi pengendalian internnya secara periodik. SOA Section 302 tentang ”Corporate Responsibility for Financial Reports” menetapkan bahwa pejabat eksekutif perusahaan (CEO & CFO) harus bertanggung jawab secara pribadi terhadap pernyataan prosedur pengendalian,  internal control, dan jaminan atas kecurangan (fraud).   Sedangkan SOA section 404 tentang “Management Assessment of Internal Controls” mengatur ketentuan yang mewajibkan terselenggaranya audit SOA tahunan yang menunjukkan laporan pengendalian internal (internal control report).

Laporan pengendalian internal antara lain berisi tanggung jawab manajemen untuk menyelenggarakan struktur & prosedur pengendalian intern atas pelaporan keuangan dan hasil asesmen atas efektivitas struktur & prosedur pengendalian internal atas pelaporan keuangan tersebut. Regulasi ini menuntut manajemen perusahaan untuk memahami, mendokumentasikan, dan menyempurnakan pengendalian internal terkait pelaporan keuangan, dengan terus meningkatkan keakuratan proses bisnis (business process) dan informasi transaksionalnya, serta membangun perbaikan proses secara berkelanjutan  (continuous improvement  process) mengenai pengendalian internal pada laporan keuangan perusahaan.

Selain itu, pengendalian harus terkait dengan upaya pencegahan (prevention) dan pendeteksian (detection) kecurangan (fraud) atas pelaporan keuangan termasuk kemungkinan risiko timbulnya kecurangan.

Mengingat pembenahan prosedur pengendalian internal sangat rumit dan kompleks, maka  perusahaan dapat membentuk Tim SOA yang bekerjasama dengan Komite Audit. Tim SOA bertugas mengembangkan dan membangun kebijakan pengendalian internal, prosedur, bisnis proses dan mekanisme pelaporan pengendalian internal serta pengawasan laporan keuangan internal. Apabila diperlukan Tim SOA dapat minta bantuan konsultan independen dalam penyiapan prosedur dan bisnis proses internal control  untuk laporan keuangan.

Dalam rangka meningkatkan transparansi dan pengungkapan informasi perusahaan, maka  Pemerintah (Bapepam-LK) perlu mengadopsi konsep Disclosure Committee seperti yang disyaratkan oleh SOA di Pasar Modal AS. Pada dasarnya SOA menuntut implementasi internal control yang baik atas 3 (tiga) hal yang sangat erat kaitannya dengan GCG yaitu transparansi (transparency), akuntabilitas (accountability) dan keterukuran (measurability). Transparansi menuntut kemampuan untuk dapat ditelusuri (treaceability) dan dapat diaudit dari setiap proses dan aktivitas yang terkait dengan pelaporan keuangan. Akuntabilitas menuntut kejelasan dan ketiadaan benturan kepentingan (conflict of interest)  atas  informasi apa dan siapa yang bertanggung jawab. Selain itu, menjamin hak akses atas informasi dan rentang pengambilan keputusan yang sesuai dengan tugas dan tanggung jawab terkait. Keterukuran bertujuan memberikan basis pengukuran untuk perbaikan secara berkelanjutan.

Implementasi SOA pada tahap awal, perusahaan perlu menjalankan 3 (tiga) hal berikut, Pertama, melakukan pemisahan fungsi yaitu pengaturan ruang lingkup tanggungjawab dan kewenangan serta akses pemakai (user) atas informasi perusahaan. Kedua, meningkatkan kualitas sumber daya manusia terutama yang terkait dengan implementasi pengendalian internal termasuk masalah kewenangan akses yang lebih luas kepada Departemen Audit internal (Satuan Pengawasan Intern). Ketiga, menjaga integritas atas siklus pelaporan keuangan. Dalam hal ini, perusahaan dapat menerapkan pemrosesan data secara elektronik (Electronic Data Processing) dalam pelaporan keuangannya serta  aktivitas / proses-proses transaksi & pelaporan keuangan secara manual agar diminimalisasi.

 

Manfaat

Manfaat implementasi SOA bagi perusahaan publik, yaitu pertama, perusahaan publik akan memiliki sistem pengendalian intern yang lebih baik, sehingga akuntabilitas dan integritas pelaporan keuangannya lebih dapat dipercaya dan diandalkan. Kedua, kepercayaan investor lebih meningkat. Ketiga,  memiliki citra  (image) yang positif di mata publik dan pemangku kepentingan lainnya.

Bapepam-LK pada tahun lalu (2007) telah mengkaji kemungkinan mewajibkan audit terhadap sistem pengendalian internal di perusahaan publik untuk meningkatkan akuntabilitas laporan keuangannya beserta manfaat dan biayanya. Mengingat pentingnya implementasi SOA dalam rangka mencegah praktik kecurangan pelaporan keuangan di perusahaan publik, maka sudah saatnya Bapepam-LK mengadopsi salah satu ketentuan dalam SOA tersebut yaitu pemberlakuan audit pengendalian internal pada perusahaan yang telah go publik. Semoga implementasi GCG melalui SOA di perusahaan publik di Indonesia dapat segera terwujud, sehingga fraudulent financial reporting dapat dicegah atau dihindari. Amin.***

Tanggung Jawab Auditor Internal dalam Pencegahan, Pendeteksian & Penginvestigasian Kecurangan

TANGGUNG JAWAB AUDITOR INTERNAL DALAM PENCEGAHAN, PENDETEKSIAN DAN PENGINVESTIGASIAN KECURANGAN

(Artikel ini telah dimuat di Majalah Krakatau Steel Group (KSG), Edisi No. 30, Tahun 3/ 2008, pada Rubrik “RAGAM”, Hlm. 22-23)
Oleh : Muh. Arief Effendi (SPI PT. KS)

 

Kecurangan (fraud)  dapat didefinisikan sebagai tindakan kriminal (crime) yang dilakukan secara sengaja oleh seseorang atau beberapa orang berupa kecurangan / ketikakberesan (irregularities) atau penipuan yang melanggar hukum (illegal act)  untuk mendapatkan keuntungan atau mengakibatkan kerugian suatu organisasi (perusahaan). Pengetahuan dan keahlian mengenai fraud auditing menjadi kebutuhan mendesak bagi auditor internal yang mengharapkan pelaksanaan audit atas fraud dapat berjalan dengan lancar.

 

Kategori fraud

1.      Fraud yang dilakukan demi keuntungan suatu organisasi, misalnya :

  • Penjualan asset fiktif.
  • Pembayaran yang tidak syah, seperti penyuapan, pemberian komisi, donasi politis, pembayaran kepada pejabat, pelanggan atau pemasok.
  • Dengan sengaja melakukan penilaian yang salah atas transaksi, asset, pendapatan atau kewajiban.
  • Dengan sengaja melakukan transaksi hubungan istimewa.
  • Dengan sengaja tidak mencatat (unrecorded)  atau tidak menjelaskan informasi yang signifikan sehingga gambaran keuangan dari suatu organisasi tidak menggambarkan apa yang senyatanya.
  • Melakukan aktivitas bisnis yang bertentangan dengan peraturan perundangan Pemerintah.
  • Kecurangan dibidang perpajakan (Tax Fraud).

2.   Fraud yang dilakukan dengn jalan merugikan suatu organisasi, misalnya :

  • Menerima uang suap atau komisi.
  • Pengalihan keuntungan yang akan diterima oleh organisasi (perusahaan) kepada seseorang di dalam ataupun diluar perusahaan.
  • Dengan sengaja menyalahgunakan harta kekayaan organisasi (perusahaan) dan memalsukan catatan-catatan keuangan.
  • Dengan sengaja menyembunyikan atau salah (falsifikasi) menyajikan data atau kejadian.
  • Tuntutan atas imbalan jasa atau barang yang tidak diberikan kepada organisasi (perusahaan) tersebut.

 

Tanggung Jawab Auditor Internal

Auditor internal berfungsi membantu manajemen dalam pencegahan, pendeteksian dan penginvestigasian fraud yang terjadi di suatu organisasi (perusahaan). Sesuai Interpretasi Standar Profesional Audit Internal (SPAI) – standar 120.2 tahun 2004, tentang pengetahuan mengenai kecurangan, dinyatakan bahwa auditor internal harus memiliki pengetahuan yang memadai untuk dapat mengenali, meneliti dan menguji adanya indikasi kecurangan. Selain itu, Statement on Internal Auditing Standards (SIAS) No. 3, tentang Deterrence, Detection, Investigation, and Reporting of Fraud (1985), memberikan pedoman bagi auditor internal tentang bagaimana auditor internal melakukan pencegahan, pendeteksian dan penginvestigasian terhadap fraud. SIAS No. 3 tersebut juga menegaskan tanggung jawab auditor internal untuk membuat laporan audit tentang fraud.

 

Pencegahan Fraud

Menurut Amrizal (2004), beberapa cara untuk pencegahan kecurangan antara lain :

  • Membangun struktur pengendalian intern yang baik.
  • Mengefektifkan aktivitas pengendalian.
  • Meningkatkan kultur organisasi.
  • Mengefektifkan fungsi internal audit.

Salah satu cara yang paling efektif untuk mencegah timbulnya fraud  adalah melalui peningkatan sistem pengendalian intern (internal control system) selain melalui struktur / mekanisme pengendalian intern. Dalam hal ini, yang paling bertanggung jawab atas pengendalian intern adalah pihak manajemen suatu organisasi. Dalam rangka pencegahan fraud, maka berbagai  upaya harus dikerahkan untuk membuat para pelaku fraud tidak berani melakukan fraud. Apabila fraud terjadi, maka dampak (effect) yang timbul diharapkan dapat diminimalisir. Auditor internal bertanggungjawab untuk membantu pencegahan fraud dengan jalan melakukan pengujian (test) atas kecukupan dan kefektivan sistem pengendalian intern, dengan mengevaluasi seberapa jauh risiko yang potensial (potential risk) telah diidentifikasi.

Dalam pelaksanaan audit kinerja (performance audit), audit keuangan (financial audit) maupun audit operasional  (operational audit), auditor internal harus mengidentifikasi adanya gejala kecurangan (fraud symptom) berupa red flag atau fraud indicator. Hal ini menjadi penting, agar apabila terjadi fraud, maka auditor internal lebih mudah melakukan investigasi atas fraud tersebut.

 

Pendeteksian fraud

Deteksi fraud mencakup identifikasi indikator-indikator kecurangan  (fraud  indicators) yang memerlukan tindaklanjut auditor internal untuk melakukan investigasi. Beberapa hal yang harus dimiliki oleh auditor internal agar pendeteksian fraud lebih lancar antara lain :

  1. Memiliki keahlian (skill) dan pengetahuan (knowledge) yang memadai dalam mengidentifikasi indikator terjadinya fraud. Dalam hal ini auditor internal harus mengetahui secara mendalam mengapa seseorang melakukan fraud termasuk penyebab fraud, jenis-jenis fraud, karakterisitik fraud, modus operandi (teknik-teknik) fraud yang biasa terjadi.
  2. Memiliki sikap kewaspadaan yang tinggi terhadap kemungkinan kelemahan pengendalian intern dengan melakukan serangkaian pengujian (test) untuk menemukan indikator terjadinya fraud. Apabila diperlukan  dapat menggunakan alat bantu (tool) berupa ilmu akuntansi forensik (forensic accounting)  untuk memperoleh bukti audit (audit evidence) yang kuat dan valid.         Forensic accounting merupakan suatu  integrasi dari akuntansi (accounting), teknologi informasi (information technology) dan keahlian investigasi ( investigation skill).
  3. Memiliki keakuratan & kecermatan (accuracy) dalam mengevaluasi indikator-indikator fraud tersebut.

Ketiga hal tersebut, dapat dimiliki oleh auditor internal setelah pengalaman bertahun-tahun melakukan audit berbagai fungsi / unit kerja di suatu organisasi (perusahaan).

 

Penginvestigasian Fraud

Investigasi merupakan pelaksanaan prosedur lebih lanjut bagi auditor internal untuk mendapatkan keyakinan yang memadai (reasonable assurance) apakah fraud yang telah dapat diidentifikasi tersebut memang benar-benar terjadi. Menurut Standar Profesi Audit Internal (2004 : 66-67) , dalam melakukan investigasi, auditor internal diwajibkan :

a.    Melakukan asesmen / penelitian yang seksama atas kemungkinan terjadinya fraud.

b.   Meyakini bahwa pengetahuan, ketrampilan dan kompetensi yang diperlukan untuk menangani investigasi ini secara kelompok memang dimiliki oleh auditor internal.

c.   Membuat suatu alur prosedur untuk mengidentifikasi : siapa yang terlibat (pelaku fraud), sejauhmana luasnya fraud, kapan dan dimana dilakukan serta bagaimana teknik fraud yang dipakai dan tentunya juga berapa potensi kerugian yang diderita akibat perbuatan fraud tadi.

d.   Dalam melakukan investigasi diharapkan auditor internal selalu berkoordinasi dengan pihak-pihak terkait, misalnya bagian Personalia, Hukum, Security dan lain sebagainya.

e.    Untuk menjaga reputasi organisasi, pelaksanaan investigasi agar menjunjung tinggi harkat dan martabat personil yang diinvestigasi.

 

Kesimpulan

Auditor internal bertanggung jawab membantu manajemen dalam pencegahan, pendeteksian dan penginvestigasian fraud yang terjadi di suatu organisasi. Agar dapat menjalankan tugas yang diemban tersebut auditor internal perlu meningkatkan pengetahuan (knowledge) & keahlian (skill) melalui pendidikan profesi berkelanjutan (continuing professional education).

 

Referensi

1.    Amrizal, Pencegahan  dan Pendeteksian Kecurangan oleh Auditor, 31 Agustus 2004.

2.   Colbert,  Janet L. & C. Wayne Alderman, The Internal Auditor’s Responsibility for Fraud, The CPA Journal, 1998.

3. Konsorsium Auditor Internal, Standar Profesi Audit Internal, Yayasan Pendidikan Internal Audit (YPIA), Cetakan pertama, Jakarta, 2004.

Tantangan untuk menjadi Seorang Auditor Internal yang Profesional (Challenge to be The Professional Internal Auditor)

TANTANGAN UNTUK MENJADI SEORANG AUDITOR INTERNAL YANG PROFESIONAL (CHALLENGE TO BE THE PROFESSIONAL INTERNAL AUDITOR)

Makalah (Paper) ini telah dipresentasikan pada acara Seminar (Kuliah Umum) di STIE Trisakti Jakarta pada hari Sabtu tanggal 8 Desember 2007

Oleh : Muh. Arief Effendi, SE, MSi,Ak, QIA *)

 A.    Pendahuluan
 

Pengertian audit internal menurut “Professional Practices Framework”: International Standards for The Professional Practice of Internal Audit, IIA ( 2004) adalah suatu aktivitas independen, yang memberikan jaminan keyakinan serta konsultasi (consulting) yang dirancang untuk memberikan suatu nilai tambah (to add value) serta meningkatkan (improve) kegiatan operasi organisasi. Internal auditing membantu organisasi dalam usaha mencapai tujuannya dengan cara memberikan suatu pendekatan disiplin yang sistematis untuk mengevaluasi dan meningkatkan efektifitas manajemen risiko (risk management), pengendalian (control) dan proses tata kelola  (governance processes).  

B.     Perkembangan Profesi 

Profesi audit internal mengalami perkembangan cukup berarti pada awal abad 21, sejak munculnya kasus Enron & Worldcom yang menghebohkan kalangan dunia usaha. Meskipun reputasi audit internal sempat terpuruk oleh berbagai kasus kolapsnya beberapa perusahaan tersebut yang melibatkan peran auditor, namun profesi auditor internal ternyata semakin hari semakin dihargai dalam organisasi.Saat ini profesi auditor internal turut berperan dalam implementasi Good Corporate Governance (GCG) di perusahaan maupun Good Government Governance (GGG) di pemerintahan. 

C.    Kebutuhan tenaga Internal Auditor 

Profesi auditor internal sangat dibutuhkan oleh suatu organisasi apapun, baik perusahaan swasta, BUMN/BUMD, perusahaan multinasional, perusahaan asing, pemerintahan, lembaga pendidikan dan Organisasi Nir Laba. Dalam melakukan rekrutmen terhadap tenaga auditor internal untuk suatu organisasi, selain dapat diambil dari karyawan / staf dari bagian / Divisi lain, juga diperoleh dari pihak luar organisasi,  baik yang telah berpengalaman maupun yang baru lulus dari perguruan tinggi (fresh graduate). Persaingan untuk memperebutkan posisi auditor internal ternyata lebih ketat dibandingkan posisi tenaga staf akuntansi (accounting staff) atau auditor untuk Kantor Akuntan Publik (KAP), sebab auditor internal dapat diperebutkan oleh lulusan dari berbagai disiplin ilmu serta berbagai pengalaman kerja. 

Berikut beberapa organisasi yang memerlukan tenaga auditor internal : 

 

 

NO.

ORGANISASI UNIT KERJA
1 BUMN / BUMD Satuan Pengawasan Intern (SPI)
2 Departemen / Lembaga Pemerintah Ø        Inspektorat Jenderal Departemen.
Ø        Unit Pengawasan Lembaga
Ø        Badan Pengawasan Keuangan & Pembangunan (BPKP)
3 Pemerintah Daerah (PEMDA) Ø        Badan Pengawasan Daerah (Bawasda)
4 Lembaga Pendidikan / Universitas Ø        Badan Audit Internal
Ø        Dewan Audit
5 Perusahaan (Swasta, Multi Nasional, Asing) Ø        Dept. Audit Internal
6 Lembaga Swadaya Masyarakat (LSM) Ø        Unit Audit Internal

 D.    Standar Profesi 

1.      Nasional 

 

Konsorsium Organisasi Profesi Audit Internal pada tanggal 12 Mei 2004 telah menetapkan Standar Profesi Audit Internal (SPAI) dan wajib diterapkan semua anggota organisasi profesi yang tergabung dalam konsorsium dan mulai berlaku tanggal 1 Januari 2005. Konsorsium merekomendasikan anggota IIA Indonesia Chapter, Forum Komunikasi Satuan Pengawasan Intern (FK SPI) BUMN/BUMD,  Yayasan Pendidikan Internal Audit (YPIA), Dewan Sertifikasi Qualified Internal Auditor (QIA) dan Perhimpunan Auditor Internal Indonesia (PAII) agar segera memasukkan (mengadopsi) jiwa yang terdapat dalam butir-butir standar ini kedalam Audit Charter, pedoman, kebijakan serta prosedur audit internal yang ada pada organisasi masing-masing. 

2.      Internasional 

The Standards for The Professional Practice of Internal Auditing (SPPIA) tahun 2002 yang ditetapkan oleh The Institute of Internal Auditors mulai berlaku efektif pada tanggal 1 Januari 2002 merupakan revisi dari SPPIA tahun 1999.

Tujuan dari SPPIA adalah :

·        Menggambarkan dengan jelas bahwa prinsip dasar dari pelaksanaan audit internal diterapkan.

·        Menyiapkan kerangka pelaksanaan dan promosi aktivitas audit internal yang lebih luas dengan nilai tambah.

·        Menetapkan basis pengukuran pada pelaksanaan audit internal.

·        Membantu perkembangan organisasi dalam proses dan operasinya.

Auditor internal merupakan suatu profesi yang memiliki peranan tertentu yang menjunjung tinggi standar terhadap mutu (kualitas) pekerjaannya. Kepatuhan / ketaatan terhadap SPPIA adalah sangat penting supaya terdapat kesamaan dalam wewenang, fungsi dan tanggungjawab para auditor internal. 

E.     Kode Etik 

Profesi audit internal memiliki kode etik profesi yang harus ditaati dan dijalankan oleh segenap auditor internal. Kode etik tersebut memuat standar perilaku sebagai pedoman bagi seluruh auditor internal. 

1.      Nasional. 

Konsorsium Organisasi Profesi Auditor Internal (2004) telah menetapkan kode etik bagi para auditor internal  yang terdiri dari 10 hal sebagai berikut :

a.            Auditor internal harus menunjukkan kejujuran, obyektivitas dan kesanggupan dalam melaksanakan tugas dan memenuhi tanggungjawab profesinya.

b.            Auditor internal harus menunjukkan loyalitas terhadap organisasinya atau terhadap pihak yang dilayani. Namun demikian, auditor internal tidak boleh secara sadar terlibat dalam kegiatan-kegiatan yang menyimpang atau melanggar hukum.

c.             Auditor internal tidak boleh secara sadar terlibat dalam tindakan atau kegiatan yang dapat mendiskreditkan profesi audit internal atau mendiskreditkan organisasinya.

d.           Auditor internal harus menahan diri dari kegiatan-kegiatan yang dapat menibulkan konflik dengan kepentingan organisasinya atau kegiatan-kegiatan yang dapat menimbulkan prasangka, yang meragukan kemampuannya untuk dapat melaksanakan tugas dan memenuhi tanggungjawab profesinya secara obyektif.

e.            Auditor internal tidak boleh menerima sesuatu dalam bentuk apapun dari karyawan, klien, pelanggan, pemasok ataupun mitra bisnis organisasinya, yang dapat atau patut diduga dapat mempengaruhi pertimbangan profesionalnya.

f.              Auditor internal hanya melakukan jasa-jasa yang dapat diselesikan dengan menggunakan kompetensi profesional yang dimilikinya.

g.            Auditor internal harus mengusahakan berbagai upaya agar senantiasa memenuhi Standar Profesi Audit Internal.

h.            Auditor internal harus bersikap hati-hati dan bijaksana dalam menggunakan informasi yang diperoleh dalam pelaksanaan tugasnya. Auditor internal tidak boleh menggunakan informasi rahasia (i) untuk mendapatkan keuntungan pribadi, (ii) secara melanggar hukum, (iii) yang dapat menimbulkan kerugian terhadap organisasinya.

i.              Dalam melaporkan hasil pekerjaannya, auditor internal harus mengungkapkan semua fakta-fakta penting yang diketahuinya, yaitu fakta-fakta yang jika tidak diungkap dapat (i) mendistorsi laporan atas kegiatan yang direview, atau (ii) menutupi adanya praktik-praktik yang melanggar hukum.

j.              Auditor internal harus senantiasa meningkatkan kompetensi serta efektivitas dan kualitas pelaksanaan tugasnya. Auditor internal wajib mengikuti pendidikan profesional berkelanjutan. 

2.      Internasional 

Terdapat 4 (empat) prinsip yang harus dipegang teguh dan diterapkan oleh auditor internal menurut IIA yaitu : Integrity , Objectivity, Confidentiality dan Competency   

THE  INSTITUTE  OF  INTERNAL  AUDITORSCODE OF ETHICS – ROLE OF CONDUCT

(Adopted by The IIA Board of Directors, June 17, 2000) 

 

 

 

NO

ROLE OF CONDUCT INTERNAL   AUDITOR   SHALL :
1 Integrity     perform their work with honesty, diligence, and responsibility.
    observe the law and make disclosures expected by the law and the profession.
    not knowingly be a party to any illegal activity, or engage in acts that are   discreditable to the profession of internal auditing or to the organization.
    respect and contribute to the legitimate and ethical objectives of the organization.
2 Objectivity     not participate in any activity or relationship that may impair or be presumed to impair their unbiased assessment.
    not accept anything that may impair or be presumed to impair their professional judgment.
    disclose all material facts known to them that, if not disclosed, may distort the reporting of activities under review.
3 Confidentiality     be prudent in the use and protection of information acquired in the course of their duties.
    not use information for any personal gain or in any manner that would be contrary to the law or detrimental to the legitimate and ethical objectives of the organization.
4 Competency     engage only in those services for which they have the necessary knowledge, skills, and experience.
    perform internal auditing services in accordance with the International Standards for the Professional Practice of Internal Auditing.
    continually improve their proficiency and the effectiveness and quality of their services.

  F.      Organisasi  Profesi 

1.      Nasional. 

 

a.      Forum Komunikasi Satuan Pengawasan Intern (FK SPI)

 Forum ini awalnya bernama FKSPI BUMN/BUMD karena anggotanya para auditor internal yang bekerja pada Satuan Pengawasan Intern (SPI) di BUMN/BUMD. Sehubungan dengan keanggotaan yang terbuka bagi auditor intern yang bekerja di sektor perusahaan swasta, multi nasional maupun asing maka berubah menjadi FK SPI.

b.     Perhimpunan Auditor Internal Indonesia (PAII) 

Organisasi ini menghimpun para auditor internal yang telah memiliki gelar Qualified Internal Auditor (QIA). 

c.       Asosiasi Auditor Internal (AAI) 

Anggota AAI tersebar di seluruh Indonesia baik yang berasal dari BUMN/BUMD/Swasta. AAI juga membuka keanggotaan dengan auditor internal dari perguruan tinggi berstatus Badan Hukum Milik Negara dan perusahaan baik BUMN/BUMD maupun privat.

Visi AAI adalah menjadi organisasi profesi terdepan sebagai agen perubahan di bidang audit intern. Sedangkan misi AAI  yaitu :

1).  Menyediakan wadah untuk meningkatkan kompetensi dan integritas anggota secara berkesinambungan;

2).  Mendorong pemberdayakan fungsi dan peran auditor internal;

3).  Meningkatkan kualitas auditor internal sesuai tuntutan perkembangan lingkungan dan standar profesi;

4).  Membangun komitmen anggota dalam pengembangan profesionalisme audit intern.

AAI akan menyelenggarakan Ujian Sertifikasi Auditor Internal untuk meningkatkan penguasaan auditor atas pengetahuan dan komptensi teknis dibidang pelaporan keuangan (financial reporting), Corporate Governance, dan pengawasan perusahaan (corporate control). Juga dalam hal Pencegahan Kecurangan (Fraud Prevention), Pendeteksian Kecurangan (Fraud Detection), dan Penginvestigasian Kecurangan (Fraud Investigation). Ke depan AAI akan menjadi Lembaga Sertifikasi Profesi (LSF) untuk profesi auditor internal. 

2.      Internasional 

Satu-satunya organisasi profesi yang menghimpun para auditor internal se dunia adalah The Institute of Internal Auditor (IIA). Masing-masing Negara memiliki perwakilan IIA yang beranggotakan pemegang gelar Certified Internal Auditor (CIA), Indonesia juga memiliki yaitu IIA Indonesia Chapter. Setiap tahun IIA mengadakan konferensi internasional yang dihadiri oleh para auditor internal se dunia. Pada tanggal  8-11 Juli 2007, telah diselenggarakan konferensi internasional (International Conference) para auditor internal di Amsterdam, Belanda. 

G.    Sertifikasi 

1.      Nasional. 

a.   Qualified Internal Auditor (QIA) 

QIA adalah gelar kualifikasi dalam bidang internal auditing, yang merupakan simbol profesionalisme dari individu yang menyandang gelar tersebut. Gelar QIA juga merupakan pengakuan bahwa penyandang gelar telah memiliki pengetahuan dan keterampilan yang sejajar dengan kualifikasi internal auditor kelas dunia. QIA diberikan oleh Dewan Sertifikasi yang terdiri dari unsur-unsur organisasi profesi internal audit terkemuka di Indonesia yaitu unsur Badan Pengawasan Keuangan & Pembangunan (BPKP), Forum Komunikasi Satuan Pengawasan Intern , The Institute of Internal Auditor (IIA) Indonesia Chapter, Perhimpunan Auditor Internal Indonesia (PAII), YPIA dan akademisi serta praktisi bisnis yang memiliki kompetensi dan komitmen terhadap internal auditing. Sampai saat ini, YPIA adalah satu-satunya lembaga yang diberi wewenang oleh Dewan Sertifikasi untuk menyelenggarakan pendidikan dan Ujian Sertifikasi QIA.

Gelar QIA dapat diperoleh oleh seorang auditor setelah menjalani serangkaian pelatihan / ujian sertifikasi dan dinyatakan lulus yang dilaksanakan oleh Institut Pendidikan Audit Manajemen / Yayasan Pendidikan Internal Audit (YPIA) yang terdiri dari 5 (lima) jenjang, sebagai berikut :

¨      Pelatihan Audit Intern Tingkat Dasar I.

¨      Pelatihan Audit Intern Tingkat Dasar II

¨      Pelatihan Audit Intern Tingkat Lanjutan I

¨      Pelatihan Audit Intern Tingkat Lanjutan II

¨      Pelatihan Audit Intern Tingkat Manajerial. 

b.        Professional Internal Auditor (PIA) 

Pusat Pengembangan Akuntansi & Keuangan Sekolah Tinggi Akuntansi Negara (PPAK STAN) memberikan pengakuan berupa pemberian sertifikat Professional Internal Auditor (PIA) terhadap peserta Pendidikan & Pelatihan (diklat) auditor internal yang telah menyelesaikan 5 tahapan diklat auditor internal yaitu : 

1). Diklat Dasar-dasar Audit.

2). Diklat Audit Operasional.

3). Diklat Psikologi dan Komunikasi Audit.

4). Diklat Audit Kecurangan.

5). Diklat Pengelolaan Tugas-tugas Audit.

Selain kepada peserta diklat yang telah mengikuti kelima tahapan diklat tersebut, sertifikat Professional Internal Auditor juga diberikan bagi para Kepala Satuan Pengawas Intern dan Kepala Badan Pengawas Daerah yang telah mengikuti Diklat Khusus yang diselenggarakan oleh PPAK STAN. 

2.      Internasional 

Certified Internal Auditor (CIA) merupakan satu-satunya sertifikasi bidang audit internal yang diakui secara internasional.  Gelar CIA saat ini dijadikan sebagai salah satu pengakuan atas integritas, profesionalisme dan kompetensi pemegangnya di bidang audit internal. Pemegang sertifikat CIA akan mendapat pengakuan yang tinggi karena program CIA terkenal memiliki standar pengetahuan, integritas dan profesionalisme yang tinggi pula. Sertifikasi yang dikeluarkan oleh The Institute of Internal Auditors (The IIA) ini diberikan kepada kandidat yang telah lulus dalam 4 (empat) bagian (part)  ujian, sbb :

NEW   CIA   EXAM (Effective as of  May 2004)  

 

 

PART I

The Internal Audit Activity’s Role in Governance, Risk and Control. A.      Comply with the IIA’s Atribute Standard (15 – 25 %).  125 multiple choice questions.
B.       Establish a Risk-based Plan to Determine the Priorities of the Internal Audit Activity (15 – 25 %).
C.       Understand the Internal Audit Activity’s Role in Organizational Governance (10-20%).
D.      Perform Other Internal Audit Roles andResponsibilities (0-10%).
E.       Governance, Risk and Control Knowledge Elements (15-25%).
F.        Plan Engagements (15-25%)
PART II Conducting the Internal Audit Engagement A.      Conduct Engagement (25-35%).  125 multiple choice questions.
B.       Conduct Spesific Engagement (25-35%).
C.       Monitor Engagement Outcome (5-15%).
D.      Fraud Knowledge Elements (5-15%).
E.       Engagement Tools (15-25%).
PART III Business Analysis & Information Technology A.      Business Processes (15-25%). 125 multiple choice questions.
B.       Financial Accounting & Finance (15-25%).
C.       Managerial Accounting (10-20%).
D.      Regulatory, Legal & Economics (5-15%).
E.       Information Technology – IT (30-40%).
PART IV Business Management Skills A.      Strategic Management (20-30%). 125 multiple choice questions.
B.       Global Business Environtments (15-25%).
C.       Organization Behavior (20-30%).
D.      Management Skills (20-30%).
E.       Negotiating (5-15%).

  

 

 

H.    Pendidikan Profesi berkelanjutan (Continued Profession Education)

Sebagai sebuah profesi, organisasi profesi internal auditor mensyaratkan para anggotanya untuk selalu meningkatkan pengetahuan & ketrampilan melalui Pendidikan Profesi berkelanjutan (PPL). Pemegang gelar QIA yang dikeluarkan oleh Dewan sertifikasi QIA harus menjalani PPL sbb :

NILAI    KREDIT   PPL    QIA 

   

 

NO

JALUR KREDIT PPL NILAI KREDIT
1 PENDIDIKAN 1.    Peserta seminar / pelatihan / workshop di Dalam Negeri. 10 Jam / hari  
2.    Peserta seminar / pelatihan / workshop di Luar Negeri. 20 Jam / hari 
3.    Moderator seminar. 20 Jam
4.    Pembicara seminar. 40 Jam
5.    Pengajar Pelatihan Bidang Auditing (Related to Auditing). sesuai jam efektif mengajar.
6.    Kegiatan pembinaan & pengembangan auditor di Kantor Sendiri. Sesuai jam efektif.
2 PUBLIKASI 1.    Penulisan artikel.  20 jam / tiap artikel.
2.    Penulisan Diktat (Modul). 30 jam / tiap diktat (modul).
3.    Penterjemahan Buku 30 jam / tiap buku
4.    Penulisan Buku 60 jam / tiap buku
5.    Editor / penyunting penulisan buku. 30 jam / tiap buku
3 PRAKTISI Praktek sebagai auditor dalam 1 tahun   penuh . Diberi kredit sesuai dengan jam penugasan, dengan kedit max 30 jam per tahun

  I.       Tantangan Internal Auditor Abad 21 (Challenge  of The 21st Century Internal Auditor). 

Beberapa tantangan yang harus dihadapi auditor internal pada abad 21 antara lain sbb :

1.      Orientasi berbasiskan risiko (Risk- based Orientation).

Auditor internal harus merubah pendekatan dari audit secara konvensional menuju audit berbasiskan risiko (risk based audit approach). Pola audit yang didasarkan atas pendekatan risiko yang dilakukan oleh auditor internal lebih difokuskan terhadap masalah parameter risk assesment yang diformulasikan pada risk based audit plan. Berdasarkan risk assesment tersebut dapat diketahui risk matrix, sehingga dapat membantu auditor internal untuk menyusun risk audit matrix.

Manfaat yang akan diperoleh auditor internal apabila menggunakan risk based audit approach, antara lain auditor internal akan lebih efisien & efektif dalam melakukan audit, sehingga dapat meningkatkan kinerja Departemen Audit internal. Auditor internal juga harus berubah dari paradigma lama menuju paradigma baru, yang ditandai dengan perubahan orientasi dan peran profesi internal auditor. Perbedaan pokok antara paradigma lama dengan paradigma baru sebagai berikut : 

 

 

URAIAN

PARADIGMA LAMA PARADIGMA BARU
Peran Watchdog Konsultan & Katalis
Pendekatan Detektif (mendeteksi masalah) Prefentif (mencegah masalah)
Sikap Seperti Polisi Sebagai mitra bisnis / customer
Ketaatan / kepatuhan Semua policy / kebijakan Hanya policy yang relevan
Fokus Kelemahan / penyimpangan Penyelesaian (solusi) yang konstruktif
Komunikasi dengan manajemen terbatas Reguler
Audit Financial / compliance audit Financial, compliance, operasional audit.
Jenjang karir Sempit (hanya auditor) Berkembang luas (dapat berkarir di bagian / fungsi lain)

 2.      Perspektif global (Global Perspective).

Auditor internal harus berpandangan luas dan dalam menilai sesuatu secara global bukan secara sempit (mikro). Pada era globalisasi saat ini, sudah tidak ada lagi batas-batas antar negara dalam menjalankan bisnis.  

3.      Governance Expertise.

Auditor internal harus melaksanakan prinsip tata kelola perusahaan yang baik yaitu Good Corporate Governance (GCG) serta tata pemerintahan yang baik yaitu Good Goverment Governance (GGG). Auditor internal harus memiliki pengetahuan yang cukup tentang GCG & GGG. Auditor internal berperanan penting dalam implementasi GCG di perusahaan dan GGG di pemerintahan. Efektivitas sistem pengendalian internal dan auditor internal merupakan salah satu kriteria penilaian dalam implementasi GCG.Para auditor internal harus menggunakan kompetensi yang dimiliki dan agar bekerja secara profesional sehingga dapat bernilai tambah (added value) bagi organisasinya. Agar auditor internal bernilai tambah, maka hendaknya dapat melakukan asesmen atas : 

a.             Operational & quality efefctiveness.

b.             Business Risk

c.             Business & process control.

d.            Process & business efficiencies.

e.             Cost reduction opportunities.

f.              Waste elimination opportunities.

g.            Corporate governance efectiveness. 

4.      Technologically Adept.

Auditor internal harus senantiasa mengikuti perkembangan teknologi, terutama Teknologi Informasi. Auditor internal harus memiliki technology proficiency, misalnya ahli dibidang Audit Sistem Informasi (System Information Audit). Apabila diperlukan auditor internal dapat mengambil gelar sertifikasi Certified Information System Audit (CISA). Selain itu auditor internal harus dapat menggunakan kemampuan di bidang teknologi (technologicall  skills) untuk menganalisis / mitigasi risiko, perbaikan proses ( improve process) dan evaluasi efisiensi (upgrade efficiency). 

5.      Business Acumen.

Auditor internal harus memiliki jiwa entrepeneurship yang tinggi, sehingga mengikuti setiap perkembangan dalam proses bisnis (business process). Pada masa lalu auditor internal lebih mengedepankan perannya sebagai watchdog, saat ini auditor internal diharapkan lebih berperan sebagai mitra bisnis (business partner) bagi manajemen dan lebih berorientasi  untuk memberikan kepuasan kepada  jajaran manajemen sebagai pelanggan (customer satisfaction).  

6.      Berpikir kreatif & solusi masalah (Creative Thinking & Problem Solving).

Auditor internal harus selalu berpikir positif dan inovatif serta lebih berorientasi pada pemecahan masalah. Untuk menjadi problem solver auditor internal memerlukan pengalaman bertahun-tahun melakukan audit berbagai fungsi / unit kerja suatu organisasi / perusahaan.    

7.      Strong Ethical Compass.

Auditor internal harus selalu menjaga kode etik dan moralitas yang berlandaskan ajaran agama dalam menjalankan tugas, sehingga terhindar dari perilaku yang tidak terpuji. 

8.   Communication Skills.

Pekerjaan auditor internal berhubungan erat dengan unit organisasi lain, yaitu manajemen, komite audit, auditor eksternal (Kantor Akuntan Publik), oleh karena itu auditor internal harus menjalin komunikasi yang baik dengan pihak-pihak lain tersebut. Dalam hal ini, auditor internal perlu memiliki kemampuan dalam bidang komunikasi, baik lisan maupun tertulis. 

J.       Kesimpulan  

Untuk menjadi auditor internal yang profesional terdapat beberapa hal yang perlu dilaksanakan oleh para auditor internal, sbb :

  1. Auditor internal melaksanakan standar profesional serta kode etik profesi yang ditetapkan oleh organisasi profesi secara konsisten.
  2. Auditor internal harus senantiasa mengikuti perkembangan mutakhir  lingkungan bisnis yang sangat cepat serta teknologi informasi yang pesat.
  3. Auditor internal harus selalu mengikuti perkembangan terbaru tentang konsep & teknik dalam  internal auditing melalui Pendidikan profesi berkelanjutan (PPL).
  4. Auditor internal harus selalu meningkatkan kemampuan dibidang komunikasi (communication skills) baik lisan maupun tertulis.

DAFTAR PUSTAKA 

Brown, Brian G., “ The Global  Practice of Internal Auditing”, Intitute of Internal Auditor (IIA), 2006.

Chambers, Richard F., ”Improving Integrity and Fighting Corruption With Strong Internal Audit”, Intitute of Internal Auditor (IIA)  Learning Center, IIA, 2004.

Effendi, M. Arief, “Paradigma Baru Internal Auditor”, Auditor, Jakarta, Edisi No. 05 Tahun 2002.

Effendi, M. Arief, “Risk Based Internal Auditing” , Media Akuntansi, Jakarta, Edisi April 2003

Effendi, M. Arief, ”Value Added Internal Auditing”, Auditor, Jakarta, Edisi No. 08 Tahun 2003

Institute of Internal Auditors, Applying COSO’s Enterprise Risk Management — Integrated Framework, September 29, 2004.

Konsorsium Organisasi Profesi Audit Internal, “Standar Profesi Audit Internal”, Yayasan Pendidikan Internal Audit (YPIA), Jakarta, cetakan pertama, 2004.

Lapelosa,   Michael,   “Modern   Integrated    Audit   Approach”,  Internal   Auditing Seminar, IIA, 2007.

Moeller, Robert , “Brink’s Modern Internal Auditing”, 6th Edition, John Wiley & Sons, 2005.

Sawyer, Lawrence B. et. all, Sawyer’s Internal  Auditing,    The   Practice of Modern Internal Auditing, 5th Edition, IIA, 2003.

www.auditor-internal.com

www.iia2007.com

www.internalauditing.or.id

www.ppak-stan.com

www.pleier.com/pubs.htm

www.theiia.org/certification/certified-internal-auditor

*) Muh. Arief Effendi, SE, MSi, Ak, QIA adalah Senior Auditor Operasional PT. Krakatau Steel, Dosen Luar Biasa pada beberapa Perguruan Tinggi di Jakarta (FE Universitas Trisakti, STIE Trisakti, FE Universitas Mercu Buana & Program Magister Akuntansi Universitas Budi Luhur)

Perkembangan Profesi Internal Audit Abad 21

Perkembangan Profesi Internal Audit Abad 21

Value Added Internal Auditing

VALUE   ADDED  INTERNAL  AUDITING

(Artikel ini telah dimuat di Majalah AUDITOR, Rubrik “Column”, Edisi No. 08 tahun 2003, ISSN : 1412-5501)

Oleh : Muh. Arief Effendi,SE,MSi,Ak,QIA*)

Pendahuluan

Pada  awal abad 21, perkembangan profesi internal auditing sangat pesat. Hal ini ditunjukkan dengan adanya peran internal auditor dalam assurance & consulting activity. Salah satu hal yang cukup penting yang terkait dengan peran tersebut adalah adanya control self assesment (CSA). Selain itu saat ini internal auditor telah melakukan pendekatan audit secara sistematis & multi disiplin (systematic & multydiciplined approach) serta melakukan evaluasi & menilai efektivitas  risk management , control & governance processes. Adanya peran tersebut diatas, maka keberadaan internal auditor dapat memberikan nilai tambah (value added) bagi organisasi (perusahaan). Value added auditing adalah suatu audit dalam rangka meningkatkan profitabilitas serta kepuasan pelanggan (customer satisfaction).Tulisan ini akan menyoroti masalah ruang lingkup (scope), tujuan serta kecenderungan (trend) dalam value added internal auditing.  

Scope value added internal auditing

Internal auditor perlu membangun & menjaga hubungan baik (relationship) dengan pihak auditee melalui monitoring tindak lanjut serta menerima umpan balik (feedback) yang dilakukan oleh auditee. Ruang lingkup dari value added internal auditing meliputi :

1.      Audit sistem informasi (Information System Audit).

2.      Audit kepatuhan (Compliance audit).

3.      Audit laporan keuangan & pengendalian (Financial reporting & control audit).

4.      Audit program & kinerja (Program & performance audit). 

Agar   internal auditor dapat berfungsi sebagai auditor yang  bernilai tambah (value added), maka para internal auditor hendaknya dapat melakukan assesment atas :

1.            Operational & quality efectiveness.

2.            Business risk.

3.            Business & process control.

4.            Process & business efficiencies.

5.            Cost reduction opportunities.

6.            Waste elimination opportunities.

7.            Corporate governance efectiveness.

Tujuan dari value added audit adalah agar internal auditor dapat  :

A.           Memberikan analisis operasional secara obyektif & independen.

B.           Menguji berbagai fungsi, proses dan aktivitas suatu organisasi serta external value chain.

C.           Membantu organisasi dalam merancang strategi bisnis yang obyektif.

D.           Melakukan assesment secara sistematis dengan pendekatan multidisiplin.

E.            Melakukan evaluasi & menilai efektivitas  risk management , control & governance processes.

Eksistensi internal auditor sebagai konsultan merupakan suatu perubahan besar yang diharapkan oleh The Institute of Internal Auditing Standard (IIAS) agar menjadi internal auditor yang berkualitas (quality internal auditor), sehingga dapat memberikan jasa & konsultansi dalam business process kepada manajemen operasional.

Trend

Value added internal auditing. Terdapat kecenderungan (trend) dalam internal auditing, seperti outsourcing internal auditing. Dalam outsourcing internal auditing, dimungkinkan audit dilakukan oleh external auditor yang bertindak sebagai internal auditor. Ditinjau dari sisi independensi, auditor tersebut  memang lebih independen karena bukan karyawan dari perusahaan yang diaudit, namun yang perlu diperhatikan adalah masalah kompetensi / kualitas dari auditor tersebut. Oleh karena itu apabila suatu perusahaan akan memutuskan untuk melakukan outsourcing internal auditor, perlu dipertimbangkan masalah cost & benefitnya. Apakah biaya yang dikeluarkan oleh perusahaan untuk membayar jasa outsourcing internal auditor tersebut sebanding dengan manfaat yang akan diperolehnya.

Simpulan

1.      Agar internal auditor dapat memberikan nilai tambah (value added) bagi organisasi (Perusahaan) maka para internal auditor perlu meningkatkan kualitasnya secara terus menerus melalui pendidikan berkelanjutan.

2.      Apabila suatu perusahaan akan melakukan outsourcing internal auditor perlu diperhatikan secara matang cost & benefitnya. ***

Referensi

Hutchin, Greg, Value added Auditing, Quality Digest, Quality Plus Engineering, 2002.

*) Penulis alumni S1 FE UGM & S2 MAKSI UI, saat ini bekerja sebagai internal auditor sebuah BUMN serta Staf Pengajar STIE Trisakti & STIEM Jakarta.

 

Risk Based Internal Auditing

RISK  BASED  INTERNAL  AUDITING

(Artikel ini telah dimuat di Majalah MEDIA AKUNTANSI No. 32,

Rubrik “Audit Isu”, Edisi April 2003, ISSN : 1410-0886)

Oleh : Muh. Arief Effendi,SE,MSi,Ak,QIA *)

Pola audit yang didasarkan atas pendekatan risiko (risk based audit approach) yang dilakukan oleh internal auditor lebih difokuskan terhadap masalah parameter risk assesment yang diformulasikan pada risk based audit plan.Berdasarkan risk assesment tersebut dapat diketahui risk matrix, sehingga dapat membantu internal auditor untuk menyusun risk audit matrix. Manfaat yang akan diperoleh internal auditor apabila menggunakan risk based audit approach, antara lain internal auditor akan lebih efisien & efektif dalam melakukan audit, sehingga dapat meningkatkan kinerja Departemen Internal Audit.Tulisan ini akan menyoroti masalah risk assesment, risk matrix dan risk audit matrix serta risk based audit approach. Sebelumnya dibahas terlebih dahulu masalah pergeseran dalam fungsi internal auditing. 

Pergeseran fungsi dalam internal auditing.

Fokus audit internal auditing telah mengalami pergeseran (perubahan). Pada masa lalu fokus utama peran auditor internal sebagai ‘watchdog’, sehingga membuat perannya  kurang disukai kehadirannya oleh unit organisasi lain. Hal ini mungkin merupakan konsekuensi logis dari profesi internal auditor yang tugasnya memang tidak dapat dilepaskan dari fungsi audit, yaitu  antara  pemeriksa (auditor) dan pihak yang diperiksa (auditee) berada pada posisi yang saling berhadapan.   Pada saat ini proses auditing modern telah bergeser   sebagai ‘konsultan intern’ (internal consultant)  yang  memberi masukan (input) untuk perbaikan (improvement) atas sistem yang telah ada serta berperan sebagai katalis (catalyst). Fungsi konsultan  bagi auditor internal merupakan peran yang relatif baru. Peran konsultan membawa internal auditor untuk selalu meningkatkan pengetahuan & ketrampilan (skill & knowledge) baik tentang profesi auditor maupun aspek bisnis (business object) , sehingga diharapkan dapat membantu manajemen dalam memecahkan suatu masalah. Kemampuan untuk merekomendasikan pemecahan suatu masalah (problem solver)  bagi internal auditor dapat diperoleh melalui pengalaman bertahun-tahun melakukan audit berbagai fungsi / bagian di perusahaan. Konsultasi internal saat ini merupakan aktivitas yang sangat dibutuhkan oleh manajemen puncak (top management) yang perlu dilakukan oleh auditor internal. Selain sebagai konsultan,  auditor internal harus mampu  berperan sebagai katalisator yaitu memberikan jasa kepada manajemen  melalui saran-saran yang bersifat konstruktif dan  dapat diaplikasikan bagi perkembangan perusahaan. Katalis adalah suatu zat yang berfungsi untuk mempercepat reaksi namun tidak ikut reaksi. Sehingga apabila internal auditor diibaratkan sebagai katalis, internal auditor tidak ikut dalam kegiatan operasional perusahaan, namun turut serta bertanggungjawab dalam meningkatkan kinerja perusahaan melalui rekomendasi yang disampaikaan kepada manajemen operasional. Ruang lingkup (scope) kegiatan audit semakin luas, pada saat ini  tidak sekedar audit keuangan (financial audit) dan audit ketaatan (compliance audit), tetapi fokus perhatian ditujukan pada semua aspek yang berpengaruh terhadap kinerja (performance) perusahaan  dan pengendalian manajemen serta memperhatikan aspek risiko bisnis (business risk) dan risiko manajemen (risk management).  Pergeseran orientasi audit menuju ke arah audit yang didasarkan atas resiko (risk based auditing) ini akan terus berlanjut seiring dengan kebutuhan perusahaan yang semakin kompleks di masa mendatang. 

Risk assesment

Internal auditor perlu melakukan risk asssment untuk mengetahui lebih jauh risiko-risiko potensial yang mungkin dihadapi oleh perusahaan.Proses risk assesment terdiri dari langkah-langkah sebagai berikut :

·        Mengidentifikasi risiko-risiko  bisnis yang melekat (inherent business risks) dalam aktivitas perusahaan.

·        Mengevaluasi efektivitas sistem pengendalian (control systems) dalam rangka monitoring inherent risk dari aktivitas bisnis (control risk).

·        Menggambarkan risk matrix yang didasarkan atas inherent business risks dan control risk.Risk assesment dapat dilakukan dengan pendekatan kuantitatif maupun kualitatif.

Parameter yang biasa digunakan dalam metodologi risk assesment antara lain :

·        Trend industri & faktor lingkungan lain.

·        Kompleksitas & volume aktivitas bisnis.

·        Perubahan dari fokus bisnis &  lini bisnis (busines lines).

·        Perubahan dari praktek & kebijakan akuntansi (accounting practices / policies).

·        Adanya perbedaan atas kinerja yang substansial dari Anggaran (Budget) Perusahaan. 

Risk matrix

Assesment harus dilakukan secara periodik oleh internal auditor, sehingga adanya perubahan dalam lingkungan bisnis serta aktivitas bisnis dapat diikuti internal auditor secara up to date. Untuk memberikan gambaran yang lebih jelas tentang Risk matrix dapat dibuatkan ilustrasi seperti tabel berikut : 

  RISK  MATRIX (RM) 
INHERENT High

A

High Risk

B

Very High Risk

C

Extremely High Risk

BUSINESS   Medium

D

Medium Risk

E

High Risk

F

Very High Risk

RISK (IBR)   Low

G

Low Risk

H

Medium Risk

I

High Risk

       Low  Medium  High

                                              CONTROL RISK (CR) ———————————->

Inherent business risk dapat diindikasikan dari risiko yang melekat pada aktivitas bisnis perusahaan yang dapat diklasifikasikan atas low, medium & high. Control risk juga dapat diklasifikasikan atas low, medium & high. 

Risk audit matrix.

Departemen Internal Audit dapat menyusun risk audit matrix atas obyek-obyek yang akan diaudit bedasarkan atas besarnya risiko / Magnitude of Risk (M) dan frekuensi risiko / Frequency of Risk (F). Ilustrasi dari risk audit matrix dapat dibuatkan tabel sebagai berikut :  

 

  RISK AUDIT MATRIX (RAM) 
MAGNI-TUDE High High MLow F High MMedium F High MHigh  F
OF Medium Medium MLow F Medium MMedium F Medium MHigh  F
RISK (M) Low Low MLow F Low MMedium F Low MHigh  F
     Low  Medium  High

                                 FREQUENCY OF RISK (F)  ——————–>

Departemen Audit Internal dalam menyusun perencanaan audit (audit plan) dapat diprioritaskan kepada obyek audit (auditee) sesuai dengan urutan sebagai berikut :

·        High Magnitude & High Frequency.

·        High Magnitude & Medium Frequency.

·        Medium Magnitude & High Frequency.

·        High Magnitude & Low Frequency.

·        Medium Magnitude & Medium Frequency. 

Risk Based Audit Approach

Terdapat tiga aspek dalam Risk Based Auditing, yaitu penggunaan faktor risiko (risk factor) dalam audit planning,  identifikasi independent risk & assesment dan partisipasi dalm inisiatif risk management & processes.Cakupan dari risk based internal audit termasuk dilakukannya identifikasi atas inherent business risks dan control risk yang potensial. Departemen Internal Audit dapat melakukan review secara periodik tiap tahun atas risk based internal audit dikaitkan dengan audit plan. Manajemen puncak (Board of Director) dan Komite Audit dapat melakukan assessment atas kinerja (performance) dari risk based internal audit untuk mengetahui realibilitas, keakuratan dan obyektivitasnya. Profil risiko (Risk profile) atas risk based internal audit didokumentasikan dalam audit plan yang dibuat oleh Departemen Internal Audit. Risk profile tersebut dapat digunakan untuk melakukan evaluasi apakah metodologi risk assesment telah  rasional. Manfaat diterapkannya pendekatan risk based internal audit antara lain dapat meningkatkan efisiensi dan efektivitas internal auditor dalam melakukan audit, sehingga secara tidak langsung dapat meningkatkan kinerja Departemen Internal audit.

Internal Auditor saat ini perlu melakukan reorientasi dalam audit, antara lain dengan menerapkan pendekatan risk basesd audit. ***

*) Penulis alumni S1 FE UGM (1990) dan S2 MAKSI UI (2001), bekerja sebagai internal auditor (SPI) sebuah BUMN serta Staf Pengajar di beberapa Perguruan Tinggi di Jakarta.

%d bloggers like this: