Ikhtisar
OCEG (Open Compliance & Ethics Group) mengklaim sebagai penemu isitlah GRC, singkatan dari Governance, Risk Management, and Compliance. Ada juga yang mengaitkan GRC dengan definisi IIA (Institute of Internal Auditors) tentang tujuan audit internal, yakni memberikan asuransi dengan menilai proses-proses organisasi yang berkaitan dengan Governance, Risk Management, dan (internal) Control. Di sini C bermakna Control. [IIA sendiri tidak menggunakan singkatan GRC secara resmi.] Baik C sebagai Compliance maupun Control, benang merah GRC adalah risiko. Itulah alasan pemilihan judul buku ini, Audit Internal Berbasis Risiko.
Acuan utama buku ini adalah berbagai terbitan IIA dan Internal Audit Foundation-nya, seperti Common Body of Knowledge, IIPF (International Professional Practices Framework), dan Three Lines of Defense. Pembahasan dalam bab terakhir, Internal Audit Maturity, disadur dari Sawyer’s Internal Auditing (edisi ke-7, tahun 2019), dengan contoh dari IIA Australia.
Kasus-kasus Indonesia, dari sektor publik, BUMN, dan perusahaan-perusahaan Tbk., disajikan untuk menjelaskan gagasan-gagasan GRC dan sebagai bahan diskusi kelas.
Pendahuluan / Prolog
Audit Internal Berbasis Risiko, Menambah Nilai dan Menyempurnakan Operasi Organisasi
Audit internal adalah kegiatan asurans yang independen dan objektif dan kegiatan konsulting yang (kedua kegiatan ini) dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Kegiatan ini mendukung organisasi mencapai tujuan-tujuannya melalui pendekatan yang sistematis dan berdisiplin dalam mengevaluasi dan meningkatkan efektifnya proses manajemen risiko, proses pengendalian, dan proses tata kelola organisasi. Audit internal berbasis risiko menjelaskan fungsi audit internal (FAI) masa kini. Audit internal dapat diterapkan dalam bermacam-macam lingkungan organisasi, seperti perusahaan yang tujuannya ialah mencari laba, perusahaan nirlaba, asosiasi. Di sektor publik maupun swasta.
Selama beberapa tahun terakhir, kebutuhan untuk mengelola risiko diakui sebagai bagian yang sangat penting dari praktik tata kelola korporasi yang baik. Kegiatan berkenaan dengan pengelolaan risiko memainkan peran penting dalam mengadakan sistem pengendalian internal yang memadai juga menentukan arah tata kelola dengan memosisikan tugasnya dalam konteks kerangka pengelolaan risiko dari organisasinya. Buku ini hadir untuk memberikan literasi yang mutakhir terkait audit internal berbasis risiko karena didukung oleh buku Internal Auditing terbitan IIA tahun 2017.
Penulis
Theodorus Tuanakotta - Theodorus M. Tuanakotta
Penulis adalah pengajar dan peneliti di Fakultas Ekonomi & Bisnis Universitas Indonesia (FEB-UI) sejak Februari 1968. Pensiun pada akhir Oktober 2010. Saat ini, Beliau masih mengampu mata kuliah AFAI (Akuntansi Forensik & Audit Investigatif) di Program Studi S-1 dan Program Magister Akuntansi (Maksi) FEB-UI. Penulis Meraih gelar Doktorandus Akuntansi dari FEB-UI dan Master of Business Administration dari Harvard University (Boston, Massachusetts, AS). Bernomor Register Akuntan 4.
Pengalaman sebagai akuntan publik selama 35 tahun; terakhir sebagai CEO & Managing Partner Hans Tuanakotta & Mustofa, member firm dari Deloitte Touche Tohmatsu di Indonesia. Menjadi Tenaga Ahli di Badan Pemeriksa Keuangan (BPK) RI tahun 2004–2006 (menerima Satyalancana Wira Karya).
Dua bukunya, yakni “Setengah Abad Profesi Akuntansi” dan “Akuntansi Forensik & Audit Investigatif” memperoleh penghargaan buku teks dari Universitas Indonesia (2007). Buku-buku lainnya, antara lain: “Audit Kontemporer”, “Mendeteksi Manipulasi Laporan Keuangan”, “Berpikir Kritis dalam Auditing”, “Audit Berbasis ISA”. Buku-buku tersebut diterbitkan oleh Penerbit Salemba Empat.
Daftar Isi
Sampul Depan
Ucapan Terima Kasih
Selayang Pandang
Tentang Penulis
Daftar Singkatan
Organisasi Sumber Informasi
Daftar Isi
Bab 1 Audit Internal
Pengantar
Definisi Audit Internal
Dua Jenis Penugasan Audit Internal
Sekelumit Sejarah Audit Internal
Persepsi yang Keliru tentang Audit Internal
Audit Internal dalam Berbagai Industri
Audit Internal dan Eksternal
Ancaman buat Auditor (Internal dan Eksternal)
Pelajaran Berharga buat Audit Internal
Menggeser Fokus SPI
Pengendalian Mempunyai Batas
Biarkan Manajemen Melindungi Nilai
Pahami Peran Perilaku Manusia
Dukungan untuk Kerugian Bisnis
Tinggalkan Pengendalian
Penutup
Catatan Akhir
Lampiran 1-
Mengatasi Korupsi di Kementerian: Apakah Audit Internal Bisa Berperan?
Pengantar
KPK Melakukan OTT
Tiga “Ritual”
Penyimpangan di Kemenag
Korupsi di Pusaran Kemenag
15 Program Pencegahan Korupsi Kemenag
Pertanyaan
Bab 2 Audit Internal Berbasis Risiko
Pengantar
Latar Belakang
Definisi AIBR
AIBR - Perkembangan yang Dinamis
Keuntungan dan Keunggulan AIBR
Implementasi AIBR
Penutup
Tugas & Pertanyaan
Catatan Akhir
Lampiran 1-Aneka Ragam Risiko Bisnis
Pengantar
Apa itu Risiko?
Jenis-Jenis Risiko Bisnis
Empat Jenis Risiko Bisnis
Lima Jenis Risiko Bisnis
Strategic Risk (Risiko Strategis)
Compliance Risk (Risiko Kepatuhan)
Operational Risk (Risiko Operasional)
Financial Risk (Risiko Keuangan)
Reputational Risk (Risiko Reputasi)
20 Jenis Risiko Bisnis
Risiko Bisnis dan Jenis Bisnis
Risiko Bisnis dan Peraturan
Catatan Akhir
Bab 3
Wadah Pengetahuan Audit Internal
Pengantar
Pengertian Umum Body of Knowledge
CBoK 2006: Apa kata IIA?
Keterampilan Perilaku dan Keterampilan Teknis menurut CBoK 2006
Keterampilan Perilaku (Behavioral Skills menurut CBoK 2006
Keterampilan Teknis menurut CBoK 2006
Lanskap Praktik Audit Internal di Indonesia
Catatan Akhir
Bab 4 Kerangka Acuan Praktisi Profesional
Pengantar
Mengenai IPPF (KAPPI)
Penjelasan Istilah dalam Gambar IPPF
Catatan Akhir
Bab 5 Tata Kelola
Pengantar
Struktur Governance
Governance dan Komponennya
Pemangku Kepentingan
Manajemen Senior/Direksi
Pemilik Risiko/Risk Owners
Kegiatan Asurans
Model Pertahanan Tiga Lini
Catatan Akhir
Lampiran1-Board Systems/Sistem Dewan
Pengantar
One-Tier Board System
Two-Tier Board System
Hybrid System
Terjemahan di Bab 5
Pertanyaan
Catatan Akhir
Lampiran 2-Dua Contoh Governance
Governance Bank Indonesia
Governance Royal DSM
Lampiran 3–Dewan Komisaris, Direksi, Sekretaris Perusahaan, dan Rapat Umum Pemegang Saham di Indonesia
Pengantar
Sekretaris Perusahaan
Lampiran 4–Pilar-Pilar dalam Struktur Tata Kelola
Struktur Tata Kelola
Tiga Pilar Tata Kelola Korporasi
Pilar # 1: Transparency
Pilar # 2: Accountability
Pilar # 3: Security
Menggabungkan Ketiga Pilar Tata Kelola K
Delapan Unsur Tata Kelola yang Baik
7 Pilar Tata Kelola yang Baik
Catatan Akhir
Bab 6 Manajemen Risiko Perusahaan (Enterprise Risk Management)
Pengantar
Ringkasan Eksekutif
Events – Risks and Opportunities
Definisi ERM
Mencapai Tujuan
Komponen ERM
Hubungan antara Tujuan dan Komponen
Efektivitas
Keterbatasan ERM
ERM Meliputi juga Pengendalian Internal
Peran dan Tanggung Jawab
Penggunaan Laporan Ini
Hubungan antara Audit Internal dan ERM
Sumber Gambar
Lampiran 1–Risk Appetite, Risk Tolerance, dan Risk Maturity
Contoh dan Penjelasan Sederhana
Apa itu Risk Appetite
Contoh Pernyataan tentang Risk Appetite (Risk Appetite Statement)
Apa itu Risk Tolerance
Apa itu Risk Maturity?
Mengapa Kita Mengukur Risk Maturity?
Model Risk Maturity dari Nordal-Kjørstad
Catatan Akhir
Bab 7 Proses Bisnis dan Risiko Bisnis
Pengantar
Proses Bisnis
Penyempurnaan Proses Bisnis
Penasihat dalam Perbaikan - Improvement Advisors
10 Risiko Papan Atas untuk Tahun 2019
Catatan Akhir
Lampiran 1–136 Key Performance Indicators Examples
Pengantar
Lampiran2-30 Risiko Bisnis Papan Atas—2019
Pengantar
Macro-economic Risk Issues
Strategic Risks Issues
Operational Risk Issues
Bab 8 Pengendalian Internal
Pengantar
Frameworks
Definisi Pengendalian Internal
Tujuan Pengendalian Internal
17 Prinsip Pengendalian Internal
Komponen Pengendalian Internal
Lingkungan Pengendalian (Control Environment)
Penilaian Risiko (Risk Assessment)
Kegiatan Pengendalian (Control Activities)
Informasi & Komunikasi (Information & Communication)
Kegiatan Pemantauan (Monitoring Activities)
Kendala yang Dihadapi Pengendalian Internal
Inherent Risk, Controllable Risk, Residual Risk
Catatan Akhir
Lampiran 1–Pengendalian Internal BUMN
Pengantar
Potensi Bermasalah
Pertamina
BUMN dengan Banyak Pembelian
BUMN Cari Proyek
PT Krakatau Steel
Bab 9 Risiko Teknologi Informasi dan Pengendaliannya
Pengantar
Sepuluh Risiko Teknologi
Risiko 1–Cybersecurity
Risiko 2–Information Security
Risiko 3–IT Systems Development Projects
Risiko 4–IT Governance
Risiko 5–Outsourced IT Services
Risiko 6–Social Media Use
Risiko 7–Mobile Computing
Risiko 8–IT Skills Among Internal Auditors
Risiko 9–Emerging Technologies
Risiko 10–Board and Audit Committee Technology Awareness
Kesimpulan tentang 10 Risiko TI
IPPF Guidance: Standards & GTAG
Standar tentang Proficiency
Standar tentang Due Professional Care
Standar tentang Governance
Standar tentang Risk Management
Standar tentang Control
Global Technology Audit Guide
Information Technology Controls
Change and Patch Management Controls
Continuous Auditing
Management of IT Auditing
Managing and Auditing Privacy Risks
Managing and Auditing IT Vulnerabilities
Information Technology Outsourcing
Auditing Application Controls
Identity and Access Management
Business Continuity Management
Developing the IT Audit Plan
Catatan Akhir
Lampiran 1–Hanya Perlu Tiga Detik
Catatan
Serangan dan Hari-Hari Pasca-serangan
Gejolak-Gejolak Dunia Nyata
Para Cybercriminal adalah Pemenangnya
Lampiran 2–28.859.836 Percobaan Cyber Attack terhadap Server KPU
Pengantar
Ada 28 Juta Percobaan Serangan terhadap
Lampiran 3–#mandirierror
Serius atau Guyonan?
Mandiri Buka Suara
Serangkaian Pertanyaan
Catatan Akhir
Lampiran 4–Pencurian Data
Pengantar
Kasus-Kasus di A.S.
Bab 10 Risiko Fraud
Pengantar
Mengapa Manusia Melakukan Fraud?
Risiko Fraud (Fraud Risks)
Fraud dan Fraud Tree
Fraud, Waste, Abuse
ACFE Report to the Nations 2018
Penanganan Fraud oleh Fungsi Audit Internal
Tata Kelola Risiko Fraud (Fraud Risk Governance)
Penilaian Risiko Fraud (Fraud Risk Assessment)
Mencegah dan Mendeteksi Fraud (Fraud Prevention and Detection)
Investigasi dan Tindakan Perbaikan (Investigation and Corrective Action)
Penutup
Catatan Akhir
Lampiran 1–KPMG Diwajibkan Membayar Denda $50juta karena Mengubah Auditnya
Pengantar
Terjemahan Isi Berita
Catatan Akhir
Lampiran 2–Rincian Cabang-Cabang Fraud Tree
Pengantar
Cabang # 1 - Manipulasi Laporan Keuangan
Cabang # 2 - Penyalahgunaan/Misappropriation
Cabang # 3 – Korupsi
Lampiran 3–Kasus Besar KPK Mangkrak
Bab 11 Mengelola Fungsi Audit Internal
Pengantar
FAI dalam Struktur Organisasi
Internal Audit Charter – Piagam Audit Internal
Independensi dan Objektivitas
Proficiency dan Due Professional Care
Pertahanan Tiga Lini
Lini Pertahanan Pertama: Manajemen Operasional
Lini Pertahanan Kedua: Fungsi Manajemen Risiko dan Fungsi Kepatuhan
Lini Pertahanan Ketiga: Audit Internal
Memahami Pertahanan Tiga Lini 3
Catatan Akhir
Lampiran 1–Struktur Organisasi—Sistem Satu Dewan
Pengantar
Struktur Organisasi
C-Level Titles
Senior Management
Catatan Akhir
Bab 12 Bukti Audit dan Kertas Kerja Audit
Pengantar
Skeptisisme Profesional dan Asurans yang Memadai
Ciri Bukti Audit yang Baik
Prosedur-Prosedur Audit
Audit Software
Jenis-Jenis Kertas Kerja
Beberapa Tips untuk Kertas Kerja
Keuntungan dari Standardisasi Kertas Kerja
Catatan Akhir
Bab 13 Data Analytics/Analitika Data
Pengantar
Analitika Data dalam Cerita
Apa itu Analitika Data?
Empat V dari Data Besar
Tujuh V dari Data Besar
Memahami Analitika Data
Lima langkah Analitika Data
Untuk apa Analitika Data?
Jenis-Jenis Analitika Data
Kerangka Analitika Data
Analitika Data dan Data Mining (Penambangan Data)
Catatan Akhir
Bab 14 Proses Penugasan Audit Internal
Pengantar
IPPF Standards
Proses Penugasan Asurans
Tahap Perencanaan PA
Proses Penugasan Konsulting (PK)
Lampiran 1–Membuat Bagan Arus
Flowchart – Sejarah dan Standar
Membuat Bagan Arus (Flowchart)
Flowchart Shapes
Contoh Bagan Arus Sederhana
Bab 15 Merencanakan Penugasan Asurans
Pengantar
Langkah-Langkah Perencanaan
Memahami dan Memetakan Proses dan Pengendalian
Mewawancarai Pemangku Kepentingan yang Relevan
Mendiskusikan Skenario-Skenario yang Berpotensi
Mengandung Risiko
Mendokumentasikan Informasi yang Dikumpulkan
Melaksanakan Suatu Risk Assessment Sementara
Mengidentifikasi Risiko dan Pengendalian dalam Matrix
Menentukan Tujuan-Tujuan Penugasan
Assurance Engagement Objectives
Menentukan Lingkup Penugasan
Lingkup Penugasan Asurans
Mendokumentasikan Rencana
Melaksanakan Penugasan Asurans
Contoh Pelaksanaan Penugasan Asurans
Catatan Akhir
Lampiran 1–Mengukur Kinerja Audit Internal
Catatan
Mengapa Kita Perlu Mengukur Kinerja Audit Internal?.
Membuktikan Adanya Nilai
Apa kata Standard?
Hal-hal yang Perlu Dipertimbangkan
Apa Ukuran atau Indikator yang Dapat Kita Gunakan?
Lampiran 2–Daftar Key Performance Indicators
Catatan
List of Key Performance Indicators
Bab 16 Komunikasi dalam Penugasan Asurans dan Pelaksanaan Prosedur Tindak Lanjut
Pengantar
Standar-Standar Komunikasi
Komunikasi Awal, Interim, dan Akhir
Lima C - Unsur-Unsur Temuan Audit
Sistem Pemeringkatan Audit
Memantau dan Menindaklanjuti
Catatan Akhir
Bab 17 Konsulting oleh Audit Internal
Pengantar
Belajar dari Konsultan Eksternal 1
Hierarki Tujuan Konsulting
Tantangan buat Auditor Internal 2
Menjadi Penasihat Tepercaya
The 4 Sights
Memberikan Insight melalui Konsulting
Jenis Jasa Konsulting
Advisory Consulting Engagement
Educational Consulting Engagement
Facilitative Consulting Engagement
Blended Engagement
Root Cause Analysis (RCA)
Catatan Akhir
Bab 18 Investigasi Fraud
Pengantar
Standar-Standar yang Relevan
Rangkuman tentang Fraud dan Penanganannya
Investigasi Fraud dan Predication
Kasus-Kasus Indonesia untuk Diskusi
Lampiran 1–10 Langkah Menginvestigasi Fraud
Pengantar
“Case Theory” Approach untuk Investigasi
Langkah-Langkah Dasar untuk Investigasi yang Kompleks
Lampiran 2–Predication
Pengantar
Predication dalam Pemeriksaan Fraud
Gambaran Utuh dalam Predikasi
Predikasi, Hipotesis, dan Teori Fraud
Bab 19 Audit Internal Sektor Publik
Pengantar
Berapa Besar Sektor Publik Indonesia?
17 Masalah Besar di Sektor Publik
Fraud dan Korupsi di Sektor Publik
Pertanyaan
Prinsip-Prinsip Audit Internal di Sektor Publik
Catatan Akhir
Lampiran 1–BUMN Dalam Berita-2019
Pengantar
Pertamina Dapat ‘Rapor Merah’
Saran buat SPI BUMN
Perang Dagang U.S.-China dan BUMN?
Kejahatan di Tengah Bencana Alam
Mantan Dirut PLN, tumpukan Rp173 M
Lampiran 2–BUMN Dalam Berita – Sebelum 2019
Forum Diskusi Publik
Pertamina
Korupsi Pengadaan Barang
Korupsi Pekerjaan Konstruksi Fiktif
Korupsi Papan Atas
Kutukan Sumber Daya Alam
Pengantar
Natural Resource Curse
Bab 20 Maturitas Audit Internal
Arti Maturitas (Maturity)
Model Maturitas Audit Internal
Maturitas Audit Internal dari Sawyer
Level 5 – Optimizing:
Level 4 – Managed:
Level 3 – Defined:
Level 2 – Repeatable:
Level 1 - Initial
Model Maturitas – Pengalaman Australia
Model Maturitas dari IIA
Bagaimana Maturitas Audit Internal BUMN?
Catatan Akhir
Lampiran 1–Garuda-2018: Untung atau Rugi?
Dari Satu Kasus, ke Kasus Lain
RUPST
Dua Komisaris Tolak Laporan Keuangan Garuda
Surat Keberatan dari Dua Komisaris Garuda Indonesia
Saham Garuda Anjlok
Auditor Garuda Bakal Dipanggil BPK
Pendapat Ketua IAPI
Pendapat Dua Ahli Ekonomi dari Indef
BPK dan BEI Angkat Bicara
Apa Kata Menteri BUMN?
Beberapa Informasi untuk Membahas Kasus Ini
Catatan dan Pertanyaan
Catatan
Pertanyaan
Lampiran
Daftar Pustaka
Indeks
Sampul Belakang