IA definition |
"An independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes."
The Meaning of the Definition of Internal Audit, According to Institute of Internal Auditors (IIA)
The above definition comprises of the following elements:- IA activities are conducted by an independent organization and objectives personnel.
- IA activities include: assurance and consulting activities. Secara umum, semakin mature/ mapan suatu klien maka, peran IA lebih banyak melakukan kegiatan assurance, dan semakin tidak mapan suatu klien, maka peran IA lebih banyak melakukan kegaitan konsultatif.
- The assurance and consulting activities are designed to add value to and improve the client's organization operations, by evaluating to and providing recommendations for the improvement of effectiveness of the process of risk management, control, and governance.
- The contributions by providing add value and improvement recommendations help client's organization in achieving its objectives. Kegiatan IA memberi kontribusi bagi pencapaian tujuan, dan IA tidak boleh mengambil alih tanggung jawab manajemen terkait pencapaian tujuan organisasi klien. Oleh karena itu, KPI IA berupa nilai-nilai kontribusi/ pemberian nilai tambah.
- IA activities is conducted in an systematic and disciple/ ethical.
Lebih detail, definisi tersebut di atas memiliki makna sebagai berikut:
1. Independent dan Objektifitas (Standard 1100: Independence and Objectivity.
Internal audit performed by an independent unit/organization and objective personnel. Independen merupakan sikap mental bebas dari kondisi yang mengancam IAA untuk melaksanakan tanggung jawab internal audit dalam sikap tidak bias.Untuk dapat independen dan objektif, internal audit harus:
a. Secara organisasi independence (Practice Advisories 1110-1: Organizational Independence, Practice Advisory 1111-1: Board Interaction, Practice Advisory 1130-1: Impairment to Independence or Objectivity)
- CAE melaporkan, minimal setahun sekali, ke dewan komisaris, terkait dengan independensi organisasi internal audit activity (IAA) (lihat Practice Guide: Interaction with the Board).
- CAE memiliki akses langsung dan tak terbatas kepada senior management dan dewan komisaris/ pengawas. Hal ini dapat dicapai melalui hubungan dual-reporting, yaitu:
(a) Fungsional reporting (IAA bertanggung jawab secara fungsional) kepada Dewan Komisaris/ Pengawas. Agar independen secara fungsional, maka Dewan Komisaris/ Pengawas harus:
- Menyetujui internal audit charter (lihat Practice Guide: Model Internal Audit Activity Charter);
- Menyetujui risk based internal audit plan (lihat Practice Advisory 2010-1: Linking the Audit Plan to Risk and Exposures, Practice Advisory 2010-2: Using the Risk Management Process in Internal Audit Planning, Practice Advisory 2050-2: Assurance Maps, GTAG 11 Practice Guide: Developing the IT Audit Plan, GTAG 8 Practice Guide: Auditing Application Controls, dan Practice Guide: Developing the Internal Audit Strategic Plan);
- Menyetujui rencana sumber daya dan anggaran internal audit (lihat Practice Advisory 2030-1: Resource Management, GTAG 11 Practice Guide: Developing the IT Audit Plan dan Practice Guide: Interaction with the Board);
- Menerima komunikasi dari CAE terkait dengan kinerja IAA terhadap rencana IAA dan masalah lainnya (lihat Practice Advisory 2020-1: Communication and Approval, Practice Guide: CAE – Appointment, Performance Evaluation, and Termination);
- Menyetujui keputusan terkait dengan penunjukan dan pemberhentian CAE (lihat Practice Guide: CAE – Appointment, Performance Evaluation, and Termination);
- Menyetujui remunerasi CAE (lihat Practice Guide: Auditing Executive Compensation and Benefits); dan
- Mengajukan pertanyaan kepada manajemen dan CAE untuk menentukan apakah ada pembatasan lingkup atau sumber daya yang tidak memadai (lihat Practice Guide: Interaction with the Board).
Apa itu tanggung jawab fungsional? CAE bertanggung jawab atas pencapaian KPI fungsional untuk mencapai tujuan IAA secara efisien dan efektif. Contoh KPI fungsional IAA adalah jumlah rekomendasi yang disepakati dengan manajemen, terkait perbaikan proses governance, proses risk management, dan proses control. (Lebih lanjut lihat Practice Guide: Measuring Internal Audit Effectiveness and Efficiency)
(b) Administrative Reporting (IAA bertanggung jawab secara administratif) kepada Senior Management, termasuk:
- Akuntansi anggaran dan akuntansi manajemen.
- Administrasi SDM, termasuk evaluasi dan kompensasi personil;
- Komunikasi internal dan arus informasi;
- Administrasi kebijakan dan prosedur IAA.
Apa itu tanggung jawab administratif? CAE bertanggung jawab atas pencapaian KPI administratif untuk mencapai tujuan IAA secara efisien dan efektif. Contoh KPI administratif IAA adalah jumlah jam pelatihan per auditor dan jumlah utilisasi waktu per auditor (Lebih lanjut lihat Practice Guide: Measuring Internal Audit Effectiveness and Efficiency).
Internal auditor harus memiliki sikap impartial, tidak bias, dan menghindari konflik kepentingan.
- Apa itu objective?
Merupakan sikap mental tidak bias yang dapat membuat internal auditor untuk melakukan penugasannya sedemikian rupa, sehingga mereka percaya dengan hasil kerja mereka dan tidak ada kompromi yang dibuat. - Interprestasi
- Konflik kepentingan merupakan situasi dimana internal auditor, yang sebagai pihak dipercaya, memiliki kompetisi profesional (misal kompetisi untuk promosi di divisi tertentu) atau kepentingan personal (misal hubungan keuangan).
- Konflik kepentingan tersebut mengakibatkan internal auditor sulit untuk memenuhi kewajibannya untuk impartial (tidak berpihak).
- Reviu hasil kerja penugasan sebelum hasil tersebut dikomunikasikan ke klien, memberikan jaminan yang memadai bahwa penugasan telah dilaksanakan secara objektif.
2. Aktivitas Assurance dan Konsultasi
- Jasa Assurance melibatkan penilaian objektif dari internal auditor terhadap bukti untuk memberikan opini atau simpulan yang independen terhadap suatu entitas, operasi, fungsi, proses, sistem, atau masalah subjektif lainnya.
Sifat dan lingkup dari penugasan assurance ditentukan oleh internal auditor. Ada 3 (tiga) pihak yang terlibat dalam jasa assurance:
- orang atau grup yang secara langsung terlibat dengan entitas, operasi, fungsi, proses, sistem, atau masalah subjektif lainnya – sebagai pemilik proses,
- orang atau grup yang melakukan penilaian — yaitu internal auditor, dan
- orang atau grup yang menggunakan hasil penillaian — pengguna / user.
- Jasa konsultasi memiliki sifat penasehat, dan umumnya dilksanakan atas permintaan penugasan dari klien. Sifat dan lingkup penugasan konsultasi menjadi subjek kesepakatan dengan klien. Jasa konsultasi melibatkan 2 (dua) pihak:
- orang atau grup yang menawarkan saran — yaitu internal auditor, dan
- orang atau grup yang mencari dan menerima saran — yaitu client. Ketika melaksanakan jasa konsultasi, internal auditor seharusnya menjaga objektifitas dan tidak mengambil tanggung jawab manajemen.
Catatan:
Kegiatan konsultasi menghasilkan rekomendasi /saran. Namun, hasil penugasan assurance juga dapat menghasilkan rekomendasi/ saran, jika hasil penugasan assurance menyimpulkan ada area-area yang memerlukan perbaikan.
3. IAA Memberi Nilai Tambah dan Memperbaiki Operasional Organisasi Klien, dalam rangka membantu Organisasi Klien Mencapai Tujuannya.
IIA memberi nilai tambah ke organisasi klien (dan stakeholder-nya) ketika IAA memberikan penjaminan yang objektif dan relevan, dan berkotribusi kepada efektifitas dan efisiensi dari proses governance, proses risk management, dan proses control.Ringkasnya IIA memberi nilai tambah dan memperbaiki operasional organisasi klien dengan cara:
- Memberikan jasa assurance dan jasa konsultasi kepada organisasi klien, dengan fokus IAA pada area-area kunci yang memiliki risiko yang signifikan. Oleh karena itu, IAA harus membuat risk-based audit plan.
- Memberikan simpulan dan saran dalam rangka perbaikan proses governance, proses manajemen risiko, dan proses kontrol. Dalam pemberian saran/ rekomendasi tersebut, IAA memperhatikan cost-effectiveness dari rekomendasi.
- Melakukan monitoring atas kualitas penugasan IAA dan kepuasan klien atas IAA. Kualitas IAA diukur dari kesesuaian dengan Definisi, Standar, dan Kode Etik, serta pencapaian KPI IAA, sedangkan kepuasan klien diukur dari persepsi klien atas kontribusi IAA.
4. IAA Menggunakan Pendekatan Sistematis dan Disiplin/Beretika.
IIA Process |
- Berikut contoh pendekatan IAA:
- CAE harus menjamin bahwa personil/tim yang ditugaskan untuk setiap penugasan, secara kolektif memiliki pengetahuan, keterampilan, dan kompetensi yang cukup untuk melaksanakan penguasan secara memadai (lihat Practice Advisory 1200-1: Proficiency and Due Professional Care).
Contoh: untuk penugasan audit keuangan di lingkungan IT, maka salah satu personil Tim harus memiliki pengetahuan yang cukup terkait dengan resiko dan kontrol IT dan teknik audit IT. - Proficiency berarti kemampuan untuk menerapkan pengetahuan ke situasi yang dihadapi dan diselesaikan secara memadai, tanpa memerlukan bantuan yang ekstensif. Kompetensi internal auditor dapat ditunjukan dengan kepemilikan sertifikasi dan kualifikasi seperti Certified Internal Auditor (CIA), Certified Information System Auditor (CISA), Certified Public Accountant (CPA), dan lainnya, yang dikeluarkan oleh institusi terpercaya (lihat Practice Advisory 1210-1: Proficiency).
- Due professional care mensyaratkan penerapan kehati-hatian dan keterampilan, pada tingkat yang dibutuhkan sesuai dengan kompleksitas dan risiko penugasan (lihat Practice Advisory 1220-1: Due Professional Care).
5. IAA Mengevaluasi dan Memperbaiki Efektifitas Proses Risk Management, Proses Control, dan Proses Governance.
IAA fokus pada evaluasi dan perbaikan efektifitas dari proses risk management, proses control, dan proses governance.- Proses risk management, proses kontrol, dan proses governance merupakan proses-proses yang saling terkait (PA 2110-2: Governance: Relationship With Risk and Control). Oleh karena itu, suatu penugasan IAA biasanya melakukan evaluasi / konsultasi terhadap ketiga proses tersebut, namun, suatu penugasan juga dapat fokus pada salah satu proses (misal proses risk management saja) atau kombinasi dari proses-proses tersebut.
GRC Process |
- Simpulan atas kecukupan dan efektifitas, serta rekomendasi perbaikan governance, manajemen risiko, dan pengendalian, diberikan pada saat komunikasi penugasan individu maupun pada level organisasi (keseluruhan/ overall). Opini overall diperoleh dari simpulan / hasil penugasan-penugasan individu, terkait dengan kecukupan dan efektifitas governance, manajemen risiko, dan pengendalian (Practice Advisory 2120-1: Assessing the Adequacy of Risk Management Processes dan Practice Advisory 2130-1: Assessing the Adequacy of Control Processes).
- Governance:
Kombinasi dari proses dan struktur yang diimplementasikan oleh dewan komisaris/ pengawas untuk menginfomasikan, mengelola, dan memonitor aktivitas organisasi dalam mencapai tujuannya. - Risk Management:
Suatu proses untuk mengidentifikasi, menilai, mengelola, dan mengendalikan kejadian atau situasi potensial, untuk memberikan keyakinan memadai, terkait dengan pencapaian tujuan organisasi. - Control:
Setiap tindakan oleh manajemen, dewan komisaris/ pengawas, dan pihak lainnya, untuk mengelola risiko dan meningkatkan tingkat kemungkinan bahwa tujuan dan sasaran yang ditetapkan, dapat tercapai.
Lebih lanjut, setiap organisasi internal audit yang menyatakan bahwa aktivitas internal audit (IAA) mengacu kepada IPPF / Standar Audit yang diterbitkan oleh IIA, maka pernyataan tersebut harus dinilai untuk menentukan apakah IAA telah patuh terhadap Definisi, Standard, dan Kode Etik (Practice Advisory 1321-1: Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”). Proses penilaian tersebut melalui penugasan Quality Assurance and Improvement Program (lihat Practice Guide: Quality Assurance and Improvement Program / QAIP).
Dalam contoh/template Audit Charter yang disediakan oleh IIA, disebutkan bahwa kegiatan IA meliputi "evaluate ...".
ReplyDeleteBerkenaan dengan hal itu, mohon penjelasannya mengenai apa perbedaan antara audit dan evaluasi dalam kegiatan IA.
Trims.
Mohon maaf sebelumnya atas keterlambatan saya dalam me-reply comment pak sunu. Saya mencoba menjelaskan perbedaan dan persamaan antara audit dan evaluasi.
ReplyDeletePerbedaan:
1. Definisi.
Audit: penugasan dimana praktisi menyatakan simpulan/ opini untuk memberikan tingkat kepercayaan bagi user, selain pihak yang bertanggung jawab atas subjek yang diaudit.
Evaluasi: identifikasi dan analisis isu yang relevan, termasuk pelaksanaan prosedur lanjutan, untuk mendapatkan simpulan atas suatu masalah.
2. Tujuan:
Audit: Audit menggunakan, salah satunya, teknik evaluasi untuk mendapatkan simpulan/ opini
Evaluasi: Evaluasi dapat digunakan oleh auditor atau manajemen.
3. Pelaksana
Audit: Independen dari pihak yang bertanggung jawab atas objek audit (manajemen)
Evaluasi: Tidak ada syarat indenpendensi. Evaluasi dapat dilaksanakan oleh auditor dalam rangka audit, dan dilaksanakan oleh manajemen (misal) dalam rangka pengukuran kinerja.
4. Standar yang diacu.
Audit: Standar Audit. Auditor dalam melaksanakan audit mengacu kepada standar audit yang tidak perlu minta persetujuan klien.
Evaluasi: Standar yang disepakati antara kedua belah pihak. Misal: evaluasi kinerja pegawai, maka standar yang digunakan harus disepakati antara manajemen dan pegawai.
Persamaan:
1. Pelaksana: Dilaksanakan oleh praktisi yang profesional dan memiliki kompetensi yang cukup.
2. Objektifitas: Menuntut penggunaan syarat objektifitas dalam melaksanakan audit dan evaluasi.
3. Standar: Menggunakan suatu norma, audit mengacu kepada standar audit, sedangkan evaluasi mengacu kepada standar yang disepakati kedua belah pihak.
This comment has been removed by a blog administrator.
ReplyDeleteTrims pak atensinya, mudah-2an posting ini membantu kawan-2 memahami lebih lanjut mengenai makna definisi internal audit menurut IIA.
DeleteMaaf, comment anda berisi eksternal link...
DeleteThis comment has been removed by a blog administrator.
ReplyDeleteMaaf, comment anda berisi eksternal link...
DeleteThis comment has been removed by a blog administrator.
ReplyDeleteMaaf, comment anda berisi eksternal link....
Delete