BAB II

PEMBAHASAN

2.1 PENGERTIAN AUDITOR INTERNAL

Audit internal adalah kegiatan yang independen, objektif, dan konsultasi yang
dirancang untuk ditambahkan menghargai dan meningkatkan operasi organisasi. Ini membantu
organisasi mencapai tujuannya dengan membawa pendekatan sistematis dan disiplin untuk
mengevaluasi dan meningkatkan efektivitas risiko proses manajemen, kontrol dan tata kelola.
Kita perlu memahami risiko dan kita perlu menghargai pentingnya manajemen risiko sebuah
organisasi. Kode tata kelola perusahaan yang baik mengharuskan dewan untuk memasang
sistem risiko manajemen dan memberitahu pemegang saham tentang sistem ini.
Perubahan paradigma dari dua langkah menjadi tiga langkah merubah internal audit
yang sebelumnya focus pada kejadian sebelum dan sekarang menjadi sekarang dan masa
depan. Pengendalian transaksi yang dilakukan oleh auditor internal mengamati dan memeriksa
kejadian yang telah lalu dari nilai yang diperoleh oleh perusahaan. Dengan berfokus pada
resiko sekarang dan masa depan, auditor internal bekerja untuk pencapaian tujuan organisasi.

2.1.1 PERAN DAN TANGGUNGJAWAB AUDITOR INTERNAL

Peran dan tanggungjawab auditor internal sehubungan resiko menjadi topik hangat
dalam diskuisi profesi tahun-tahun terakhir. Sebelum auditor internal mengelola resiko atau
memutuskan alokasi sumber daya yang terlibat dalam manajemen resiko, hubungan lebih cepat
antar manajemen resiko beberapa pengamat menyarankan bahwa titik awal perencanaan audit
internal haruslah resiko organisasional, atau ancaman

bagi pencapaian tujuan usaha. Tindakan yang telah dilakukan Dewan Standar IIA telah menjadi
pedoman bagi profesi menuju keterlibatan yang lebih besar dalam lingkungan resiko usaha
(Practice Advisory 10.A1-1 dan standar 2210.A1, “penentuan resiko dalam rencana
penugasan”).
Standar baru-baru ini mengharapkan kecermatan professional- hal yang diharapkan dari
seorang auditor internal yang kompeten dan berhati-hati. Standar ini tidak berarti bahwa auditor
internal menjadi seorang yang maha tahu atau menjadi pelindung atas semua kesalahan yang
mungkin terjadi. Standar mensyaratkan kecermatan kecermatan yang wajar dan ketaatan bukan
kinerja yang bebas salah atau luar biasa.
 Kecermatan professional mencakup atas ketidakwajaran dan ketidakpatuhan yang
material. Kapan pun auditor internal melakukan audit, mereka harus menyadari resiko jebakan
potensial-bagaikan batu yang dibawahnya terdapat kalajengking berbisa yang siap menerkam.
Yang dibutukan adalah kompetensi professional, bukan kehati-hatian dan kecakapan tak
terbatas. Orang awam mungkin tidak masalah bila pemesanan dan penerimaan persediaan
dilakukan oleh orang yang sama, tetapi auditor internal harus segera menyadari resiko bawaan
yang mungkin terjadi dari aktivitas tersebut.
Auditor internal akan mampu dengan jelas mengidentifikasi resiko dalam beberapa
aktivitas. Kesalahan yang disengaja bukan satu-satunya atau yang paling berbahaya bagi
organisasi. Catatan atau transaksi diselewengkan lebih karena kesalahan pegawai, bukan
karena ketidakjujuran atau niat jahat. Mereka mungkin tidak mengikuti aturan, tidak
memahami perintah, atau tidak berhati-hati; dan mungkin tidak diawasi dengan layak.

2.2 PENGERTIAN RISIKO AUDIT

Manajemen risiko selalu menjadi komponen perencanaan audit internal dan proses
penilaian. Idenya adalah untuk auditor internal untuk memiliki proses formal untuk membantu
memahami risiko dan untuk memfokuskan upaya di bidang yang berisiko lebih tinggi. Di masa
lalu, auditor sering hanya menggunakan penilaian audit yang baik - akal sehat - untuk
memusatkan perhatian audit pada bidang yang berisiko. Tidak perlu terlalu banyak analisis
audit untuk memutuskan bahwa ada risiko yang lebih besar dalam pengendalian di sekitar dana
kas yang mendukung pencairan dividen pemegang saham daripada kontrol internal untuk kas
kecil kantor. Sementara beberapa keputusan berdasarkan risiko ini mudah, yang lain tidak
sejelas itu. Auditor internal saat ini harus memiliki pendekatan yang konsisten untuk
memahami dan menilai risiko audit, baik risiko yang terkait dengan entitas audit individual
maupun risiko keseluruhan yang dihadapi organisasi mereka.
Bab ini memberikan pendekatan untuk membantu auditor internal memahami dengan
lebih baik berbagai risiko yang akan berdampak pada kegiatan audit mereka, sebuah proses
untuk memilih area berisiko untuk penilaian audit, dan prosedur untuk auditor internal
manajemen risiko. Kami akan memperkenalkan kerangka kerja yang baru dari Komite
Organisasi Sponsoring (COSO) Enterprise Risk Management (ERM) yang baru saja dirilis saat
buku ini diterbitkan, tetapi segera akan menjadi standar penting bagi auditor internal dan
spesialis kontrol internal.
Bab ini kemudian memperkenalkan metodologi untuk menilai risiko proses organisasi,
penilaian dan peringkat risiko-risiko tersebut, dan kemudian untuk menilai dan mengendalikan
risiko-risiko tersebut. Manajemen risiko adalah alat penting bagi auditor internal. Auditor
internal modern saat ini harus fokus pada pemahaman risiko relatif ketika merencanakan dan
mengembangkan kegiatan audit internal.

2.2.1 TAHAPAN MANJEMAN RESIKO

Tahapan manajemen risiko umumnya dikenal sebagai:
1. Identifikasi -- Identifikasi Proses manajemen risiko dimulai dengan suatu metode untuk
mengidentifikasi semua risiko yang menghadapi sebuah organisasi. Hal ini harus
melibatkan semua pihak yang memiliki keahlian, tanggung jawab dan berpengaruh atas
wilayah dipengaruhi oleh risiko yang bersangkutan. Semua risiko dibayangkan harus
diidentifikasi dan dicatat. Resiko bisnisadalah benar-benar tentang jenis masalah, dan
bukan hanya bencana yang lebih terkenal, tindakan Tuhan atau risiko terhadap
keselamatan pribadi. Penilaian Tahap berikutnya adalah untuk menilai pentingnya
risiko yang telah diidentifikasi.
2. assessment--Penilaian Tahap selanjutnya adalah menilai signifikansi risiko yang telah
diidentifikasi. Ini harus berkisar pada dampak dua dimensi, kemungkinan pertimbangan
yang kita miliki
3. Management-- Berbekal pengetahuan tentang risiko apa yang signifikan dan mana
yang kurang,Prosesnya memerlukan pengembangan strategi untuk mengelola risiko
dampak tinggi dan berisiko tinggi. Hal ini memastikan bahwa semua risiko utama
ditangani dan sumber daya disalurkan ke area yang paling banyak keprihatinan, yang
telah diidentifikasi melalui metodologi terstruktur.
4. Review -- keseluruhan proses dan keluaran manajemen risiko harus ditinjau dan ditinjau
kembali dasar yang terus-menerus. Ini harus melibatkan pembaharuan strategi
manajemen risiko dan mengkaji ulang validitas proses yang sedang diterapkan di
seluruh organisasi.
 GAMBAR 2.3 Manajemen risiko

Definisi ERM ini sedikit lebih kompleks daripada definisi COSO tentang pengendalian
internal, seperti yang dibahas pada Bab 4. Kerangka kerja ERM memperkenalkan beberapa
konsep dan terminologi baru yang akan digunakan untuk mempertimbangkan manajemen
risiko serta beberapa konsep baru yang telah digunakan oleh spesialis manajer risiko di masa
lalu, tetapi kurang akrab dengan banyak auditor internal. Konsep ERM yang lebih baru ini
harus segera menjadi bagian dari kosa kata auditor internal modern:
 ERM adalah suatu proses. Sebagaimana ditekankan di seluruh buku ini, auditor internal
harus berpikir dalam hal proses, bukan aplikasi atau sistem. Proses bisnis merupakan
cara yang efektif untuk memikirkan kegiatan bisnis dengan titik awal dan akhir yang
ditentukan. Proses mendorong operasi internal, merampingkan interaksi mitra, dan
menetapkan aturan bisnis untuk praktik terbaik. Proses yang terdefinisi dengan baik
membentuk dasar bagi prosedur dan implementasi teknologi yang efektif. Di masa lalu,
beberapa orang memikirkan langkah-langkah untuk membayar tagihan vendor hanya
dalam hal sistem pembayaran hutang tradisional. Namun, memikirkan kegiatan ini dalam
halpembayaran vendor proses sering dimulai dengan penerimaan dan persetujuan faktur
vendor, pergi ke sistem hutang akun otomatis, dan berakhir dengan penutupan dan
penerbitan cek. Sama seperti proses pembayaran vendor lebih dari sekedar sistem
hutang, ERM harus dianggap bukan sebagai satu sistem atau prosedur tetapi sebagai
proses keseluruhan organisasi.
ERM bukanlah satu peristiwa atau keadaan, tetapi serangkaian tindakan yang
mencakup berbagai kegiatan entitas. Karena fokus pada risiko, tindakan ini harus
meresap dan melekat dalam cara organisasi dikelola. Biaya dan pengendalian biaya harus
menjadi bagian dari pemikiran proses ERM ini. Menambahkan proses baru, dengan
tujuan untuk meningkatkan manajemen risiko, dapat memiliki implikasi penting dalam
 pasar yang sangat kompetitif yang dihadapi banyak organisasi. Menambahkan prosedur
baru yang terpisah dari yang ada menambah biaya, dan organisasi harus berusaha untuk
membangun proses ERM ke dalam struktur operasi yang ada.
 ERM dipengaruhi oleh orang-orang. Orang-orang di organisasi mana pun — dewan
direktur, manajemen, karyawan, dan pemangku kepentingan terkait — semuanya secara
signifikan memengaruhi proses ERM dengan apa yang mereka lakukan dan katakan.
Tindakan orang di semua tingkatan membangun misi, strategi, dan tujuan organisasi
yang efektif. Meskipun direksi terutama memberikan pengawasan, mereka membawa
arahan dan menyetujui strategi, transaksi tertentu, dan kebijakan. Sementara semua
karyawan dan pemangku kepentingan bertanggung jawab untuk menerapkan dan
mengoperasikan proses ERM yang efektif, dukungan kuat dari dewan dan manajemen
senior sangat penting. Rangkaian pesan “nada di atas” yang kuat akan memastikan
keberhasilan proses ERM organisasi.

Tanpa pesan yang kuat itu, para sinis dalam organisasi dapat melihat pesan terkait ERM
hanya sebagai "slogan bulan ini" dan cenderung mengabaikannya.
Proses ERM tidak akan pernah efektif jika hanya disampaikan sebagai
serangkaian slogan yang terdengar kosong atau sebagai manual prosedur tebal yang
diletakkan di rak buku tetapi menerima sedikit perhatian lebih lanjut. Lebih buruk lagi
adalah bagan Visio yang sangat kompleks dan spreadsheet Excel yang terkadang
dipersiapkan untuk mendefinisikan suatu proses. Semua anggota organisasi perlu
memahami pentingnya manajemen risiko di seluruh organisasi dan dalam fungsi spesifik
mereka sehubungan dengan risiko organisasi tersebut. Proses manajemen risiko tidak
akan pernah efektif kecuali jika dianut oleh sekelompok besar orang dalam organisasi.
 ERM harus diterapkan dalam menetapkan strategi organisasi. Organisasi sering
mendefinisikan dirinya sendiri melalui pernyataan misi formal dan juga menetapkan
tujuan strategis, tujuan tingkat tinggi yang selaras dengan dan mendukung misi ini. Ada
juga kebutuhan untuk menetapkan strategi untuk mencapai tujuan tersebut, dengan
mempertimbangkan risiko relatif terhadap strategi alternatif apa pun. Tujuan-tujuan ini
harus mengalir ke seluruh organisasi, ke unit bisnis, divisi, dan prosesnya.
 ERM harus diterapkan di seluruh organisasi. Aspek ERM ini hampir tersirat dalam
elemen lain dari definisi ERM. Untuk menjadi program manajemen risiko yang
konsisten, ERM harus diterapkan secara konsisten di semua tingkatan organisasi.
Tindakan yang terjadi di tingkat kantor perusahaan — sering disebut "tingkat-C" - juga
harus diterapkan di tingkat yang kurang senior. Pendekatan implementasi