Proses Bisnis

 

Proses bisnis adalah serangkaian aktivitas dalam organisasi yang dirancang untuk mencapai tujuan dan sasaran organisasi secara efektif dan efisien. Kategori proses bisnis: proses operasi (operating processes), proses manajemen dan proses pendukung (management andsupport processes), serta proses projek (projects).

1. Proses operasi, adalah aktivitas bisnis harian untuk penciptaan nilai tambah (value-creation activities) bagi stakeholders
2. Proses manajemen dan proses pendukung, adalah aktivitas yang berkaitan dengan manajemen atau pengelolaan proses operasional dan dukungan terhadap proses operasional, yang tujuanya adalah penciptaan nilai (value-creation) terhadap produk atau jasa yang dihasilkan perusahaan.
3. Proses projek, adalah aktivitas yang berkaitan dengan kegiatan bisnis yang bersifat unik dan tidak dilaksanakan secara terus menerus

Proses bisnis mencakup:

1. Pernyataan visi dan misi.
2. Tujuan organisasi (stratejik, operasi, pelaporan, dan kepatuhan)
3. Value statement (pernyataan tentang nilai tambah atas barang/jasa yang ditawarkan oleh organisasi)
4. Sasaran tahunan organisasi
5. Sasaran tahunan subbagian inti organisasi
6. Presentasi rencana strategis dan dokumen-dokumen yang terkait

Untuk memastikan efektifitas dan efisiensi proses audit, internal auditor harus selalau meng-update pemahamannya terhadap strategi perusahaan, yang akan diwujudkan dalam proses bisnis perusahaan.

Setelah memahami proses bisnis, langkah selanjutnya (baik top-down maupun bottom-up )untuk memahami tujuan utama dari proses bisnis, dengan mengajukan sejumlah pertanyaan sebagai berikut :

1. Mengapa proses bisnis berjalan demikian?
2. Bagaimana proses untuk mendukung strategi organisasi dan memberikan kontribusi terhadap sukses organisasi?
3. Bagaimana harapan terhadap tindakan orang?
4. Proses apa lagi yang diperlukan untuk mendukung pencapaian tujuan organisasi?

KPIs (Key Performance Indicators) harus ditetapkan untuk memonitor kinerja dari prosesbisnis.Setelah tujuan dari proses bisnis teridentifikasi, langkah selanjutnya adalah mencermati proses input dan proses lain yang diperlukan untuk mencapai tujuan.Untuk memahami hubungan antara input dan proses dalam menghasilkan output, lakukan review terhadap dokumen pendukung, yang mencakup :

   a. Manual/pedoman prosedur dalam proses bisnis.

   b. Kebijakan yang berkaitan dengan proses.

   c. Deskripsi kerja untuk orang-orang yang terlibat dalam proses.

   d. Peta proses untuk mendeskripsikan arus proses

Dokumentasi Proses Bisnis

Dokumen proses bisnis harus dibuat oleh pelaku proses dan orang-orang yang terlibat dalam proses.

Dokumen proses bisnis bermanfaat untuk :

   1. Alat orientasi bagi personel baru

   2. Mendefinisikan area tanggungjawab

   3. Evaluasi efektivitas dan efisiensi sistem

   4. Menentukan area proses area bisnis yang harus mendapatkan perhatian utama

   5. Mengidentifikasi risiko-risiko signifikan dan prosedur pengendaliannya

Urutan dokumentasi proses bisnis ;

1. Process map, adalah pemetaan proses bisnis untuk mereprentasikan hubungan input, proses, dan output. Proses map bisa juga dilengkapi dengan narasi untuk penjelasan
2. Process write-ups, adalah penulisan proses bisnis untuk mendeskripsikan peta proses bisnis yang telah digambarkan dalam process map

Risiko Bisnis

    Setelah auditor memahami tujuan organisasi dan proses kunci untuk mencapai tujuan,langkah selanjutnya adalah mengevaluasi risiko yang bisa menghambat pencapaian tujuan.Kemampuan CAE (Chief Audit Executive) dalam mengidentifikasi risiko bisnis akan menentukan kemampuan auditor dalam menjalankan misinya serta memberikan nilai tambah bagi organisasi. Meskipun tersedia alat yang cukup banyak untuk menganalis profil risiko, pengukuran risiko bisnis tetap masih dalam bentuk proses yang subjektif, yang sangat membutuhkan pengalaman dan judgment yang sehat (sound judgement)

Basic Business Risk Model

Strategic Risks (Risiko Strategis)

• Eksternal, mencakup perubahan sbb: peraturan dan hukum, kompetisi,dinamika pasar, industry, dan teknologi.
• Internal, mencakup: reputasi, fokus strategi, kepuasan konsumen,governance.

Compliance Risks (Risiko Kepatuhan)

• Eksternal, mencakup: kontrak, peraturan, tuntutan hukum, dan perizinan
• Internal, mencakup: etika, kebijakan, kecurangan, dan tindakan ilegal.

Reporting Risks (Risiko Pelaporan)

• Eksternal, mencakup: pelaporan akuntansi dan keuangan serta perpajakan.
• Internal, mencakup pelaporan: anggaran, kinerja, pengendalian internal, dan kepatuhan terhadap aturan
• Sumberdaya informasi, mencakup: kemudahan akses, ketersediaan,integritas data, kelengkapan infrastruktur, dan privasi.

Operations Risks (Risiko Operasi)

• Proses, mencakup: rantai pasokan (supply chain), kapasitas, pelaksanaan proses, keamanan, kelangsungan bisnis, siklus operasi, bencana, kelambanan inovasi
• Manusia, mencakup: ketersediaan SDM, kepemimpinan, SDM inti, insentifkinerja, pemberdayaan, perubahan tuntutan keterampilan, dan komunikasi.
• Keuangan, mencakup: tingkat bunga, kurs valas, kapasitas, default (kegagalan keuangan), konsentrasi, ketersediaan modal, manajemen kas, harga komoditas, dan jangka waktu

Alternatif Tanggapan Risiko

• Avoidance (menghindari risiko), misalnya melalui menurunkan perluasan pasar,menjual divisi usaha, menghentikan produk yang kinerjanya rendah
• Reduction (menurunkan risiko), misalnya melalui peningkatan pengawasan.
• Sharing (membagi risiko), misalnya melalui program asuransi.
• Acceptance (mengambil risiko), misalnya dengan mengubah strategi untuk memanfaatkan risiko

Business Process out Sourcing

• Business Process Outsourcing (BPO) adalah pengalihan pelaksanaan proses bisniskepada penyedia jasa proses bisnis di luar perusahaan untuk tujuan peningkatan efektifitas dan efisiensi proses bisnis.
• Outsourcing berawal dari bidang TI, tetapi kemudian berkembang ke bidang SDM,rekayasa (engineering), pelayanan konsumen, keuangan dan akuntansi, dan logistik

Praktik yang sehat dalam BPO :

1. Melibatkan internal auditor dalam seluruh proses BPO.
2. Verifikasi terhadap seluruh departemen/ bagian pendukung proses bisnis, seperti bagian legal, bagian pengamanan informasi, dan bagian SDM.
3. Memahami argumen tentang bagaimana dan mengapa memutuskan BPO.
4. Verifikasi pertimbangan pemilihan alternatif BPO.
5. Membuat dokumentasi proses konversi ke BPO.
6. Membuat bagan alir untuk proses bisnis yang penting.
7. Verifikasi analisis strategis untuk memastikan keselarasan dengan sasaran organisasi
8. Verifikasi analisis kos dan manfaat.
9. Lakukan asesmen risiko secara cermat.
10. Verifikasi cara pengawasan BPO termasuk personalia yang ditugasi untuk melakukan pengawasan

Manajemen Risiko

 

Audit Internal atau Internal Audit memiliki peranan penting dalam keberjalanan perusahaan. Pada era modern ini perkembangan Manajemen organisasi khususnya di perusahaan sangat memerlukan peran audit internal. Audit internal digunakan untuk mendukung keberjalanan manajemen perusahaan sebagai fungsi controlling yang menjamin perusahaan berjalan sesuai dengan perencanaan dan mengarah kepada tujuan.

Adapun tugas internal audit yang dilakukan auditor adalah melakukan audit internal perusahaan dengan menjamin sistem/manajemen yang ada di perusahaan supaya berjalan sesuai yang diinginkan. Selain itu dengan adanya audit internal dapat menghindari adanya resiko kesalahan, penyalahgunaan, dan kendala dengan mengembangkan efisiensi dan efektivitas perusahaan. Oleh karena itu perusahaan seharusnya menyusun SOP audit internal serta melakukan pengendalian internal audit di dalam perusahaan dengan tujuan pengembangan perusahaan.

Manajemen risiko terdiri dari dua kata berbeda. Seperti yang kita tahu manajemen secara umum berarti mengorganisir. Sedangkan dalam KBBI kata risiko berarti : akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan. Dalam bisnis sendiri, risiko berkaitan dengan hasil aktual yang tidak sesuai dengan hasil harapan.

Menangani risiko dengan menghindar bisa sangat efektif bila keuntungan yang didapat tidak sebanding dengan risiko yang akan diterima. Tapi strategi ini juga tidak bisa digunakan sebagai cara utama karena kita mungkin melewatkan keuntungan besar dari risiko yang kita hadapi.  Jadi kita harus tahu secara jelas bagaimana karakteristik dari risiko tersebut dan telah mengujinya dengan beberapa cara lain. Cara yang kedua adalah dengan mengurangi risiko yang diterima. Cara ini bisa dibilang paling umum dan cocok pada rentang risiko yang luas. Kita tetap bisa beraktivitas seperti biasa namun dengan bahaya yang berkurang. Namun kekurangannya adalah saat kontrol kita tidak efektif risiko yang kita takutkan bisa terjadi.

Internal audit adalah kegiatan yang independen dan objectif beserta konsultasi yang disusun untuk meningkatkan nilai dan operasional organisasi/perusahaan. Internal audit dapat mendukung organisasi/perusahaan dalam pencapaian tujuannya dengan cara pendekatan yang terstruktur dan disiplin. Pendekatan internal audit tersebut dilakukan dengan cara evaluasi dan meningkatkan keefektifan manajemen resiko, controlling dan proses tata kelola. tujuan internal audit adalah membantu manajemen perusahaan menjalankan tugas melalui analisa, penilaian, dan pemberian saran dan masukan mengenai kegiatan/program (yang masuk dalam pemeriksaan).

 Manajemen resiko adalah suatu sistem pengawasan risiko dan perlindungan harta benda, hak milik dan keuntungan badan usaha atau perorangan atas kemungkinan timbulnya kerugian karena adanya suatu risiko. Proses pengelolaan risiko yang mencakup identifikasi, evaluasi dan pengendalian risiko yang dapat mengancam kelangsungan usaha atau aktivitas perusahaan Suatu pendekatan terstruktur/ metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk: Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan /pengelolaan sumberdaya

Manajemen risiko merupakan bagian yang tak terpisahkan dari bentuk manajemen sebuah perusahaan berkualitas. Manajemen risiko ini sendiri kerap dikaitkan dengan proses audit internal yang dilakukan secara berkala oleh pihak perusahaan itu sendiri.

Fungsi utama dari manajemen risiko adalah untuk mengidentifikasi dan mengelola risiko yang ada, sementara tugas utama dari audit internal adalah untuk memastikan bahwa semua risiko yang dihadapi perusahaan telah ditangani dengan maksimal. Di sisi lain, tuntutan dari berbagai aspek, baik internal maupun eksternal perusahaan membuat keberadaan audit internal sebagai pelengkap sistem manajemen risiko menjadi semakin dibutuhkan.

Tuntutan tersebut hadir dalam berbagai bentuk yaitu:

1. Tuntutan dari para pemegang kebijakan dan pemegang saham yang mengharuskan pihak perusahaan untuk lebih meningkatkan kontrol, tanggung jawab, dan disiplin. Ketidakmampuan dalam mematuhi aturan yang ada akan merugikan reputasi dan keberlangsungan perusahaan itu sendiri. Proses audit internal akan memastikan persentase dari program risiko dan kepatuhan yang telah dijalankan oleh perusahaan.

2. Risiko dalam hal keuangan yang semakin kompleks. Kebijakan dalam hal investasi, pinjaman, dana cadangan perusahaan, serta portofolio nilai kredit perusahaan membutuhkan pengawasan secara terus menerus untuk memastikan bahwa semua kemungkinan risiko yang dapat terjadi sewaktu-waktu telah diantisipasi sebelumnya.

3. Risiko keamanan dari pihak penyedia. Pihak manajemen sebuah perusahaan, khususnya bagian manajemen risiko perlu lebih mempersiapkan diri menghadapi risiko yang dibawa oleh pihak penyedia atau supplier. Pihak supplier yang melanggar kontrak atau menghadapi permasalahan finansial akan berdampak buruk bagi pihak-pihak yang terkait termasuk juga pihak perusahaan.

4. Risiko keamanan yang semakin bertambah. Risiko keamanan yang dihadapi pihak perusahaan menjadi semakin bertambah dari waktu ke waktu, mulai dari kasus pencurian yang dilakukan oleh karyawan hingga pembobolan jaringan komputer oleh peretas. Proses audit internal perlu dilakukan untuk memastikan bahwa sistem dan kebijakan yang ada memiliki kemampuan untuk menangkan semua serangan tersebut.

5. Risiko tuntutan hukum atas kelalaian yang terjadi. Saat ini, risiko mendapat tuntutan hukum dari pihak yang merasa dirugikan oleh pihak lain menjadi semakin besar. Kasus-kasus seperti ini dapat berujung pada kerugian baik secara finansial ataupun bisnis. Tingkat kepercayaan masyarakat terhadap pihak yang mendapat tuntutan juga akan berkurang, yang nantinya akan merugikan pihak tersebut. Pelaksanaan audit internal akan memastikan bahwa segala celah yang rentan akan tuntutan hukum telah memiliki jaring pengaman.

Dengan adanya semua tuntutan tersebut, keberadaan audit internal menjadi sangat penting dan berdiri sejajar dengan proses manajemen risiko. Keberadaan manajemen risiko sendiri tidak akan 

Fungsi Audit Internal dan Piagam Audit Internal

 

Fungsi Audit Internal

1. Pengawasan memiliki Lingkup tidak terbatas 

Menurut Hiro Tugiman (2007), fungsi adanya audit internal dapat digunakan sebagai pengawasan . Jadi memiliki kebebasan untuk melakukan evaluasi termasuk memiliki kebebasan melakukan pengujian yang dilakukan oleh organisasi/perusahaan. 

2. Memantau kinerja Pengendalian intern entitas 

Sementara fungsi dari audit menurut Mulyadi dapat digunakan untuk pemantauan kerja. Dimana dari pemantauan inilah yang dapat mengendalikan intern entitas. Cara kerja dari audit intern adalah ketika auditor harus memahami fungsi audit intern untuk mengidentifikasi aktivitas yang relevan dengan perencanaan audit. 

3. Sebagai untuk Melindungi

Seperti yang sudah dibahas sebelumnya, umumnya hanya perusahaan dan organisasi besar saja yang membutuhkan audit internal. Maka sudah sepantasnya jika mereka menggunakan audit ini demi melindungi asset yang sudah mereka kumpulkan dan mereka bangun selama ini.

Selain itu juga berfungsi untuk meminimalisir terjadinya penipuan yang dilakukan oleh pekerja, karyawan atau oknum penghianat di dalam tubuh perusahaan/organisasi. 

4. Meningkatkan efisiensi dalam operasi

Fungsi lain yang tidak kalah penting adalah dapat digunakan untuk meningkatkan efisiensi dalam operasi. baik itu operasi kinerja kerja karyawan ataupun proses produksi dalam skala besar. 

5. Meningkatkan keandalan dan integritas keuangan

Sebagai perusahaan/organisasi yang besar, tentu saja tidak sekedar besar dari segi nama atau brand. Tetapi juga memiliki integritas dan keandalan. Mereka tidak hanya menjual produk. Termasuk dalam pengelolaan keuangan pun juga harus berintegritas. Jika salah mengelola keuangan, pasti akan terjadi masalah baru yang akan menyertainya. 

6. Memastikan kepatuhan terhadap hukum

Fungsi audit internal adalah dapat digunakan sebagai perlindungan. Sekaligus dapat digunakan sebagai bentuk kepatuhan terhadap hukum dan peraturan perundang-undangan. Sebagai Negara hukum sudah seharusnya dan sepantasnya mengikuti aturan hukum agar tidak terjadi hal-hal yang tidak diinginkan. 

7. Menetapkan prosedur monitoring

Karena skalanya sudah besar, maka audit internal dapat digunakan sebagai penetapan prosedur monitoring.  Seorang owner tidak mungkin melakukannya sendiri, pasti butuh stakeholder terpercaya agar seluruh aspek termonitoring dengan baik. 

Piagam Audit Internal

Piagam Audit Intern (Internal Audit Charter) merupakan dokumen formal yang menyatakan tujuan, wewenang, dan tanggung jawab kegiatan pengawasan intern oleh Aparat Pengawasan Intern Pemerintah.

Piagam Internal Audit (Internal Audit Charter) adalah dokumen formal yang disahkan oleh Dewan Komisaris dan Direksi sebagai bentuk wujud komitmen dari Dewan Komisaris dan Direksi atas fungsi pengendalian intern yang dilaksanakan oleh Unit Internal Audit dalam Struktur Organisasi Perusahaan sehingga dapat dijadikan pedoman bagi setiap Internal Auditor dalam melaksanakan kegiatan pengendalian intern secara independen dan obyektif untuk menciptakan efektivitas corporate governance, pengendalian intern, risk assessment dan pengelolaan perusahaan secarakeseluruhan.

Piagam Internal Audit (Internal Audit Charter) wajib disosialisasikan agar dipahami oleh seluruh pihak terkait dalam rangka menciptakan kerjasama yang baik dalam mewujudkan isi, misi serta tujuan Internal Audit.

Unit Internal Audit dan Piagam Internal Audit (Internal Audit Charter dibutuhkan agar peran Internal Audit di perusahaan menjadi lebih baik dengan hasil yang bermutu, konsisten, bermanfaat bagi perbaikan efisiensi dan efektivitas operasional serta peningkatan kinerja suatu perusahaan.

VISI DAN MISI INTERNAL AUDIT

1.      VISI

Menjadi mitra kerja unit yang profesional, independen, obyektif, terpercaya dan mampu memberikan nilai tambah bagi Perusahaan dengan prinsip-prinsip Good Corporate Governance (GCG).

2.      MISI

a.       Memberikan keyakinan yang independen dan obyektif kepada stakeholder melalui Direktur Utama dalam melakukan pengawalan atas tercapainya sasaran dan tujuan Perusahaan (peningkatan Customer Satisfaction Index (CSI), peningkatan pendapatan, kontribusi kepada lingkungan, Reasonable Cost Sound Organization yang berlandaskan pada prinsip prinsip Good Corporate Governance (GCG).

b.      Melakukan pengendalian intern dan memberikan konsultasi yang independen dan obyektif kepada Manajemen dan Komisaris melalui Direktur Utama dalam meningkatkan dan memperbaiki efektivitas operasional melalui evaluasi terhadap :

1) Rencana Jangka Panjang dan Jangka Pendek Perusahaan.

2) Audit dan Penilaian yang sistematis dan berbasis resiko atas pengendalian intern.

3) Risk assessment pada Manajemen Resiko.

4) Tata Kelola Information Technology

5) Proses Good Corporate Governance(GCG)

6) Kinerja Perusahaan.

Piagam audit internal harus disetujui oleh fungsi oversight dan disepakati dengan manajemen. Piagam audit internal setidaknya mencakup misi dan tujuan audit internal, kewenangan, tanggung jawab, hubungan pelaporan audit internal, lingkup dan persyaratan kesesuaian dengan standar IIA.

Tujuan dari penyusunan Piagam Audit Internal adalah untuk menegaskan visi, misi, fungsi, ruang lingkup, akuntabilitas, independensi, peran, wewenang, dan tanggung jawab , ketidakberpihakan dan kode etik SKAI. Visi Menjadi Satuan Kerja Audit Internal yang membanggakan Perusahaan.

Kenapa harus dibuat Piagam Komite audit audit Charter?

Piagam Komite Audit ini dimaksudkan untuk menjadi acuan dan pedoman kerja bagi Komite Audit dalam menjalankan tugas dan wewenangnya secara efisien, efektif, transparan, kompeten, independen dan dapat dipertanggungjawabkan berdasarkan atas ketentuan peraturan perundang-undangan yang berlaku.

 

Tata Kelola

 

Rencana audit harus dikembangkan berdasarkan penilaian resiko yang dihadapi organisasi. Semua proses tata kelola harus dipertimbangkan dalam penilaian resiko tersebut. Rencana audit harus mencakup proses tata kelola yang memiliki risiko tinggi, dan mencakup pula proses atau area risiko yang diminta oleh manajemen eksekutif dan Dewan untuk dipertimbangkan. Rencana tersebut harus mendefinisikan sifat pekerjaan yang akan dilakukan, proses tata kelola yang dituju, dan sifat dari penilaian yang akan dibuat. Misalnya, penilaian secara makro terhadap keseluruhan kerangka tata kelola, ataukah penilaian secara mikro terhadap risiko spesifik pada proses atau aktivitas tertentu, atau beberapa kombinasi dari keduanya.

Rencana audit harus mencakup proses tata kelola yang memiliki risiko tinggi, dan mencakup pula proses atau area risiko yang diminta oleh manajemen eksekutif dan Dewan untuk dipertimbangkan. Rencana tersebut harus mendefinisikan sifat pekerjaan yang akan dilakukan, proses tata kelola yang dituju, dan sifat dari penilaian yang akan dibuat. Misalnya, penilaian secara makro terhadap keseluruhan kerangka tata kelola, ataukah penilaian secara mikro terhadap risiko spesifik pada proses atau aktivitas tertentu, atau beberapa kombinasi dari keduanya.

Penilaian audit internal terhadap proses tata kelola sangat mungkin didasarkan pada informasi yang diperoleh dari berbagai penugasan audit dari waktu ke waktu. Auditor internal harus mempertimbangkan :

1. Hasil audit terhadap proses tata kelola tertentu (misalnya: proses whistleblower, proses manajemen strategi)
2. Isu-isu tata kelola yang timbul dari audit lain yang tidak secara khusus berfokus pada tata kelola (misalnya: audit proses manajemen risiko, pengendalian internal atas pelaporan keuangan, risiko kecurangan)
3. Hasil kerja penyedia layanan pemastian lainnya, baik internal dan eksternal (misalnya: audit oleh KAP, BPKP, BPK, dsb).
4. Informasi lain tentang isu-isu tata kelola misalnya suatu insiden merugikan yang memberikan peluang untuk memperbaiki proses tata kelola.

Aktivitas audit internal adalah bagian penting dari proses tata kelola. Dewan dan manajemen eksekutif harus bisa mengandalkan efektivitas program pemastian kualitas dan peningkatan atas aktivitas audit internal dilakukan sesuai dengan Standar Internasional untuk Praktik Profesional Audit Internal.

Hubungan Tata Kelola dengan Risiko dan Pengendalian

Sebagaimana yang telah didefinisikan terdahulu, tata kelola (governance) oleh Standar diartikan sebagai ”Kombinasi proses dan struktur yang diterapkan oleh Dewan untuk menginformasikan, mengarahkan, mengelola, dan memantau kegiatan organisasi dalam rangka pencapaian tujuan.”

 Aktivitas Audit Internal perlu menyadari bahwa tata kelola bukanlah merupakan himpunan proses dan struktur yang berdiri sendiri, terpisah dari sistem lainnya. Tata kelola juga memiliki keterkaitan dengan manajemen risiko dan juga pengendalian internal.

Aktivitas tata kelola yang efektif mempertimbangkan risiko pada saat menyusun strategi. Sebaliknya, manajemen risiko didasarkan pada tata kelola yang efektif (misalnya, tone at the top, selera risiko dan toleransi risiko, budaya risiko, dan pengawasan manajemen risiko). Tata kelola yang efektif juga bergantung pada pengendalian internal dan komunikasi efektivitas pengendalian-pengendalian tersebut kepada Dewan.

Sementara itu, pengendalian dan risiko juga saling terkait, mengingat pengendalian merupakan “setiap tindakan yang diambil oleh manajemen, Dewan, dan pihak-pihak lain untuk mengelola risiko dan meningkatkan kemungkinan bahwa sasaran yang ditetapkan akan dapat dicapai.”

CAE harus mempertimbangkan hubungan-hubungan tersebut dalam perencanaan penilaian terhadap proses tata kelola:

1. Suatu penugasan audit harus melihat pengendalian-pengendalian dalam proses tata kelola yang dirancang untuk mencegah atau mendeteksi kejadian yang dapat berdampak negatif terhadap pencapaian strategi organisasi, tujuan, dan sasaran; efisiensi dan efektivitas operasional; pelaporan keuangan; atau kepatuhan terhadap hukum dan perundang-undangan yang berlaku.
2. Pengendalian-pengendalian di dalam proses tata kelola seringkali signifikan dalam mengelola beberapa risiko sekaligus di seluruh organisasi.
3. Jika penugasan audit lainnya pernah menilai pengendalian dalam proses tata kelola (misalnya, audit terhadap pengendalian atas pelaporan keuangan, proses manajemen risiko, atau kepatuhan), auditor perlu mempertimbangkan untuk mengandalkan hasil audit-audit tersebut.

Definisi Tata Kelola

Sesuai Standar Internasional untuk Praktik Profesional Audit Internal (“Standar”), lingkup aktivitas audit internal di antaranya adalah Tata Kelola (governance). Pada Standar 2110 yang mengatur tentang Tata Kelola disebutkan bahwa aktivitas audit internal harus menilai dan membuat rekomendasi yang sesuai untuk meningkatkan proses tata kelola organisasi dalam rangka pemenuhan tujuan-tujuan sebagai berikut:

1. Mempromosikan etika dan nilai-nilai yang pantas di dalam organisasi.
2.  Memastikan manajemen dan akuntabilitas kinerja yang efektif.
3. Mengkomunikasikan informasi risiko dan pengendalian ke area-area yang terkait di dalam organisasi.
4. Mengkoordinasikan kegiatan Dewan serta mengkomunikasikan informasi di antara mereka, auditor eksternal dan internal, dan manajemen

Selanjutnya IIA memberikan panduan lebih rinci sebagai berikut:

1.  Peran audit internal sebagaimana tercantum dalam Definisi Internal Audit meliputi pula tanggung jawab untuk mengevaluasi dan memperbaiki proses tata kelola sebagai bagian dari fungsi pemastian (assurance).
2. Istilah tata kelola memiliki beragam definisi tergantung pada berbagai keadaan lingkungan, struktural, dan budaya, serta kerangka hukum. Standar mendefinisikan Tata Kelola sebagai: “Kombinasi proses dan struktur yang diterapkan oleh Dewan untuk menginformasikan, mengarahkan, mengelola, dan memantau kegiatan organisasi dalam rangka pencapaian tujuan.” CAE dapat menggunakan definisi yang berbeda untuk tujuan audit apabila organisasi telah mengadopsi kerangka atau model tata kelola yang berbeda.
3. Secara global, terdapat berbagai model tata kelola yang telah diterbitkan oleh organisasi lain serta badan regulator tertentu. Dalam banyak kasus, ada indikasi bahwa tata kelola adalah sebuah proses atau sistem, dan tidak bersifat statis. Apa yang membedakan pendekatan dalam Standar adalah penekanan khusus di Dewan dan kegiatan tata kelola mereka.
4. Kerangka kerja dan prasyarat bagi tata kelola dapat bervariasi antara organisasi satu dengan yang lain tergantung jenis organisasi dan regulasi terkait. Contohnya perusahaan publik, organisasi nirlaba, asosiasi, pemerintahan, lembaga akademik, perusahaan swasta, komisi, dan bursa efek akan dapat memiliki tata kelola yang berbeda-beda.
5. Demikian pula, desain organisasi dan praktik prinsip-prinsip tata kelola yang efektif juga dapat bervariasi tergantung pada kompleksitas, ukuran, dan siklus kematangan hidup organisasi, struktur pemangku kepentingan, persyaratan hukum dan budaya, dan lain-lain.
6. Sebagai konsekuensi dari desain dan struktur tata kelola yang bervariasi tersebut, CAE harus bekerja dengan Dewan dan manajemen eksekutif, untuk menentukan bagaimana tata kelola harus didefinisikan untuk tujuan audit.
7. Audit internal merupakan bagian integral dari kerangka tata kelola organisasi. Posisi mereka yang unik dalam organisasi memungkinkan auditor internal untuk mengamati dan menilai secara formal struktur tata kelola, desain, serta efektivitas operasionalnya, dengan tetap independen.
8. Hubungan antara tata kelola, manajemen risiko, dan pengendalian internal harus dipertimbangkan. Masalah tersebut dibahas dalam PA 2110-2. Sedangkan PA 2110-3 membahas penilaian tata kelola.

Standar 2110 – Tata Kelola

2110 – Tata Kelola

Aktivitas Audit Internal harus mengevaluasi dan membuat rekomendasi yang tepat untuk memperbaiki proses tata kelola dalam pencapaian tujuan-tujuan sebagai berikut:

1.  Mempromosikan etika dan nilai-nilai yang pantas dalam organisasi
2. Memastikan manajemen dan akuntabilitas kinerja organisasi yang efektif
3. Mengomunikasikan informasi risiko dan pengendalian kepada bidang-bidang yang sesuai di dalam organisasi
4. Mengoordinasikan kegiatan dan mengomunikasikan informasi di antara Dewan, auditor internal dan eksternal, serta manajemen.

2110.A1 – Aktivitas Audit Internal harus mengevaluasi desain, implementasi, dan efektivitas tujuan, program, dan kegiatan organisasi yang berkaitan dengan etika.

2110.A2 – Aktivitas Audit Internal harus menilai apakah tata kelola teknologi informasi organisasi memperkuat dan mendukung strategi dan tujuan organisasi.

2110.C1 – Tujuan penugasan konsultasi harus konsisten dengan keseluruhan nilai-nilai dan tujuan organisasi.

3rd Lines of Model

 

Model Tiga Lini - Model yang sebelumnya dikenal sebagai Model Pertahanan Tiga Lini

Model Tiga Lini membantu organisasi untuk mengidentifikasi struktur dan proses yang terbaik dalam membantu pencapaian tujuan dan memfasilitasi tata kelola dan manajemen risiko yang kuat. Model ini dapat diterapkan pada semua organisasi dan telah dioptimalkan dengan cara :

1. Mengadopsi pendekatan berbasis prinsip-prinsip dan menyesuaikan model tersebut dengan tujuan dan lingkungan organisasi.
2. Berfokus pada kontribusi manajemen risiko dalam membantu pencapaian tujuan dan penciptaan nilai, dan juga pada hal-hal yang terkait dengan “pertahanan” dan perlindungan nilai
3. Memahami dengan jelas peran dan tanggung jawab yang direpresentasikan dalam model ini dan hubungan-hubungan diantara mereka.
4. Menerapkan langkah-langkah untuk memastikan aktivitas dan tujuan telah selaras dengan kepentingan utama dari pemangku kepentingan.

Prinsip-prinsip Model Tiga Lini

Prinsip 1 Tata Kelola

Tata kelola organisasi membutuhkan struktur dan proses[1]proses yang memadai dan yang memungkinkan:

1. Akuntabilitas oleh organ pengurus kepada pemangku kepentingan dalam melakukan pengawasan organisasi dengan integritas, kepemimpinan dan keterbukaan.
2. Tindakan-tindakan (termasuk mengelola risiko) oleh manajemen untuk mencapai tujuan organisasi melalui pengambilan keputusan berbasis risiko dan penerapan sumberdaya.
3. Asurans dan advis oleh fungsi audit internal yang independen untuk memberikan kejelasan dan keyakinan serta mempromosikan dan memfasilitasi pengembangan berkelanjutan melalui tanya-jawab yang mendalam dan komunikasi yang berwawasan.

Prinsip 2 Peran Organ pengurus

Organ pengurus memastikan:

1)  Struktur dan proses-proses yang memadai telah tersedia untuk pelaksanaan tata kelola yang efektif.

2) Tujuan dan aktivitas organisasi telah selaras dengan kepentingan utama para pemangku kepentingan.

Organ Pengurus:

1) Mendelegasikan tanggung jawab dan menyediakan sumberdaya kepada manajemen untuk mencapai tujuan organisasi serta memastikan terpenuhinya kepatuhan terhadap hukum, ketentuan perundang-undangan dan nilai-nilai etika.

2)  Membentuk dan mengawasi fungsi audit internal yang independen, objektif, dan kompeten, guna memberikan kejelasan dan keyakinan atas progres terhadap pencapaian tujuan organisasi.

Prinsip 3 Peran Manajemen dan Lini Pertama da Kedua

Tanggung jawab manajemen untuk mencapai tujuan organisasi mencakup peran lini pertama dan kedua.  Peran-peran lini pertama secara langsung selaras dengan pemberian produk dan jasa kepada pelanggan organisasi, termasuk fungsi-fungsi pendukung . Peran-peran lini kedua memberikan bantuan terkait dengan pengelolaan risiko.

 Peran lini pertama dan lini kedua dapat dibentuk menjadi satu atau terpisah. Beberapa peran lini kedua dapat ditugaskan kepada para spesialis yang akan memberikan keahlian pelengkap, dukungan, pemantauan, dan kritik kepada mereka yang menjalankan peran lini pertama. Peran lini kedua dapat fokus pada tujuan manajemen risiko yang spesisfik, misalnya: kepatuhan terhadap hukum, peraturan, dan perilaku yang etis; pengendalian internal; keamanan teknologi dan informasi; keberlanjutan; dan asurans kualitas. Alternatif lainnya, peran lini kedua dapat mencakup tanggung jawab yang lebih luas dari manajemen risiko, seperti manajemen risiko secara keseluruhan entitas (ERM – enterprise risk management). Namun demikian, tanggung jawab untuk mengelola risiko tetap merupakan bagian dari peran lini pertama dan berada dalam ruang lingkup manajemen.

Prinsip 4 Peran Lini Ketiga

Audit Internal memberikan asurans dan advis yang independen dan objektif mengenai kecukupan dan efektivitas tata kelola dan manajemen risiko . Hal ini dapat tercapai melalui penerapan yang kompeten dari proses-proses, keahlian, dan wawasan yang sistematis dan terstruktur. Auditor internal melaporkan temuannya kepada manajemen dan organ pengurus untuk mendorong dan memfasilitasi pengembangan berkelanjutan. Dalam melaksanakan hal ini, audit internal dapat memepertimbangkan asurans dari penyedia asurans internal maupun eksternal.

Prinsip 5 Independensi Lini Ketiga

Independensi Audit Internal dari tanggung jawab manajemen adalah krusial terkait keobjektifan, kewenangan, dan kredibilitasnya. Independensi ini dibangun melalui: akuntabilitas kepada organ pengurus; akses tak terbatas pada sumber daya manusia, sumber daya organisasi, dan data yang dibutuhkan untuk menyelesaikan pekerjaannya; dan bebas dari bias atau campur tangan pihak lain dalam perencanaan dan menjalankan kegiatan audit.

Prinsip 6 Menciptakan dan Melindungi Nilai

Semua peran bekerja Bersama secara kolektif berkontribusi dalam menciptakan dan menjaga nilai dimana semua selaras satu sama lain dan dengan kepentingan yang menjadi prioritas pemangku kepentingan. Keselarasan aktivitas dicapai melalui komunikasi, kerja sama, dan kolaborasi. Hal ini memastikan keandalan. Keterkaitan, dan transparasi dari informasi yangh dibutuhkan dalam pembuatan keputusan berbasis risiko.

 

Peran-Peran Utama Dalam Model Tiga Lini

Organ pengurus :

1. Memiliki akuntabilitas kepada pemangku kepentingan untuk melakukan pengawasan terhadap organisasi.
2. Terlibat dengan pemangku kepentingan untuk memantau kepentingan mereka dan secara transparan mengkomunikasikan pencapaian tujuan-tujuan organisasi.
3. Menumbuhkan budaya yang mengedepankan perilaku etis dan akuntabilitas. Dll

Manajemen

Peran Lini Pertama  :

1. Memimpin dan mengarahkan tindakan-tindakan (termasuk pengelolaan risiko) dan penerapan sumberdaya untuk mencapai tujuan-tujuan organisasi.
2. Menjaga dialog yang berkelanjutan dengan organ pengurus dan melaporkan rencana, realisasi dan hasil yang diharapkan dihubungkan dengan pencapaian tujuan organisasi dan risikonya.
3. Mengembangkan dan memelihara struktur dan proses-proses yang memadai untuk pengelolaan operasional dan risiko (termasuk pengendalian internal).

Peran Lini Kedua :

1. Memberikan keahlian penunjang, dukungan, pemantauan dan tantangan dalam proses mengelola risiko, 
2. Memberikan analisis dan laporan-laporan mengenai kecukupan dan efektivitas manajemen risiko

Audit Internal

1. Menjaga akuntabilitas utama kepada organ pengurus dan independensinya dari pelaksanaan pekerjaan yang menjadi tanggung jawab manajemen.
2. Mengkomunikasikan asurans dan advis yang independen dan objektif kepada manajemen dan organ pengurus mengenai kecukupan dan efektifitas tata kelola dan manajemen risiko (termasuk pengendalian internal) untuk mendukung pencapaian tujuan-tujuan organisasi, serta mempromosikan dan memfasilitasi peningkatan yang berkelanjutan.

Penyedia asurans eksternal

a.       Memberikan asurans tambahan untuk:

a) Memenuhi ekspektasi ketentuan legislatif dan peraturan dalam rangka melindungi kepentingan pemangku kepentingan.

b) Memenuhi permintaan manajemen dan organ pengurus untuk melengkapi sumber asurans internal