Anda di halaman 1dari 57

BAB 6

IIA, COBIT, dan Standar Audit Lain profesional internal

Kunci standar internal auditor adalah standar profesional untuk praktek audit internal lembaga of

Internal Auditor (IIA), satu set bahan bimbingan dikenal sebagai Red Book oleh banyak auditor

internal. Bab ini merangkum standar IIA saat ini dan beberapa draft paparan diusulkan

perubahan saat ini dalam proses.

INSTITUTE OF INTERNAL AUDITOR STANDAR PRAKTEK proffesional

Sebagai audit internal organisasi profesi utama di seluruh dunia, IIA telah memiliki kode etik serta

satu set standar untuk mendukung definisi dari audit internal:

audit internal adalah, tujuan kegiatan penjaminan dan konsultasi independen yang

dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu

sebagai organisasi mencapai tujuannya dengan membawa sistematis, pendekatan

disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko,

pengendalian, dan proses tata kelola.

Dalam banyak hal, IIA telah membuat perubahan untuk mencerminkan realitas perubahan

proses bisnis dan prosedur pengendalian internal. Auditor internal profesional wajib dapat

mengetahui setiap perubahan standar audit internal dan memodifikasi praktek, jika diperlukan,

berdasarkan perubahan-perubahan standar.

Kode IIA Etik

Kode IIA Etik mempromosikan budaya etis dalam profesi audit internal. Kode ini ditampilkan

dalam pameran 6.1


Standar Praktek Profesional Audit internal

Sebagai organisasi profesi kunci audit internal, internal yang papan standar auditing yang IIA

mengembangkan dan isu-isu standar yang mendefinisikan praktek dasar audit internal. stnadards

ini, yang dikenal sebagai Standar Pelaksanaan profesional Audit Internal, yang dirancang untuk:

prinsip dasar Deline yang mewakili praktek audit internal sebagaimana mestinya
Menyediakan kerangka kerja untuk melakukan dan mempromosikan berbagai nilai tambah
kegiatan audit internal

Menetapkan dasar untuk pengukuran kinerja audit internal

Foster meningkatkan proses dan operasi

Standar Atribut Audit Intern

Standar IIA mengatasi karakteristik organisasi dan individu yang melakukan kegiatan audit internal

dan penutup 13 bidang yang luas terdaftar oleh nomor standar ayat mereka:

1000 - tujuan, wewenang, dan tanggung jawab. Tujuan, wewenang, dan tanggung

jawab aktivitas audit internal harus secara formal didefinisikan dalam piagam,

konsisten dengan standar, dan disetujui oleh dewan direksi.

1100 - independensi dan obyektivitas. Kegiatan audit internal harus independen dan

auditor internal harus bersikap objektif dalam melakukan pekerjaan mereka.

1200 - kemahiran dan perawatan profesional karena. Keterlibatan harus dilakukan dengan

kemampuan dan perawatan profesional karena.

1300 - jaminan kualitas dan program peningkatan. CAE harus mengembangkan dan

mempertahankan program kualitas dan perbaikan yang mencakup semua aspek kegiatan

audit internal dan senantiasa memantau efektivitas.

Standar Kinerja Internal Audit

Standar ini menggambarkan sifat kegiatan audit internal dan memberikan kriteria kualitas terhadap

resiko yang kinerjanya dapat diukur. Ada enam Standar Kinerja, diuraikan di bawah ini bersama dengan

substandards dan standar pelaksanaan yang berlaku untuk audit kepatuhan, penyelidikan penipuan, dan

kontrol proyek self assessment.

2000 - mengelola aktivitas audit internal: CAE harus mengelola aktivitas audit internal secara

efektif untuk memastikan hal itu menambah velue untuk organisasi. Standar ini meliputi enam

substandards: perencanaan, komunikasi dan persetujuan, manajemen sumber daya, kebijakan

dan prosedur, koordinasi, dan pelaporan ke papan dan manajemen senior.

2100 - sifat pekerjaan: aktivitas audit internal meliputi evaluasi dan kontribusi terhadap
peningkatan manajemen risiko, pengendalian, dan sistem pemerintahan.

2110 - manajemen risiko: audit internal harus membantu organisasi dengan mengidentifikasi

dan mengevaluasi eksposur yang signifikan terhadap risiko dan memberikan kontribusi

terhadap peningkatan manajemen risiko dan sistem kontrol.


2120 dan 2130 substandards menutupi kontrol dan tata kelola. Ini perubahan standar yang diusulkan

pada pemerintahan sangat tepat dan tepat waktu, mengingat SOA:

2130 - pemerintahan: aktivitas audit internal, konsisten dengan struktur organisasi, harus

memberikan kontribusi untuk proses tata kelola dengan secara proaktif membantu

manajemen dan dewan dalam memenuhi tanggung jawab mereka dengan: menilai dan

mempromosikan etika dan nilai-nilai yang kuat dalam organisasi, menilai dan

meningkatkan proses dimana akuntabilitas dipastikan, menilai kecukupan komunikasi

tentang risiko residual yang signifikan dalam organisasi, membantu meningkatkan

interaksi dewan dengan manajemen dan auditor eksternal dan internal, melayani sebagai

sumber pendidikan tentang perubahan dan tren dalam bisnis dan lingkungan peraturan.

2200 - perencanaan keterlibatan: auditor internal harus mengembangkan dan merekam rencana
untuk setiap keterlibatan.

2300 - melakukan pertunangan: auditor internal harus mengidentifikasi, menganalisis,

mengevaluasi, dan merekam informasi yang cukup untuk mencapai tujuan keterlibatan ini.

2400 - hasil berkomunikasi: auditor internal harus mengkomunikasikan hasil pertunangan


mereka segera.

2500 - pemantauan kemajuan: CAE harus menetapkan dan memelihara sistem untuk

memantau disposisi hasil dikomunikasikan kepada manajemen.

2600 - resolusi penerimaan manajemen risiko: ketika CAE percaya beberapa manajer

auditee telah menerima tingkat risiko residual yang mungkin tidak dapat diterima oleh

organisasi secara keseluruhan, masalah ini harus didiskusikan dengan manajemen senior.

Standar IIA Hari Ini SOA Dunia

SOA telah membuat auditor internal jauh lebih penting di dunia saat ini tata kelola perusahaan

yang kuat dan kontrol internal yang efektif. auditor internal memerlukan seperangkat kuat standar
untuk beroperasi secara efektif di bawah aturan-aturan ini, dan standar IIA saat ini, bersama

dengan perubahan rancangan dalam proses, tampaknya sangat memuaskan kebutuhan tersebut.

Sementara konsep dasar di balik audit internal telah benar-benar tidak berubah, standar saat ini

untuk praktek profesional audit internal memberikan bimbingan dan arahan penting dalam worls

posting SOA.

internal auditor yang berpengalaman saat ini harus memeriksa standar IIA saat ini dan memastikan

bahwa semua kegiatan audit internal yang konsisten dengan standar ini. CAE harus meninjau

standar dengan komite audit untuk membantu mereka untuk lebih memahami dan menghargai

peran audit internal dalam organisasi.


BAB
8

INTERNAL DETEKSI AUDIT PENIPUAN DAN PENCEGAHAN

Internal auditor perlu memahami konsep-konsep sekitarnya penipuan agar dapat secara efektif

melakukan audit yang mencari kegiatan penipuan. Definisi hukum umum penipuan adalah

"memperoleh uang atau properti dengan cara token palsu, simbol, atau perangkat". Penipuan dapat

mahal untuk organisasi korban, dan kontrol internal yang efektif adalah baris pertama organisasi

pertahanan. Sebuah komprehensif, sepenuhnya dilaksanakan, sistem dimonitor secara teratur kontrol

internal sangat penting untuk pencegahan dan deteksi kerugian yang timbul dari penipuan.

BENDERA MERAH: DETEKSI FRAUD UNTUK AUDITOR

Sangat mudah untuk menganalisis

fakta-fakta setelah penipuan telah

ditemukan sebagai "pelajaran"

latihan, tapi auditoes harus

menggunakan mata skeptis untuk

mencari indikator yang mungkin

kegiatan penipuan di muka.

Mereka harus mencari apa yang

disebut "bendera merah". Pameran

8.1 daftar serangkaian bendera

merah yang mungkin mengarah ke


kegiatan penipuan keuangan

potensial.

Tak satu pun dari merupakan

indikator mutlak penipuan, tetapi

auditor harus selalu skeptis dalam

tinjauan mereka dan menyadari

sinyal peringatan tersebut. Ketika

auditor melihat bukti satu atau

lebih dari ini atau bendera merah

lainnya, sekarang saatnya untuk

menggali Sebuahsedikit
lebih dalam.

Sayangnya, auditor internal

sering gagal untuk mendeteksi

penipuan karena beberapa alasan:


Auditor memiliki keengganan untuk mencari penipuan. Karena pelatihan penipuan

terbatas atau kurangnya pengalaman dengan insiden penipuan masa lalu, auditor historis

belum melihat bahwa sulit untuk penipuan. Mereka cenderung melihat penyelidikan

penipuan sebagai jenis detektif polisi kegiatan, bukan tanggung jawab utama mereka.

Terlalu banyak kepercayaan ditempatkan pada auditee. auditor internal, khususnya,


mencoba untuk mempertahankan, sikap ramah ramah terhadap orang-orang dalam
organisasi mereka. Karena thay menghadapi orang-orang yang sama di kantin perusahaan
atau piknik tahunan perusahaan, biasanya ada tingkat kepercayaan di sini. auditor internal
cukup benar mencoba untuk memberikan auditee mereka manfaat dari keraguan.

Tidak

cukup penekanan

pada kualitas audit.

Intern

Audit Temuan sering

menghadapi beberapa

bendera merah yang sama

disebutkan dalam pameran

8.1. temuan laporan audit

dapat menunjukkan hal-hal

seperti catatan atau akun yang

tidak berdamai hilang.

Namun, ulasan kualitas

pekerjaan auditor seringkali

tidak menaikkan potensi

penipuan

isu-isu terkait.
Penipuan
kepentingan

menerima dukungan memadai

dari manajemen. Tanda-tanda

penipuan yang mungkin

membutuhkan auditor

untuk memperpanjang

prosedur dan menggali sedikit lebih dalam.

Namun, Audit
pengelolaan mungkin
menjadi
enggan untuk memberikan
auditor waktu ekstra untuk
menggali lebih dalam.

Kecuali ada yang kuat


mencurigakan, manajer audit yang mungkin ingin tim audit untuk bergerak dan berhenti

menghabiskan waktu di apa yang mereka rasakan adalah daerah risiko yang sangat rendah.

Auditor kadang-kadang gagal untuk fokus pada bidang penipuan berisiko tinggi. Penipuan
dapat terjadi di banyak daerah, dari

biaya perjalanan karyawan melaporkan kepada hubungan fungsi treasury bank lepas

pantai. Mungkin ada risiko yang lebih besar dari penipuan keuangan yang signifikan di

kedua, auditor sering cenderung fokus pada mantan. Meskipun akan ada banyak

kemungkinan penipuan dalam perjalanan karyawan pelaporan biaya, jumlah sering tidak

terlalu signifikan. Selalu ada kebutuhan untuk fokus pada daerah berisiko tinggi.

Penipuan adalah sebuah kata yang dapat memiliki banyak arti, tapi kita mengacu untuk itu dalam
hal penipuan sebagai tindak pidana.

Untuk membantu mendeteksi fraud, auditor juga harus memiliki pemahaman tentang mengapa orang

melakukan penipuan. Sebuah organisasi dapat memiliki lingkungan bendera merah dijelaskan dalam

pameran 8.1, tapi belum tentu tunduk kegiatan kegiatan penipuan kecuali satu atau lebih karyawan

memutuskan untuk terlibat dalam penipuan.

Pameran 8.2 daftar

beberapa khas

alasan

untuk

melakukan penipuan. Ini

semua adalah alasan di

mana kontrol internal

yang kuat berada di

tempat dan
penipuan aku s

khas yang

dilakukan oleh hanya

satu orang.

Meskipun penipuan besar


yang melibatkan

perticipation

manajemen senior

adalah

sulit untuk

mendeteksi, penipuan

yang terjadi di

tingkat yang jauh lebih rendah dalam organisasi lebih mudah untuk mengidentifikasi dengan

tingkat yang tepat dari penyelidikan auditor. Namun bukan hanya pelanggaran pengendalian

intern, auditor internal harus memikirkan barang-barang ini dalam hal potensi daerah untuk

penipuan karyawan. Pameran 8.3 adalah daftar untuk beberapa, metode deteksi ini tua klasik

penipuan. Auditor telah melakukan prosedur ini selama bertahun-tahun tapi kadang-kadang lupa.
IIA STANDAR UNTUK MENDETEKSI DAN MENYELIDIKI PENIPUAN

Melalui observasi, auditor internal mungkin dalam posisi yang lebih baik untuk melihat bendera merah

dari auditor eksternal. auditor internal untuk khawatir tentang hal-hal seperti kemungkinan kesalahan

dan harus mempertimbangkan bukti dari setiap aktivitas yang tidak

tepat atau ilegal dalam audit. Menyadari bahwa mungkin sulit untuk mendeteksi fraud, IIA Standard

1210.A2 memberikan bimbingan: " auditor internal harus memiliki pengetahuan yang cukup untuk

mengidentifikasi indikator penipuan tetapi tidak diharapkan untuk memiliki keahlian dari orang yang

tanggung jawab utama adalah mendeteksi dan menyelidiki penipuan. "Ungkapan yang dicetak miring
kami mengakui

bahwa auditor internal tidak diharapkan untuk memiliki keahlian untuk menangani masalah penipuan.
Ini sama

penipuan

standar didukung oleh

penasehat praktik IIA,

1210.A2-1

identifikasi penipuan.

Meskipun kata-kata dari

standar

bahwa auditor internal

tidak diharapkan untuk

memiliki keahlian, itu

mendukung praktek

penasehat memberikan

internal auditor dengan

beberapa

petunjuk tentang mendeteksi

dan

menyelidiki penipuan. Kita punya

termasuk

sebuah Bagian diadaptasi

dari praktek penasehat ini:

The

IIA praktek

penasehat tidak benar-benar mendidik auditor internal pada jenis bendera merah kondisi yang

mungkin menyarankan aktivitas penipuan potensial. Sebaliknya, itu menunjukkan bahwa jika sebuah

organisasi tidak memiliki kebijakan dan prosedur yang baik, atau tidak memiliki kode etik,
lingkungan seperti itu dapat mendorong penipuan.

INVESTIGASI PENIPUAN UNTUK INTERNAL AUDITOR

penyelidikan penipuan terkait menyebabkan auditor internal untuk beroperasi agak berbeda dari

audit keuangan atau operatinal normal. Dalam setiap ulasan penipuan terkait, auditor harus

berkonsentrasi pada tiga tujuan utama:

1) Bu
ktikan kerugian. ulasan penipuan terkait biasanya mulai dengan temuan bahwa seseorang
mencuri

sesuatu. Review investigasi yang dipimpin oleh audit internal harus berkumpul materi yang

relevan untuk menentukan ukuran keseluruhan dan lingkup kerugian.

2) Me
netapkan tanggung jawab dan niat. Ini adalah "siapa yang melakukannya?" Langkah. Sebisa mungkin,
audit

Tim harus mengidentifikasi setiap orang bertanggung jawab untuk masalah ini dan menentukan

apakah ada niat khusus atau berbeda terkait dengan aksi penipuan.
3) B
uktikan Audit metode investigasi yang digunakan. Tim investigasi harus mampu membuktikan

yang conclutions penipuan terkait yang didasarkan pada rinci, langkah demi proses investigasi

langkah, bukan hanya liar, tidak terkoordinasi perburuan. Tinjauan tersebut harus

didokumentasikan menggunakan terbaik audit internal proses ulasan. Yang penting di sini,

semua dokumen yang digunakan perlu diamankan.


BAB
9

ENTERPRISE MANAJEMEN RISIKO, PRIVASI, DAN INISIATIF LEGISLATIF


LAINNYA

ENTERPRISE MANAJEMEN RISIKO

Bagian ini membahas manajemen risiko secara keseluruhan serta apa yang akan segera menjadi istilah

baru umum atau konsep, Enterprise Risk Management (ERM). Meskipun ERM menyangkut organisasi

secara keseluruhan, auditor internal ned untuk memahami bagaimana menggunakan manajemen risiko

untuk mengevaluasi dan merencanakan proyek-proyek audit individu. Bab ini membahas tentang

konsep manajemen risiko dengan penekanan pada penerapan mereka untuk proyek-proyek audit

internal individu.

Penilaian Risiko Internal Auditor

Auditor internal memiliki kebutuhan untuk memahami dan mengendalikan risiko sekitarnya

rencana audit individu dan kegiatan. Manajer proyek telah menggunakan pendekatan manajemen

risiko untuk beberapa tahun, dan ini bukan aturan baru atau alat untuk auditor internal.

Namun auditor internal sering tidak menggunakan pendekatan manajemen risiko formal dalam
perencanaan dan menyelesaikan

proyek-proyek audit. Setiap audit internal menghadapi berbagai ketidakpastian mulai dari tidak

memiliki informasi tentang beberapa pelajaran total kepastian dan informasi yang lengkap, dan

audit internal harus direncanakan dan dikelola dengan konsep-konsep ini dalam pikiran.

Pameran 9.3 menunjukkan spektrum ketidakpastian ini, mulai dari tidak ada untuk melengkapi
informasi.
literatur PMI menunjukkan bahwa risiko proyek harus dikelola berikut 4 tahapan manajemen
risiko:
1) T
ahap Manajemen Risiko Satu: Identifikasi. Auditor internal bahu mencoba untuk
mengidentifikasi semua

resiko yang mungkin yang bisa iimpact keberhasilan suatu proyek audit internal yang

akan datang, mulai dari dampak tinggi / probabilitas tinggi sampai ke dampak rendah /

probabilitas rendah.

2) T
ahap Manajemen Risiko Dua: Assessment. Setelah mengidentifikasi berbagai risiko, langkah
berikutnya untuk

peringkat mereka dalam hal jenis risiko, dampak potensial mereka, dan probabilitas.

3) R
isiko Manajemen Tahap Tiga: Response. Manajer risiko audit internal harus mengembangkan

strategi respon yang tepat. Strategi ini dapat berkisar dari keputusan sederhana untuk

menerima risiko jika ti terjadi untuk rencana komprehensif untuk penyebaran sumber

daya untuk mengendalikan peristiwa risiko.

4) R
isiko Manajemen Tahap Empat: Dokumentasi. manajer proyek lainnya sering melewatkan
langkah ini, tapi

auditor internal harus menyadari kebutuhan untuk dokumentasi. Namun, proses

manajemen risiko ini secara keseluruhan selalu harus didokumentasikan dalam beberapa

detail.

Bersamaan dengan SOA: LEGISLASI lain yang mempengaruhi INTERNAL AUDITOR


The Gramm - Leach

- Bliley Act

Gramm Leach Billey Act adalah seperangkat privasi terkait persyaratan yang bertujuan untuk

melindungi konsumen informasi keuangan pribadi yang dimiliki oleh lembaga keuangan. Dengan

GLBA "lembaga keuangan" non-tradisional ini sekarang diatur oleh Federal Trade Commission

(FTC). Auditor internal yang bekerja untuk sebuah perusahaan bank atau asuransi saat ini mungkin

telah terlibat sudah dengan GLBA dan privasi terkait ketentuannya.


Aturan Privasi keuangan

Konsumen sering menghadapi aturan privasi keuangan GLBA hari ini ketika mereka menerima

catatan dari penyedia kartu kredit berbicara tentang aturan privasi. Auditor internal harus

recognixe bahwa semua informasi keuangan pribadi sangat pribadi dan tidak bisa hanya

sewenang-wenang yang dijual atau didistribusikan. auditor internal bekerja dengan lembaga

keuangan atau aplikasi harus menyadari bagaimana aturan privasi GLBA berlaku untuk

organisasi mereka.

GLBA Perlindungan Aturan

pengamanan aturan tindakan ini membutuhkan lembaga keuangan untuk memiliki rencana keamanan

untuk melindungi kerahasiaan informasi konsumen pribadi. Sebuah organisasi dapat mengambil 5

langkah untuk memulai menjadi sesuai dengan GLBA pengamanan aturan:

1)analisis risiko lingkungan.

2)Merancang dan melaksanakan pengamanan

3)Monitoring dan audit


4)Program perbaikan terus-menerus

5)Mengawasi penyedia keamanan dan mitra

Aturan perlindungan berlaku untuk berbagai penyedia produk keuangan dan jasa, termasuk broker

hipotek, pemberi pinjaman nonbank, penilai, agen pelaporan kredit, preparers pajak proffesional, dan

pengecer yang mengeluarkan kartu kredit mereka sendiri.

Ketentuan GLBA Dalih

GLBA melarang "dalih" penggunaan alasan palsu, termasuk laporan penipuan dan peniruan untuk

mendapatkan informasi keuangan pribadi konsumen. GLBA adalah salah satu aturan baru yang

akan berdampak banyak auditor internal, terutama yang di setiap jenis lembaga keuangan.

HIPAA dan Auditor Internal

Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA) akan berdampak besar pada

privasi dan keamanan catatan medis pribadi dan catatan pribadi lainnya. The HIPAA legislatin

asli memiliki 4 tujuan utama:

1) P
astikan protability kesehatan dengan menghilangkan kondisi yang sudah ada kunci pekerjaan

2) M
engurangi penipuan kesehatan dan penyalahgunaan

3) M
enegakkan standar untuk informasi kesehatan

4) ja
minan keamanan dan privasi informasi kesehatan
BAB
10

ATURAN DAN TATA CARA INTERNAL AUDITOR WORLDWIDE

Bab ini membahas SOA dari perspektif internasional. Meskipun beberapa aturan yang belum

dirilis, kita melihat tindakan dari fokus perusahaan non AS. Penekanan akan tanggung jawab

auditor internal. Bab ini juga memberikan gambaran tentang Standar Audit Internasional (IAS),

seperangkat pedoman dengan akar AS yang kini envolving ke set mereka sendiri standar

bimbingan.

Banyak profesional telah melihat kata-kata "ISO terdaftar" termasuk dalam brosur pelanggan dan

materi iklan lainnya. Meskipun AS sering mendorong standar pada seluruh dunia, ISO (standar

Organisasi Internasional) adalah seperangkat pedoman internasional yang banyak organisasi AS telah

mengadopsi. ISO penting bagi ekonomi global saat ini dan Audit internasional dapat membantu untuk

memastikan kepatuhan ISO efektif. standar ISO kualitas, proses pendaftaran ISO, dan audit mutu ISO

diperkenalkan dalam bab ini.

Bab ini juga memperkenalkan Teknologi Informasi Infrastructure Library (ITIL) proses

pemberian layanan dan dukungan, set penting dari bahan bimbingan yang berasal di Inggris,

adalah umum di Eropa, telah menjadi didirikan di Kanada, dan hanya dikurangi di AS .

Meskipun bukan aturan baru, ITIL merupakan beberapa prosedur praktek terbaik yang harus

menjadi lebih baik diakui oleh auditor internal worlwide.

SOA PERSYARATAN INTERNATIONAL

perusahaan asing wajib memberikan sertifikasi laporan keuangan mereka oleh petugas mereka chief

executive (CEO) dan petugas keuangan kepala (CFO). Dengan demikian, CFO asing dan CEO

menundukkan diri untuk kemungkinan kewajiban hukum AS. Bagi pelanggar, proses penuntutan
mungkin menantang, tapi warga negara asing yang bahkan diindikasikan unde hukum AS akan

mengalami kesulitan mengunjungi AS sampai masalah ini diselesaikan. organisasi terdaftar asing harus

baik mulai mematuhi aturan SOA atau mencari delisting saham mereka yang terdaftar di bursa AS.

Pada saat publikasi ini, hanya beberapa perusahaan asing telah secara terbuka memilih keluar dari pasar

AS karena lingkungan peraturan SOA ini baru.

Dalam tahun-tahun mendatang akan ada langkah ke arah sandards pemerintahan ketat di

semua negara asing utama, makin gthose SOA dan peraturan terkait lebih enak. Bab ini

membahas Akuntansi Internasional yang semakin penting dan Audit (IAA) standar, Komite

organisasi Mensponsori (COSO) standar kontrol internasional worlwide, seperti Kriteria

Kanada dari Control (CoCo), dan proses pendaftaran ISO.


AKUNTANSI INTERNASIONAL DAN STANDAR AUDIT

Standar auditing ISA agak konsisten dengan pernyataan AS pra-SOA Standar Auditing (dokumen

SAS) dan mungkin akan konsisten dengan standar audititng yang akan dikeluarkan di bawah

PCAOB juga. Bukti 10.1 daftar standar ISA audit saat ini. Mirip dengan proses SAS sebelumnya

di AS, ISA dilepaskan setelah penerbitan draft eksposur.


Untuk memberikan rasa standar ini, pameran 10.2 menunjukkan ISA 610 pada mempertimbangkan
pekerjaan auditor internasional.
The International Accounting Standards Board (IASB) menerbitkan standar akuntansi dalam

serangkaian pernyataan yang disebut Standar Pelaporan Keuangan Internasional (SAK). Mereka

pernyataan, yang ditunjuk standar akuntansi internasional, memberikan dasar untuk semua

negara di seluruh dunia dan khususnya, memberikan standar akuntansi untuk negara-negara

yang tidak telah menetapkan standar auditing berkembang.

Untuk auditor internal, standar IIA seperti yang dibahas dalam bab 6, adalah standar internasional

yang berlaku untuk audit internal tidak peduli apa negara. auditor internasional mungkin

mengalami standar akuntansi yang berbeda atau standar auditing laporan keuangan lokal bahkan

yang berbeda, tetapi mereka selalu harus mengikuti keseluruhan IIA standar profesional. Hal ini

hampir pasti bahwa standar ISA dan IAS akan mengambil tempat negara dengan standar negara,

dengan exeption dari AS dengan peran kepemimpinan internasional. Sistem informasi audit dan
tujuan pengendalian kontrol asosiasi (ISACA) untuk informasi dan teknologi yang terkait

(COBIT) framework juga merupakan standar di seluruh dunia.


COSO WORLDWIDE: INTERNATIONAL INTERNAL KONTROL Kerangka CoCo:
Kanada

Variasi COSO

Menurut CoCo, control perusahaan unsur-unsur dari suatu organisasi termasuk sumber daya, sistem,

proses, budaya, struktur, dan tugas - yang, bila digabungkan, mendukung orang dalam pencapaian

tujuan organisasi. CoCo menekankan bahwa esensi dari kontrol tujuan, komitmen, kemampuan,

pemantauan, dan pembelajaran dalam kerangka pengendalian internal, seperti yang disajikan dalam

pameran 10.3

Kriteria untuk komitmen, misalnya, terdiri dari daerah-daerah tersebut:

Bersama nilai etika, termasuk integritas, harus menetapkan pada dikomunikasikan, dan

dipraktekkan di seluruh organisasi.

kebijakan dan praktek sumber daya manusia harus konsisten dengan nilai etika

organisasi dan dengan pencapaian tujuannya.

Wewenang, tanggung jawab, dan akuntabilitas harus ditetapkan secara jelas dan konsisten

dengan tujuan organisasi sehingga keputusan dan tindakan yang diambil oleh orang-orang

yang tepat.

Suasana saling percaya harus hutan untuk mendukung arus informasi antara orang-orang

dan kinerja yang efektif mereka untuk mencapai tujuan organisasi.


Model CoCo memiliki kriteria rinci yang sama untuk 3 elemen utama lainnya. Berdasarkan unsur-

unsur ini, model membantu untuk membentuk konsep pengendalian internal sementara

mengembangkan terminologi baru yang mungkin menjadi dikodifikasikan dalam standar masa

depan. Bimbingan CICA CoCo melanjutkan dengan menyatakan bahwa tujuan manajemen utama

adalah untuk memastikan, sejauh praktis, perilaku tertib dan efisien


dari bisnis entitas. Manajemen pembuangan tanggung jawab pengendalian internal melalui
tindakan diarahkan untuk:

Mengoptimalkan Penggunaan Sumber Daya. manajemen kontrol assist internal

mengoptimalkan penggunaan sumber daya dengan memastikan sejauh praktis yang

informasi yang dapat dipercaya disediakan untuk manajemen untuk penentuan kebijakan

bisnis dan dengan memantau pelaksanaan kebijakan tersebut dan tingkat kepatuhan dengan

mereka.

Pencegahan atau Deteksi Kesalahan dan Penipuan. Sebuah manajemen Tujuan

pengendalian internal adalah pencegahan dan deteksi kesalahan yang tidak disengaja atau

kesalahan dan penipuan - keliru yang disengaja informasi keuangan atau penyalahgunaan

aset. bimbingan melanjutkan dengan menyatakan bahwa kontrol harus ditimbang

terhadap resiko kemungkinan relatif kesalahan dan penipuan occuring dan konsekuensi

jika ada yang terjadi, termasuk efeknya terhadap laporan keuangan.

Pengamanan Aset. aset organisasi bahu dijaga, sebagian melalui kontrol internal dan

sebagian melalui kebijakan bisnis. pengendalian internal melindungi terhadap kerugian yang

timbul dari paparan disengaja risiko dalam pengolahan transaksi atau penanganan aset terkait.

Tingkat paparan disengaja untuk risiko ditentukan oleh kebijakan bisnis.

Mempertahankan Pengendalian Reliable Sistem. Berikut adalah kebijakan dan

pocedures didirikan dan dikelola oleh manajemen untuk mengumpulkan, merekam, dan

mengolah data dan melaporkan informasi yang dihasilkan atau untuk meningkatkan

keandalan data dan informasi tersebut. Manajemen membutuhkan sistem kontrol yang

handal untuk memberikan informasi yang diperlukan untuk mengoperasikan entitas dan

menghasilkan akuntansi tersebut dan catatan lainnya yang diperlukan untuk penyusunan

laporan keuangan.
The preciding ayat ini secara singkat kerangka CoCo. CoCo merupakan model ketat, lebih mudah

untuk memahami pengendalian internal dari kerangka COSO agak rumit. Kerangka kontrol CoCo

merupakan cara berpikir yang berbeda tentang pengendalian internal dan memberikan cara yang

baik bagi manajer untuk mempertimbangkan bagaimana organisasi mereka tampil.

Standar Pengendalian Internal di Inggris

Inggris memiliki beberapa kekhawatiran yang sama dengan th US mengenai pelaporan keuangan yang

tidak tepat selama tahun 1990-an. Meskipun fokusnya lebih pada tidak pantas pernyataan yang dibuat

oleh direksi, itu juga termasuk kegagalan pengendalian internal. Hasil penelitian tahun 1999 mirip

dengan laporan kami Tradeway Komisi, berorientasi pada direktur perusahaan publik, menempatkan

penekanan kuat pada pengaturan tujuan, identifikasi risiko dan penilaian risiko ketika mengevaluasi

pengendalian internal. Laporan itu menyerukan direksi untuk mempertimbangkan secara teratur:
Sifat dan tingkat risiko yang dihadapi perusahaan

Luas dan kategori risiko yang mereka anggap sebagai diterima bagi perusahaan untuk
menanggung

Kemungkinan risiko tersebut mewujudkan

kemampuan perusahaan untuk mengurangi insiden dan berdampak pada risiko bisnis yang
terwujud

Biaya operasi kontrol tertentu relatif terhadap manfaat sehingga diperoleh dalam

mengelola risiko yang terkait

Apa yang penting tentang pendekatan Turnbull adalah penekanan pada pemahaman tujuan bisnis dan

kemudian menganalisis risiko sebagai langkah pertama dalam merancang pengendalian internal yang

efektif. Laporan turnbull kemudian menunjukkan kerangka kerja untuk mengevaluasi efektivitas

pengendalian internal berdasarkan memahami risiko, merancang kontrol berdasarkan risiko tersebut, dan

melakukan tes untuk mengevaluasi kontrol.

Meskipun ada beberapa perbedaan dalam teks, laporan ini memberikan tiga tujuan dasar yang

sama dari pengendalian internal seperti yang dilakukan COSO dan CoCo: efektivitas dan efisiensi

operasi, keandalan pelaporan keuangan internal dan eksternal, dan kepatuhan terhadap hukum dan

peraturan yang berlaku. Konsep benar-benar penting dari pendekatan turnbull adalah penekanan

pada penilaian risiko. Ini menyatakan bahwa penekanan harus ditempatkan pada pengembangan

kontrol untuk dampak tinggi dan risiko kemungkinan yang lebih tinggi.

Pengendalian Internal Frameworks Seluruh Dunia

Dengan berbagai otoritas akuntansi nasional yang independen dan beberapa perbedaan dalam

praktek bisnis, ada beberapa variasi dalam kerangka pengendalian internal atau model di seluruh
dunia. Laporan turnbull menyatakan fungsi audit internal harus dapat:

Memberikan jaminan tujuan untuk dewan dan manajemen untuk kecukupan dan

efektivitas manajemen risiko perusahaan dan kerangka pengendalian internal

Membantu manajemen untuk meningkatkan proses yang risiko diidentifikasi dan dikelola

Membantu papan dengan tanggung jawabnya untuk memperkuat dan

meningkatkan manajemen risiko dan kerangka pengendalian internal

Dikembangkan sebelum SOA ini bimbingan yang sangat baik untuk audit internal untuk

memahami risiko dan untuk membantu meningkatkan sturcture pengendalian intern dalam

organisasi apapun, tidak peduli di mana di dunia itu didasarkan.

ISO DAN STANDAR PENDAFTARAN PROSES

standar ISO telah di tempat selama beberapa tahun dan auditor berkualitas, telah bertanggung

jawab untuk audit sesuai dengan standar ISO. Dengan makin meningkatnya globalisasi bisnis,

namun
semua auditor internal harus memiliki pemahaman tentang standar mutu ISO 90000 ini serta proses

untuk mencapai sertifikasi ISO.

Standar 90000 Kualitas ISO: Ikhtisar

Standar kualitas ISO penting untuk auditor internal adalah:

ISO 9000: 2000, Sistem Manajemen Mutu - Dasar-dasar dan Kosakata. standar ini adalah

titik strating dan mendefinisikan istilah dasar dan definisi yang digunakan dalam ISO

9000

ISO 9001: 2000, Sistem Manajemen Mutu - Persyaratan. Persyaratan standar yang
digunakan untuk menilai kemampuan untuk memenuhi kebutuhan pelanggan dan
persyaratan peraturan yang berlaku dan untuk mengatasi kepuasan pelanggan. Ini adalah
satu-satunya standar dalam terhadap resiko keluarga ISO 9000 yang sertifikasi pihak
ketiga dapat diimplementasikan.

ISO 9004: 2000,

Kualitas Pengelolaan

Sistem - Pedoman

Peningkatan Kinerja. Ini

standar memberikan

pedoman untuk terus-

menerus peningkatan sistem

manajemen mutu untuk

menguntungkan semua

pihak melalui berkelanjutan

pelangg

an kepuasan. Pameran

10.4 menggambarkan

ISO ini
berdasarkan
Manajemen

mut

u proses

implementasi.
Proses ISO keseluruhan adalah salah satu dari membangun dokumentasi yang efektif atas
prosedur dan proses yang ada.
Kualitas Audit dan Pendaftaran

Meskipun tidak IIA intern maupun AICPA aset keuangan auditor memberikan banyak perhatian ASQ

auditor berkualitas dalam literatur proffesional mereka, ada beberapa analogi yang kuat antara ketiga

kelompok auditor. Kualitas auditor yang berbasis di standar ISO yang baru saja dibahas. Manajemen

harus telah menetapkan proses kualitas sebagai bagian dari operasi normal dan akan meninjau

kepatuhan terhadap standar-standar melalui pemeriksaan internal self atau ulasan fungsi audit mutu

organisasi. standar ISO memberikan panduan untuk membangun dan memelihara sebuah set

berkelanjutan audit kualitas untuk sebuah organisasi. Mereka didasarkan pada apa yang disebut

Rencana Apakah Periksa siklus Act. Di bawah ini, tindakan kunci untuk menentukan program audit

adalah:

Menetapkan tujuan dan sejauh mana program audit

Menetapkan tanggung jawab, sumber daya, dan prosedur

Menjamin pelaksanaan program audit

Memantau dan meninjau program audit untuk meningkatkan efisiensi dan efektivitas

Memastikan bahwa catatan program yang sesuai dipelihara

pameran 10,5 menggambarkan tingkat berjenjang dari

dokumentasi mutu ISO.


Dalam diskusi kami aturan baru untuk auditor internal, kami telah memperkenalkan perbaikan dan

kualitas audit proses continous ISO hanya sangat singkat. auditor berkualitas bergerak keluar dari

lantai produksi dan lebih sering menelepon themeselves auditor internal. Pameran 10,6 merangkum

prinsip-prinsip utama di balik ISO 9000. Jika organisasi auditor internal sudah terlibat dalam upaya

pendaftaran ISO, audit internal harus terlibat dengan proses, membantu di mana ia dapat dan

sebaliknya merangkul konsep ISO.


BAB
12

RINGKASAN: AUDIT INTERNAL AKAN MAJU

Tujuan utama dari buku ini adalah untuk menggambarkan unsur-unsur utama dari Oxley Act Sarbanes

(SAO) dan dampaknya terhadap tata kelola perusahaan, pelaporan keuangan dan audit internal. SOA

memiliki dampak besar pada industri akuntansi publik dan organisasi operasional, American Institute

Akuntan Publik (AICPA). standar auditing tidak lagi diatur oleh Standar Auditing Dewan AICPA,

proses yang agak menyenangkan tinjauan auditor rekan eksternal dan tata kelola diri telah berubah ke

lingkungan berbasis aturan, dan petugas keuangan kepala (CFO) dihadapkan dengan bahaya tanggung

jawab pidana pribadi untuk mengeluarkan curang incorect laporan keuangan.

Diskusi pasal 9 tentang HIPAA dan GLBA adalah dua contoh inisiatif legislatif untuk melindungi

privasi pribadi ini, tetapi kontrol internal yang efektif dilaksanakan oleh organisasi juga akan

membantu untuk memberikan perlindungan ini.

PROSPEK MASA DEPAN UNTUK INTERNAL AUDITOR

masa depan terlihat cerah dari sebelumnya untuk profesional audit internal. Tak lama setelah

berlakunya SOA dan maju tapi kami tidak memiliki statistik yang kuat di sini - pasar kerja untuk

proffesioanal sudit internal di Amerika Serikat telah meningkat. komite audit baru impowered

menyadari bahwa fungsi audit internal organisasi mereka adalah komponen penting dari tata

kelola perusahaan secara keseluruhan. auditor internal dan organisasi profesional mereka, IIA,

yang menerima tantangan ini dan Audit dan Control Association Sistem Informasi (ISACA) juga

telah mempromosikan konsep governance ini.


fungsi audit internal harus menerima tantangan baru ini. akuntansi yang ditunjuk dan ahli keuangan dari

commettee Audit membutuhkan bantuan audit internal untuk menjelaskan masalah pengendalian

internal dalam organisasi, untuk lebih menilai risiko audit, dan untuk merencanakan dan melaksanakan

audit internal yang efektif. audit internal sekarang biasanya memiliki tingkat tanggung jawab untuk

SOA section 404 ulasan kontrol internal dalam organisasi; auditor eksternal hanya membuktikan

kecukupan review. Ini adalah perubahan yang sangat besar yang akan mengubah hubungan antara

auditor internal dan eksternal. Sebelum pelaksanaan SOA, auditor eksternal sering dinilai risiko

pengendalian internal, melakukan beberapa themeselves pekerjaan audit, dan kemudian meminta audit

internal untuk melakukan pekerjaan lain review di bawah pengawasan umum mereka. Meskipun tidak

akan ada keraguan banyak perencanaan dan koordinasi, audit internal melalui komite audit - per SOA -

sering bertanggung jawab untuk meninjau dan menguji hasil pengendalian internal dan penyajian hasil-

hasil documentated untuk


audit eksternal. Beberapa koordinasi akan diperlukan, tetapi audit internal benar-benar bertanggung

jawab di sini. Ada pasti akan beberapa bintik-bintik kasar sampai audit internal bertanggung jawab

penuh untuk ulasan pengendalian internal mengikuti berkembang PCAOB standar auditing

pengendalian internal serta persyaratan dari perusahaan audit eksternal, tetapi audit internal adalah

asumsi peran semakin penting dalam organisasi saat ini .

fungsi audit internal juga perlu untuk lebih terlibat dalam isu-isu lainnya SOA terkait. Salah satu

bidang penting adalah etika dan whistleblower fungsi dalam suatu organisasi. Sebagaimana dibahas

dalam bab 2 dan 3, komite audit bertanggung jawab untuk membangun pelaporan terkait fungsi

whistleblower keuangan, organisasi bahu mempertimbangkan memperluas program tersebut ke

semua fungsi dalam suatu organisasi dan termasuk semua karyawan dan stakeholder lainnya.

Meskipun fungsi tersebut dapat dikelola oleh fungsi sumber daya manusia atau beberapa fungsi etika

khusus, audit internal dan eksekutif audit (CAE) harus mendapatkan tangan mereka pada fungsi

seperti untuk menilai bahwa mereka sesuai dengan SOA dan memenuhi harapan audit komite.

SOA telah memperkenalkan serangkaian luas aturan baru untuk tata kelola perusahaan, pelaporan

keuangan, dan audit. Buku ini telah memperkenalkan Sarbanes Oxley Act untuk auditor internal

dan pihak lain yang berkepentingan, termasuk anggota komite audit dan manajemen keuangan dan

perusahaan secara umum. Kami juga telah memperkenalkan beberapa aturan baru lainnya dan

trands teknologi yang akan berdampak pengendalian internal dan tata kelola perusahaan yang

maju.

aturan baru tidak pernah disegel dalam semen tetapi cenderung berubah sebagai masyarakat,

undang-undang, dan praktik bisnis berubah. Skandal akuntansi perusahaan dari tahun-tahun

terakhir, kematian kantor akuntan publik utama Arthur Andersen dan pengenalan SOA memiliki
semua driver telah untuk perubahan ini. Dalam tahun-tahun mendatang, sebagai PCAOB

menjadi didirikan atau saat kita mengalami konvergensi audit dan akuntansi standar lebih

internasional, aturan ini akan terus berkembang baru "aturan baru" sebagai masa depan

BUKU 2 ORANGE
CHAPTER 4: INTERNAL CONTROL FUNDAMENTALS COSO FRAMEWORK

4.1. Importance of Effective Internal Control


Internal control merupakan konsep penting yang harus dimengerti oleh auditor internal.
Internal kontrol yang baik berarti adanya dokumentasi, keamanan, dan akurasi. Internal control yang
efektif menyebabkan perusahaan dapat mencapai misinya, menghasilkan data yang akurat dan andal,
mematuhi aturan dan kebijakan terkait, menyediakan sumber daya dengan efisien dan ekonomis, serta
melindungi assetnya.

4.2. Fundamentals of Internal Controls


Agar dapat mengevaluasi internal control, auditor internal harus memiliki pemahaman dasar
mengenai kontrol itu sendiri termasuk proses operasi internal control perusahaan. Auditor internal
kemudian menentukan apakah komponen-komponen sistem internal control sudah terkoneksi dengan
baik dan apakah sudah dioperasikan dengan benar.
Internal auditor juga bertugas untuk menjelaskan kondisi sistem kontrol yang ada pada
manajemen serta meyakinkan manajemen tentang perlunya kontrol tersebut. Sistem kontrol dasar
memiliki 4 elemen, yakni:
Detector/ sensor element, yakni alat deteksi atau sensor atas apa yang sedang terjadi.
Selector/ standard element, yakni sebagai alat perbandingan apa yang seharusnya terjadii
dengan apa yang sebenarnya terjadi.
Controller element, yakni elemen yang mengontrol respon atas perbandingan dua elemen
sebelumnya.
Communication network element, yakni elemen yang menyampaikan pesan antara sensor
konrol dengan organisasi yang sedang dikendalikan.
Berdasarkan elemen-elemen dalam sistem control tersebut, beberapa teknik pengendalian
dapat diambil, yakni preventive, detective, dan corrective. Preventive controls disertakan dalam sistem
untuk mencegah kesalahan terjadi. Misalnya, dengan pemisahan jabatan dalam perusahaan. Detective
controls ditujukan untuk menginformasikan masalah yang muncul pada manajemen secara real-time.
Corrective controls digunakan untuk membenahi kesalahan yang sudah terjadi.
Ketiga kontrol tersebut kemudian dapat dioperasikan dalam tiga level pengendalian,

yakni:

o Steering contols. Level pengendalian ini mengidentifikasi kejadian-kejadian yang mungkin


muncul serta pengendalian yang tepat untuk mencapai tujuan yang lebih luas.
o Yes-no controls. Pengendalian ini didesain untuk berfungsi secara otomatis untuk melindungi
dan menjamin tercapainya hasil yang diinginkan.
o Pos-action controls. Tindakan ini diambil untuk memperbaiki kesalahan yang sudah ada.

4.3. Internal Controls Standards: Background Developments


Setelah mengetahui pentingnya internal control, perlu dibahas lebih lanjut, seperti apakah
definisi atau standar internal control yang baik? Pembahasannya sebagai berikut.
a. Definisi Awal Sistem Internal Control
Definisi awal internal control dikembangkan oleh the American Institute of Certified Public
Accountants (AICPA) dan digunakan pula oleh the Securities and Exchange
Commission (SEC). Internal control diartikan sebagai rencana dan metode terpadu yang
digunakan untuk melindungi asset, memeriksa ketepatan dan keandalan sata- data akuntansi,
meningkatkan efisiensi operasional, serta meningkatkan kepatuhan akan kebijakan
manajemen.
b. Foreign Corrupt Practices Act of 1977
Skandal Enron dan perusahaan lain menyebabkan munculnya Sarbanes-Oxley Act (SOA). Berdasarkan
undang-undang tersebut, SEC mengatur bahwa internal control diharuskan bagi perusahaan, yakni
dengan cara:
o Membuat pembukuan, catatan, dan akun yang detail, akurat, dan andal.
o Menjaga sistem pengendalian akuntansi internal
o Membatasi akses terhadap aset sesuai dengan autorisasi manajemen
o Menjamin kesesuaian antara catatan aset dengan kondisi fisik aset dan mengambil
tindakan yang sesuai atas perbedaan yang muncul
c. FCPA Aftermath
FCPA menitikberatkan pada perlunya internal control yang efektif bagi seluruh perusahaan, khususnya
yang berbasis di Amerika Serikat. Meskipun tidak ada definisi internal control yang konsisten saat itu,
aturan yang ada tetap mentikberatkan perlunya internal control.

4.4. Efforts Leading to the Treadway Commission


Sampai era 1970, definisi internal control yang jelas dan konsisten masih belum tercapai.
Masing-masing pihak memiliki definisi masing-masing. Saat itu, tanggungjawab auditor hanya
terbatas pada kewajaran laporan keuangan, tanpa perlu menguji kecukupan internal control
perusahaan. Berikut adalah undang-undang maupun organisasi yang terlibat aktif/ berperan dalam
pekembangan internal control selanjutnya.
1. AICPA and CICA Commissions on Auditor Responbilities
2. SEC 1979 Internal Control Reporting Proposal
3. Minahan Committee and Financial Executives Research Foundation
4. Earlier AICPA Standards: SAS No. 55
5. Treadway Committee Report

4.5. COSO Internal Control Framework


COSO mendefinisikan internal control sebagai suatu proses yang dipenaruhi oleh dewan
direksi, manajemen, dan personil lainnya, yang didesain untuk memberikan
keyakninan memadai terkait pencapaian tujuan operasi, pelaporan, dan kepatuhan atas hukum
(peraturan).

a. COSO Internal Control Elements: The Control Environment


COSO menitikberatkan pada manajemen risiko dalam perusahaan. Control environment dipengaruhi
oleh nilai-nilai integritas dan etis; komitmen; sikap dewan direksi dan komite audit; filosofi dan gaya
operasi manajemen; struktur organisasi; serta pembagian tanggungjawab dan wewenang .
b. COSO Internal Control Elements: Risk Assesment
Risk Assesment dapat ditempuh dalam 3 langkah, yakni:
1) Estimasi signifikansi resiko
2) Estimasi probabilitas terjadinya resiko tersebut
3) Pertimbangkan bagaimana resiko tersebut harus dikelola
Resiko dapat berupa resiko organisasional yang berasal dari faktor eksternal maupun internal, serta
resiko specific activity.
c. COSO Internal Control Elements: Control Activities
Control activities dapat berupa review dari manajemen puncak, kontrol fisik, review indikator-
indikator kinerja, pemisahan tugas, dan sebagainya. Sistem informasi juga menjadi komponen krusial
yang harus dikendalikan.
d. COSO Internal Control Elements: Communications and Information
COSO menekankan perlunya sistem informasi yang memadai untuk mendukung kebutuhan
perusahaan.
e. COSO Internal Control Elements: Monitoring
Moniroting diperlukan karena prosedur kontrol dan sistem-sistem lain berubah seiring dengan
berjalannya waktu.

4.6. Understanding, Using, and Documenting COSO Internal Control


Langkah selanjutnya yang harus ditempuh oleh auditor intrnal adalah menggunakan konsep
COSO untuk memahami dan mendokumentasikan internal control. Pemahaman yang baik atas
internal control memampukan auditor untuk menganalisis proses bisnis yang relevan dalam sistem
internal control.

CHAPTER 6: EVALUATING INTERNAL CONTROL: SECTION 404


ASSESSMENTS

6.1. Assessment of Internal Controls after the Sarbanes-Oxley Act


Efek utama dari Sarbanes-Oxley Act terhadap internal control adalah semakin gencarnya
tuntutan implikasi internal control. Auditor eksternal pun diwajibkan mengaudit dan memberi opini
atas internal control perusahaan.

6.2. SOA Section 404


Public Company Accounting Oversight Board (PCAOB) menerbitkan aturan terkait audit
internal control atas laporan keuangan pada bulan Maret 2004. SOA section 404 mensyaratkan
dibuatnya laporan internal control tahunan untuk perusahaan terdaftar. Manajemen diharuskan
melaporkan kualitas internal control perusahaan yang kemudian diaudit oleh eksternal auditor.
Peran internal audit pada section 404 di sebuah organisasi dapat berbentuk:

o Identifikasi proses kunci, dokumentasi internal control, dan menjalankan tes yang relevan
o Sumber pendukung eksternal auditor
o Membantu sumber daya perusahaan lainnya yang terkait section 404
Kepatuhan terhadap section 404 merupakan tantangan yang besar bagi perusahaan-
perusahaan. Internal audit diharapkan dimulai dengan compliance review terlebih dahulu. Langkag-
langkag proyek section 404, yakni:
1. mengorganisasi section 404 compliance project
2. menyusun rencana proyek
3. memilih proses kunci yang akan direview
4. mendokumentasikan proses terpilih dan arus kerja
5. identifikasi, dokumentasi, dan uji internal controls
6. mengkaji resiko proses terpilih
7. mengkaji efektivitas control melalui prosedur tes yang relevan
8. mereview compliance results dengan stakeholders
9. melengkapi laporan Effectiveness of the Internal Control Structure

6.3. Internal Control Review Process: Importnace of Financial Assertions


Konsep asersi digunakan oleh auditor eksternal untuk mengidentifikasi berbagai resiko,
seperti:
o existence
o occurrence
o completeness
o rights and obligations
o valuations of accounts, dan
o presentation and disclosures

6.4. Control Objectives and Risks under Section 404


Ada 2 pendekatan yang disarankan untuk membantu dokumentasi internal control untuk
mendukung penerapan internal control menurut section 404, yakni:
o developing an internal control matrix, yakni suatu matrix tabular yang mendukung diagram
grafis untuk mendokumentasikan control secara efektif. Unsure-unsur yang diungkapkan
yakni, summarized control points, resiko terasosiasi, asersi terkait, jenis- jenis control, dan
prioritas control.
o Testing section 404 internal controls
Pengujian ini akan mengikuti prosedur yang sama dengan dokumentasi internal control sebenarnya.

6.5. Disclosure Committee and Keeping Section 404 Current


SEC merekomendasikan agar organisasi-organisasi terkait mempertimbangkan materialitas
informasi yang ditemukan untuk mengidentifkasi isu pengungkapan yang relevan. Proses yang
kompleks ini dapat berjalan lebih efisien dengan bantuan internal control.
CHAPTER 7: INTERNAL CONTROLS FRAMEWORKS WORLDWIDE: COBIT AND
OTHERS

7.1. Beyond COSO: Other Approaches to Undersanding Internal Controls


COSO merupakan kerangka kerja internasional untuk memahami dan mengevaluasi internal
control. Meskipun demikian, COSO bukanlah satu-satunya kerangka kerja internal control. CobiT
merupakan kerangka kerja internal control lain yang dapat digunakan.

7.2. CobiT Model: IT Governance


Standar dan kerangka kerja CobiT diterbitkan dan dipelihara oleh information System Audit
and Control Association (IASCA). CobiT sudah dilengkapi dengan teknik-teknik profesional,
peraturan, serta standar yang spesifik secara industri.
a. CobiT Framework
Informasi adalah aset yang sangat bernilai bagi perusahaan. Manajemen berkewajiban menjaga
informasi yang dimiliki perusahaan sebagai salah satu aset yang bernilai.

CobiT menyatakan bahwa ada 4 domain utama tindakan yang harus dilakukan, yakni:

o Planning and organization


o Acquisition and implementation
o Delivery and support
o monitoring
b. Navigating CobiT: Understanding the Framework
Ada 3 dimensi utama, yakni It processes, IT resources, dan information criteria. Pada akhirnya,
diharapkan tercapai informasi yang berkualitas, yang memenuhi kriteria effectiveness, efficiency,
confidentiality, integrity, availability, compliance, dan reliability.
c. Control Objectives under CobiT
Auditor harus memiliki tujuan yang jelas agar review internal control berlangsung dengan baik.
d. CobiT Audit Guidelines
Proses audit CobiT dibangun atas beberapa panduan yang dapat digunakan untuk keseluruhan proses,
sebagaimana prosedur audit yang berorientasi pada setiap proses CobiT.
e. Management and Implementation Guidelines

7.3. Using CobiT for SOA Section 404 Assessments


CobiT meruapakan alat yang tepat digunakan, khususnya pada kondisi lingkungan yang
terkonsentrasi pada teknologi informasi. Penggunaan CobiT membantu auditor internal mengaudit
asersi, sesuai dengan section 404.

7.4. Canadas COSO Framework


The Canadian Institute of Chartered Accountants (CICA) menerbitkan panduan desain,
pengukuran, dan pelaporan sistem kendali organisasi. Control dipandang sebagai 4 proses terkoneksi,
yakni:
o Pengawasan dan pembelajaran lingkungan internal dan eksternal termasuk
pengawasan asumsi
o Tujuan kendali internal termasuk memahami resiko dan kebijakan, serta penetapan target
yang ingin dicapai
o Komitmen terhadap nilai-nilai etis, kebijakan sumber daya manusia yang tepat, serta atmosfir
saling percaya
o Kemampuan yang didasarkan pada proses informasi yang tepat, aktivitas kontrol, dan
koordinasi informasi

7.5. Turnbull Report


Hampir sama dengan Kanada, Inggris juga terlibat dalam beberapa proyek terkait
pengembangan laporan keuangan. Laporan keuangan disarankan mengandung faktor-faktor berikut.
o Resiko yang sedang dihadapi perusahaan
o Katagori resiko
o Kemungkinan terjadinya resiko
o Kemampuan perusahaan untuk mengurangi resiko
o Biaya menanggulangi resiko

7.6. Internal Control Frameworks Worldwide


Beberapa kerangka kerja konrtol internal lain yang dapat digunakan untuk memahami dan
mengevaluasi kontrol internal antara lain CoCo dan Acc. Turnbull Approach juga merupakan
pendekatan yang umum digunakan secara internasional.