5. Istilah kegiatannya (its activities)mengkonfirmasi lingkup yurisdiksi yang luas dari audit
internal pekerjaan yang berlaku untuk semua kegiatan dari perusahaan modern .
6. Layanan mengungkapkan bahwa bantuan dan bantuan kepada manajemen dan anggota lain
organisasi adalah produk akhir dari semua pekerjaan audit internal.
7. Untuk organisasi menegaskan bahwa jumlah Popper terkait lingkup jasa audit internal
ke seluruh organisasi, termasuk semua personil, dewan direksi dan komite yang audit,
pemegang saham, dan pemangku kepentingan lainnya.
Audit internal juga dapat diakui sebagai kontrol organisasi yang fungsi dengan
mengukur dan mengevaluasi efektivitas pengendalian lainnya. ketika sebuah organisasi
menetapkan perencanaan dan kemudian mulai menerapkan nya rencana dalam hal operasi, ia
harus melakukan sesuatu untuk memantau operasi untuk memastikan pencapaian tujuan yang
telah ditetapkan. Upaya-upaya lebih lanjut dapat dianggap sebagai kontrol. Sementara fungsi
audit internal itu sendiri salah satu jenis kontrol yang digunakan, ada berbagai kontrol
lainnya. Peran khusus internal Audit adalah untuk membantu mengukur dan mengevaluasi
kontrol-kontrol lainnya. Dengan demikian, intern auditor harus memahami kedua peran
mereka sendiri sebagai fungsi kontrol dan sifat dan ruang lingkup jenis-jenis kontrol dalam
organisasi.
Sejarah Dan Latar Belakang Audit Internal
Hal yang biasa bagi setiap kegiatan-kegiatan termasuk kontrol seperti auditing- intern
untuk datang menjadi ada sebagai hasil dari kebutuhan yang muncul. Organisasi bisnis 1942,
ketika audit internal modern yang baru saja mulai, sangat berbeda dari organisasi abad kedua
puluh satu kami hari ini.
Misalnya, selain dari beberapa perangkat elektromekanis dan kegiatan di laboratorium
penelitian, komputer sistem tidak ada. Organisasi tidak perlu untuk pemrogram komputer
sampai mesin ini mulai menjadi berguna untuk berbagai pencatatan dan
fungsi komputasi lainnya. Demikian pula, organisasi harus sangat sederhana
sambungan telepon di mana operator telepon dialihkan semua panggilan yang masuk ke
sejumlah telepon desktop yang.
Hari ini, kita semua terhubung melalui luas, web di seluruh dunia otomatis
telekomunikasi dan Internet. The meningkatnya kompleksitas bisnis modern dan organisasi
lain telah menciptakan kebutuhan untuk spesialis yang sama di berbagai kontrol bisnis:
auditor internal. Kita dapat lebih memahami sifat audit internal hari ini jika kita tahu sesuatu
tentang perubahan kondisi di masa lalu dan kebutuhan yang berbeda ini
perubahan yang dibuat.
Pada tingkat yang paling primitif, evaluasi atau fungsi audit internal dapat
ada apabila salah satu orang duduk kembali dan survei sesuatu yang ia punya
dilakukan. Pada saat itu, individu meminta dia-sendiri seberapa baik suatu tugas tertentu
telah dicapai dan, mungkin, bagaimana mungkin akan dilakukan dengan lebih baik jika itu
menjadi dilakukan lagi.
Tugas audit internal pertama biasanya berasal untuk memenuhi kebutuhan operasional
sangat dasar dan tajam didefinisikan. Paling awal khusus perhatian manajemen adalah apakah
aset organisasi sedang benar dilindungi, apakah prosedur dan kebijakan perusahaan sedang
memenuhi dengan, dan apakah catatan keuangan yang dipertahankan secara akurat.
Untuk sebagian besar, upaya audit internal ini awalnya dipandang sebagai terkait erat
perpanjangan pekerjaan auditor eksternal. Akibat dari semua faktor ini adalah bahwa ini
auditor internal awal adalah dipandang sebagai memainkan peran yang relatif sempit dalam
organisasi mereka, dengan terbatas tanggung jawab dalam total spektrum manajerial. Internal
auditor awal sering dipandang sebagai checker berorientasi finansial catatan dan lebih dari
polisi
Petugas dari rekan kerja. Dalam beberapa organisasi, auditor internal memiliki besar
tanggung jawab untuk rekonsiliasi dibatalkan cek gaji dengan laporan bank atau
memeriksa matematika dalam dokumen bisnis biasa.
Dalam organisasi ritel, auditor internal sering bertanggung jawab untuk mendamaikan
penjualan tunai harian untuk mencatat penerimaan penjualan. Memahami sejarah audit
internal penting karena tua gambar masih berlanjut, sampai batas tertentu, untuk auditor
internal modern saat ini. Hal ini agar meskipun karakter fungsi audit internal saat ini sangat
berbeda.
Seiring waktu, operasi berbagai organisasi meningkat dalam volume dan kompleksitas,
menciptakan masalah manajerial dan tekanan baru pada manajemen senior.
Hubungan Terhadap Operasional, Keuangan Dan Informasi Sistem Audit
Selama tahun 1960, ada kecenderungan kuat bagi banyak orang untuk menggunakan
istilah operasional audit di tempat audit internal tradisional. Alasannya adalah bahwa intern
audit adalah istilah diikat terlalu erat dengan audit keuangan dasar, termasuk eksternal.
Dalam bentuknya yang paling ekstrim, yang disebut fungsi audit operasional akan
memisahkan sendiri sepenuhnya dari daerah keuangan disebut. Mereka akan mengklaim,
misalnya, tidak memiliki keahlian di kontrol keuangan mengelilingi piutang operasi.
Sebaliknya, mereka mungkin melihat proses kontrol dan mengabaikan isu apakah kas yang
diterima dicatat dengan benar dan diikat ke rekening keuangan, termasuk buku besar.
Cakupan akuntansi dan kontrol keuangan dan proses juga memberikan kesempatan
bagi memperluas jangkauan layanan audit internal ke dalam wilayah operasional yang lebih
luas. Karena catatan akuntansi dan keuangan secara langsung atau tidak langsung
mencerminkan semua kegiatan operasional, audit internal berorientasi finansial ulasan pintu
sering terbukauntuk kegiatan lainnya.
Dalam hal strategi, sebuah ditinggalkan audit internal akuntansi dan keuangan daerah
dapat membuat vakum yang akan mengundang munculnya fungsi audit jenis lainnya. Audit
Mutu Internal Jaminan dan ASQ Kualitas Audit "misalnya, akan membahas berapa banyak
tradisional auditor internal di masa lalu diabaikan Organisasi Internasional untuk
Standardisasi (ISO) "kualitas" gerakan di awal hari, yang menyebabkan hampir profesi yang
terpisah dari kualitas auditor.
Fungsi audit internal saat ini perlu memiliki cakupan yang memadai kunci akuntansi
dan keuangan daerah, dan tanggung jawab siapa yang melakukan itu pasti akan meluas ke
gambaran wilayah operasional yang lebih luas. kegagalan untuk menutupi area keuangan
utama adalah salah satu argumen perusahaan audit eksternal dibuat untuk manajemen senior
ketika mereka menawarkan untuk menyediakan outsourcing perusahaan audit internal jasa.
Selama beberapa tahun menjelang diberlakukannya SOA, hampir muncul bahwa kantor
akuntan publik yang mengambil alih audit internal melalui pengaturan outsourcing mereka.
Sekarang, auditor eksternal organisasi dilarang juga melakukan audit internal untuk
organisasi yang sama.
Auditor internal saat ini adalah elemen jauh lebih penting dalam rangka pengendalian
internal secara keseluruhan organisasi daripada mereka yang tidak yang bertahun-tahun di
masa lalu. Agar efektif di sini, auditor internal harus mendapatkan pemahaman yang kuat
tentang pengendalian internal, dan keterlibatan audit internal dengan Bagian SOA 404 ulasan
memerlukan beberapa pemahaman yang berlaku umum prinsip akuntansi (GAAP) dan
kontrol keuangan yang terkait. Oleh karena itu, auditor internal saat ini perlu memahami
keuangan dan operasional serta sistem informasi kontrol.
Independen
Defenisi audit internal
Penilaian menegaskan perlunya evaluasi
CBOK IIARF bertujuan mendokumentasikan pemahaman tentang peran nilai tambah unik
yang dimiliki audit internal perusahaan di seluruh dunia, berdasarkan pemahaman ini, suatu
tujuan CBOK IIARF menjasi lebih baik dalam menentukan masa depan audit internal dan
memastikan bahwa hal tersebut berisi semangat dan kontribusi relevan terhadap
perusahaan.
Sayangnya, tujuan CBOK IIARF tidak mengembangkan seperangkat standar level tinggi
dalam pelaksanaan audit internal, seperti pendekatan yang digunakan dalam PMBOK PMI
maupun praktek terbaik untuk Perpustakaan Informasi Teknologi Infrastruktur (Information
Technology Infrastructure LibraryITIL). IIARF ditujukan hanya untuk memperoleh
pengetahuan yang lebih baik mengenai aktivitas dan tugas auditor internal saat ini dalam
berbagai bagian unit IIA di seluruh dunia dan operasi individu seperti fungsi kepala audit
internal termasuk Chief Audit Executives (CAEs), manajer audit, senior audit
internal/supervisor, staf, dan hal lainnya yang terkait audit internal.
Meskipun disebut sebagai CBOK, pendekatan IIARF tidak menentukan seperangkat
pengetahuan umum akan praktek terbaik audit internal melainkan untuk mensurvei apa yang
dilakukan auditor internal disaat praktek publikasi studi dari negara ke negara. Untuk
mengembangkan studi IIARF, sebuah tim kontraktor dikontrak, format rinci standar survey
dikembangkan, dan survey ini dikirim kepada 9000 fungsi individual audit internal.
Survey CBOK IIARF dilakukan terhadap survei tipe-pelanggan yang serupa dimana
partisipan ditanyai untuk bersedia memberikan tanggapan atas pertanyaan berdasarkan skor 1
sampai 5 untuk setiap pertanyaan. Tanggapan dengan skor 5 berarti responden sangat setuju
dengan pertanyaan survey, skor 4 berarti setuju, dan skor 1 mengindikasikan responden
sangat tidak setuju dengan pertanyaan survey. Hasilnya akan dipubikasikan sebagai nilai
tengah atas bebagai tanggapan; tidak ada nilai standar deviasi yang ditunjukkan dalam
tingkatan tanggapan-tanggapan tersebut.
Kelemahan survei ini ialah hasil dari survei tersebut dapat membingungkan. Selain itu, survei
ini juga tidak dapat menghasilkan informasi lebih lanjut yang dapat emndukung jenis
tanggapan atau variasi dari skor yang tercatat. Berikut ini 3 pernyataan evaluasi CBOK
IIARF yang berada di bawah skor 4 dan diatas skor 3,5:
1. Kegiatan Internal audit anda membawa sebuah pendekatan sistematis untuk
mengevaluasi keefektivan proses penguasaan.
2. Cara aktivitas internal audit kita menambah nilai untuk proses penguasaan adalah
melalui akses langsung kepada komite audit.
3. Ijin dengan IIAs Standard s for the Professional Practice of Internal Auditing adalah
sebuah factor kunci dari kegiatan audit internal anda untuk menambah nilai untuk
proses penguasaan.
Dengan laporan seluruh level responden yang relatif rendah untuk pertanyaan-pertanyaan ini,
maka perhatian beberapa manajemen audit internal harus dipusatkan pada hal ini. IIA
menyatakan merencanakanm untuk memperbarui studi CBOK IIARF setiap tiga tahun dan
menunjukkan rencana umum untuk mengembangkan dan melepas produk lain dan penawaran
untuk meningkatkan dan membangun CBOK audit internal.
CBOK IIARF tidak memberi pedoman dalam praktek terbaik audit internal. CBOK IIRF
hanya memberikan gambaran garis bersar aktivitas audit internal dan bagaimana
mempraktekannya. Standar IIA dibentuk melalui upaya keras komite relawan. Melalui bagian
IIA lokal mereka, auditor internal seharusnya bisa lebih terlibat dalam proses pengembangan
standar IIA. Yang paling penting ialah, standar IIA ini secara efektif menentukan body of
knowledge atau seperangkat praktik terbaik bagi audit internal.
WHAT DOES AN INTERNAL AUDITOR NEED TO KNOW ? apa yang perlu diketahui
oleh seorang auditor internal?
Seorang auditor internal semestinya mengembangkan pengetahuan umum mengenai esensi
dari seluruh topik yang dibahas dalam buku ini.
Auditor internal yang berpengalaman biasanya terspesialisasi dalam beberapa area dan
memliliki tingkatan yang lebih besar atas pengetahuan industri spesifik. Bagaimanapun
perusahan manufaktur industri alat berat atau yang menyediakan beberapa jasa financial,
seorang auditor internal berpengalaman seharusnya mengembangkan kemampuan dan
pengetahuan mengenai bagian spesifik tersebut.
Pengetahuan tersebut bisa didapat dari membaca publikasi industry-spesifik, menghadiri
pameran perdagangan , atau hanya mendengar lebih banyak. Setelah memperbanyak
pengetahuan tentang industry-spesifik , seorang auditor internal dapat menggunakan beberapa
pengetahuan tersebut dan menggabungkannya dengan prinsip-prinsip audit secara layak.
b. Penilaian Risiko
Kemampuan perusahaan untuk meraih tujuannya memiliki risiko, dari internal maupun
eksternal. COSO mendeskripsikan penilaian risiko dlm 3 tahapan: (1) mengestimasi
signifikansi risiko; (2) menilai kemungkinan atau frekuensi terjadinya risiko; (3)
mempertimbangkan bagaimana risiko harus dikelola dan tindakan apa yg hrs dilakukan.
Kerangka pengendalian internal COSO menyarankan risiko harus dipertimbangkan dari
3 perspektif:
Risiko perusahaan dari faktor eksternal
Meliputi pengembangan teknologi yang dapat mempengaruhi sifat dan jgka waktu riset
dan development atau mendorong adanya perubahan proses produksinya; perubahan
kebutuhan atau harapan konsumen; penetapan harga; garansi; atau aktivitas jasa
(services).
Risiko perusahaan dari faktor internal
Misalnya gangguan server IT; kualitas kayawan; atau akses atas aktiva yang lebih
bebas.
Specific activity-level risks
Meliputi bidang pemasaran, IT, dan keuangan.
c. Aktivitas Pengendalian
- Macam aktivitas pengendalian:
Top-level reviews
Manajemen dan internai auditor pada berbagai tingkat harus me-review hasil kinerja
mereka, membandingkannya dengan budget, statistika kompetitif, dan ukuran
benchmark lain.
Fungsional langsung atau manajemen aktivitas
Manajer pada berbagai tingkat harus me-review laporan operasional dari sistem
pengendalian mereka dan mengambil tindakan korektif yang tepat.
Proses informasi
IT mengandung banyak pengendalian dimana sistem secara internal mengecek
kepatuhan dalam area tertentu dan kemudian melaporkan pengecualian pengendalian
internalnya. Hal-hal yang dilaporkan sebagai pengecualian harus mendapatkan tindakan
korektif secara otomatis dari prosedur sistem, atau operatornya, atau maanjemen.
Pengendalian fisik
Perusahaan harus memiliki pengendalian yang tepat atas aset fisiknya, termasuk aset
tetap. Persediaan, dan surat berharga.
Indikator kinerja
Manajemen seharusnya mengumpulkan data2 yg berhubungan, baik operasional
maupun keuangan satu sama lain dan melakukan tindakan analitis, investigasi, dan
korektif yang tepat.
Pemisahan tugas
Tugas2 harus dipisahkan antara orang2 yg berbeda untuk mengurangi risiko terjadinya
tindakan yang salah atau tidak tepat.
Setiap manajer pada satuan kerja, baik operasional ataupun non-operasional, adalah
manajer resiko. Sebagaimana teori manajemen menjelaskan bahwa unsure inti manajemen
adalah planning,doing,dan controlling, maka sebagai pemilik dari risiko yang timbul dari
kegiatannya(planning,doing), manajer risiko haruslah sebagai pengendali(controlling) dari
risiko tersebut.
Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu sendiri.
Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu
mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.
Mengapa manajemen resiko itu penting? Sikap orang ketika menghadapi resiko
berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang
sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh
dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu
untuk mengerti betapa resiko itu penting untuk ditangani dengan baik.
RISK MANAGEMENT FUNDAMENTAL
Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk
meminimalkan resiko atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas
organisasi. Suatu proses manajemen risiko yang efektif memerlukan empat langkah:
1. IDENTIFIKASI RISIKO
g. Analisis lingkungan.
1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?
Menggunakan skor dari 1 sampai 9, jika :
Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama
periode berjalan.
Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
3. ANALISIS RISIKO
COSO Enterprise Risk Management adalah sebuah kerangka kerja untuk membantu
perusahaan untuk memiliki definisi yang konsisten terhadap risiko mereka. Ini juga
merupakan alat yang penting untuk memahami dan meningkatkan pengendalian internal
SOx. Dokumen kerangka COSO ERM dimulai dengan mendefinisikan manajemen risiko
perusahaan:
ERM memberikan keyakinan positif yang masuk akal tapi tidak pada pencapaian
objektif.
Bagan ini menunjukkan kerangka COSO ERM ini sebagai tiga dimensi kubus dengan
komponen-komponen:
Bagian ini menjelaskan komponen horizontal COSO ERM; kemudian bagian lainnya
membahas dua dimensi dan bagaimana mereka semua berhubungan satu sama lain. Tujuan
kerangka ERM adalah untuk menyediakan model bagi perusahaan untuk mempertimbangkan
dan memahami mereka terkait risiko kegiatan di semua tingkat, serta bagaimana dampak
risiko komponen satu sama lain. Tujuan bab ini adalah untuk membantu Auditor Internal -dari
kepala audit eksekutif (CAE) untuk staf auditor-untuk lebih memahami COSO ERM dan
belajar bagaimana dapat membantu mengelola berbagai risiko yang dihadapi perusahaan.
Risk Appetite.
Struktur organisasi.
b. Menetapkan Tujuan
c. Identifikasi Peristiwa
Proses pemantauan harus mencakup: (1) Peristiwa ekonomi eksternal, alam, dan politik, (2)
faktor social, (3) peristiwa infrastruktur internal, (4) proses internal, (5) teknologi internal
maupun eksternal,
d. Penilaian Risiko
Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah
ukuran dari anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari
kegiatannya. Risiko inheren di luar kendali manajemen dan biasanya berasal dari
faktor eksternal.
Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko
ancaman dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat
risiko residual.
e. Respon Risiko
Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur
mengenai tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat
ditangani dalam salah satu dari empat cara dasar:
1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau
menjatuhkan lini produk. Kesulitannya adalah bahwa perusahaan seringkali tidak bisa
drop garis produk atau berjalan kaki sampai setelah kejadian risiko telah terjadi
dengan nya terkait biaya. Penghindaran dapat menjadi berpotensi mahal strategi jika
investasi tersebut dilakukan untuk masuk ke suatu daerah dengan penarikan
berikutnya untuk menghindari risiko.
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui
pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi
keuangan, perusahaan dapat melakukan lindung nilai operasi melindungi dari
fluktuasi harga yang mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat
melalui perusahaan perjanjian usaha patungan atau struktural lainnya pengaturan.
Idenya adalah untuk memiliki pihak lain menerima beberapa potensi risiko serta
berbagi dalam penghargaan yang dihasilkan.
f. Kegiatan Pengendalian
ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko
yang memadai, perusahaan harus memilih kontrol aktivitas yang diperlukan untuk
memastikan bahwa risiko tanggapan dijalankan secara tepat waktu dan efisien. Setelah
melalui risiko identifikasi kejadian COSO ERM, penilaian, dan respon proses, risiko
pemantauan memerlukan empat langkah:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan
pengendalian prosedur untuk memantau atau benar bagi mereka.
2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah mereka terkait
pengendalian risiko prosedur yang bekerja secara efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif
dan seperti yang diharapkan.
o Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi
orang yang sama yang mengotorisasi transaksi tersebut.
o Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali dengan transaksi yang menciptakan hasil tersebut.
o Keamanan dan integritas. Pengendalian proses harus memiliki kontrol yang tepat
prosedur seperti bahwa hanya orang-orang yang berwenang dapat meninjau kembali
atau memodifikasi mereka.
h. Pemantauan
o Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci
dari didirikan risiko kriteria, termasuk tingkat kesalahan dapat diterima atau item
diselenggarakan di ketegangan.
o Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari
laporan audit internal dan eksternal, termasuk status ERM terkait SOx
mengidentifikasi kesenjangan.
o Perbarui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi, tren
industri, dan berita ekonomi secara umum.
Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan dari
internalnya dan eksternal baik itu dari keuangan perusahaan dan data non keuangan.
Pelaporan yang akurat sangat penting untuk suatu keberhasilan perusahaan dalam banyak
dimensi.
Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang dikenakan
atas standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui,
risiko hukum kadang-kadang tidak terduga. Hasilnya adalah litigasi diarahkan terhadap
perusahaan yang pernah memproduksi produk yang mengandung asbes tertentu, panggilan
ganti rugi berdasarkan risiko manusia yang potensial di masa mendatang. COSO ERM
merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan untuk masing-masing
komponen kerangka risiko, baik dalam konteks lingkungan internal pemerintah, pengaturan
tujuan, atau pemantauan risiko, serta di seluruh perusahaan.
Sebuah perusahaan dapat meningkatkan proses secara keseluruhan sama halnya Sox
pengendalian internal melalui implementasi yang efektif dan efisien COSO ERM. Dengan
berfokus pada kerangka COSO ERM serta manajemen risiko umum baik praktek, audit
internal dapat membantu perusahaan dengan perencanaan dan melakukan review proses
manajemen risiko perusahaan. Untuk meninjau praktek COSO ERM dan implementasi
prosedur, auditor internal, baik sebagai peninjau audit internal kontrol atau konsultan
manajemen, perlu mengembangkan pengertian pengendalian COSO ERM dan proses. Selain
itu, setiap kajian internal audit proses ERM perusahaan harus dikembangkan melalui
perencanaan internal audit berbasis risiko yang akan dibahas lebih lanjut di materi
selanjutnya. Internal Audit harus meninjau sisi perusahaan ERM proses menggunakan
beberapa alat ini:
Proses flowchart Sebagai bagian dari setiap proses ERM yang diidentifikasi, diagram
alur proses dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi dalam perusahaan. Ini dibutuhkan untuk melihat dokumentasi yang disiapkan
untuk risiko terkait proses, menentukan kondisi saat ini, dan menggambarkan semua
kecukupan semua tingkatan proses risiko perusahaan.
Tinjauan bahan dan pengendalian risiko. Sebuah proses ERM menghasilkan dalam
volume besar bahan pedoman, terdokumentasi, format laporan, dan sejenisnya. Proses
ERM berharga untuk risiko dan pengendalian bahan audit internal
Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi pada
efektivitas ERM dari berbagai macam orang. Mereka dapat dikirimkan disetujui
stakeholder. Ini merupakan teknik audit internal yang baik.
Chapter 7
Performing Effective Internal Audits (Menampilkan internal audit yang efektif)
Diasumsikan bahwa fungsi internal audit yang efektif dimulai dengan sebuah charter
audit yang disetujui seperti halnya dengan persetujuan komite audit untuk sebuah rencana
tahunan aktivitas internal audit perusahaan. Pada bab ini, akan menjelaskan langkah langkah
yang penting untuk melaksanakan review audit internal atas pengendalian internal. Secara
virtual, seluruh audit internal dimulai dengan menetapkan charter audit internal yang telah
disetujui, penegasan kembali tujuan awal audit, pengembangan rencana audit individual
secara terperinci. Kemudian, program audit internal beserta review awal dan dokumentasi
atas pengendalian internal, pengujian untuk menentukan apakah telah berjalan sesuai dengan
yang diharapkan, laporan hasil audit secara berkelanjutan. Seluruhnya dijelaskan berdasarkan
inti dari ketentuan CBOK.
Seorang auditor internal yang efektif bertindak sebagai perangkat garis depan dari
mata dan telinga untuk komite audit dan manajer senior, dan harus melakukan lebih dari
sekedar review kewajiban perusahaan dengan dokumentasi yang dipublikasi dan prosedur.
7.1 Mengorganisir dan Merencanakan Internal Audit
Sebelum fungsi internal audit dapat menjalankan audit apapun, dibutuhkan beberapa building
blocks sebagai tempat untuk menyeimbangkan sebuah fungsi internal audit yang efektif.
Pondasi building blocks internal audit ini antara lain:
a. Sebuah rencana efektif dari organisasi dan sebuah piagam untuk melaksanakan aktivitas
audit internal.
b. Sebuah rencana audit tahunan atau jangka panjang
c. Standar dan pendekatan efektif untuk menampilkan semua internal audit.
Audit internal akan lebih efektif jika semua anggota dari staff audit ikut konsisten, prosedur
yang professional dalam menampilkan review mereka. Mereka akan menjadi sumber daya
perusahaan yang kuat pada pandangan manajer, yang selalu mengharapkan konsistensi,
pendekatan yang berkualitas dari sumber daya audit internal.
7.2 Aktivitas audit internal yang berkenaan dengan persiapan
Masing-masing proyek audit internal harus berhati-hati merencanakan sebelum memulainya.
Audit harus dimulai sebagai sebuah elemen yang terskedul pada perencanaan tahunan audit
internal dan proses memperkirakan resiko, berdasarkan permintaan special komite audit atau
manajemen, atau sebagai respon pada kejadian yang tidak direncanakan, seperti penemuan
kecurangan, peraturan baru, atau kejadian ekonomi yang tidak terduga.
Setelah internal audit mengembangkan rencana untuk bekerja untuk tahun mendatang,
perencanaan dan penjadwalan audit internal individu dering menjadi tantangan. Di samping
rencana yang well-thought-out, kejadian yang tidak terjadwal, permintaan dari manajer, atau
situasi seperti hasil yang tidak menguntungkan dari audit lain mungkin akan menyebabkan
perubahan pada sebuah rencana jangka panjang audit internal. Meskipun sering ada tekanan
untuk memulai contohnya audit special secara tiba-tiba, sebuah audit yang terencana dengan
baik akan hampir selalu menyajikan hasil audit yang lebih baik. Sebagai tambahan, audit
internal dapat memperoleh penghematan yang signifikan pada waktu dan usaha dengan
perencanaan lanjutan yang cukup dan pekerjaan yang berkenaan dengan persiapan.
a. Menentukan tujuan audit baik yang menyeluruh maupun individual
Audit internal harus secara umum menetapkan rencana-rencana untuk aktivitas audit
internal yang secara khas menutupi periode fiscal tahunan.
b. Menjadwal audit dan memperkirakan waktu
(tahunan/triwulan/bulanan;person;scope;object) yang paling penting adalah jumlah staf
setiap penugasan harus dibuat scheduling yang lebih rinci
c. Survey awal: mereview kertas kerja sebelumnya, mereview laporan audit sebelumnya,
entitas organisasi, materi audit lainnya yg berhubungan.
7.3 Memulai Audit Internal
Dimulai dengan membuat surat perikatan, surat ini harus memperingatkan manajer audit
dari :
1. Adressee, komunikasi harus dialamatkan kepada manajer secara langsung
bertanggung jawab kapada unit yg di audit.
2. Tujuan dan scope dari audit
3. Tanggal mulai yg diharapkan dan lama waktu audit yang direncanakan
4. Tanggung jawab perorangan untuk melakukan review
5. Persiapan kebutuhan lanjutan, seperti akses jaringan telekomunikasi, akses untuk
kunci sistem IT atau database.
6. Salinan surat perikatan
7. Laporan operasi lainnya
a) Survey lapangan untuk internal audit, merupakan hal yg sangt kritikal/penting dalam
penetapan arah, detail scope, dan hasil audit. Survey lapangan mengijinkan auditor untuk,
1. Menyesuaikan dirinya dengan proses local utama di tempat dan
2. Evaluasi struktur pengendalian dan level dari resiko pengendalian pada proses yang
bervariasi dan sistem yang termasuk dengan audit.
Informasi yang harus ditemukan selama survey lapangan:
1. Struktur organisasi termasuk nama-nama dari orang-orang penting adalah benar
2. Manual and directives
3. Laporan (reports) yang terkait misalnya penganggaran, operasi, studi biaya,dll
4. Observasi perorangan
5. Diskusi dengan orang-orang penting untuk mengetahui area-area yg bermasalah, hasil
sebenarnya dari operasi perusahaan, dan perubhan rencana atau reorganisasi.
b) Dokumentasi hasil survey lapangan internal audit pada kertas kerja audit. (bisa berupa
flowchart)
c) Kesimpulan survey lapangan auditor
Tujuan utama dari suvei lapangan adalah untuk menyocokkan asumsi yang dibuat dari
perencanaan audit sebelumnya, yang bertujuan untuk mengembangkan pemahaman pada
sistem kunci dan proses. dengan survey awal, auditor diharapkan menyesuaikan scope
dan tujuan audit yang direncanakan dengan keadaan sebenarnya.
7.4 Mengembangkan dan menyiapkan audit program
Untuk mencapai konsistensi audit, auditor internal harus menggunakan audit program
untuk melakukan prosedur audit dengan konsisten dan cara yang efektif untuk tipe audit
yang sama. Istilah program mengarah pada seperangkat prosedur audit hamper mirip
dengan program komputer, instruksi yang dijalankan sama dengan instruksi program
setiap proses dijalankan.
a. Format audit program dan persiapannya
Audit program adalah sebuah prosedur yang menjelaskan langkah demi langkah yang
harus dilakukan oleh internal audit ketika sedang melakukan kerja lapangan. Program
ini harus diselesaikan setelah survey lapangan dan survey sebelumnya selesai
dilakukan dan sebelum memulai audit yang sebenarnya. Hal yang paling penting dari
program itu adalh program itu harus mengidentifikasi aspek area yang harus
diperikasi kedepannya dan area yang sensitive yang membutuhkan penekanan audit.
Tujuan penting lainnya dari audit program adalah sebagai peralatan pemandu baik
untuk onternal auditor yang kurang atau yang mempunyai pengalaman lebih.
b. Tipe-tipe dari bukti audit
Bukti audit meliputi semua audito internal review atau pengamatan. Auditor internal
harus mengumpulkan bukti audit untuk mendukung evaluasi auditor- internal audit
standart yang disebut bukti audit yang cukup, competent,relevant, dan berguna-. Liat
exhibit 7-8
7.5 Melakukan Audit Internal
a. Prosedur awal fieldwork internal audit
Auditor dan anggota tim audit harus memulai audit dengan rapat bersama anggota
yang tepat dari manajemen perusahaan yang diaudit untuk menentukan kerangka
perencanaan awal audit, termasuk area yang harus diaudit, laporan khusus atau
dokumen yang dibutuhkan, dan orang2 yg akan diwawancarai. Auditor harus meminta
semua pihak organisasi yang terpengaruh untuk member mereka jadwal sementara
kinerja audit yang direncanakan. Auditor yang sedang bekerja harus bertemu dengan
manajemen perusahaan untuk mendiskusikan berbagai masalah dan mencari
pemecahannya. Bila ada komponen kunci dalam audit yang telah direncanakan
meleset, manajemen audit harus mengembangkan strategi peninjauan kembali untuk
menyelesaikan masalah termasuk, yang meliputi:
Meninjau kembali prosedur audit untuk melaksanakan pengujian tambahan
dalam area yang berbeda
Menyelesaikan audit tanpa menggunakan data yang hilang tersebut.
Menyelesaikan bagian audit yang lain dan menjadwalkan kunjungan
selanjutnya untuk melaksanakan pengujian.
b. Teknik bantuan audit fieldwork
Manajemen audit unternal harus mengkomunikasikan semua masalah teknik audit
kepada para stafnya yang harus dipahami oleh yang auditor yang sedang bekerja agar
bisa dicari solusinya sesegera mungkin.
c. Audit Management Fieldwork Monitoring
Bila audit membutuhkan waktu yang lama atau membutuhkan sumber daya yang
terlalu banyak, maka manajemen audit internal harus meriview progress audit secara
berkala dan menyediakan pengarahan teknis melalui kunjungan dan komunikasi.
Tujuannya untuk mereview progress kerja dan membantu menyelesaikan masalah
yang ada
d. Penemuan audit yang potensial, penemuan awal audit biasanya mempunyai elemen-
elemen ini:
1. Identifikasi penemuan
2. Kondisi
3. Referensi kepada dokumen pekerjaan audit
4. Rekomendasi awal auditor
5. Hasil dari diskusi hasil temuan dengan manajer
6. merekomendasikan disposisi dari penemuan
e. modifikasi audit program dan jadwal
audit program memrupakan petunjuk keseluruhan pelaksanaan internal audit yang
dikembangkan dari data survey awal dan dari file internal audit terdahulu. Kebutuhan
modifikasi audit program sangat diperlukan sangat internal audit telah
mengembangakan audit program umum untuk mereview unit yang hamper sama.
Perubahan itu dibutuhkan dalam jadwal audit sebagai progress kerja dan fleksibilitas
harus direncanakan untuk menghadapi persyaratan yang tidak terduga.
f. Melaporkan temuan audit persiapan kepada manajer
Penemuan audit potensial harus diriview oleh management unit selama pelaksanaan
audit untuk menentukan apakah mereka memang fakta dan berpengaruh signifikan.
7.6 Membungkus perikatan bidang Internal Audit
Internal audit harus dikelola dengan cara yang sama seperti proyek lainnya yang
membutuhkan waktu personal dan sumber daya lain serta emmberi hasil yang dapat
dikomunikasikan. Sumber daya personal dan biayanya harus direncankan dan
dianggarkan pada tingkat yang terinci. Perluasan waktu atas audit harus ditinjau lebih
lanjut manajemen audit internal untuk menyediakan overview dari audit yang telah
direncanakan atau yang masih berjalan. Periode selama 3 bulan seringkali merupakan
waktu yang tepat untuk aktivitas yang direncanakan.
7.7 Melakukan Internal Audit Individual
Seorang auditor internal harus melaksanakan kinerja dan memiliki kemampuan untuk
merencanakan dan melaksanakan audit internal individual.
Proses audit internal :
1. Sebagai bagian dari perencanaan audit, melaksanakan analisis resiko untuk
mengidentifikasi resiko pengendalian yang potensial
2. Berdasarkan hasil anlisis resiko dan kendala lain mengembangkan audit plan.
3. Menjadwal audit internal di awal dan mengalokasikan sumber daya
4. Mereview laporan audit terdahulu dan kertas kerja yang melingkupi audit area
5. Mengunjungi lokasi dan melaksanakan survey lapangan yang melingkupi area dari
audit yang direncanakan.
6. Berdasarkan kertas kerja dan survey lapangan yang dibuat, menyiapkan audit program
7. Menyiapkan dan menyampaikan surat perikatan audit dan merencanakan untuk
memulai audit internal
8. Memulai audit internal lapangan dan audit internal yang telah direncanakan.
9. Mendokumentasikan proses dan melaksakan prosedur audit yang telah direncankan
10. Mengembangkan audit point sheet yang melingkupi penemuan awal internal audit
11. Menyelesaikan dokumentasi audit dan mengiktisarkan penemuan audit yang
potensial.
12. Menyelesaikan audit internal lapangan dan meriview temuan audit yang diusulkan
dengan auditee.
Nilai yang paling penting yang disediakan oleh proses audit internal kepada komite audit dan
manajemen merupakan laporan hasil pelaksanaan audit di lapangan secara rinci atau sebagai
bagian dari operasi keseluruhan.
Chapter 10
Audit Program and Establishing the Audit Universe