Anda di halaman 1dari 13

BAB 9 Mengelola Fungsi Audit Internal

Sekarang, Anda harus mengenali kedalaman dan kompleksitas fungsi audit internal
dan menyadari peran penting yang dapat dimainkannya dalam keberhasilan seluruh
organisasi melalui layanan jaminan yang dilakukannya untuk mendukung struktur tata kelola
organisasi. Dalam bab ini, kita membahas apa yang terlibat dalam mengelola fungsi audit
internal. Ketika berlaku, spektrum metode yang digunakan oleh fungsi audit internal yang
berbeda disajikan dan manfaat masing-masing dibahas. Kami mulai dengan diskusi tentang
berbagai pilihan mengenai struktur organisasi untuk fungsi audit internal, termasuk di mana
ia diposisikan dalam suatu organisasi. Kemudian, kami mengidentifikasi posisi kunci dalam
fungsi audit internal, termasuk eksekutif kepala audit (CAE), dan menguraikan peran dan
tanggung jawab untuk masing-masing. Dari sana, kita beralih ke kebijakan dan prosedur
dengan gambaran umum tentang bagaimana mereka memberikan bimbingan dan struktur
yang diperlukan untuk fungsi audit internal. Selanjutnya, kami memeriksa berbagai model
manajemen risiko dan melihat peran apa yang dapat dimainkan oleh fungsi audit internal
dalam manajemen risiko dan proses tata kelola organisasi. Setelah itu, kami menjelaskan
jaminan kualitas dan pentingnya dalam fungsi audit internal. Akhirnya, kami mengakhiri bab
ini dengan menyentuh berbagai alat teknologi yang tersedia untuk fungsi audit internal dan
bagaimana mereka digunakan dalam mengelola fungsi.

POSISI FUNGSI AUDIT INTERNAL DALAM ORGANISASI


Ada spektrum opini dewan mengenai di mana fungsi audit internal dapat dan harus
diposisikan dalam organisasi agar sesuai dengan Standar Internasional IIA untuk Praktik
Profesional Audit Internal (Standar). Pada salah satu ujung spektrum, fungsi audit internal
ditempatkan pada tingkat manajemen senior, memberikan fungsi visibilitas, otoritas, dan
bertanggung jawab untuk (1) secara independen mengevaluasi penilaian manajemen dari
sistem pengendalian internal organisasi, dan (2) menilai kemampuan organisasi untuk
mencapai tujuan bisnis dan mengelola, memantau, dan memitigasi risiko yang terkait
dengan pencapaian tujuan tersebut. Selain layanan jaminan, fungsi audit internal ini
biasanya diminta oleh manajemen untuk memberikan layanan konsultasi dalam bentuk
inisiatif atau proyek yang memungkinkan manajemen untuk menggunakan keahlian
profesional yang dimiliki fungsi audit internal. (Layanan konsultasi dibahas lebih luas dalam
bab 15, "Keterlibatan Konsultasi") Di ujung lain dari spektrum adalah organisasi-organisasi
yang tidak memiliki fungsi audit internal, atau menempatkan fungsi audit internal mereka
jauh lebih rendah dalam hirarki organisasi, biasanya menugaskan mereka untuk melakukan
aktivitas nonaudit sehari-hari, seperti jaminan kualitas, kepatuhan, operasional, dan / atau
kegiatan pemrosesan transaksi lainnya.
Menanggapi definisi IIA tentang audit internal yang dikutip dalam bab 1, "Pengantar
Audit Internal" sebagai "kegiatan independen, obyektif, jaminan dan konsultasi yang
dirancang untuk menambah nilai dan meningkatkan operasi organisasi" yang "membantu
organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan disiplin
untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan
proses tata kelola ", banyak organisasi telah menempatkan fungsi audit internal mereka
sebagai aktivitas manajemen senior yang melapor langsung kepada dewan. Organisasi
yang terus memposisikan fungsi audit internal untuk melakukan kegiatan operasional dan
nonaudit lainnya, seperti yang disebutkan sebelumnya, pada dasarnya membuat fungsi tidak
dapat menyediakan manajemen, kontrol, dan proses tata kelola karena mereka tidak
memiliki objektivitas untuk mengevaluasi secara independen operasi organisasi dan
memberikan saran untuk peningkatan.
Organisasi yang mengakui pentingnya menempatkan fungsi audit internal dalam
posisi yang memaksimalkan efektivitas dan kemampuannya untuk mengevaluasi efektivitas
proses manajemen risiko, kontrol, dan tata kelola yang berada di tempat sering
melakukannya melalui posisi manajemen senior yang dijelaskan dalam Standar sebagai
CAE, IIA Standard 2000: Mengelola Kegiatan Audit Internal menyatakan bahwa "eksekutif
kepala audit harus secara efektif mengelola kegiatan audit internal untuk memastikan itu
menambah nilai bagi organisasi". Mengakui bahwa CAE sangat penting untuk fungsi audit
internal yang sukses, interpretasi Standar 2000 melanjutkan dengan menyatakan bahwa
"audit internal (fungsi) dikelola secara efektif ketika:
 Hasil pekerjaan audit internal (fungsi) mencapai tujuan dan tanggung jawab yang
termasuk dalam piagam audit internal;
 Audit internal (fungsi) sesuai dengan Definisi Audit Internal dan Standar; dan
 Individu yang merupakan bagian dari audit internal (fungsi) menunjukkan kesesuaian
dengan Kode Etik dan Standar "
Suatu kondisi yang perlu bagi CAE untuk memenuhi tanggung jawab yang diuraikan
di atas adalah untuk membuat piagam yang "menetapkan posisi audit internal (fungsi) dalam
organisasi; akses yang berwenang terhadap catatan, personel, dan properti fisik yang
relevan dengan kinerja pertunangan; dan mendefinisikan ruang lingkup kegiatan audit
internal "(IIA Standards 1000: Tujuan, Kewenangan, dan Tanggung Jawab). Selain
menentukan tujuan, wewenang, dan tanggung jawab fungsi audit internal, piagam harus
mempertimbangkan jaminan dan layanan konsultasi. Penting untuk mengenali bahwa fungsi
audit internal dan komite audit memiliki charter terpisah yang menggambarkan kewajiban
spesifik dan terpisah untuk organisasi masing-masing, sambil mempertimbangkan dan
mencerminkan saling ketergantungan yang melekat pada keduanya. Piagam fungsi audit
internal lebih rendah daripada bagan komite audit dan harus mendukung, bukan
bertentangan dengannya. Fungsi audit internal tambahan melengkapi piagam dengan visi
formal dan / atau pernyataan misi, serta strategi jangka panjang yang terperinci untuk fungsi
audit internal. Seringkali informasi tambahan ini, bersama dengan anggaran operasi dan
rencana sumber daya, termasuk dalam rencana audit internal tahunan yang disajikan
kepada komite audit untuk peninjauan dan persetujuannya. Berbagai dokumen terpisah ini,
bersama dengan kebijakan dan prosedur operasi dari fungsi audit internal, biasanya
digabungkan ke dalam satu set prinsip panduan (biasanya disebut ad an "manual audit")
yang, bersama dengan informasi prosedural lainnya, mendorong audit internal fungsi. Bagan
9-2 menguraikan rekomendasi IIA untuk membuat piagam audit internal.
Selain menetapkan suatu piagam, misi dan / atau visi, dan rencana audit internal,
CAE bertanggung jawab untuk menetapkan dan mempertahankan independensi,
objektivitas, kecakapan, dan perawatan profesional yang sesuai dalam fungsi audit internal.
Sebagaimana dinyatakan sebelumnya, posisi fungsi audit internal mempengaruhi sejauh
mana ia dapat tetap objektif. Beig diposisikan pada tingkat dengan manajemen senior
dengan akses langsung ke komite audit memberikan fungsi audit internal yang lebih besar
mandiri dan akibatnya objektivitas yang lebih besar. Partisipasi komite audit dalam
pemilihan, evaluasi, dan pemecatan CAE semakin meningkatkan kemampuan CAE untuk
mempertahankan independensi organisasional dan meminimalkan kemungkinan
manajemen senior menggunakan pengaruh yang tidak semestinya yang akan
mempengaruhi kemampuannya untuk bertindak tanpa bias (objektivitas individu). Idealnya,
fungsi ini akan diposisikan cukup tinggi dalam organisasi dengan akses langsung ke komite
audit untuk memungkinkan kecocokan dengan persyaratan dan rekomendasi IIA seperti
yang dijelaskan di bawah ini.

Kemandirian dan Objektivitas


IIA Standard 1110: Organisasi Independen menyatakan, "Eksekutif kepala audit
harus melaporkan ke tingkat dalam organisasi yang memungkinkan kegiatan audit internal
untuk memenuhi tanggung jawabnya." Lebih khusus lagi, Standard 1110, A1 menetapkan
bahwa "aktivitas audit internal harus bebas dari campur tangan dalam menentukan ruang
lingkup audit internal, melakukan pekerjaan, dan mengkomunikasikan hasil." Penasihat
Praktik 1110-1: Kemandirian Organisasi menjadi lebih rinci, menekankan pentingnya
manajemen senior dan dukungan dewan terhadap fungsi audit internal untuk membantu
memastikan kerja sama auditee dan penghapusan interferensi ketika fungsi audit internal
bekerja pada sebuah keterlibatan.
IIA Standard 1120: Individual Objectivity menyatakan, "Auditor internal harus memiliki
sikap yang tidak memihak, tidak bias dan menghindari konflik kepentingan." IIA selanjutnya
menguraikan persyaratan ini dalam Penasehat Praktik 1120-1: Objektivitas Individu:
1. Objektivitas individu berarti auditor internal melakukan pertunangan sedemikian rupa
sehingga mereka memiliki keyakinan yang jujur dalam produk kerja mereka dan tidak
ada kompromi kualitas yang signifikan yang dibuat. Auditor internal tidak ditempatkan
dalam situasi yang dapat mengganggu kemampuan mereka untuk membuat
penilaian profesional yang obyektif.
2. Objektivitas individu melibatkan eksekutif kepala audit eksekutif (CAE) mengatur staf
yang mencegah potensi konflik dan kepentingan yang nyata dan bias, secara berkala
memperoleh informasi dari staf audit internal mengenai potensi konflik kepentingan
dan bias, dan, ketika dapat dipraktekkan, merotasi audit internal pengaturan staf
secara berkala.
3. Review hasil kerja audit internal sebelum komunikasi keterlibatan terkait dirilis
membantu dalam memberikan jaminan yang wajar bahwa pekerjaan itu dilakukan
secara obyektif.
4. Objektivitas auditor internal tidak terpengaruh secara negatif ketika auditor
merekomendasikan standar kontrol untuk sistem atau meninjau prosedur sebelum
diimplementasikan. Objektivitas auditor dianggap terganggu jika auditor mendesain,
menginstal, merancang prosedur untuk, atau mengoperasikan sistem tersebut.
5. Kegagalan sesekali pekerjaan nonaudit oleh auditor internal, dengan pengungkapan
penuh dalam proses pelaporan, tidak selalu mengganggu objektivitas. Namun, hal itu
akan membutuhkan pertimbangan yang matang oleh manajemen dan audit internal
untuk menghindari pengaruh buruk terhadap objektivitas auditor internal.
Sebagaimana dibahas dalam IIA Standards 1140: Penurunan Kemandirian atau
Objektivitas:
Jika independensi atau obyektivitas dirusak dalam fakta atau penampilan, rincian
kerusakan harus diungkapkan kepada pihak yang sesuai. Sifat pengungkapan akan
tergantung pada kerusakan.
Interpretasi:
Gangguan terhadap independensi organisasi objektivitas individu dapat mencakup,
tetapi tidak terbatas pada, konflik kepentingan pribadi, keterbatasan ruang lingkup,
pembatasan akses ke catatan, personil, dan properti, dan keterbatasan sumber daya,
seperti pendanaan.
Penetapan pihak-pihak yang tepat di mana perincian penurunan terhadap
independensi dari aktivitas audit internal dan tanggung jawab eksekutif kepala audit
kepada manajemen senior dan dewan seperti yang dijelaskan dalam piagam audit
internal, serta sifat dari penurunan nilai.
Jika gangguan terhadap independensi atau obyektifitas diidentifikasi, auditor internal
harus melaporkan penurunan atau dugaan kerusakan kepada CAE yang harus memutuskan
apakah auditor internal perlu dipindahkan. Ketika hasil gangguan dari batasan ruang
lingkup, didefinisikan dalam Praktik Penasehat 1130-1: Penurunan Kemerdekaan atau
Objektivitas sebagai "pembatasan ditempatkan pada kegiatan audit internal yang
menghalangi kegiatan dari mencapai tujuan dan rencana," CAE harus melaporkan
keterbatasan ke papan. Efek CAE dari batasan ruang lingkup. Selain itu, untuk mencegah
kemungkinan kerusakan (aktual atau yang dirasakan), auditor internal tidak dapat
"menerima biaya, hadiah, atau hiburan dari karyawan, klien, pelanggan, pemasok, atau
rekan bisnis" (Penasihat Praktik 1130-1).
Persyaratan IIA tambahan mengenai gangguan pada independensi atau objektivitas
dapat ditemukan pada pameran 9-3.

Seringkali, fungsi audit internal akan mengkoordinasikan upaya dengan departemen


lain dalam organisasi yang memiliki tujuan dan tanggung jawab mitigasi risiko serupa,
seperti kepatuhan dan manajemen risiko. Selama fungsi audit internal tidak diminta untuk
melakukan aktivitas operasi atau proses desain dan prosedur yang nantinya perlu mereka
evaluasi sebagai bagian dari tugas mereka sebagai fungsi audit internal, tidak ada penaikan
terhadap independensi atau objektivitas. Jenis koordinasi ini dapat menambah nilai penting
bagi organisasi dan mendorong pemanfaatan sumber daya yang efisien dalam upaya
mitigasi risiko organisasi. Simillary, fungsi audit internal dapat mengidentifikasi peluang
untuk mengkoordinasikan upaya jaminan antara berbagai area organisasi tanpa merusak
independensi atau objektivitas. Koordinasi upaya jaminan dibahas secara lebih rinci dalam
bab ini.

Kemahiran dan Ketepatan Mengurus Profesional


IIA Standard 1200: Proficiency and Due Professional Care menyatakan bahwa
"pertunangan harus dilakukan dengan kemahiran dan perawatan profesional". IIA Standard
1210: Proficiency lebih detail, menyatakan bahwa "auditor internal harus memiliki
pengetahuan, keterampilan, dan kompetensi lain yang diperlukan untuk melakukan
tanggung jawab masing-masing. Kegiatan audit internal secara kolektif harus memiliki atau
memperoleh pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan. untuk
melakukan tanggung jawabnya ". Selanjutnya, IIA Standard 1220: Due Professional Care
menyatakan bahwa "auditor internal harus menerapkan kepedulian dan keterampilan yang
diharapkan dari auditor internal yang cukup bijaksana dan kompeten. Karena perawatan
profesional tidak menyiratkan infalibilitas".
Penting untuk dicatat bahwa interpretasi Standar 1200 mendefinisikan
"pengetahuan, keterampilan, dan kompetensi lainnya (sebagai) istilah kolektif yang
mengacu pada kemampuan profesional yang diperlukan auditor internal untuk secara efektif
melaksanakan tanggung jawab profesional mereka". Interpretasi ini lebih lanjut mendorong
auditor internal untuk "menunjukkan kemahiran mereka dengan memperoleh sertifikasi dan
kualifikasi profesional yang sesuai, seperti penunjukan Auditor Internal Bersertifikat dan
sebutan lainnya yang ditawarkan oleh Institut Auditor Internal dan organisasi profesional
yang tepat lainnya".

PERENCANAAN
Seperti disebutkan sebelumnya, CAE bertanggung jawab untuk menciptakan bdget
operasi dan mengalokasikan sumber daya dengan cara yang dirancang untuk mencapai
rencana audit internal tahunan. Rencana tahunan dikembangkan oleh fungsi audit internal
melalui proses yang mengidentifikasi dan memprioritaskan entitas audit yang mungkin (unit
atau proses bisnis, yang disebut sebagai "alam semesta audit") yang bertanggung jawab
untuk mengurangi risiko strategis, operasi, pelaporan, dan kepatuhan terhadap tingkat dapat
diterima oleh dewan direksi dan manajemen senior perusahaan. Risiko utama adalah
mereka yang menghadapi organisasi yang harus dikendalikan dan dipantau agar organisasi
berhasil mencapai tujuan bisnisnya yang ditetapkan. Risiko ini, sebagaimana diidentifikasi
oleh manajemen senior, harus dikuatkan secara independen oleh pengesahan audit internal.
Setelah risiko utama telah diidentifikasi dan disepakati, CAE menentukan unit dan proses
bisnis tertentu mana yang bertanggung jawab untuk memitigasi risiko-risiko ini. Informasi
yang dihasilkan kemudian tunduk pada proses yang memprioritaskan dan memberi
peringkat risiko dan unit atau proses bisnis terkait. CAE mempertimbangkan semua
informasi ini dan menentukan sumber daya manusia dan keuangan yang diperlukan untuk
menyediakan cakupan audit yang tepat dari semesta audit yang diprioritaskan. Hasilnya
adalah rencana audit internal komprehensif yang mencakup layanan jaminan dan layanan
konsultasi yang diperlukan untuk menilai seberapa efektif organisasi mengelola risiko yang
mengancam tujuan bisnisnya dan untuk mengidentifikasi peluang peningkatan manajemen
risiko. Rencana audit kemudian dapat diimplementasikan dengan menetapkan personel
khusus untuk keterlibatan individu dalam rencana selama tahun fiskal berikutnya. Rencana
audit internal sepanjang tahun fiskal, dan banyak yang akan memperbarui dan menyusun
kembali rencana audit internal lebih sering daripada setiap tahun (misalnya triwulanan atau
bulanan).

Ada beberapa teori untuk penataan rencana audit internal. Banyak fungsi audit
internal telah bergerak ke arah proses yang komprehensif di mana manajemen senior dan
fungsi audit internal berkolaborasi untuk menyelesaikan penilaian risiko formal di seluruh
organisasi untuk menetapkan daftar prioritas skenario risiko utama yang dihadapi organisasi
untuk mencapai tujuan bisnis utama. Ini jauh lebih bersifat kolaboratif. Apapun proses yang
digunakan, efektivitas maksimum dicapai ketika proses penilaian risiko selesai setiap tahun
pada awal, atau sebelum, tahun fiskal organisasi. Hal ini memungkinkan CAE untuk
menyelaraskan sumber daya audit untuk tahun yang akan datang dengan kesimpulan yang
ditarik oleh manajemen selama proses penilaian risiko. Menyediakan CAE dengan daftar
definitif dari entitas audit yang terkait dengan risiko yang diprioritaskan memungkinkan untuk
pembuatan rencana audit internal menggunakan pendekatan top-down, berbasis risiko.
Namun, banyak organisasi dan fungsi audit internal mereka masih tidak menggunakan
pendekatan ini. Sebaliknya, mereka terus membuat rencana audit internal yang secara siklik
mengaudit setiap dan semua bidang organisasi dengan unit bisnis atau proses yang sangat
diprioritaskan yang didaur ulang untuk cakupan auit lebih sering dan unit bisnis atau proses
yang diprioritaskan lebih rendah sering kali digerakkan dalam siklus lebih jarang.
IIA membahas perbedaan antara layanan jaminan dan layanan konsultasi relatif
terhadap IIA Standard 2010: Perencanaan dengan Standar 2010.A1 dan 2010.C1:
Layanan Jaminan. Rencana keterlibatan kegiatan audit internal harus didasarkan
pada penilaian risiko yang terdokumentasi, dilakukan setidaknya setiap tahun. Masukan dari
manajemen senior dan dewan harus menjadi pertimbangan dalam proses ini (Standar
2010.A1).
Layanan konsultasi. Eksekutif kepala audit harus mempertimbangkan untuk
menerima keterlibatan konsultasi yang proporsional berdasarkan potensi keterlibatan untuk
meningkatkan manajemen risiko, menambah nilai, dan meningkatkan operasi organisasi.
Keterlibatan yang diterima harus dimasukkan dalam rencana (Standard 2010.C1).
Proses perencanaan harus mencakup penetapan tujuan, jadwal keterlibatan, jadwal
staf, dan anggaran keuangan. Selain itu, perencanaan yang efektif harus mencerminkan
piagam audit internal dan konsisten dengan tujuan organisasi.

KOMUNIKASI DAN PERSETUJUAN


Kesalahan penerjemahanSetelah rencana audit internal telah ditetapkan, adalah
kewajiban CAE untuk menyampaikannya kepada manajemen senior dan dewan (secara
tipikal komite audit) untuk disetujui. Kebutuhan sumber daya, perubahan sementara yang
signifikan, dan implikasi potensial dari keterbatasan sumber daya harus dimasukkan dalam
komunikasi kepada manajemen senior dan dewan (IIA Standard 2020: Komunikasi dan
Persetujuan).

Rekomendasi khusus untuk memenuhi persyaratan ini dijabarkan dalam Practical


Advisory 2020-1: Komunikasi dan Persetujuan:

1. The (CAE) akan menyerahkan setiap tahun kepada manajemen senior dan dewan
untuk meninjau dan menyetujui ringkasan rencana audit internal, jadwal kerja,
rencana staf, dan anggaran keuangan. Ringkasan ini akan menginformasikan
manajemen senior dan dewan lingkup kerja audit internal dan batasan apa pun yang
ditempatkan pada ruang lingkup itu. CAE juga akan menyerahkan semua perubahan
sementara penting untuk persetujuan dan informasi.
2. Jadwal kerja keterlibatan yang disetujui, rencana staf, dan anggaran keuangan,
bersama dengan semua perubahan sementara yang signifikan, adalah untuk
memuat informasi yang cukup untuk memungkinkan manajemen senior dan dewan
untuk memastikan apakah tujuan dan rencana kegiatan audit internal mendukung
organisasi dan dewan konsisten dengan piagam audit internal.

PENGELOLAAN SUMBER DAYA


Pertimbangan signifikan dalam menerapkan rencana fungsi audit internal adalah
bagaimana mengalokasikan sumber daya. Adalah tanggung jawab CAE untuk "memastikan
bahwa sumber daya audit internal sesuai, cukup, dan efektif digunakan untuk mencapai
rencana yang disetujui" (IIA Standard 2030: Manajemen Sumber Daya). Ini dicapai dengan
mengatur secara hati-hati sejumlah faktor sebagaimana dibahas di bawah.

Struktur Organisasi dan Strategi Kepegawaian


Fungsi audit internal harus terstruktur dengan cara yang konsisten dengan
kebutuhan dan budaya organisasi mereka. CAE dapat memilih untuk menggunakan struktur
organisasi yang datar di mana sebagian besar auditor internal memiliki tingkat keterampilan,
pengalaman, dan senioritas yang kurang lebih sama. Biasanya, jenis organisasi ini
menciptakan fungsi audit internal yang stabil, sangat berpengetahuan, dan sangat
kolaboratif. Sedikit pengawasan diperlukan dan hasil kerja konsisten dan dapat diandalkan.
Namun, struktur organisasi yang datar cenderung menghasilkan basis biaya yang lebih
tinggi karena gaji yang lebih tinggi diperlukan untuk mempertahankan auditor yang
semuanya memiliki pengetahuan dan pengalaman tingkat tinggi. Fungsi audit internal
lainnya jauh lebih bersifat hierarkis dengan auditor lapangan melaporkan dan belajar dari
auditor senior yang pada gilirannya melaporkan kepada dan belajar dari manajer dan
direktur yang membimbing mereka yang berada di posisi bawahan mereka sementara
mendukung CAE di atas mereka.
Kesalahan penerjemahanFungsi audit internal yang terstruktur secara hierarkis
cenderung lebih dinamis karena posisi sering berputar. Ketika orang-orang di posisi dekat
bagian atas struktur organisasi naik ke posisi yang baru-baru ini dikosongkan. Hal ini
memungkinkan pertumbuhan dalam fungsi dan mengarah pada kultivasi beragam
keterampilan dan perspektif segar dengan basis biaya yang lebih rendah. Kedua jenis
organisasi audit internal, bagaimanapun, bergantung pada anggota staf yang terus
menerima pelatihan dan memperluas basis keterampilan mereka.
Fungsi audit internal hirarkis yang khas termasuk rekan dalam berbagai posisi yang
berkorelasi dengan peran spesifik dalam fungsi, termasuk:
 Staff auditor atau auditor staf TI. Staf auditor bertanggung jawab untuk melakukan
kerja lapangan pada keuangan, operasional, kepatuhan, dan keterlibatan sistem
informasi sesuai dengan jadwal audit yang ditetapkan untuk tujuan menentukan
keakuratan catatan keuangan, efektivitas praktik bisnis, dan kepatuhan dengan
kebijakan, prosedur, alws , dan peraturan.
 Auditor senior atau auditor senior IT (kadang-kadang disebut sebagai auditor
incharge). Selain tanggung jawab yang tercantum di atas, auditor senior
bertanggung jawab atas tahap perencanaan dari keterlibatan, membimbing auditor
staf dalam kerja lapangan mereka, memastikan bahwa jadwal waktu keterlibatan
terpenuhi, meninjau kertas kerja yang disiapkan oleh staf auditor, membantu dalam
persiapan komunikasi pertunangan , melakukan langkah-langkah penutupan dari
pertunangan, dan mengevaluasi kinerja auditor staf.
 Audit manager atau manajer audit IT. Manajer audit mengawasi dan mengatur
pertunangan sesuai dengan jadwal audit yang ditetapkan. Selain itu, manajer audit
membantu dalam pengembangan dan pemeliharaan rencana audit internal tahunan
dan model risiko untuk area yang ditugaskan, komunikasi keterlibatan, dan
mengawasi auditor senior.
 Direktur audit atau direktur audit TI. Posisi direktur audit mungkin ada dalam
fungsi audit internal yang lebih besar. Selain tanggung jawab yang tercantum di atas
direktur audit membantu dengan pengembangan strategi dan perencanaan audit
internal secara keseluruhan, termasuk presentasi dan peninjauan strategi audit
internal, misi, piagam, dan rencana dengan komite audit dan manajemen senior.
Direktur audit juga mengawasi manajer audit dan bertanggung jawab untuk merekrut
dan menghentikan rekan audit internal.
 Kepala eksekutif audit. CAE mengembangkan, mengarahkan, mengatur,
memantau, merencanakan, dan mengelola rencana dan anggaran audit internal,
sebagaimana disetujui oleh komite audit, untuk tujuan menentukan keakuratan
catatan keuangan, efektivitas praktik bisnis, dan kepatuhan terhadap kebijakan yang
berlaku, prosedur, hukum, dan peraturan. CAE juga secara langsung mengawasi tim
manajemen audit internal (direktur dan manajer audit), mengawasi seluruh fungsi
audit internal, dan menyetujui perekrutan dan pemberhentian auditor internal.
Selain posisi tradisional yang dijelaskan di atas, banyak fungsi audit internal juga
menciptakan posisi khusus yang dirancang untuk membawa seperangkat keterampilan,
pengalaman, dan pengetahuan yang unik atau khusus untuk ditanggung, seperti insinyur,
aktuaris, wrech, analis data, dll. posisi akan sangat bervariasi tergantung pada filosofi,
struktur, dan mandat dari fungsi audit internal, serta industri organisasi, lingkungan
peraturan, dan struktur pemerintahan. Bergantung pada kerumitan keahlian pokok yang
dibutuhkan, pengalaman yang diinginkan, dan kebutuhan khusus dari fungsi audit internal,
posisi spesialis dapat berkisar dari dtaff ke level direktur.
Kerangka Kompetensi Auditor Internal, diterbitkan oleh The IIA, memberikan
informasi mendalam mengenai tingkat minimum pengetahuan dan keterampilan yang harus
dimiliki oleh auditor internal pada titik yang berbeda dalam karir mereka di empat bidang:
keterampilan interpersonal, peralatan dan teknik, standar audit internal, dan bidang
pengetahuan. Kerangka Kompetensi Auditor Internal dibahas dalam bab 1 "Pengantar Audit
Internal" dan dapat ditemukan di bawah "Panduan Profesional" di situs web IIA.

Ukuran yang tepat


Ukuran yang benar adalah konsep penting dalam pengaturan dan penjadwalan
fungsi audit internal. Penting untuk mencapai dan mempertahankan keseimbangan staf
yang berpengetahuan dan terampil untuk menyelesaikan rencana audit internal, tanpa
menempatkan tekanan yang berlebihan pada staf dengan menciptakan beban kerja yang
menindas, sekaligus mempertahankan anggaran keuangan yang wajar. Ini benar apakah
struktur audit internal datar atau terorganisir secara hierarkis dan sering menjadi faktor
ketika menentukan jenis struture yang tepat untuk sebuah organisasi. CAE bergantung pada
berbagai sumber untuk membantu memvalidasi keputusan roght-sizing, termasuk jaringan,
pembandingan, studi pasar, dan tempat konsultasi lainnya.
Rencana Kepegawaian / Sumber Daya Manusia
Meskipun beberapa aspek dalam mempertahankan sumber daya manusia yang
sesuai didelegasikan kepada rekan tingkat tinggi lainnya dalam fungsi audit internal
(misalnya, para direktur dan manajer dapat melakukan banyak perekrutan dan pemilihan
calon awal), CAE "terutama bertanggung jawab atas kecukupan dan manajemen sumber
daya audit internal dengan cara yang memastikan pemenuhan tanggung jawab audit
internal, seperti yang terperinci dalam piagam audi internal. Ini termasuk komunikasi efektif
kebutuhan sumber daya dan pelaporan status kepada manajemen senior dan dewan
"(Penasihat Praktik 2030-1: Pengelolaan sumber daya). Selain itu, CAE harus memastikan
bahwa fungsi audit internal memiliki keterampilan dan pengetahuan yang diperlukan untuk
melaksanakan rencana audit internal dan "melaksanakan kegiatan audit dalam keluasan,
kedalaman, dan ketepatan waktu yang diharapkan oleh manajemen senior dan dewan,
sebagaimana dinyatakan dalam piagam audit internal ”(Penasehat Praktik 2030-1).
CAE juga harus menugaskan sumber daya manusia secara efektif, bahwa auditor
internal ditugaskan untuk keterlibatan yang mereka kualifikasi dan mampu lakukan. Dalam
beberapa contoh, individu dengan spesialisasi pengetahuan dan / atau keterampilan dari
tempat lain dalam organisasi (atau dari sumber di luar organisasi) dapat membantu dengan
keterlibatan audit internal ketika kompetensi yang diperlukan tidak hadir dalam fungsi audit
internal.
Dari perspektif yang lebih luas, CAE mempertimbangkan perencanaan suksesi dan
memastikan bahwa ada evaluasi dan pengembangan program staf yang kuat. Seperti
halnya area lain dalam mengelola fungsi audit internal, CAE harus mempertahankan
komunikasi terbuka dengan manajemen senior dan dewan mengenai sumber daya manusia.
Biasanya, komunikasi ini mengambil bentuk pembaruan rutin duing pertemuan dewan
triwulanan, seperti rapat komite audit. Pembaruan ini termasuk "ringkasan status dan
kecukupan sumber daya" bersama dengan "metrik, tujuan, dan tujuan untuk memantau
kecukupan keseluruhan sumber daya (termasuk) perbandingan sumber daya untuk rencana
audit internal, dampak kekurangan sementara dari kekosongan, pendidikan dan kegiatan
pelatihan, dan perubahan kebutuhan keterampilan khusus berdasarkan perubahan dalam
bisnis, operasi, program, sistem, dan kontrol organisasi ”(Penasehat Praktik 2030-1).

Mempekerjakan Praktek
CAE bertanggung jawab untuk mempekerjakan rekanan untuk mengisi struktur
organisasi dari fungsi audit internal dengan cara memaksimalkan efisiensi, secara efektif
menyediakan basis keterampilan yang diperlukan, dan memanfaatkan anggaran keuangan
dengan baik. Untuk melakukan ini, CAE biasanya mencoba untuk mempekerjakan individu
dengan pelatihan dan keahlian di berbagai bidang, termasuk akuntansi dan pelaporan
keuangan, TI, operasi bisnis, hukum dan peraturan yang berlaku, dan industri organisasi.

Sumber strategis
Sumber strategis, juga disebut sebagai co-sourcing atau outsourcing, memungkinkan
CAE untuk mengoptimalkan baik basis keterampilan dan pertimbangan keuangan terkait
dengan kepegawaian. CAE, dengan penggunaan sumber strategis, mampu
mempertahankan fungsi audit internal yang efektif biaya dengan mempekerjakan karyawan
tetap yang memiliki basis keterampilan yang lebih luas dan menyeluruh dengan tetap
menjaga fleksibilitas untuk mendatangkan ahli teknis yang diperlukan untuk proyek-proyek
tertentu atau pertunangan tetapi siapa yang akan menjadi penghalang biaya untuk
mempertahankan staf secara permanen. Sumber strategis juga digunakan dalam
menjadwalkan kapan jumlah jam tersedia dari staf permanen, tetapi ketika mempekerjakan
anggota staf lain tidak akan efisien, biaya mahal, atau tidak praktis dalam kondisi pasar yang
ada.

Perencanaan Karier dan pengembangan profesional


Selain pelatihan dan pendampingan yang diperlukan untuk memenuhi kemahiran
dan standar perawatan profesional, fungsi audit internal yang baik akan memiliki proses di
tempat untuk pengembangan karir dan perencanaan suksesi. Hal ini memungkinkan setiap
rekan untuk mengembangkan dan mengimplementasikan rencana keseluruhan untuk
mencapai golas karir jangka panjang sambil tetap menjadi anggota kontribusi dari fungsi
audit internal. Perencanaan karir yang kuat dan proses pengembangan profesional juga
memastikan fungsi audit internal akan terus memiliki kualifikasi dan kemampuan staffng
untuk mencapai rencana approvedaudit dan melaksanakan tujuan, wewenang, dan
tanggung jawabnya sebagaimana didefinisikan dalam piagam fungsi.

Penjadwalan
Salah satu campuran yang tepat dari asosiasi tetap dan sumber strategis ada dan
diatur dengan tepat dalam fungsi audit internal, CAE dapat mulai menugaskan keterlibatan
dan proyek tertentu kepada personel yang paling sesuai untuk melaksanakannya. Di sinilah
manfaat praktik perekrutan yang baik dan ukuran yang tepat menjadi jelas. CAE
memaksimalkan anggaran keuangan dengan menciptakan tim audit internal yang,
berdasarkan keterampilan dan pengalaman mereka, akan paling efektif dan efisien
mencapai tujuan dari keterlibatan tertentu. Pada saat yang sama, CAE mempertimbangkan
kebutuhan pengembangan staf dan bekerja untuk menyeimbangkan peluang
pengembangan yang dapat diberikan oleh keterlibatan khusus kepada mereka dan
kebutuhan untuk menyelesaikan keterlibatan dalam kerangka waktu yang dijadwalkan.

Anggaran Keuangan
Sebagaimana disebutkan sebelumnya dalam bab ini, anggaran keuangan terutama
didorong oleh rencana audit internal, struktur organisasi, dan strategi kepegawaian. CAE
harus hati-hati mengevaluasi sumber daya keuangan yang diperlukan untuk mencapai
tujuan yang ditetapkan. Harus jelas pada titik ini bahwa anggaran keuangan berdampak dan
dipengaruhi oleh masing-masing tugas yang dilakukan oleh CAE sebagaimana dijelaskan di
atas.
KEBIJAKAN DAN PROSEDUR
Standar mengenai penerapan kebijakan dan prosedur hanya menyatakan bahwa
"eksekutif kepala audit harus menetapkan kebijakan dan prosedur untuk memandu kegiatan
audit internal" (IIA Standard 2040: Kebijakan dan Prosedur). Penasihat Praktik 2040-1:
kebijakan dan prosedur merekomendasikan agar kebijakan dan prosedur konsisten dengan
ukuran fungsi audit internal: “The (CAE) mengembangkan kebijakan dan prosedur. Manual
audit administratif dan teknis formal mungkin tidak diperlukan oleh semua kegiatan audit
internal. Suatu arahan yang dikendalikan melalui pengawasan harian, pengawasan ketat
dan memorandum yang menyatakan kebijakan dan prosedur negara yang harus diikuti.
dalam kegiatan audit internal yang besar, kebijakan dan prosedur yang lebih formal dan
compehensive sangat penting untuk memandu staf audit internal dalam pelaksanaan
rencana audit internal ”.

UPAYA JAMINAN KOORDINASI


Menurut IIA Standard 2050: Koordinasi, "Eksekutif kepala audit harus berbagi
informasi dan mengkoordinasikan kegiatan dengan penyedia layanan penjaminan dan
konsuting internal dan eksternal lainnya untuk memastikan cakupan yang tepat dan
meminimalkan duplikasi upaya." Mengkoordinasikan upaya fungsi audit internal dengan
mereka dari penyedia layanan jaminan dan konsultasi internal dan eksternal lainnya adalah
penting karena peningkatan efektivitas dan perkantoran yang dapat diperoleh.
Banyak organisasi memiliki banyak cara untuk memastikan bahwa mereka
beroperasi dalam risk appetite mereka. Organisasi yang beroperasi di lingkungan yang
sangat diatur secara khusus memiliki kebutuhan untuk menunjukkan bahwa mereka
mengurangi banyak risiko yang mengancam mereka ke tingkat yang wajar. Untuk
melakukannya, mereka menerapkan teknik jaminan layering untuk mendapatkan mitigasi
risiko yang mereka butuhkan atau inginkan. Salah satu contoh umum dari strategi ini adalah
"tiga garis model pertahanan".
Dalam tiga lini model pertahanan, organisasi mengembangkan jalan-jalan yang
mereka dapatkan jaminan bahwa risiko yang dihadapi mereka dikurangi ke tingkat dalam
risk appetite mereka. Meskipun ini disebut sebagai tiga garis pertahanan, tergantung pada
organisasi dan bagaimana strukturnya, mungkin ada lebih dari tiga garis (lapisan) jaminan
yang ditentukan.
Exhibit 9-4 adalah penggambaran populer dari tiga lini model pertahanan yang
menempatkan penyedia jaminan eksternal dan independen di luar model. Sebagaimana
ditunjukkan, model ini dapat diadaptasi oleh organisasi untuk menggambarkan pendekatan
atau filosofi khusus mereka.
Garis pertahanan berbeda yang diilustrasikan dalam exhibit diuraikan di bawah ini:
Garis pertahanan pertama. Manajemen memiliki dan bertanggung jawab untuk menilai dan
memitigasi risiko dan untuk mempertahankan pengendalian internal yang efektif. Garis
pertahanan internal tidak bergantung pada manajemen.
Garis pertahanan kedua. Berbagai bidang dalam organisasi bekerja sama untuk
membantu dalam mitigasi risiko dengan memfasilitasi dan memantau upaya manajemen
risiko organisasi. Bidang-bidang ini juga terlibat dalam komunikasi informasi terkait risiko
yang berlaku. Garis pertahanan internal ini juga tidak bergantung pada manajemen. Fungsi
audit internal berkoordinasi dengan bidang-bidang ini dengan bermitra pada penilaian risiko,
meminta dan memberikan umpan balik mengenai perubahan area organisasi, dll. Upaya
koordinasi ini tidak mempengaruhi independensi atau obyektivitas fungsi audit internal.
Garis pertahanan ketiga. Fungsi audit internal adalah garis pertahanan internal ketiga.
Perbedaan utama antara garis pertahanan ini dan dua yang pertama adalah bahwa ia tidak
bergantung pada manajemen.
Koordinasi antara tiga lini pertahanan ini dapat sangat bervariasi tergantung pada
organisasi. Dalam organisasi yang lebih kecil dan kurang teratur, upaya koordinasi dapat
menjadi kurang formal untuk mendapatkan efek yang diinginkan. Dalam organisasi yang
lebih besar dan diatur lebih ketat, koordinasi dapat cukup format dan terlibat. Organisasi-
organisasi ini biasanya harus memulai dengan membuat peta gabungan yang
mengidentifikasi di mana di dalam organisasi, cakupan mitigasi risiko ada, siapa yang
menyediakan cakupan, standar proffesional apa yang dipatuhi oleh penyedia jaminan yang
berbeda, dan frekuensi serta waktu dari kegiatan jaminan yang disediakan. Proses ini dapat
memakan waktu yang lama di awal, tetapi sering kali efisiensi yang direalisasikan
sesudahnya sangat berharga.
Garis pertahanan tambahan. Selain garis pertahanan internal yang dijelaskan di
atas, organisasi juga bergantung pada sumber eksternal untuk memastikan bahwa risikonya
cukup dimitigasi. Terutama, ini termasuk auditor luar independen organisasi dan regutalor
yang berlaku. Apakah suatu organisasi secara formal memasukkan mereka dalam garis
model pembelaannya, mereka memang memberikan lapisan tambahan jaminan eksternal
dan independen untuk organisasi.
Meskipun penting untuk memanfaatkan upaya-upaya jaminan dan konsultasi internal
dan eksternal lainnya, bentuk paling umum dari sollaboraton tersebut adalah dengan auditor
luar yang independen. Penasihat Praktik 2050-1: Koordinasi menguraikan ruang lingkup di
mana fungsi audit internal dapat menggunakan pekerjaan yang dilakukan oleh auditor luar
independen. Secara khusus, Praktik Penasehat 2050-1 menyatakan bahwa CAE harus
mengambil “langkah-langkah yang diperlukan untuk memahami pekerjaan yang dilakukan
oleh auditor (independen di luar) (perhatikan bahwa istilah 'auditor eksternal' telah diganti
dengan 'auditor otside independen' yang dipilih oleh penulis di bahan kutipan berikut),
termasuk:
 Sifat, lingkup, dan waktu kerja yang direncanakan oleh auditor (independen di luar),
harus dipastikan bahwa pekerjaan yang direncanakan oleh auditor independen,
sesuai dengan pekerjaan yang direncanakan oleh auditor internal, memenuhi
persyaratan Standar 2100 (Alam Kerja).
 Penilaian auditor dan risiko independen (auditor independen di luar).
 Teknik, metode, dan terminologi (independen di luar) auditor untuk mengatur CAE
untuk (1) mengoordinasikan pekerjaan audit internal dan (independen di luar); (2)
mengevaluasi, untuk tujuan ketergantungan, pekerjaan auditor (independen di luar);
dan (3) berkomunikasi secara efektif dengan auditor (independen di luar).
 Akses ke program (auditor luar) auditor independen dan kertas kerja, untuk merasa
puas bahwa pekerjaan auditor (independen di luar) dapat diandalkan untuk
keperluan audit internal. Auditor internal bertanggung jawab untuk menghormati
kerahasiaan program-program dan kertas kerja. ”
Untuk lebih memanfaatkan efisiensi antara auditor internal dan independen auditor luar,
CAE harus memperluas kesempatan yang sama seperti yang dijelaskan di atas kepada
auditor independen di luar sehingga mereka, pada gilirannya, dapat bergantung pada
pekerjaan yang dilakukan oleh fungsi audit internal. Untuk mencapai koordinasi dua arah ini,
adalah ide yang baik untuk auditor internal dan auditor independen di luar untuk
“menggunakan teknik, metode, dan teknologi yang serupa” (Penasehat Praktik 2050-1). Hal
ini dicapai melalui pertemuan rutin selama kegiatan audit yang direncanakan dibahas,
termasuk waktu penyelesaian dan dampak, jika ada, pengamatan dan rekomendasi pada
lingkup kerja yang direncanakan. Selain itu, fungsi audit internal harus tersedia bagi auditor
luar independen semua komunikasi akhir, termasuk tanggapan manajemen terhadap
mereka, dan semua tinjauan lanjutan yang berlaku. Informasi ini memungkinkan auditor luar
independen untuk membuat penyesuaian yang diperlukan untuk ruang lingkup dan waktu
kerja yang dijadwalkan. Demikian juga, fungsi audit internal harus memiliki akses ke materi
dan komunikasi auditor luar independen sehingga CAE dapat memastikan “tindak lanjut dan
tindakan korektif yang tepat telah diambil” (Praktik Penasehat 2050-1).
Meskipun CAE bertanggung jawab untuk koordinasi antara fungsi audit internal dan
auditor independen di luar, dewan bertanggung jawab untuk mengawasi koordinasi itu serta
pekerjaan yang dilakukan oleh auditor luar independen. Ini berarti bahwa CAE perlu
mendapatkan dukungan dewan relatif untuk mengkoordinasikan upaya-upaya pengesahan
audit internal dan auditor luar independen secara efektif. CAE membuat dewan informasi
tentang hasil penilaian yang sedang berlangsung dari upaya koordinasi ini secara umum
dan kinerja auditor luar independen secara khusus, melalui komunikasi reguler.

REPORTING TO THE BOARD AND SENIOR MANAGEMENT


The CAE has the respnsibility to “report periodically to senior management and the board on
the internal audit activity’s purpose, authority, responsibility, and performance relative to its
plan. Reporting must also include significant risk exposures and control issues, including
fraud risks, governance issues, and other matters needed or requested by senior
management and the board” (IIA Stnadard 2060: Reporting to Senior Management and the
Board). The CAE evidences the completion of these professional responsibilities by
periodically reporting the results of ongoing internal audit activities to senior management
and the audit committee during routinely scheduled meetings throughout the year.
“Significant deviations from approved engagement work