Audit internal juga dapat diakui sebagai kontrol organisasi yang fungsi dengan mengukur dan
mengevaluasi efektivitas pengendalian lainnya. ketika sebuah organisasi menetapkan perencanaan dan
kemudian mulai menerapkan nya rencana dalam hal operasi, ia harus melakukan sesuatu untuk
memantau operasi untuk memastikan pencapaian tujuan yang telah ditetapkan. Upaya-upaya lebih
lanjut dapat dianggap sebagai kontrol. Sementara fungsi audit internal itu sendiri salah satu jenis
kontrol yang digunakan, ada berbagai kontrol lainnya. Peran khusus internal Audit adalah untuk
1
membantu mengukur dan mengevaluasi kontrol-kontrol lainnya. Dengan demikian, intern auditor harus
memahami kedua peran mereka sendiri sebagai fungsi kontrol dan sifat dan ruang lingkup jenis-jenis
kontrol dalam organisasi.
Sejarah Dan Latar Belakang Audit Internal
Hal yang biasa bagi setiap kegiatan-kegiatan termasuk kontrol seperti auditing- intern untuk
datang menjadi ada sebagai hasil dari kebutuhan yang muncul. Organisasi bisnis 1942, ketika audit
internal modern yang baru saja mulai, sangat berbeda dari organisasi abad kedua puluh satu kami hari
ini.
Misalnya, selain dari beberapa perangkat elektromekanis dan kegiatan di laboratorium
penelitian, komputer sistem tidak ada. Organisasi tidak perlu untuk pemrogram komputer
sampai mesin ini mulai menjadi berguna untuk berbagai pencatatan dan
fungsi komputasi lainnya. Demikian pula, organisasi harus sangat sederhana
sambungan telepon di mana operator telepon dialihkan semua panggilan yang masuk ke
sejumlah telepon desktop yang.
Hari ini, kita semua terhubung melalui luas, web di seluruh dunia otomatis telekomunikasi dan
Internet. The meningkatnya kompleksitas bisnis modern dan organisasi lain telah menciptakan
kebutuhan untuk spesialis yang sama di berbagai kontrol bisnis: auditor internal. Kita dapat lebih
memahami sifat audit internal hari ini jika kita tahu sesuatu
tentang perubahan kondisi di masa lalu dan kebutuhan yang berbeda ini
perubahan yang dibuat.
Pada tingkat yang paling primitif, evaluasi atau fungsi audit internal dapat
ada apabila salah satu orang duduk kembali dan survei sesuatu yang ia punya
dilakukan. Pada saat itu, individu meminta dia-sendiri seberapa baik suatu tugas tertentu
telah dicapai dan, mungkin, bagaimana mungkin akan dilakukan dengan lebih baik jika itu menjadi
dilakukan lagi.
Tugas audit internal pertama biasanya berasal untuk memenuhi kebutuhan operasional sangat
dasar dan tajam didefinisikan. Paling awal khusus perhatian manajemen adalah apakah aset organisasi
sedang benar dilindungi, apakah prosedur dan kebijakan perusahaan sedang memenuhi dengan, dan
apakah catatan keuangan yang dipertahankan secara akurat.
Untuk sebagian besar, upaya audit internal ini awalnya dipandang sebagai terkait erat
perpanjangan pekerjaan auditor eksternal. Akibat dari semua faktor ini adalah bahwa ini auditor
internal awal adalah dipandang sebagai memainkan peran yang relatif sempit dalam organisasi mereka,
dengan terbatas tanggung jawab dalam total spektrum manajerial. Internal auditor awal sering
dipandang sebagai checker berorientasi finansial catatan dan lebih dari polisi
2
Petugas dari rekan kerja. Dalam beberapa organisasi, auditor internal memiliki besar
tanggung jawab untuk rekonsiliasi dibatalkan cek gaji dengan laporan bank atau
memeriksa matematika dalam dokumen bisnis biasa.
Dalam organisasi ritel, auditor internal sering bertanggung jawab untuk mendamaikan penjualan
tunai harian untuk mencatat penerimaan penjualan. Memahami sejarah audit internal penting karena tua
gambar masih berlanjut, sampai batas tertentu, untuk auditor internal modern saat ini. Hal ini agar
meskipun karakter fungsi audit internal saat ini sangat berbeda.
Seiring waktu, operasi berbagai organisasi meningkat dalam volume dan kompleksitas,
menciptakan masalah manajerial dan tekanan baru pada manajemen senior.
Hubungan Terhadap Operasional, Keuangan Dan Informasi Sistem Audit
Selama tahun 1960, ada kecenderungan kuat bagi banyak orang untuk menggunakan istilah
operasional audit di tempat audit internal tradisional. Alasannya adalah bahwa intern audit adalah
istilah diikat terlalu erat dengan audit keuangan dasar, termasuk eksternal.
Dalam bentuknya yang paling ekstrim, yang disebut fungsi audit operasional akan memisahkan
sendiri sepenuhnya dari daerah keuangan disebut. Mereka akan mengklaim, misalnya, tidak memiliki
keahlian di kontrol keuangan mengelilingi piutang operasi. Sebaliknya, mereka mungkin melihat proses
kontrol dan mengabaikan isu apakah kas yang diterima dicatat dengan benar dan diikat ke rekening
keuangan, termasuk buku besar.
Cakupan akuntansi dan kontrol keuangan dan proses juga memberikan kesempatan bagi
memperluas jangkauan layanan audit internal ke dalam wilayah operasional yang lebih luas. Karena
catatan akuntansi dan keuangan secara langsung atau tidak langsung mencerminkan semua kegiatan
operasional, audit internal berorientasi finansial ulasan pintu sering terbukauntuk kegiatan lainnya.
Dalam hal strategi, sebuah ditinggalkan audit internal akuntansi dan keuangan daerah dapat
membuat vakum yang akan mengundang munculnya fungsi audit jenis lainnya. Audit Mutu Internal
Jaminan dan ASQ Kualitas Audit "misalnya, akan membahas berapa banyak tradisional auditor internal
di masa lalu diabaikan Organisasi Internasional untuk
Standardisasi (ISO) "kualitas" gerakan di awal hari, yang menyebabkan hampir profesi yang terpisah
dari kualitas auditor.
Fungsi audit internal saat ini perlu memiliki cakupan yang memadai kunci akuntansi dan
keuangan daerah, dan tanggung jawab siapa yang melakukan itu pasti akan meluas ke gambaran
wilayah operasional yang lebih luas. kegagalan untuk menutupi area keuangan utama adalah salah satu
argumen perusahaan audit eksternal dibuat untuk manajemen senior ketika mereka menawarkan untuk
menyediakan outsourcing perusahaan audit internal jasa. Selama beberapa tahun menjelang
diberlakukannya SOA, hampir muncul bahwa kantor akuntan publik yang mengambil alih audit
3
internal melalui pengaturan outsourcing mereka. Sekarang, auditor eksternal organisasi dilarang juga
melakukan audit internal untuk organisasi yang sama.
Auditor internal saat ini adalah elemen jauh lebih penting dalam rangka pengendalian internal
secara keseluruhan organisasi daripada mereka yang tidak yang bertahun-tahun di masa lalu. Agar
efektif di sini, auditor internal harus mendapatkan pemahaman yang kuat tentang pengendalian internal,
dan keterlibatan audit internal dengan Bagian SOA 404 ulasan memerlukan beberapa pemahaman yang
berlaku umum prinsip akuntansi (GAAP) dan kontrol keuangan yang terkait. Oleh karena itu, auditor
internal saat ini perlu memahami keuangan dan operasional serta sistem informasi kontrol.
4
Chapter 2
Internal Audit’s Common Body of Knowledge
Apa yang dimaksud dengan CBOK (Common Body of Knowledge)
CBOK diberbagai profesi diartikan sebagai batas minimum kecakapan yang dibutuhkan untuk kinerja
yang lebih efektif dalam suatu profesi tersebut. Dibanding menaruh semua pengetahuan dibidang yang
mana praktisi, seperti misalnya internal auditor, perlu terlihat “ahli” dalam profesi tersebut, suatu CBOK
lebih memfokuskan pada pengetahuan minimal yang diperlukan oleh setiap professional dalam disiplin
ilmu tersebut untuk menghasilkan kinerja yang lebih efektif.
CBOK juga merujuk pada berbagai organisasi profesional yang yang dikembangkan atau berusaha
dikembangkan untuk CBOK organisasi tersebut. Contohnya : BAI (Bank Administration Institute) yang
membuat CBOK sebagai acuannya terutama dalam hal risikonya.
Hubungan antara CBOK dengan pengetahuan lainnya bagi seorang internal auditor dapat dilihat pada
gambar berikut:
5
yang lebih formal dan pengembangan dalam CBOK audit internal. Lembaga Riset IIA (the IIA Research
Foundation-IIARF) meluncurkan upaya utama pada tahun 2006 untuk mengembangkan semacam CBOK
untuk profesi audit internal. Hasil awalnya pada tahun 2008, dipublikasikan pada studi riset pertengahan
tahun 2007.
Tujuan yang dinyatakan oleh survey ini mencakup dan menggambarkan bagian dari praktek audit internal
profesional diseluruh dunia, termasuk:
Pengetahuan dan kemampuan dalam proses auditor internal
Kemampuan dan tingkat peorganisasian yang digunakan untuk praktek kerja audit internal
Kewajiban yang dapat ditunjukkan auditor internal
Struktur organisani audit internal
Beberapa tipe industri yang mempraktekan audit internal
Regulasi lingkungan di beberapa negara
CBOK IIARF bertujuan mendokumentasikan pemahaman tentang peran nilai tambah unik yang dimiliki
audit internal perusahaan di seluruh dunia, berdasarkan pemahaman ini, suatu tujuan CBOK IIARF
menjasi lebih baik dalam menentukan masa depan audit internal dan memastikan bahwa hal tersebut
berisi “semangat dan kontribusi relevan terhadap perusahaan”.
Sayangnya, tujuan CBOK IIARF tidak mengembangkan seperangkat standar level tinggi dalam
pelaksanaan audit internal, seperti pendekatan yang digunakan dalam PMBOK PMI maupun praktek
terbaik untuk Perpustakaan Informasi Teknologi Infrastruktur (Information Technology Infrastructure
Library—ITIL). IIARF ditujukan hanya untuk memperoleh pengetahuan yang lebih baik mengenai
aktivitas dan tugas auditor internal saat ini dalam berbagai bagian unit IIA di seluruh dunia dan operasi
individu seperti fungsi kepala audit internal termasuk Chief Audit Executives (CAEs), manajer audit,
senior audit internal/supervisor, staf, dan hal lainnya yang terkait audit internal.
Meskipun disebut sebagai CBOK, pendekatan IIARF tidak menentukan seperangkat pengetahuan umum
akan praktek terbaik audit internal melainkan untuk mensurvei apa yang dilakukan auditor internal disaat
praktek publikasi studi dari negara ke negara. Untuk mengembangkan studi IIARF, sebuah tim kontraktor
dikontrak, format rinci standar survey dikembangkan, dan survey ini dikirim kepada 9000 fungsi
individual audit internal.
Survey CBOK IIARF dilakukan terhadap survei tipe-pelanggan yang serupa dimana partisipan ditanyai
untuk bersedia memberikan tanggapan atas pertanyaan berdasarkan skor 1 sampai 5 untuk setiap
pertanyaan. Tanggapan dengan skor 5 berarti responden sangat setuju dengan pertanyaan survey, skor 4
berarti setuju, dan skor 1 mengindikasikan responden sangat tidak setuju dengan pertanyaan survey.
Hasilnya akan dipubikasikan sebagai nilai tengah atas bebagai tanggapan; tidak ada nilai standar deviasi
yang ditunjukkan dalam tingkatan tanggapan-tanggapan tersebut.
6
Kelemahan survei ini ialah hasil dari survei tersebut dapat membingungkan. Selain itu, survei ini juga
tidak dapat menghasilkan informasi lebih lanjut yang dapat emndukung jenis tanggapan atau variasi dari
skor yang tercatat. Berikut ini 3 pernyataan evaluasi CBOK IIARF yang berada di bawah skor 4 dan
diatas skor 3,5:
1. Kegiatan Internal audit anda membawa sebuah pendekatan sistematis untuk mengevaluasi
keefektivan proses penguasaan.
2. Cara aktivitas internal audit kita menambah nilai untuk proses penguasaan adalah melalui akses
langsung kepada komite audit.
3. Ijin dengan IIA’s Standard s for the Professional Practice of Internal Auditing adalah sebuah
factor kunci dari kegiatan audit internal anda untuk menambah nilai untuk proses penguasaan.
Dengan laporan seluruh level responden yang relatif rendah untuk pertanyaan-pertanyaan ini, maka
perhatian beberapa manajemen audit internal harus dipusatkan pada hal ini. IIA menyatakan
merencanakanm untuk memperbarui studi CBOK IIARF setiap tiga tahun dan menunjukkan rencana
umum untuk mengembangkan dan melepas produk lain dan penawaran untuk meningkatkan dan
membangun CBOK audit internal.
CBOK IIARF tidak memberi pedoman dalam praktek terbaik audit internal. CBOK IIRF hanya
memberikan gambaran garis bersar aktivitas audit internal dan bagaimana mempraktekannya. Standar
IIA dibentuk melalui upaya keras komite relawan. Melalui bagian IIA lokal mereka, auditor internal
seharusnya bisa lebih terlibat dalam proses pengembangan standar IIA. Yang paling penting ialah,
standar IIA ini secara efektif menentukan body of knowledge atau seperangkat praktik terbaik bagi audit
internal.
WHAT DOES AN INTERNAL AUDITOR NEED TO KNOW ? apa yang perlu diketahui oleh
seorang auditor internal?
Seorang auditor internal semestinya mengembangkan pengetahuan umum mengenai esensi dari seluruh
topik yang dibahas dalam buku ini.
Auditor internal yang berpengalaman biasanya terspesialisasi dalam beberapa area dan memliliki
tingkatan yang lebih besar atas pengetahuan industri spesifik. Bagaimanapun perusahan manufaktur
industri alat berat atau yang menyediakan beberapa jasa financial, seorang auditor internal
berpengalaman seharusnya mengembangkan kemampuan dan pengetahuan mengenai bagian spesifik
tersebut.
Pengetahuan tersebut bisa didapat dari membaca publikasi industry-spesifik, menghadiri pameran
perdagangan , atau hanya mendengar lebih banyak. Setelah memperbanyak pengetahuan tentang
7
industry-spesifik , seorang auditor internal dapat menggunakan beberapa pengetahuan tersebut dan
menggabungkannya dengan prinsip-prinsip audit secara layak.
8
Chapter 3
Internal Control Framework: The COSO Standard
9
FCPA merupakan langkah awal untuk membantu perusahaan memikirkan tentang kebutuhan
pengendalian internal yang efektif, meskipun tidak ada pedoman atau standar atas ketentuan yang
ditetapkan oleh FCPA
10
KERANGKA PENGENDALIAN INTERNAL COSO
Pengendalian internal menurut COSO: pengendalian internal adalah proses, dipengaruhi oleh dewan
direksi, manajemen, dan personel lain, disusun untuk menyediakan keyakinan yang layak dalam rangka
meraih tujuan dalam kategori: (1) efektivitas dan efisiensi operasi, (2) kehandalan laporan keuangan, (3)
kepatuhan terhadap undang2 dan peraturan yang berlaku.
Inti dari kerangka pengendalian internal COSO adalah kita harus mempertimbangkan bagaimana tiap
pengendalian internal saling berhubungan dengan pengendalian internal lain.
a.Lingkungan Pengendalian
Merupakan pondasi/dasar struktur pengendalian internal menurut COSO, yang berpengaruh terhadap
struktur semua aktivitas dan penilaian risiko, termasuk sejarah dan budaya perusahaan.
i. Integritas dan Nilai Etika
Nilai ini merupakan pesan yang dikomunikasikan oleh manajer senior. Jika perusahaan telah
mengembangkan code of conduct yang kuat, yang menentukan integritas dan nilai etika, dan bila
para pemegang kepentingan mengikutinya, seluruh pemegang kepentingan akan memiliki
keyakinan bahwa perusahaan telah memiliki nilai yang baik. Code of conduct mendeskripsikan
peraturan tentang perilaku etika.
Gangguan yang mendorong para pemegang kepentingan untuk mengadakan audit: tidak ada
pengendalian atau ada, tapi tidak efektif; tingginya desentralisasi, sehingga menurunkan kesadaran
top-manager akan tindakan manajer di bawahnya; fungsi internal audit yang lemah; sanksi tindakan
yang tidak benar kurang berat atau tidak dipublikasikan.
ii. Komitmen untuk Kompetensi
Perusahaan perlu untuk menspesifikasi tingkat kompetensi yang diperlukan untuk berbagai job-
desk serta mewujudkan persyaratan tersebut menjadi tingkat pengetahuan dan keterampilan yang
diperlukan. Dengan menempatkan orang yang tepat dalam pekerjaan yang tepat dan memberikan
pelatihan yang cukup yang diperlukan, perusahaan telah memenuhi komponen pengendalian
internal COSO yang penting.
iii. Dewan Direksi dan Komite Audit
Dewan direksi dan komite audit harus benar-benar pihak yang independen. Dengan menetapkan
kebijakan dan me-review seluruh kegiatan perusahaan, dewan direksi dan komite audit memiliki
tanggung jawab penting untuk menetapkan pengendalian pada tingkat atas.
iv. Filosofi Manajemen dan Gaya Operasi
Komponen ini harus dipahami oleh auditor internal dan menjadikannya pertimbangan dalam
mengevaluasi efektivitas pengendalian internal. Tidak ada gaya dan filosofi yang paling baik, tetapi
faktor ini penting dalam mempertimbangkan komponen pengendalian internal lainnya.
11
v. Struktur Organisasi
Struktur organisasi adalah tatanan atau pendekatan atas usaha bekerja individu untuk di ditugaskan
dan disatukan guna meraih seluruh tujuan. Struktur organisasi merupakan aspek penting dari
pengendalian internal perusahaan. Komponen ini menyediakan kerangka untuk aktivitas
perencanaan, pelaksanaan, pengawasan, dan pemantauan guna membantu meraih tujuan.
Komponen ini berhubungan dengan bagaimana fungsi2 yg ada dikelola dan diorganisir.
vi. Pembagian Kewenangan dan Tanggung Jawab
Pengendalian internal sangat terpengaruh dengan tingkat dimana individu sadar akan tanggung
jawabnya. Hal ini akan menuntunnya menjadi chief executive, yang memiliki tanggung jawab besar
untuk semua aktivitas yang berhubungan dengan entitas, termasuk sistem pengendalian internal.
vii. Kebijakan SDM dan Praktika
Kebijakan dan praktika seputar SDM meliputi:
- rekrutmen dan penetapan kerja (hiring)
- orientasi/pengarahan pegawai baru
- evaluasi, promosi, dan kompensasi
- tindakan disiplin
Komponen ini penting karena jika tidak ada kebijakan dan prosedur SDM yang kuat, maka pesan
dari atas dalam sturktur perusahaan tidak akan tersampaikan.
viii. Lingkungan Pengendalian COSO dalam Perspektif
Kerangka pengendalian internal COSO berupa piramid, dimana lingkungan pengendalian menjadi
pondasi. Perusahaan yang sedang membangun pengendalian internal yang kuat harus
memperhatikan komponen ini baik2. Akan tetapi komponen lain juga tidak kalah penting. Evaluasi
atas pengendalian internal COSO bukan hanya mempertanyakan ”apakah debet dan kredit sudah
balance?” akan tetapi karena kebutuhan kebijakan yang kuat, yang fundamental tapi mungkin
berbeda untuk tiap perusahaan.
b. Penilaian Risiko
Kemampuan perusahaan untuk meraih tujuannya memiliki risiko, dari internal maupun eksternal.
COSO mendeskripsikan penilaian risiko dlm 3 tahapan: (1) mengestimasi signifikansi risiko; (2)
menilai kemungkinan atau frekuensi terjadinya risiko; (3) mempertimbangkan bagaimana risiko harus
dikelola dan tindakan apa yg hrs dilakukan.
Kerangka pengendalian internal COSO menyarankan risiko harus dipertimbangkan dari 3
perspektif:
1. Risiko perusahaan dari faktor eksternal
12
Meliputi pengembangan teknologi yang dapat mempengaruhi sifat dan jgka waktu riset dan
development atau mendorong adanya perubahan proses produksinya; perubahan kebutuhan atau
harapan konsumen; penetapan harga; garansi; atau aktivitas jasa (services).
2. Risiko perusahaan dari faktor internal
Misalnya gangguan server IT; kualitas kayawan; atau akses atas aktiva yang lebih bebas.
3. Specific activity-level risks
Meliputi bidang pemasaran, IT, dan keuangan.
c. Aktivitas Pengendalian
- Macam aktivitas pengendalian:
1.Top-level reviews
Manajemen dan internai auditor pada berbagai tingkat harus me-review hasil kinerja mereka,
membandingkannya dengan budget, statistika kompetitif, dan ukuran benchmark lain.
2.Fungsional langsung atau manajemen aktivitas
Manajer pada berbagai tingkat harus me-review laporan operasional dari sistem pengendalian
mereka dan mengambil tindakan korektif yang tepat.
3.Proses informasi
IT mengandung banyak pengendalian dimana sistem secara internal mengecek kepatuhan dalam
area tertentu dan kemudian melaporkan pengecualian pengendalian internalnya. Hal-hal yang
dilaporkan sebagai pengecualian harus mendapatkan tindakan korektif secara otomatis dari
prosedur sistem, atau operatornya, atau maanjemen.
4.Pengendalian fisik
Perusahaan harus memiliki pengendalian yang tepat atas aset fisiknya, termasuk aset tetap.
Persediaan, dan surat berharga.
5.Indikator kinerja
Manajemen seharusnya mengumpulkan data2 yg berhubungan, baik operasional maupun keuangan
satu sama lain dan melakukan tindakan analitis, investigasi, dan korektif yang tepat.
6.Pemisahan tugas
Tugas2 harus dipisahkan antara orang2 yg berbeda untuk mengurangi risiko terjadinya tindakan
yang salah atau tidak tepat.
13
- Pengendalian atas sistem informasi
Kerangka pengendalian internal COSO menyoroti beberapa area IT untuk mengevaluasi kecukupan
seluruh pengendalian internal. Pengendalian umum meliputi sentralisasi server atau pengendalian
penyimpanan data manajemen, termasuk penjadwalan pekerjaan, manajemen database, dan
perencanaan bisnis berkelanjutan. Kerangka pengendalian internal COSO menyimpulkan adanya
kebutuhan untuk mempertimbangkan pengaruh keterlibatan teknologi ketika mengevaluasi aktivitas
pengendalian sistem informasi.
14
secara keseluruhan. Komunikasi ke atas ini memiliiki 2 komponen: (1) komunikasi normal: proses
dimana para pemegang kepentingan diharapkan untuk melaporkan status, kesalahan, atau masalah
melalui supervisor mereka, (2) komunikasi rahasia: merupakan mekanisme dimana seseorang dapat
melaporkan berbagai hal kepada personel atasnya secara anonim.
Pengendalian internal COSO menjelaskan elemen komunikasi sbb: entitas yang budayanya
dipahami dengan baik oleh seluruh personel perusahaan dan memiliki banyak sejarah beroperasi
dengan integritas, umunya hanya akan mengalami sedikit kesulitan mengkomunikasikan pesannya.
Entitas tanpa tradisi akan perlu banyak jalan untuk mengkomunikasikan pesannya.
e. Pengawasan
- Aktivitas pemantauan yang terus-menerus (ongoing)
Contoh aktivitas pemantauan yang terus-menerus:
Fungsi normal manajemen operasional
Review manajemen atas laporan operasional dan keuangan merupakan aktivitas pemantauan
terus-menerus yang penting.
Komunikasi dari pihak eksternal
Elemen ini berhubungan erat dengan komponen komunikasi dari pihak eksternal.
Struktur perusahaan dan aktivitas supervisory
Ketika manajer senior harus selalu me-review laporan dan melakukan tindakan korektif, supervisi
tingkat pertama dan sturktur perusahaan yg berhubungan memiliki peran penting dalam
pemantauan.
Physical inventory dan rekonsiliasi aset
15
- Pelaporan kekurangan pengendalian internal
COSO menyatakan: jika kekurangan pengendalian internal perusahaan dapat mempengaruhi
pencapaian tujuannya, maka harus dilaporkan kepada pihak yang dapat melakukan tindakan yang
diperlukan. Penemuan kekurangan pengendalian internal seharusnya dilaporkan tidak hanya kepada
individu yang bertanggung jawab atas fungsi atau aktivitas yang terkait, yang dapat melakukan
tindakan korektif, tetapi juga minimal dilaporkan pada manajemen yang berada satu tingkat di atasnya.
Proses ini memugkinkan individual tsb menyediakan dukungan atau pandangan yang diperlukan untuk
melakukan tindakan korektif, dan untuk mengkomunikasikan dengan pihak lain dalam perusahaan
yang aktivitasnya mgkn terpengaruh. Bilamana penemuan kekurangan melewati batas organisasi, maka
pelaporannya harus menyesuaikan juga dan diarahkan sedemikan rupa sehingga mencukupi untuk
dapat dilakukan tindakan yang tepat.
16
Chapter 4
Internal Audit and the Sarbanes-Oxley Act
17
juga akan mengawasi auditor kesternal dengan etika professional dan kinerja. Karena SOA memiliki
pengaruh besar kepada auditor internal, maka auditor internal yang modern dan efektif sebaiknya
mengembangkan pemahaman umum atas SOA sebaik mungkin. Hokum Federal dikelola dan
diterbitkan pada seksi perundang-undangan yang terpisah yang disebut Title. Beberapa SOA tertulis
memngamanatkan aturan yang diterbitkan agensi yang bertanggung jawab, yaitu SEC untuk
perumdamg-umdamgammya. Aturan SOA yang spesifik dikembangkan secara signifikan atau tidak
oleh banyak auditor internal.
PCAOB terdiri dari 5 anggota yang ditunjuk oleh SEC, dimana 3 orang bukan anggota
CPA. PCAOB tidak didominasi oleh CPA dan kepentingan akuntan public. Ketua PCAOB
harus tidak berpraktek sebagai CPA selama 5 tahun untuk menjaga dewan PCAOB dari
dominasi CPA dan firma akuntan public.PCAOB sendiri akan didominasi oleh pengacara dan
aktifis public interest. Tanggung jawab PCAOB antara lain yaitu:
Registrasi firma akuntan publik yang mengaudit perusahaan, sifatnya detail, dan
hanya mengisi form aplikasi dan kemudian memulai bisnis. Harus mengungkapkan
biaya yang dikumpulkan dari perusahaan yang telah diaudit, menyediakan data audit
dan standar kualitas, memberikan informasi rinci mengenai CPA yang akan melakukan
audit, dan mengungkapkan tindakan pidana, perdata, atau administratif tertunda.
18
Menetapkan standar audit, Standar ini termasuk pengauditan, pengendalian mutu,
etika, independen dan kunci area audit lainnya.
Melakukan inspeksi dari kantor akuntan publik terdaftar, PCAOB memiliki
tanggung jawab untuk mereview kualitas perusahaan terdaftar. Di masa lalu, proses peer
review AICPA ditangani, tetapi perusahaan besar sering ditemukan sedikit mengkritik
rekan-rekan mereka. PCAOB tidak membangunnya sendiri melainkan kantor akuntan
publik dapat menerima lebih rinci sebagai review yang ketat.
Melakukan investigasi dan pendisiplinan prosedur, Prosedur-prosedur ini dapat
diterapkan ke seluruh perusahaan terdaftar atau hanya untuk individu dalam perusahaan
tersebut. Kesalahan yang diselesaikan dalam investigasi formal mengakibatkan sanksi
yang melarang suatu perusahaan atau individu auditor dari melaksanakan audit dibawah
PCAOB.
Melakukan standar dan fungsi kualitas lain sebagai ketentuan dewan, PCAOB
dapat masuk ke daerah lain untuk melindungi investor dan kepentingan umum.
Menegakkan kepatuhan SOA, Meskipun ada masih banyak yang harus ditentukan
PCAOB akan bertanggung jawab untuk menegakkan kepatuhan terhadap aturan SEC
terhadap semua undang-undang SOA dan dapat mengakibatkan berbagai tindakan
hukum administrasi atau prosedur lain yang sesuai.
Standar IIA akan direvisi sehingga SOA memberikan PCAOB amanat untuk
mengembangkan standar dengan persyaratan minimum :
Retensi kertas kerja audit Standar akan membutuhkan bahwa kertas kerja audit dan
bahan-bahan lain untuk mendukung laporan auditor harus dipertahankan untuk jangka
waktu tidak kurang dari tujuh tahun.
Persetujuan mitra
Standar akan dikeluarkan harus mendapat persetujuan pihak concurring atau kedua untuk
setiap penerbitan laporan audit. Persetujuan ini bisa dilakukan dengan anggota lain dari
kantor akuntan publik yang sama-sama memiliki pemeriksa independen.
Lingkup prngujian pengendalian internal
Standar SOA sekarang memerlukan auditor eksternal untuk menggambarkan lingkup
pengujian auditor eksternal proses serta temuan dari pengujian itu. Hasilnya akan dijelaskan
lebih rinci tentang prosedur pengujian dalam laporan dan laporan tambahan serta prosedur
pengujian yang lebih luas. Seringkali auditor eksternal dihadapkan dengan populasi uji yang
19
sangat besar dan diuji hanya jumlah yang sangat kecil item. Jika tidak ada kendala yang
ditemukan, mereka menyatakan pendapat berdasarkan hasil dari sampel yang sangat
terbatas.
Evaluasi struktur pengendalian dan prosedur
Standar PCAOB akan mencakup prosedur penelaahan dan evaluasi pengendalian intern.
Karena telah menjadi standar di seluruh dunia diakui, PCAOB akhir standar di sini akan
hampir pasti mengikuti model COSO pengendalian internal.
Standar pengendalian audit mutu
PCAOB diberi amanat untuk melepaskan kontrol kualitas audit standar dalam penerbitan
laporan keuangan yang diaudit. Meskipun PCAOB tidak akan diharapkan untuk
mengeluarkan standar kualitas spesifik sendiri, SOA undang-undang Negara yang
didaftarkan perusahaan akuntan publik mensyaratkan harus mempunyai standar yang
berkaitan dengan:
1. Pengawasan terhadap etika professional dan independen
2. Prosedur memecahkan masalah akuntansi dan audit dalam perusahaan
3. Pengawasan kinerja audit
4. Mempekerjakan tenaga professional
5. Standar yang disetujui dan dilaksanakan oleh perikatan
6. Inspeksi kualitas internal
7. Standar kualitas lain yang ditemtukan oleh PCAOB
Implikasi audit internal dari standar PCAOB
Fungsi internal audit yang efektif harus mengawasi secara ketat standar PCAOB yang
berkembang dan memodifikasi departemen proses internal audit untuk mengikuti apa yang
pada akhirnya akan eksternal dan internal audit standar praktek terbaik.
20
Internal audit dan eksternal audit berdasarkan sejarahnya telah terpisah dan independen.
Tanggung jawab eksternal auditor adalah menilai kewajaran system pengendalian internal
organisasi dan laporan keuangan yang diterbitkannya sedangkan tanggung jawab internal dalam
melayani manajemen perusahaan memiliki area yang lebih luas lagi. Pemisahan firma eksternal
audit secara berkelanjutan dalam fungsi internal audit dimulai pada awal 1990 yaitu dimulai
ketika perusahaan besar lebih memilih untuk melakukan outsourcing pada dalam fungsi fungsi
tertentu yang bukan merupakan fungsi inti. Organisasi akan menyerahkan fungsi tersebut kepada
ahli yang lebih memahami fungsi tersebut, sehingga pihak di dalam perusahaan yang seharusnya
menjalankan fungsi tersebut dapat melakukan fungsi lain yang dapat mendatangkan keuntungan.
Sedangankan outsourcing baru dilaksanakan sekitar tahun 1980, dimana firma audit eksternal
mengelola perusahaan kliennya dan mereka diberikan tawaran untuk mengambil alih fungsi
audit internalnya. Hal tersebut terjadi karena senior manajemen seringkali tidak begitu
memahami perbedaan dari dua fungsi tersebut dan terkadang mereka lebih nyaman untuk
mempekerjakan auditor eksternal karena beberapa alas an termasuk tergoda oleh biaya murah
yang ditawarkan oleh para eksternal auditor. Selain itu mereka melihat auditor eksternal
memiliki peran yang lebih penting dalam menyusun laporan keuangan tahunan sedangkan audit
internal terlibat dalam tugas-tugas yang kurang penting. Adanya outsourcing internal audit
tersebut, menuai skandal dimana fungsi internal audit Enron dijalankan oleh eksternal
auditornya, sehingga menimbulkan banyak kritik dan komentar mengenai independensinya. Hal
inilah yang menjadi peristiwa utama dalam SOX.
Batasan-Batasan Jasa Eksternal
Berdasarkan SOA section 201, mengilegalkan firma akuntan public yang terdaftar
untuk memberikan jasa baik audit maupun nonaudit termasuk internal audit, konsultasi, serta
perencanaan keuangan senior officier secara permanen dan terus menerus. Sehingga
outsourcing internal audit tidak boleh diberikan kepada eksternal audit yang sedang
menjalankan pekerjaan auditnya dalam suatu organisasi. Jasa yang dilarang SOA untuk
diberikan oleh firma akuntan public tersebut antara lain yaitu :
Implementasi dan Rancangan system Informasi Keuangan, auditor internal memerlukan
pemahaman yang tinggi dalam memahami pemasangan system keuangan yang dapat
juga menjadi tanggung jawab eksternal auditor.
Pembukuan dan Jasa Laporan Keuangan, firma akuntan public memiliki tawaran untuk
menjalankan jasa akuntansi disamping melaksanakan audit. Tanggunga jawab
kelompok akuntansi tersebut seperti analisis, dokumentasi, dan membangun laporan
keuangan sebelum audit dilaksanakan.
21
Fungsi manajemen dan Sumber Daya Manusia, sebelum SOA auditor eksternal
memiliki tanggung jawab besar dalam area ini. Sehingga beberapa dari mereka
menduduki posisi manajemen kliennya, yang menyebabkan lingkungan di hampir
seluruh manajer akuntansi organisasi merupakan auditor eksternal. Situasi ini membuat
cemas internal auditor yang tidak berasal dari firma yang sama, karena promosi pada
level tersebut terbatas.
Jasa terlarang lainnya, seperti penasehat investasi, dan audit yang bergaitas denfan jasa
jasa legal.
SOA, tidak melarang auditor eksternal memberikan jasa perpajakan, namun di awal
tahun 2003, CEO dari perusahaan telekomunikasi Sprint diberhentikan karenaketrlibatannya
dalam masalah penghindaran pajak atas saran eksternal auditnya. SOA mengijinkan auditor
eksternal untuk membuat perikatan nonaudit selain jasa jasa yang dilarang tadi, jika jasa
tersebut disetujui diawal oleh komite audit.
Karena saat ini auditor eksternal tidak hanya sebagai auditor, maka internal auditor
sebaiknya memiliki tingkat perhatian dan tanggung jawab yang lebih tinggi dalam perannya
sebagi penilai pengendalian internal dan mendukung praktek GCG.
Persetujuan awal Komite Audit atas Jasa yang berikan
SOA Section 202, Totle 1 menjelaskan bahwa komite audit di awal, harus menyetujui
jasa baik audit maupun non audit. Sedangkan semakin lama komite audit terkadang hanya
menerima lebih dari tulisan singkat atau usulan lisan atas jasa tambahan yang diberikan
eksternal auditor yang disetujui secara asal-asalan. Komite audit akan melibatkan diri mereka
dengan kewajiban pidana atau litigasi pemegang saham apabila mereka menyetujui aksi yang
dilarang. Sehingga ketika komite audit menyetujui jasa nonaudit tertentu, mereka harus
mengungkapkannya kepada investor melalui proxy laporan tahunan. SOA memperbolehkan
komite audit melimpahkan wewenang persetujuan awal jasa nonaudit tersebut kepada satu
atau lebih direktur luar dalam komite audit. Hal tersbut akan meredakan ketegangan
permasalahan bisnis jangka panjang jomite aduit, namun akan memberikan tanggung jawab
lebih pada beberapa anggota komite audit dan selain itu juga menimbulkan banyak tanggung
jawab hukum baru yang diamanatkan SOA.
Perputaran Patner External Audit
Seksi lain dalam title III menyatakan bahwa mitra firma akuntan public akan membuat
perikatan setiap lima tahun sekali. Ketika ada situasi dimana mitra menjalankan peran utama
dalam audit dan kemudian melayani secara terus menerus dan memiliki peran sebagai
penasehat setelah periodenya usai. Jika CAE melihat situasi ini sebagai kemungkinan
22
pelanggaran aturan SOA, masalah ini harus dibicarakan dengan ketua komite audit untuk
mempertimbangkan tindakan yang mungkin akan dilakukan. Akibat adanya rotasi ini
memberikan tantangan kdalam fungsi internal audit, karena memungkinkan internal audit
bekerja dengan nyaman bersama mitra dan timnya dalam periode yang terbatas. Selain itu
internal audit perlu untuk membiasakan diri bekerja dengan tim audit baru dari waktu ke
waktu dan memiliki peran yang kuat untuk memperkenalkan tim baru tersebut kepada
organisasi.
Auditor Eksternal Memberi Laporan kepada Komite Audit
Auditor eksternal selalu berkomunikasi secara teratur dengan komite aduit berkaitan
dengan perikatan atau hal-hal tertentu yang terjadi. Pasca Enron atau skandal lain yang terjadi
diperusahaan, ditemukan bahwa ternyata sering kali komunikasi ini malah justru sangat
terbatas. Sebelumnya, anggota manajemen dapat menegosiasikan "lulus" dari partner akuntan
publik pada perubahan perlakuan akuntansi yang disarankan, tetapi hal tersebut dilaporkan
kepada komite audit hanya dalam istilah yang paling umum, namun saat ini auditor eksternal
diwajibkan untuk melaporkan kebijakan dan praktek akuntansi yang digunakan, alternative
perlakuan akuntansiserta pendekatan yang dipilih auditor eksternal secara tepat waktu.
Apabila terjadi perselisihan mengenai perlakuan akuntansi, komite audit sebaiknya memiliki
kesadaran untuk mengambil tindakan yang tepat.
Konflik Kepentingsn dan Kewajiban Rotasi Firma Eksternal Audit
SOA title II, seksi 206, melarang auditor eksternal untuk memberikan jasa audit
kepada perusahaan apabila CEO,CFO, atau Kepala Bagian Akuntansi merupakan anggota
dari firma eksternal audit tersebut dalam audit yang sama pada tahun yang lalu. Disamping
itu, partner audit tidak dapat menginggalkan perikatan untuk memulai pekerjaan sebagai
senior eksekutif dalam perusahaan yang sama yang baru saja diaudit. CAE tidak termasuk
dalam larangan ini, masa lalu hubungan perusahaan audit eksternal. Anggota staf dan manajer
dapat berasal dari tim akuntan publik untuk berbagai posisi dalam organisasi yang diaudit
sedangkan larangan ini sifatnya terbatas pada mitra akuntansi publik. Seeorang dapat memulai
karir awal mereka dari akuntan publik dapat pindah ke junior kemudian menuju ke posisi
manajemen tingkat menengah dalam organisasi di mana mereka ditugaskan sebagai auditor
eksternal.
Untuk memenuhi rotasi partner, SOA perlu memiliki draft usulan awal rotasi tersebut,
dimana perusahaan diharuskan untuk mengganti auditor eksternalnya secara periodic namun
ternyata menyebabkan timbulnya banyak keberatan. General Accounting Office diberi
kewajiban untuk melakukan review satu tahun dan mempelajari pengaruh potensial dari rotasi
23
auditor wajib dan hasilnya akan diserahkan dalam sebuah kongres komite sehingga
memungkinkan pengambilan tindakan di masa yang akan dating.
24
Organisasi memasukkan laporan keuangan kepada SEC dan menerbitkan hasilnya
kepada investor, namun pihak yang memasukkan atau memiliki kewenangan dalam
pelaporannya terkadangan tidak memiliki tanggungjawab secara personal. Pihak tersebut
diharuskan menjamin bahwa :
1. Mereka telah mereview laporan tersebut
2. Tidak terdapat material yang tidak benar atau informasi yang menyesatkan di dalam
Laporan keuangan tersebut.
3. Laporan keuangan menjelaskan mengenai kondisi keuangan dan hasil dari operasi
perusahaan.
4. Bertanggung jawab :
a) Membangun dan memelihara pengandalian internal.
b) Rancangan penendalian internal dalam memastikan material informasi
organisasi dan pemangku kepentingan telah dibuat selama periode berjalan
ketika laporan disiapkan.
c) Mengevaluasi pengendalian internal organisasi selama 90 hari sebelum laporan
diterbitkan.
d) Mempresentasikan evaluasi yang dilaksankaannya sebagai efek dari
pengendalian internal pada saat laporan dibuat.
5. Mengungkapkan kepada auditor, komite audit dan direktur lainnya, mengenai :
a) Seluruh signifikan kekurangan dan kelemahan pengendalian dalam rancangan
dan operasi pengendalian internal yang dapat mempengaruhi reliabilitas
pelaporan data keuangan.
b) Semua kecurangan, baik yang material maupun tidak yang mempengaruhi
manajemen atau karyawan lain yang memiliki peran signifikan dalam
pengendalian internal organisasi.
6. Mengindikasikan perubahan pengendalian internal atau yang lainnya dalam laporan
yang secara signifikan mempengaruhi pengendalian tersebut, termasuk tindakan
pembenaran, evaluasi pengendalian internal pada tanggal sebelumnya.
Mengingat bahwa SOA memberlakukan hukuman pidana potensi denda atau penjara
terhadap individu para pelanggar tindakan , persyaratan di atas merupakan beban berat yang
dimiliki pejabat perusahaan yang bertanggung jawab oleh karena itu, para karyawan
perusahaan harus menjalani langkah wajar untuk memastikan bahwa mereka telah
mematuhinya.
25
Fungsi internal audit harus memiliki titik berat yang kuat dalam menjalankan review
dalam area pengendalian internal, dengan penilaian resiko atas lingkungan pengendalian
internal yang lebih detail, kemudian mendiskusikannya kepada corporate officier dan
selanjutnya merencanakan dokumen audit mengenai bagaimana system pengendalian internal
di review dengan detail.
Auditor internal mungkin saja mengidentifikasi kelemahan signifikan di dalam
organisasiyang tidak material terhadap operasi perusahaan. Suatu kelemahan bkan merupakan
kelemahan pengendalian internal yang secara signifikan material apabila masalahnya bersifat
local dan tidak berakibat besar, menjalar dan apabila masalah dapat diperbaiki setelah
ditemukan oleh auditor internal.
Materialitas
26
hanya jika pelaku kesalahan yang dibebankan, diadili, dan dihukum. Hukuman yang
sebenarnya akan didasarkan pada Pedoman Hukuman organisasi.
SOA sekarang memiliki peraturan kuat untuk melarang beberapa tindakan tertentu.
Memungkinkan adanya ketidaksepakatan manajemen dengan auditor eksternal atas beberapa
perkiraan atau interpretasi dan manajemen berusaha mempengaruhi auditor yang tidak
semestinya.
Audit eksternal mungkin telah dilakukan pengujian terbatas di beberapa daerah
kemudian mengusulkan penyesuaian berdasarkan hasil tes itu. Jenis mungkin "tidak
representatif". Sedangkan auditor eksternal, khususnya di bawah SOA, dalam perselisihan
tersebut, audit internal sering berperan sebagai fasilitator. Mereka tidak membantu untuk
menbuatnya tidak tepat namun membantu untuk menyelesaikannya.
Title III menjelaskan peraturan dan hukuman secara detail berkaitan dengn tata kelola
perusahaan dengan tujuan untuk memperketat peraturan yang sudah ada untuk
menambahkan aturan baru terutama apa yang sering tampak keterlaluan atau setidaknya
perilaku yang sangat tidak layak sebelum bertindak.
‘
Kegagalan Bonus yang Tidak Layak
27
Standar peraturan 401-K dan program pensiun yang sama bahwa pengurus dana dapat
membangun masa blackout selama periode waktu yang terbatas yang melarang rencana
peserta membuat penyesuaian investasi untuk rencana pribadi mereka.
Tanggung Jawab Pengacar yang Profesional
Berdasarkan section 307 adanya revisi peraturan mengenai etika pengacara
professional dan setiap kontroversinya. Pengacara diharuskan untuk melaporkan bukti
pelanggaran yang material atas perlindungan hukum atai pelanggaran perusahaan yang sejenis
kepada Chief Legal Counsel atau CEO. Apabila pihak tersebut tidak merespon pengacara
diharuskan untuk melaporkan bukti kepada tingkat paling tinggi kepada komite audit. SOA
mengijinkan pengacara menyelesaikan pelanggaran hukum, pengacara harus menarik
pelaporan perikatan atas beberapa pelanggaran yang disebut dengan pendekatan “noisy
withdrawal”.
Section III menyatakan bahwa apabila individual dalam group didenda suatu atas
kegagalan melalui administrasi atau aksi legal, dana yang dikumpulkan akan menjadi dana
disgorgement untuk dibagikan kepada para investor yang menderita karena penipuan atau
tindakan akuntansi yang tidak benar. Investor yang merugi karena kesalahan perusahaan
perorangan dapat dikenakan beberapa penyelesaian keuangan dari dana tersebut.
28
bahkan tim manajemen yang bukan eksternal auditormemiliki tanggung jawab untuk
meninjau dan menilai efektivitas pengendalian internal mereka.
Kode Etik Petugas Keuangan
SOA mengharuskan perusahaan mengadopsi kode etik senior financial officer, beserta
CEO dan petugas keuangan inti untuk mengungkapkan kepada SEC kepatuhan sebagai bagian
dari laporan keuangan tahunan. Kode etik karyawan telah terbentuk di dalam organisasi
selama bertahun-tahun. SOA khusus mensyaratkan bahwa organisasi kode etika atau perilaku
senior financial officer cukup untuk :
o Kejujur dan etika, termasuk etika penanganan konflik aktual atau kepentingan antara
hubungan pribadi dan profesional.
o Lengkap, adil, akurat, tepat waktu dan pengungkapan dapat dimengerti dalam laporan
keuangan organisasi
o Kepatuhan terhadap peraturan pemerintah dan peraturan yang berlaku.
Organisasi besar telah membangun fungsi etik tetapi terkadang perusahaan kecil tidak.
Auditor internal dapat memiliki peran penting untuk membantu kepatuhan kepada aturan etik.
Apabila fungsi etik tidak sesuai, internal audit dapat membantu mengumumkan beberapa
fungsi dari seluruh anggota organisasi, dewan direksi, serta karyawan.
Pengungkapan Komite Audit Financial Expert - Section 407
Karena diharuskan adanya expert keuangan dalam komite audit, CPA mempunyai persyaratan
internal audit yang bekerja dalam audit keuangan dan siapa yang memiliki kesulitan
mengelola anggaran rumahtangga personalnya. Dalam memenuhi syarat, expert harus
memiliki pengalaman sebagai akuntan publik, auditor internal, atau afficer keuangan pokok.
Oleh karena itu, financial expert harus memiliki:
1. Pemahaman tentang GAAP dan laporan keuangan
2. Pengalaman dalam penyusunan atau audit laporan keuangan organisasi sebanding
dengan penekanan pada estimasi akuntansi, akrual, dan cadangan
3. Pengalaman dengan akuntansi internal kontrol
4. Pemahaman tentang fungsi komite audit
SEC Enhanced Disclosure Reviews - Section 408S
SOA mengamanatkan SEC untuk melakukan review untuk menyempurnakan
pengungkapan dalam perusahaan secara teratur dan sistematis dan tidak kurang sekali setiap
tiga tahun. SEC diberikan amanat untuk melakukan tinjauan rinci laporan pendukung bahan
audit keuangan sehingga memutuskan untuk melakukan tinjauan pengungkapan yang
disempurnakan oleh salah satu dari enam situasi:
29
1. Jika perusahaan telah mengeluarkan pernyataan materi hasil keuangan
2. Jika terjadi kegagalan yang signifikan dalam harga saham
3. Jika ada perusahaan memiliki kapitalisasi penanda besar
4. Jika terjadi perbedaan yang signifikan dalam harga saham untuk rasio laba
5. Jika operasi perusahaan secara signifikan mempengaruhi sektor materi ekonomi nasional
6. Setiap factors lain SEC dapat mempertimbangkan yang relevan
30
Title VIII diakhiri dengan Bagian yang sangat singkat 807 mendefinisikan hukuman
pidana bagi pemegang saham perusahaan publik. Peraturan, aturan dan denda yang digariskan
dalam SOA telah membuat aturan berikut sangat penting. Judul IX kemudian berisi
serangkaian perangkat hukuman tambahan kejahatan kerah putih. Judul X "Sense of the
Senat" yang menyatakan bahwa pengembalikan pajak penghasilan badan harus
ditandatangani oleh CEO.
31
BAB 6
Risk Management: COSO ERM
Setiap perusahaan membutuhkan suatu pengidentifikasian setiap risiko yang mungkin untuk
mereka hadapi setelah itu memanage resiko-resiko tersebut ketingkatan yang wajar atau dapat
dikendalikan. Pemahaman mengenai risoko ini merupakan komponen utama dalam pencapaian Sarbanes-
Oxley (Sox), dalam Auditing Standards No.5.
Setiap manajer pada satuan kerja, baik operasional ataupun non-operasional, adalah manajer
resiko. Sebagaimana teori manajemen menjelaskan bahwa unsure inti manajemen adalah
planning,doing,dan controlling, maka sebagai pemilik dari risiko yang timbul dari
kegiatannya(planning,doing), manajer risiko haruslah sebagai pengendali(controlling) dari risiko
tersebut.
Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu sendiri. Manajemen
risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu mekanisme untuk
menyediakan suatu perlindungan dari timbulnya suatu resiko.
Mengapa manajemen resiko itu penting? Sikap orang ketika menghadapi resiko berbeda-beda.
Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang sebaliknya sangat senang
menghadapi resiko sementara yang lain mungkin tidak terpengaruh dengan adanya resiko. Pemahaman
atas sikap orang terhadap resiko ini dapat membantu untuk mengerti betapa resiko itu penting untuk
ditangani dengan baik.
Dalam upaya pencapaian nilai itu, setiap organisasi sama-sama menghadapi ketidakpastian.
Ketidakpastian ini mengandung risiko yang sangat potensial untuk menghilangkan kesempatan
pencapaian tujuan perusahaan.
Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk meminimalkan resiko
atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas organisasi. Suatu proses manajemen
risiko yang efektif memerlukan empat langkah:
1. IDENTIFIKASI RISIKO
32
Karenanya diperlukan checklist untuk pendekatan yang sistematik dalam menentukan kerugian
potensial. Salah satu alternatif sistem pengklasifikasian kerugian dalam suatu checklist adalah;
kerugian hak milik (property losses), kewajiban mengganti kerugian orang lain (liability losses)
dan kerugian personalia (personnel losses). Checklist yang dibangun sebelumnya untuk
menemukan risiko dan menjelaskan jenis-jenis kerugian yang dihadapi oleh sesuatu perusahaan.
33
2. KUNCI PENILAIAN RISIKO (RISK ASSESSMENT)
Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah berikutnya adalah untuk
menilai kemungkinan relatif yang signifikansi. Berbagai pendekatan yang dapat digunakan di sini, mulai
dari analisis pendekatan kualitatif hingga analisis pendekatan kuantitatif. Hal ini dapat membantu
memutuskan mana dari serangkaian resiko yang paling berpotensi terhadap peristiwa yang paling
menghawatirkan manajemen. Manajer bertanggungjawab terhadap penilaian resiko dengan
menggunakan pendekatan kuesioner:
1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?” Menggunakan
skor dari 1 sampai 9, jika :
Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama periode
berjalan.
34
Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan antar kedua
2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan tergantung pada
keuangan risiko yang signifikan. Sebuah risiko yang dapat menurunkan biaya laba bersih per saham
harus memenuhi syarat untuk nilai maksimal 9.
3. ANALISIS RISIKO
Setelah melakukan identifikasi resiko, maka tahap berikutnya adalah pengukuran resiko dengan
cara melihat potensial terjadinya seberapa besar severity (kerusakan) dan probabilitas terjadinya risiko
tersebut. Penentuan probabilitas terjadinya suatu event sangatlah subyektif dan lebih berdasarkan nalar
dan pengalaman.
Kesulitan dalam pengukuran risiko adalah menentukan kemungkinan terjadi suatu risiko karena
informasi statistik tidak selalu tersedia untuk beberapa risiko tertentu. Selain itu, mengevaluasi dampak
severity (kerusakan) seringkali cukup sulit untuk asset immateriil. Dampak adalah efek biaya, waktu dan
kualitas yang dihasilkan suatu resiko. Setelah mengetahui probabilitas dan dampak dari suatu resiko,
maka kita dapat mengetahui potensi suatu resiko Probabilitas terjadinya resiko sering disebut dengan risk
likelihood; sedangkan dampak yang akan terjadi jika resiko tersebut terjadi dikenal dengan risk impact
dan tingkat kepentingan resiko disebut dengan risk value atau risk exposure.
COSO Enterprise Risk Management adalah sebuah kerangka kerja untuk membantu perusahaan
untuk memiliki definisi yang konsisten terhadap risiko mereka. Ini juga merupakan alat yang penting
untuk memahami dan meningkatkan pengendalian internal SOx. Dokumen kerangka COSO ERM
dimulai dengan mendefinisikan manajemen risiko perusahaan:
“Enterprise risk management is a process, effected by an entity’s board of directors, management and
other personnel, applied in a strategy setting and across the enterprise, designed to identify potential
events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives.”
35
ERM memberikan keyakinan positif yang masuk akal tapi tidak pada pencapaian objektif.
ERM dirancang untuk membantu mencapai tujuan.
Bagan ini menunjukkan kerangka COSO ERM ini sebagai tiga dimensi kubus dengan komponen-
komponen:
Bagian ini menjelaskan komponen horizontal COSO ERM; kemudian bagian lainnya membahas
dua dimensi dan bagaimana mereka semua berhubungan satu sama lain. Tujuan kerangka ERM adalah
untuk menyediakan model bagi perusahaan untuk mempertimbangkan dan memahami mereka terkait
risiko kegiatan di semua tingkat, serta bagaimana dampak risiko komponen satu sama lain. Tujuan bab
ini adalah untuk membantu Auditor Internal -dari kepala audit eksekutif (CAE) untuk staf auditor-untuk
lebih memahami COSO ERM dan belajar bagaimana dapat membantu mengelola berbagai risiko yang
dihadapi perusahaan.
36
Standar Sumber daya manusia
b. Menetapkan Tujuan
Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM, pengaturan obyektiv
yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses ERM yang efektif.
Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus
menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap operasional, pelaporan, dan
kepatuhan kegiatan. COSO ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan,
untuk (1) mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi, (2) menetapkan
strategi untuk mencapai tujuan, (3) mendefinisikan tujuan yang terkait, dan (4) mendefinisikan selera
risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi dari bahan COSO ERM bimbingan.
c. Identifikasi Peristiwa
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan
pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa dalam arti
negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja perangkat
monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya.
Proses pemantauan harus mencakup: (1) Peristiwa ekonomi eksternal, alam, dan politik, (2) faktor social,
(3) peristiwa infrastruktur internal, (4) proses internal, (5) teknologi internal maupun eksternal,
d. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek peristiwa terkait
risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari
dua perspektif: kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari
proses penilaian risiko, juga perlu mempertimbangkan risiko yang melekat:
Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah ukuran dari
anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari kegiatannya. Risiko
inheren di luar kendali manajemen dan biasanya berasal dari faktor eksternal.
Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko ancaman dan
penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual.
e. Respon Risiko
Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur mengenai
tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat ditangani dalam salah
satu dari empat cara dasar:
37
1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk.
Kesulitannya adalah bahwa perusahaan seringkali tidak bisa drop garis produk atau berjalan kaki
sampai setelah kejadian risiko telah terjadi dengan nya terkait biaya. Penghindaran dapat menjadi
berpotensi mahal strategi jika investasi tersebut dilakukan untuk masuk ke suatu daerah dengan
penarikan berikutnya untuk menghindari risiko.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu.
Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari ketergantungan pada satu baris
kunci produk; membelah operasional TI menjadi dua yang terpisah secara geografis lokasi akan
mengurangi risiko beberapa bencana kegagalan.
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui pembelian
asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi keuangan, perusahaan
dapat melakukan lindung nilai operasi melindungi dari fluktuasi harga yang mungkin, atau dapat
berbagi risiko bisnis potensial dan manfaat melalui perusahaan perjanjian usaha patungan atau
struktural lainnya pengaturan. Idenya adalah untuk memiliki pihak lain menerima beberapa
potensi risiko serta berbagi dalam penghargaan yang dihasilkan.
4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan selfinsures dengan
mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya, perusahaan harus melihat
kemungkinan risiko dan dampak dalam terang risiko mendirikan toleransi dan kemudian
memutuskan apakah akan menerima resiko itu atau tidak.
f. Kegiatan Pengendalian
ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko yang memadai, perusahaan
harus memilih kontrol aktivitas yang diperlukan untuk memastikan bahwa risiko tanggapan dijalankan
secara tepat waktu dan efisien. Setelah melalui risiko identifikasi kejadian COSO ERM, penilaian, dan
respon proses, risiko pemantauan memerlukan empat langkah:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan
pengendalian prosedur untuk memantau atau benar bagi mereka.
2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah mereka terkait pengendalian risiko
prosedur yang bekerja secara efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif dan seperti
yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko monitoring
proses.
38
Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah untuk
mengidentifikasi dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol daerah-daerah
pengendalian internal:
o Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi orang yang
sama yang mengotorisasi transaksi tersebut.
o Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah ditelusuri
kembali dengan transaksi yang menciptakan hasil tersebut.
o Keamanan dan integritas. Pengendalian proses harus memiliki kontrol yang tepat prosedur seperti
bahwa hanya orang-orang yang berwenang dapat meninjau kembali atau memodifikasi mereka.
o Dokumentasi. Proses harus didokumentasikan.
g. Informasi dan Komunikasi
Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari
satu komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan proses
yang jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari web
kompleks sistem informasi operasional dan keuangan yang sering tidak terkait dengan baik. Hubungan
ini menjadi lebih kompleks untuk proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar
tidak langsung meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.
h. Pemantauan
The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa pemantauan dapat meliputi
jenis kegiatan:
o Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti uang tunai posisi, unit
penjualan, dan data keuangan kunci.
o Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci dari
didirikan risiko kriteria, termasuk tingkat kesalahan dapat diterima atau item diselenggarakan di
ketegangan.
o Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari laporan audit
internal dan eksternal, termasuk status ERM terkait SOx mengidentifikasi kesenjangan.
o Perbarui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi, tren industri,
dan berita ekonomi secara umum.
39
Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan untuk mengidentifikasi risiko
atas setiap unit usaha. Identifikasi ini membutuhkan informasi yang rinci, kemudian dikumpulkan dan
dianalisis, khususnya untuk sebuah perusahaan besar yang mencakup beberapa wilayah geografis, lini
produk, atau bisnis proses. Review audit internal atau survei yang langsung dipengaruhi oleh risiko
tersebut dapat membantu untuk mengumpulkan informasi latar belakang lebih rinci tentang potensi risiko
operasional.
Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan dari internalnya dan
eksternal baik itu dari keuangan perusahaan dan data non keuangan. Pelaporan yang akurat sangat penting
untuk suatu keberhasilan perusahaan dalam banyak dimensi.
Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang dikenakan atas standar
industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-
kadang tidak terduga. Hasilnya adalah litigasi diarahkan terhadap perusahaan yang pernah memproduksi
produk yang mengandung asbes tertentu, panggilan ganti rugi berdasarkan risiko manusia yang potensial
di masa mendatang. COSO ERM merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan
untuk masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal pemerintah,
pengaturan tujuan, atau pemantauan risiko, serta di seluruh perusahaan.
Sebuah perusahaan dapat meningkatkan proses secara keseluruhan sama halnya Sox
pengendalian internal melalui implementasi yang efektif dan efisien COSO ERM. Dengan berfokus pada
kerangka COSO ERM serta manajemen risiko umum baik praktek, audit internal dapat membantu
perusahaan dengan perencanaan dan melakukan review proses manajemen risiko perusahaan. Untuk
meninjau praktek COSO ERM dan implementasi prosedur, auditor internal, baik sebagai peninjau audit
internal kontrol atau konsultan manajemen, perlu mengembangkan pengertian pengendalian COSO ERM
dan proses. Selain itu, setiap kajian internal audit proses ERM perusahaan harus dikembangkan melalui
perencanaan internal audit berbasis risiko yang akan dibahas lebih lanjut di materi selanjutnya. Internal
Audit harus meninjau sisi perusahaan ERM proses menggunakan beberapa alat ini:
Proses flowchart Sebagai bagian dari setiap proses ERM yang diidentifikasi, diagram alur proses
dapat berguna dalam menggambarkan bagaimana manajemen risiko beroperasi dalam perusahaan.
Ini dibutuhkan untuk melihat dokumentasi yang disiapkan untuk risiko terkait proses, menentukan
kondisi saat ini, dan menggambarkan semua kecukupan semua tingkatan proses risiko perusahaan.
40
Tinjauan bahan dan pengendalian risiko. Sebuah proses ERM menghasilkan dalam volume besar
bahan pedoman, terdokumentasi, format laporan, dan sejenisnya. Proses ERM berharga untuk risiko
dan pengendalian bahan audit internal
Pembandingan. Meskipun sering disalahgunakan istilah, benchmarking adalah proses untuk melihat
fungsi dalam lingkungan lain untuk menilai operasi mereka dan untuk mengembangkan pendekatan
berdasarkan praktek-praktek.
Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi pada efektivitas
ERM dari berbagai macam orang. Mereka dapat dikirimkan disetujui stakeholder. Ini merupakan
teknik audit internal yang baik.
41
Chapter 7
Performing Effective Internal Audits (Menampilkan internal audit yang efektif)
Diasumsikan bahwa fungsi internal audit yang efektif dimulai dengan sebuah charter audit yang
disetujui seperti halnya dengan persetujuan komite audit untuk sebuah rencana tahunan aktivitas internal
audit perusahaan. Pada bab ini, akan menjelaskan langkah langkah yang penting untuk melaksanakan
review audit internal atas pengendalian internal. Secara virtual, seluruh audit internal dimulai dengan
menetapkan charter audit internal yang telah disetujui, penegasan kembali tujuan awal audit,
pengembangan rencana audit individual secara terperinci. Kemudian, program audit internal beserta
review awal dan dokumentasi atas pengendalian internal, pengujian untuk menentukan apakah telah
berjalan sesuai dengan yang diharapkan, laporan hasil audit secara berkelanjutan. Seluruhnya dijelaskan
berdasarkan inti dari ketentuan CBOK.
Seorang auditor internal yang efektif bertindak sebagai perangkat garis depan dari mata dan
telinga untuk komite audit dan manajer senior, dan harus melakukan lebih dari sekedar review kewajiban
perusahaan dengan dokumentasi yang dipublikasi dan prosedur.
7.1 Mengorganisir dan Merencanakan Internal Audit
Sebelum fungsi internal audit dapat menjalankan audit apapun, dibutuhkan beberapa building blocks
sebagai tempat untuk menyeimbangkan sebuah fungsi internal audit yang efektif. Pondasi building blocks
internal audit ini antara lain:
a. Sebuah rencana efektif dari organisasi dan sebuah piagam untuk melaksanakan aktivitas audit
internal.
b. Sebuah rencana audit tahunan atau jangka panjang
c. Standar dan pendekatan efektif untuk menampilkan semua internal audit.
Audit internal akan lebih efektif jika semua anggota dari staff audit ikut konsisten, prosedur yang
professional dalam menampilkan review mereka. Mereka akan menjadi sumber daya perusahaan yang
kuat pada pandangan manajer, yang selalu mengharapkan konsistensi, pendekatan yang berkualitas dari
sumber daya audit internal.
7.2 Aktivitas audit internal yang berkenaan dengan persiapan
Masing-masing proyek audit internal harus berhati-hati merencanakan sebelum memulainya. Audit harus
dimulai sebagai sebuah elemen yang terskedul pada perencanaan tahunan audit internal dan proses
memperkirakan resiko, berdasarkan permintaan special komite audit atau manajemen, atau sebagai
respon pada kejadian yang tidak direncanakan, seperti penemuan kecurangan, peraturan baru, atau
kejadian ekonomi yang tidak terduga.
42
Setelah internal audit mengembangkan rencana untuk bekerja untuk tahun mendatang, perencanaan dan
penjadwalan audit internal individu dering menjadi tantangan. Di samping rencana yang well-thought-
out, kejadian yang tidak terjadwal, permintaan dari manajer, atau situasi seperti hasil yang tidak
menguntungkan dari audit lain mungkin akan menyebabkan perubahan pada sebuah rencana jangka
panjang audit internal. Meskipun sering ada tekanan untuk memulai contohnya audit special secara tiba-
tiba, sebuah audit yang terencana dengan baik akan hampir selalu menyajikan hasil audit yang lebih baik.
Sebagai tambahan, audit internal dapat memperoleh penghematan yang signifikan pada waktu dan usaha
dengan perencanaan lanjutan yang cukup dan pekerjaan yang berkenaan dengan persiapan.
a. Menentukan tujuan audit baik yang menyeluruh maupun individual
Audit internal harus secara umum menetapkan rencana-rencana untuk aktivitas audit internal yang
secara khas menutupi periode fiscal tahunan.
b. Menjadwal audit dan memperkirakan waktu (tahunan/triwulan/bulanan;person;scope;object) yang
paling penting adalah jumlah staf setiap penugasan harus dibuat scheduling yang lebih rinci
c. Survey awal: mereview kertas kerja sebelumnya, mereview laporan audit sebelumnya, entitas
organisasi, materi audit lainnya yg berhubungan.
7.3 Memulai Audit Internal
Dimulai dengan membuat surat perikatan, surat ini harus memperingatkan manajer audit dari :
1. Adressee, komunikasi harus dialamatkan kepada manajer secara langsung bertanggung jawab
kapada unit yg di audit.
2. Tujuan dan scope dari audit
3. Tanggal mulai yg diharapkan dan lama waktu audit yang direncanakan
4. Tanggung jawab perorangan untuk melakukan review
5. Persiapan kebutuhan lanjutan, seperti akses jaringan telekomunikasi, akses untuk kunci sistem IT
atau database.
6. Salinan surat perikatan
7. Laporan operasi lainnya
a) Survey lapangan untuk internal audit, merupakan hal yg sangt kritikal/penting dalam penetapan arah,
detail scope, dan hasil audit. Survey lapangan mengijinkan auditor untuk,
1. Menyesuaikan dirinya dengan proses local utama di tempat dan
2. Evaluasi struktur pengendalian dan level dari resiko pengendalian pada proses yang bervariasi
dan sistem yang termasuk dengan audit.
Informasi yang harus ditemukan selama survey lapangan:
1. Struktur organisasi termasuk nama-nama dari orang-orang penting adalah benar
2. Manual and directives
43
3. Laporan (reports) yang terkait misalnya penganggaran, operasi, studi biaya,dll
4. Observasi perorangan
5. Diskusi dengan orang-orang penting untuk mengetahui area-area yg bermasalah, hasil sebenarnya
dari operasi perusahaan, dan perubhan rencana atau reorganisasi.
b) Dokumentasi hasil survey lapangan internal audit pada kertas kerja audit. (bisa berupa flowchart)
c) Kesimpulan survey lapangan auditor
Tujuan utama dari suvei lapangan adalah untuk menyocokkan asumsi yang dibuat dari perencanaan
audit sebelumnya, yang bertujuan untuk mengembangkan pemahaman pada sistem kunci dan proses.
dengan survey awal, auditor diharapkan menyesuaikan scope dan tujuan audit yang direncanakan
dengan keadaan sebenarnya.
7.4 Mengembangkan dan menyiapkan audit program
Untuk mencapai konsistensi audit, auditor internal harus menggunakan audit program untuk
melakukan prosedur audit dengan konsisten dan cara yang efektif untuk tipe audit yang sama. Istilah
program mengarah pada seperangkat prosedur audit hamper mirip dengan program komputer,
instruksi yang dijalankan sama dengan instruksi program setiap proses dijalankan.
a. Format audit program dan persiapannya
Audit program adalah sebuah prosedur yang menjelaskan langkah demi langkah yang harus
dilakukan oleh internal audit ketika sedang melakukan kerja lapangan. Program ini harus
diselesaikan setelah survey lapangan dan survey sebelumnya selesai dilakukan dan sebelum
memulai audit yang sebenarnya. Hal yang paling penting dari program itu adalh program itu harus
mengidentifikasi aspek area yang harus diperikasi kedepannya dan area yang sensitive yang
membutuhkan penekanan audit. Tujuan penting lainnya dari audit program adalah sebagai
peralatan pemandu baik untuk onternal auditor yang kurang atau yang mempunyai pengalaman
lebih.
b. Tipe-tipe dari bukti audit
Bukti audit meliputi semua audito internal review atau pengamatan. Auditor internal harus
mengumpulkan bukti audit untuk mendukung evaluasi auditor- internal audit standart yang
disebut bukti audit yang cukup, competent,relevant, dan berguna-. Liat exhibit 7-8
7.5 Melakukan Audit Internal
a. Prosedur awal fieldwork internal audit
Auditor dan anggota tim audit harus memulai audit dengan rapat bersama anggota yang tepat dari
manajemen perusahaan yang diaudit untuk menentukan kerangka perencanaan awal audit,
termasuk area yang harus diaudit, laporan khusus atau dokumen yang dibutuhkan, dan orang2 yg
akan diwawancarai. Auditor harus meminta semua pihak organisasi yang terpengaruh untuk
44
member mereka jadwal sementara kinerja audit yang direncanakan. Auditor yang sedang bekerja
harus bertemu dengan manajemen perusahaan untuk mendiskusikan berbagai masalah dan
mencari pemecahannya. Bila ada komponen kunci dalam audit yang telah direncanakan meleset,
manajemen audit harus mengembangkan strategi peninjauan kembali untuk menyelesaikan
masalah termasuk, yang meliputi:
Meninjau kembali prosedur audit untuk melaksanakan pengujian tambahan dalam area
yang berbeda
Menyelesaikan audit tanpa menggunakan data yang hilang tersebut.
Menyelesaikan bagian audit yang lain dan menjadwalkan kunjungan selanjutnya untuk
melaksanakan pengujian.
b. Teknik bantuan audit fieldwork
Manajemen audit unternal harus mengkomunikasikan semua masalah teknik audit kepada para
stafnya yang harus dipahami oleh yang auditor yang sedang bekerja agar bisa dicari solusinya
sesegera mungkin.
c. Audit Management Fieldwork Monitoring
Bila audit membutuhkan waktu yang lama atau membutuhkan sumber daya yang terlalu banyak,
maka manajemen audit internal harus meriview progress audit secara berkala dan menyediakan
pengarahan teknis melalui kunjungan dan komunikasi. Tujuannya untuk mereview progress kerja
dan membantu menyelesaikan masalah yang ada
d. Penemuan audit yang potensial, penemuan awal audit biasanya mempunyai elemen-elemen ini:
1. Identifikasi penemuan
2. Kondisi
3. Referensi kepada dokumen pekerjaan audit
4. Rekomendasi awal auditor
5. Hasil dari diskusi hasil temuan dengan manajer
6. merekomendasikan disposisi dari penemuan
e. modifikasi audit program dan jadwal
audit program memrupakan petunjuk keseluruhan pelaksanaan internal audit yang dikembangkan
dari data survey awal dan dari file internal audit terdahulu. Kebutuhan modifikasi audit program
sangat diperlukan sangat internal audit telah mengembangakan audit program umum untuk
mereview unit yang hamper sama. Perubahan itu dibutuhkan dalam jadwal audit sebagai progress
kerja dan fleksibilitas harus direncanakan untuk menghadapi persyaratan yang tidak terduga.
f. Melaporkan temuan audit persiapan kepada manajer
45
Penemuan audit potensial harus diriview oleh management unit selama pelaksanaan audit untuk
menentukan apakah mereka memang fakta dan berpengaruh signifikan.
7.6 Membungkus perikatan bidang Internal Audit
Internal audit harus dikelola dengan cara yang sama seperti proyek lainnya yang membutuhkan waktu
personal dan sumber daya lain serta emmberi hasil yang dapat dikomunikasikan. Sumber daya
personal dan biayanya harus direncankan dan dianggarkan pada tingkat yang terinci. Perluasan waktu
atas audit harus ditinjau lebih lanjut manajemen audit internal untuk menyediakan overview dari audit
yang telah direncanakan atau yang masih berjalan. Periode selama 3 bulan seringkali merupakan
waktu yang tepat untuk aktivitas yang direncanakan.
7.7 Melakukan Internal Audit Individual
Seorang auditor internal harus melaksanakan kinerja dan memiliki kemampuan untuk merencanakan
dan melaksanakan audit internal individual.
Proses audit internal :
1. Sebagai bagian dari perencanaan audit, melaksanakan analisis resiko untuk mengidentifikasi
resiko pengendalian yang potensial
2. Berdasarkan hasil anlisis resiko dan kendala lain mengembangkan audit plan.
3. Menjadwal audit internal di awal dan mengalokasikan sumber daya
4. Mereview laporan audit terdahulu dan kertas kerja yang melingkupi audit area
5. Mengunjungi lokasi dan melaksanakan survey lapangan yang melingkupi area dari audit yang
direncanakan.
6. Berdasarkan kertas kerja dan survey lapangan yang dibuat, menyiapkan audit program
7. Menyiapkan dan menyampaikan surat perikatan audit dan merencanakan untuk memulai audit
internal
8. Memulai audit internal lapangan dan audit internal yang telah direncanakan.
9. Mendokumentasikan proses dan melaksakan prosedur audit yang telah direncankan
10. Mengembangkan audit point sheet yang melingkupi penemuan awal internal audit
11. Menyelesaikan dokumentasi audit dan mengiktisarkan penemuan audit yang potensial.
12. Menyelesaikan audit internal lapangan dan meriview temuan audit yang diusulkan dengan
auditee.
Nilai yang paling penting yang disediakan oleh proses audit internal kepada komite audit dan manajemen
merupakan laporan hasil pelaksanaan audit di lapangan secara rinci atau sebagai bagian dari operasi
keseluruhan.
46
47
Chapter 8
STANDAR FOR THE PROFESIONAL PRACTICE OF INTERNAL AUDITING
Setiap profesi pasti memiliki standar kinerja yang ditetapkan secara umum untuk menilai apakah
pelakunya telah bekerja secara professional atau tidak, standar ini ditetapkan agar mereka memiliki acuan
dan setiap pelakunya dapat mengerjakannya dengan seragam, mengacu pada standar standar yang telah
ditetapkan. Internal auditor juga memiliki standar yang dijadikan acuan seperti IIA Standart. Standar ini
berisi hal hal apa yang harus dilakukan oleh internal auditor dan harus menjalankannya dan menjadi sifat
dasar bagi internal auditor.
48
Standar IIA tertua (trbit tahun 2004) memuat beberapa hal detail yang bia dikatakan hampit tidak
masuk akal. Ementara saat IIA memebuat beberapa aturan umum yang dibuat secara luas, tetapi standar
IIA tertua justru trlalu spesifik. Standar IIA yang sekarang lebih spesifik dan realistis untuk menutnun
funsi dari seorang internal auditor sehingga bisa bertugas lebih efektif dan efisien. Ada perubahan dalam
IIA standar 2004 yang telah direvisi bahwa memperbolehkan seorang IIA bertindak sebagai konsultan
dan juga sebagai perannya yaitu sebagai auditor.
Standar yang paling awal muncul, justru kembali pada prinsip dimana seorang internal audit
dilarang menjadi seorang konsultan. Tapi larangan tersebut tidak dihiraukan beberapa tahun terakhir ini,
dan telah direvisi di tahun 2004 serta telah diklarifikasikan.
49
tersebut merupakan kumpulan peraturan bagi semua aktivitas seorang internal auditor, baik sebagai IA
maupun sebagai konsultan internal atau bagi yang mengatus semua fungsi internal audit.
Standar Atribut
Standar 1000 – Tujuan, Wewenang, dan Tanggung Jawab
1000 – Tujuan, Wewenang, dan Tanggung Jawab
Tujuan, wewenang, dan tanggung jawab dari Aktivitas Audit Internal harus didefinisikan secara formal
dalamPiagam Audit Internal, konsisten dengan Definisi Internal Audit, Kode Etik, dan Standar. Kepala
Eksekutif Audit harus secara berkala meninjau Piagam Audit Internal dan menyampaikannya kepada
manajemen senior dan Dewan untuk persetujuan.
50
Standar 1100 – Independensi dan Objektivitas
1100 – Independensi dan Objektivitas
Aktivitas Audit Internal harus independen, dan auditor internal harus bersikap objektif dalam
melaksanakan pekerjaan mereka.
1210 – Keahlian
Auditor internal harus memiliki pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk
melaksanakan tanggung jawabnya. Aktivitas Audit Internal secara kolektif harus memiliki atau
mendapatkan pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melaksanakan
tanggung jawabnya.
51
Standar 1220 – Kecermatan Profesional
1220 – Kecermatan Profesional
Auditor Internal harus menerapkan kecermatan dan keterampilan yang diharapkan dari seorang auditor
yang cukup berhati-hati dan kompeten. Kecermatan profesional tidak berarti kesempurnaan.
Standar 1321 – Penggunaan Frasa “sesuai dengan Standar Internasional untuk Praktik
Profesional Audit Internal”
1321 – Penggunaan frasa “sesuai dengan Standar Internasional untuk Praktik Profesional Audit
Internal”
Kepala Eksekutif Audit diperbolehkan menyatakan bahwa Aktivitas Audit Internal sesuai dengan Standar
Internasional untuk Praktik Profesional Audit Internal hanya jika hasil program pemastian kualitas dan
peningkatan mendukung pernyataan ini.
52
Ketika ketidaksesuaian dengan Definisi Audit Internal, Kode Etik, atau Standar berpengaruh terhadap
keseluruhan lingkup atau pelaksanaan aktivitas audit internal, Kepala Eksekutif Audit harus
mengungkapkan ketidaksesuaian dan dampaknya kepada manajemen senior dan Dewan.
Standar Kinerja
Standar Kinerja, yaitu Standar yang menjelaskan sifat dari kegiatan audit internal dan sebagai kriteria
evaluasi kinerja. Butir-butirnya adalah sebagai berikut:
2000 – Mengelola Aktivitas Audit Internal
2010 – Perencanaan
2020 – Komunikasi dan Persetujuan
2030 – Manajemen Sumber Daya
2040 – Kebijakan dan Prosedur
2050 – Koordinasi
2060 – Pelaporan kepada Manajemen Senior dan Dewan
2100 – Sifat Kerja
2110 – Tata Kelola
2120 – Manajemen Risiko
2130 – Pengendalian
2200 – Perencanaan Penugasan
2201 – Pertimbangan Perencanaan
2210 – Tujuan Penugasan
2220 – Lingkup penugasan
2230 – Alokasi Sumber Daya Penugasan
2240- Program Kerja Penugasan
2300 – Pelaksanaan Penugasan
2310 – Mengidentifikasi Informasi
2320 – Analisis dan Evaluasi
2330 – Pendokumentasian Informasi
2340 – Supervisi Penugasan
2400 – Mengomunikasikan Hasil
2410 – Kriteria untuk Berkomunikasi
2420 – Kualitas Komunikasi
2421 – Kesalahan dan Kelalaian
2430 – Penggunaan Frasa “Dilaksanakan sesuai dengan Standar Internasional Praktik Profesional Audit
53
Internal “
2431 – Pengungkapan Ketidaksesuaian
2440 – Diseminasi Hasil
2500 – Memantau Kemajuan
2600 – Resolusi Penerimaan Manajemen Senior atas Risiko
54
Chapter 10
Audit Program and Establishing the Audit Universe
55
1. Struktur dan strategi
2. Metodologi dan prosedur
3. Pengukuran dan pelaporan
4. Perkakas dan teknologi
Penilaian kapabilitas dan tujuan internal audit
Auditor internal harus mengetahui segala sesuatu tentang jenis bisnis, transaksi, kemudian pengaruhnya
terhadap keuangan. Internal audit harus realistis dalam mengembangkan daftar audit universe, yang
pertimbangan utamanya adalah pengendalian risiko (prioritas berdasarkan tingkat risiko audit). Internal
audit seharusnya menganalisis setiap calon potensial internal auditor dengan cara:
Menetapkan sasaran pengendalian tingkat tinggi untuk setiap calon audit universe
Menilai risiko tingkat tinggi untuk calon audit universe
Mengkoordinasi aktivitas internal audit dengan audit lainnya dan menarik perhatian pemerintah
Mengembangkan sasaran pengendalian tingkat tinggi untuk audit yang ditunjuk oleh audit universe
Mengembangkan daftar pertanyaan pendahuluan mengenai penilaian pengendalian untuk setiap audit
56
Setelah auditor menentukan penekanan yang sesuai atas masing-masing dari 5 jenis pengujian (prosedur
pengendalian intern, uji pengendalian, uji substansi, uji analisis, uji saldo), program audit khusus untuk
masing-masing jenis tersebut harus dirancang.
Prosedur audit ketika dikombinasikan akan membentuk program audit. Mungkin akan ada suatu
kumpulan program sub audit untuk masing-masing siklus transaksi.
a. Format program audit dan persiapannya
Prgram audit adalah suatu prosedur yang mendeskripsikan mangenai langkah-langkah dan
pengujian-penguijan yang akan dilakukan oleh auditor ketika melakukan lingkungan kerjanya. Program
audit harus diselesaikan setelah melengkapi persiapan dan melakukan survey lapangan, dan sebelum
memulai pelaksanaan lingkungan kerja audit. Program audit harus dibentuk sesuai beberapa kriteria, yang
paling penting dalam program audit adalah auditor harus mengidentifikasi aspek-aspek daam area yang
akan diperiksa lebih lanjut dan sensitive area yang akan meminta penekanan audit. Sehingga pengalaman
auditor sangat penting.
Ada beberapa jenis format program audit secara umum :
Satuan prosedur umum audit
Program dengan instrukrur terinci untuk auditor
Checklist atau daftar nama untuk implikasi pemeriksaan
57
58
Chapter 12
Tidak ada cara yang optimal dalam menciptakan Fungsi Internal Audit, karena masing masing
perusahaan memiliki tipe bisnis, masa geografis, struktur organisasi serta kebutuhan internal audit yang
berbeda satu sama lain dan harus berdasarkan atas Internasional Standard for the Professional Practisce
of Internal Auditing.
Manajer puncak yang akan menjadi Chief Audit Executive ditantang untuk membangun fungsi
internal audit baru dengan berbagai macam pilihan, sesuai dengan keseluruhan bisnis perusahaan,
struktur logistic dan geografi, resiko pengendaliannya, dan keseluruhan budaya perusahaan
Kebutuhan utama dari seorang pemimpin yang kuat untuk organisasi yang efektif, untuk internal
audit pemimpinnya adalah Chief Audit Executive yang mengerti seluruh kebutuhan perusahaan dan
resiko pengendalian yang potensial sebaik dengan kontribusi potensial yang dapat dilakukan internal
audit perusahaan
Audit charter (Piagam Audit) adalah dokumen formal, yang disetujui oleh komite audit, untuk
menjelaskan misi, independensi, objektivitas, lingkup, tanggung jawab, kewenangan, akuntabilitas, dan
standar internal audit perusahaan.
Internal audit memiliki bebas kendali untuk mengetahui luasnya kisaran pencatatan dan megajukan
pertanyaan pada tingkat apapun, beberapa proses dalam memberikan wewenang juga perlu suatu
kewenangan. Fungsi internal harus melapor kapda komite audit atas dewan didalam struktur perusahaan.
Komite audit inimemiliki kewenangan dalam hak dan tanggung jawab yang berhubungan dengan
kewenangan formal suatu dokumen atau resolusi ( internal audit charter).
Tidak ada kebutuhan pasti dalam kewenangan dokumen, namun piagam internal audit menguatkan
internal audit dengan :
Independensi dan objektivitas
Lingkup atas tanggung jawab
Kewenangan dan akuntabilitas
59
Membangun Internal Audit Staff
Setiap fungsi internal audit memerlukan seseorang yang diberi tugas dan tanggung jawab internal
audit, tersiri atas staf pendukung dan administrasi. Di dalam internal audit, terdapat bermacam-macam
posisi untuk berbagai tingkat dan tipe internal audit sendir di dalam sebuah perusahaan.
a) Tugas CAE
Harus ada seseorang yang bertanggung jawab atas seluruh fungsi internal audit, penanggung
jawab ini dulunya disebut dengan direktur namun sekarang telah berganti gelar menjadi CAE,
kebanyakan dari senior manajemendalam perusahaan akan menjadi penanggung jawab terakhir atas
keseluruhan fungsi audit.
Operasi Perusahaan dan Isu Risiko.
Sumber Daya Manusia dan Administrasi Internal Audit.
Hubungan antara Komite Audit dan Manajemen,.
Tata Pemerintahan Perusahaan, Akuntansi, dan Isu Regulasi.
Tim Pembangunan Internal Audit dan Administrasi.
Teknologi.
Risiko yang berdasarkan Perencanaan Audit dan Proses yang Unggul.
Kemampuan Bernegosiasi dan Hubungan Manajemen.
Keyakinan Internal Audit dan Peran Konsultasi.
Standar Praktik Profesional Internal Audit.
60
2) Membantu direktur untuk mempersiapkan pembaharuan regular atas aktivitas internal
audit untuk komite audit
3) Menyediaan saran dan nasihat system baru, inisiatif, dan layanan yang diberikan dibawah
prespektif pengendalian internal
4) Membantu direktur untuk mengkoordinasi aktivitas keuangan internal audit, termasuk Sox
404 penilaian pengendalian internal, dengan registrai independen akunatan public.
5) Mengelola sumber daya keuangan fungsi internal audit secara efektif dan efisien
6) Mempekerjakan, Pelatihan, dan mengembangkan secara professional tim internal audit
keuangan
7) Mengawasi kualitas pekerjaan yang dilaksanakan oleh tim internal audit keuangan dan
memastikan pemenuhan terhadap standar yang berlaku
Kebutuhan Kemampuan
Gelar sarajan muda atas ilmu pengetahuan dalam administrasi bisnis yang utama dalam
akuntansi atau keuangan
Memiliki pengalaman minimal tujuh tahun dalam internal audit atau akuntan public
Harus bersetifikat Akuntan Publik (CPA) dan Bersertifikat Auditor Internal (CIA)
61
maupun komunikasi yang tepat, namun tingkat awal calon staff internal audit dapat berasal dari
tingkat area universitas
Kemampuan lain
Pengetahuan umum akuntansi dan prosedur audit serta kemampuan untuk nekerja secara
independen
Memiliki kemampuan bekerja dengan kertas kerja dan software pemrosesan kata data; yang
dapat mengoperasikan laptop komputer dan peralatan kantor umum
Dapat bekerja secara independen
62
d) Sistem informasi Spesialis Audit
Ahli tekhnologi informasi internal auditor memerlukan pelatihan dan kemampuan special.
Tidak seluruh fungsi internal audit memerlukan sedikitnya satu ahli dalam staff internal audit
dengan teknologi informasi yang kuat dan berhubungan dengan kemampuan pengendalian internal
seperti, system keamanan, aplikasi pengendalian internal, dan system operasi komputer
manajemen.
Kemampuan yang dibutuhkan para ahli system informasi audit dalam internal audit
bergantung pada jangka waktu teknis fungsi perusahaan. Perusahaan dengan aplikasi yang berbasis
perencanaan sumberdaya perusahaan, diatur terkait dengan aplikasi yang terikat pada database
kompleks yang memerlukan perangkat kemampuan ahli system audit informasi yang berdebeda
dengan perusahaan yang memiliki sumberdaya teknologi informasi aplikasi berbasis web.
Logistik dan biaya sering menjadi factor kunci karena tidak ada cara yang optimal dalam
menciptakan Fungsi Internal Audit, karena perbedaan tipe bisnis, masa geografis, struktur organisasi
serta kebutuhan internal audit. Biasanya perusahaan yang menggunakan operasi worldwide memerlukan
internal audit untuk melakukan review dalam situs perusahaan tersebut yang dapat diselenggarakan
secara desentralisasi dengan team local yang lebih dekat dengan operasi actual. Risiko yang dihadapi
adalah kesulitan bagi CAE untuk mengatur kekompakan fungsi internal audit, dan internal audit local
akan lebih memisahkan diri dengan bagian inti fungsi internal audit. Namun, internal audit local dapat
63
mengamati operasi local perusahaan dan dapat berada dalam situs dengan cepat, tanpa penundaan akibat
waktu perjalanan.
Sedangkan apabila berdasarkan kantor pusat, auditor internal perusahaan induk, bertanggungjawab
mendatangi situs mereka untuk melaksanakan audit. Pendekatan ini menghasilkan proses internal audit
yang konsisten namun adanya kendala perjalanan dan biaya.
Desentralisasi
Anggota unit local sering memiliki pemahaman masalah dalam unit tersebut, daripada
menyimpulkan situai permasalahan dan menyerahkannya ke level yang lebih tinggi untuk
pengambilan keputusan, sehingga mereka sering kali menyelesaikan dengan cepat dan dan
dengan cara yang lebih pintar.
Adanya penundaan apabila pengambilan keputusan dilakukan oleh level yang lebih tinggidapat
sangat mengganggu. Anggota unit local sering kali lebih termotivasi untuk menyelesaikan
masalah pada level dimana dia berada dalam suatu organisasi dan sering memiliki pilihan untuk
mengembangkan keputusan yang lebih tepat
Memiliki kelemahan pada saat menjelaskan kebijakan pengambilan keputusan terpusat secara
rasional atau terdapat kesalahan dalam ketepatan pengkomunikasian keputusan
64
Departemen audit terbagi atas tiga tim ahli ; (1) Sistem Informasi atai teknologi informasi
auditor; (2) audit ahli keuangan; (3) operasional auditor. Hal ini membuat proses audit
lebih efektif karena mereka memiliki tanggung jawab berdasarkan keahlian dan
pengalaman yang dimiliki. Beberapa masalah dan risiko pengendalian yang terkait dengan
wilayah yang sering terjadi adalah penanganan yang sangat baik dengan menugaskan
auditor internal yang memiliki keahlian special yang penting.
65
kantor pusat. Masalah yang terjadi adalah kebijakan dan prosedur internal audit umum,
pengembangan, distribusi akhir, oleh fungsi internal audit kantor pusat. Perencanaan dan
administrasi dilaksanakan di kantor pusat, sedangkan aktivitas lain, dilakukan CAE yang
selalu membutuhkan tambahan asistem professional internal audit, dan dikembangkan
oleh internal audit kantor pusat atau anggota perencanaan dan administrasi yang lain.
Setiap internal audit mengembangkan kebjiakan dan prosedur yang memerintah fungsinya sebagai
petunjuk untuk seluruh staf audit dan sebagai pegangan untuk pengguna jasa audit. Internal audit
prosedur bergantung ukran fungsi dan kesluruhan perusahaan dan harus mengandung beberapa element
yaitu :
Piagam audit dan kewenangan dokumen internal audit yang lain
Kode etik perusahaan yang didalamnya terkandung peraturan peraturan
Prosedur dan aturan departemen internal audit yang lain
Standr Internal Audit
Internl audit harus mengikuti standard dalam mengisi kertas kerja, komunikasi terkaitm dan
kebijakan retensi. Mereka harus memastikan bahwa kertas kerja telah dikelola dengan benar, diulis
dengan jelas, dan telah mengalamatkan semua area dalam seluruh lingkup audit. Serta harus mengandung
bukti yang mencukupi tatas tuga yang telah dilaksanakan dan mendukung kesimpulan yang didapatkan.
Internal audit mrupakan fungsi internal dan yang merupakan bagian dari gaya operasi perusahaan
dan ketaan terhadap peraturan. Eskipun merupakan bagian dari perusahaan namun tetap bersifat
66
independen, unik, dan special. Besifat unik karena dengan adanya perkecualian dengan ketua eksekutif
officer dan terkadang pemberian nasihat, dan merupankan unit yang hanya melaporkan secara langsung
kepada komite audit. Internal audit akan slalu unik di setiap perusahaan dengan hak dan kewajiabbnya
untuk menilai risiko, menjadwalkan review dan mengajukan permintaan atas perbaikan apabila
diperlukan. Hal ini merupakan peran yang menunjukkan perhatian perofesional dan kehormatan dari
seluruh anggota internal audit.
Chapter 13
INTERNAL AUDIT KEY COMPETENCIES
67
audit sesuai dengan rekomendasinya kepada karyawan dan senior manajemen.
Negotiating skills : karena sering terjadi perbedaan pendapat antara penemuan dan
rekomendasi, auditor harus mampu menegosiasikan hasil observasinya secara sukses.
Commitments to learning : auditor harus memiliki keinginan untuk belajar dan menjalani
pendidikan berkelanjutan.
b) Mengenalkan internal auditor yang akan melakukan reviewaktual sebaik yang diperkirakan oleh
partisipan auditee.
c) Jika ini adalah perencanaan audit pertama dari area ini atau jika terdapat perbedaan signifikan
sejak review terakhir, mendaftar area operasi mana yang bisa direview.
d) Jika ada internal audit terakhir sebelumnya di area ini, cek status yang ditemukan terakhir dan
rekomendasinya sebaik perubahan sistem yang terjadi sebelumnya.
e) Kerangka perencanaan waktu tentang langkah audit review.
f) Permintaan untuk audit material, termasuk akses yang benar untuk files dan sumber daya sistem
TI, kata kunci temporer, akses ke file kunci, dan perpustakaan fisik, koneksi telekomunikasi, dan
fasilitas lainnya.
g) Untuk tambahan periode waktu review, jadwal status pertemuan secara 68elative.
h) Jadwal tentative atas audit kepatuhan sebaik pertemuan wrap-up awal.
i) Membuat pengaturan untuk ketersediaan sumber daya untuk menjawab pertanyaan atau masalah
yang terjadi selama review berlangsung.
j) Menjelaskan perkiraan proses internal audit, termasuk laporan perencanaan sementara,
memperkirakan respons time untuk rekomendasi audit, dan mengantarkan laporan akhir.
k) Melalui interview dan kepastian yang ada, memberikan waktu yang cukup untuk pertanyaan.
l) Follow-up wawancara dengan detail ringkasan memo kerangka waktu potensial audit dan banyak
permasalahan lain yang belum terjawab.
68
13. 3 Analytical Skills
Mengadopsi definisi dari sumber web Wikipedia, analytical skills menunjuk pada kemampuan
untuk visualize, kepandaian berbicara, dan mengatasi masalah kompleks dan konsepnya dan untuk
membuat keputusan yang dibuat dengan memahami dasar dari informasi yanhg tersedia. Keahliannya
mencakup kemampuan internal auditor ditunjukkan dalam memakai cara berpikir logika untuk
pertemuan dan menganalisis informasi, mendesain dan menguji solusi untuk masalah, dan perumusan
rencana. Tes untuk keahlian analytical, internal auditor secara kuat dapat mempertanyakan laporan
produksi yang tidak konsisten , untuk menaruh rangkaian even dalam urutan yang tepat, atau untuk
membaca laporan status proyek dan mengidentifikasi kesalahan potensial. Review analytical biasanya
memerlukan internal auditor untuk mereview beberapa bukti audit material lalu menggunakan logika
untuk mengambil bagian dari masalah dan datang dengan sebuah keputusan.
Untuk menjadi analytical, internal auditor perlu untuk berpikir tentang segala factor yang meliputi
dalam situasi lalu mengevaluasi plus dan minusnya dalam mengembangkan solusi yang dianjurkan.
Keputusan internal audit harus dibuat secara konsisten, dan cara organisasi
Internal auditor harus menggunakan pendekatan analytical untuk menggambarkan kegunaan dari
well-documented, proses well-reasoned untuk sampai pada keputusan dalam aktivitas audit internal.
13. 4 Testing and Analysis Skills
Saat internal auditor harus mengembangkan keputusan awal menggunakan pendekatan analytical,
tantangan berikutnya adalah mempunyai kemampuan untuk menguji, review, dan assess the materials.
Contohnya, exhibit 13.2 menggambarkan alternative pendekatan pengujian audit. Tes pertama, physical
observation, sering tidak berfikir dalam konteks pengujian. Tetapi jika pendekatan analytical, dengan
menetapkan review dan menerima criteria, yang digunakan untuk pengorganisasian proses pengujian
dasar-observasi, physical observation dapat dilihat sebagai proses pengujian valid yang baik.
Syarat untuk kompetensi internal audit adalah analisis dari hasil test. Internal auditor memilih
sampel dan menyelenggarakan pengujian internal audit, lalu hasilnya dianalisis. Dalam penyelenggaraan
tiap sampel ditetapkan audit objektif, internal auditor harus mereview hasil dari kesalahan-kesalahan
yang mungkin dideteksi dalam sampel untuk menentukan apakah itu sebenarnya kesalahan, jika tepat,
sifat dan penyebab kesalahan.
69
internal butuh untuk mengembangkan suatu audit work documentation skills. Sebuah fungsi audit
internal seharusnya terdiri dari beberapa standar praktek terbaik guna memenuhi kebutuhan
pendokumentasian secara elektronik.
Beberapa praktik audit internal terbaik yang seharusnya dilakukan ketika mengimplementasikan
sebuah effective internal audit e-office ialah sebagai berikut:
Membuat standar hardware dan software
Meskipun audit internal dilakukan di berbagai macam wilayah akan tetapi harus tetap
menggunakan standar hardware dan software yang sama.
Menggunakan password berdasar peraturan keamanan dengan pembaharuan 70elativ
Karena informasi yang diaudit bersifat 70elative70 maka perlu digunakan suatu password
didalam melindungi seluruh sistem.
Membangun sebuah security awareness
Seluruh anggota dalam tim audit seharusnya telah diinstruksikan pada suatu sumber dokumen
audit yang 70elative70.
Backup, backup and backup
Suatu prosedur yang kuat harus memiliki 100% backup file harian dalam folder file audit internal.
Membuat prosedur pengendalian revisi file
Berdasar penggunaan nama file konvensional atau sistem pengendalian software, konvensional
seharusnya dibuat untuk mengidentifikasi seluruh dokumen dengan sebuah tanggal yang dibuat
dan angka yang direvisi.
Membangun templates dan membuat style protocols
Sekuruh memo, audit program, rencana audit, dan dokumen kunci lain dari audit internal
seharusnya digunakan dengan format yang sama.
Membuat e-mail style rules
Ada begitu banyaknya persyaratan dan kebutuhan untuk email messages, maka sebuah peraturan
mengenai e-mail style perlu dibentuk.
Membuat e-mail attachment rules
Implementasi secara aktif dan memonitor antivirus dan firewall tools
Software yang efektif harus sudah diinstall, diupdate secara berkala dan dimonitor.
Membatasi pengguna
Seorang pengguna sumber e-office haruslah dibatasi (terutama apabila laptop sering dibawa
pulang ke rumah)
Membuat kunci dan peraturan keamanan untuk mesin 70elative
Seluruh mesin laptop auditor harus telah dikonfigurasi dengan kunci yang memadai.
70
Monitor compliance
Seorang anggota dari tim audit internal harus secara 71elative mereview dan memonitor
kepatuhan terhadap prosedur e-office auditor.
Selain itu terdapat suatu praktik terbaik dalam dokumentasi audit internal diantaranya:
Menulis naratif dan deskripsi
Mendeskripsikan seluruh pekerjaan dalam suatu narasi agar pihak luar dapat memahami
ketika mereview dokumen audit
Dokumen konsep audit diobservasi tetapi tidak mendeskripsikan asumsi atau ide
spekulatif.
Mengeneralisasi sistem dokumen yang berhubungan dengan menggunakan hyperlinks
Simplifikasi
Jaga agar dokumentasinya cukup simple tetapi tidak terlalu simple
Tulis dokumentasi terkecil dengan least overlap
Letakkan informasi pada tempat yang paling diapropriasi
Memperlihatkan informasi kunci pada publik dengan menyertakan summary dan brief
description
Menggunakan whiteboard, corkboard, atau internal web site
Menjelaskan apa kepada dokumen
Dokumen dengan sebuah tujuan
Fokus pada kebutuhan pengguna 71elati
Menjelaskan kapan pada dokumen
Iterate, iterate, iterate. Melakukan suatu pendekatan evolusionary untuk memperoleh
feedback pada material
Mencari jalan terbaik untuk mengkomunikasikan, menyetujui suatu transfer dukungan
dokumentasi
Melindungi dokumen saat ini
Mengupdate dokumentasi secara 71elativ tetapi hanya ketika terjadi suatu kesalahan
General
Selalu dipastikan bahwa dokumentasi itu memenuhi persyaratan
Memberi kesempatan kepada para pengguna untuk menjustifikasi dokumentasi
Membangun suatu pengesahan agar suatu dokumentasi menjadi lebih kuat
Menyediakan persiapan latihan pendokumentasian pada seluruh anggota tim audit
internal.
13.6 Rekomendasi Hasil dan Tindakan Koreksi
71
Melaporkan hasil dari kerja audit nya dan mengembangkan rekomendasi yang kuat untuk
tindakan koreksi. Auditor internal harus mempunyai kemampuan kunci untuk merangkum hasil dari kerja
audit, untuk mendiskusikan apa yang salah, serta untuk mengembangkan rekomendasi dalam tindakan
koreksi yang efektif. Setiap auditor internal seharusnya memfikirkan kerja audit mereka dalam hal:
Tujuan audit, Apa yang ditemukan, Mengapa ditemukan kesalahan atau ketidakpatuhan, lalu Apa dapat
mengkoreksi kesalahan tersebut, serta apa rekomendasi dari auditor internal untuk tindakan koreksi.
Auditor internal pada semua level sebaiknya mengembangkan kompetensi berfikir tentang hal-hal
tersebut. Mengkaji ulang bukti dan membuat ketepatan rekomendasi audit dapat menjadi sulit jika audit
menemukan pembatas yang kompleks atau area yang sangat tidak jelas.
13.7 Kemampuan Komunikasi Auditor Internal
Auditor internal pada semua level sebaiknya mengembangkan kemampuan untuk berdiskusi dan
mempresentasikan temuan audit dan rekomendasi audit internal yang terkait. Mereka juga harus mampu
berkomunikasi dengan yang lainnya dalam perusahaan tentang kerja mereka secara tepat dan untuk
membantu yang lainnya dalam memahami nilai dari auditor internal.
72
Bangun hubungan dengan auditee dan dengan pihak lawan. Audit internal harus menentukan
terlebih dahulu apakah pihak lawan akan kooperatif ; apabila tidak, maka pertimbangkan untuk
memperkerjakan manajemen senior sebagai mediator praktikal.
5. Goals and Expectations
Tujuan berbeda dengan ekspektasi, apa yang menjadi ekspektasi dari internal audit ketika sesi ini
selesai.
6. Type of Negotiation
Bagaimana jenis negosiasinya, apakah kompetitif, kooperatif, atau tidak biasa, apakah
berhadapan langsung, melalui fax, menggunakan mediator, atau dengan cara lain.
7. Budget
Setiap negosiasi mengeluarkan biaya. Audit internal akan menghabiskan waktu staff dan
manajemen untuk bertemu dan bernegosiasi, yang mungkin dapat digunakan untuk mengerjakan
pekerjaan audit lainnya .
8. Plan
Kembangkan rencana negosiasi sementara.
Tahap II : Tahap Penawaran
1. Logistics
Tentukan tempat, waktu, dan cara negosiasi. Hal ini penting apabila melibatkan beberapa unit
atau lokasi di dalam prosesnya.
2. Opening Offers
Penawaran terbaik apa yang kita punya, apakah akan memodifikasi rekomendasi atau tidak.
3. Subsequent Offers
Bagaimana kita menyesuaikan rencana negosiasi untuk merespon pergerakan lawan yang tidak
bisa diantisipasi.
4. Tactics
Tentukan taktik yang akan kita gunakan, dan perkirakan taktik apa yang digunakan oleh lawan.
5. Concessions
Tentukan konsesi apa yang akan dibuat, dan bagaimana membuatnya.
6. Resolution
Temukan cara terbaik untuk menyelesaikan masalah. Temukan solusi yang dapat dirundingkan
dan kreatif.
Tahap III : Tahap Penutup
1. Logistics
73
Tentukan cara dan waktu yang tepat untuk menutup pertemuan negosiasi. Apakah pada saat
pertemuan tersebut atau nanti setelah auditor internal menyajikan revisi mereka.
2. Documentation
Siapkan dokumen terperinci yang menggambarkan jalannya pertemuan, dengan penekanan pada
perubahan rencana dan persetujuan kedua belah pihak.
3. Emotional Closure
Dalam menutup pertemuan, penting untuk mengidentifikasi kepentingan dan perubahan dari tiap
pihak. Apabila kita mengabaikan surat tersebut, maka persetujuan tersebut kemungkinan bukan
yang terakhir.
4. Implementation
Meskipun audit internal setuju untuk membuat perubahan pada laporan audit mereka dan auditee
setuju untuk merubah beberapa prakteknya, perjanjian negosiasi akan menjadi kurang berguna
kecuali diimplementasikan dengan tepat.
13. 9 Komitmen untuk Belajar Auditor Internal
Semua auditor internal harus menanamkan komitmen untuk belajar secara konstan dan
berkelanjutan sebagai bentuk kompetensi yang paling utama. Contohnya, di tahun 2008, SEC
mengkonversikan aturan-aturan akuntansi dari GAAP menjadi IFRS (international financial reporting
standards). Walaupun auditor internal tidak perlu memahami secara mendalam atas perubahan aturan
akuntansi ini, namun mereka harus mengetahui dampak-dampak yang mungkin terjadi atas perubahan
tersebut.
13.10 Pentingnya Core Competencies Auditor Internal
Kompetensi-kompetensi yang tersaji pada bab ini sangat penting bagi semua auditor internal.
Ketika topiknya adalah kemampuan berkomunikasi yang bagus atau kemampuan untuk belajar pada
daerah yang kurang dikuasai, hal tersbut bagus untuk dipraktekkan, keakraban yang kuat dan penggunaan
kunci kompetensi audit internal yang didiskusikan disini merupakan elemen yang dibutuhkan bagi setiap
CBOK auditor internal.
74
Chapter 16
DOCUMENTING RESULTS THROUGH PROCESS MODELING AND WORKPAPERS
16.1 Internal Audit Documents Requirement
Dokumentasi internal audit mengacu pada laporan audit diterbitkan, rencana kegiatan, dan bahan
lain yang mendukung laporan, lembar kerja audit, key meeting minute, alat audit dengan bantuan
komputer dan teknik (CAATTs) bahan, dan data lain serta informasi untuk mendukung internal audit.
Tentu saja, fungsi internal audit harus menetapkan dan mengikuti beberapa standar minimum retensi
dokumentasi.
SEC mengharuskan bahwa catatan disimpan untuk tujuh tahun setelah auditor menyimpulkan
audit atau mereview laporan keuangan. Untuk internal audit, periode retensi catatan akan menjadi
minimal tujuh tahun setelah laporan audit dikeluarkan. Sebuah fungsi internal audit harus mengatur untuk
mempertahankan semua catatan penting dari internal audit untuk periode retensi tujuh tahun. Berikut
adalah tiga aspek penting dokumentasi internal audit.
Proses pemodelan
Lembar kerja audit
Dokumen manajemen
Internal auditor kadang memulai proses auditnya dari area baru dimana tidak adanya laporan audit
sebelumnya atau belum pernah dilakukan audit pada bagian tersebut dan mungkin dokumentasi
perusahaan yg minim tentang bagian tersebut. Internal auditor perlu mengamati operasi, laporan
tinjauan dan prosedur, dan mengajukan pertanyaan untuk mengembangkan pemahaman dari
proses baru. Dokumentasi yang dihasilkan penting untuk memahami lingkungan pengendalian
internal dan untuk membuat rekomendasi-konsultasi yang bersangkutan pada saat yang tepat.
Proses pemodelan
Proses pemodelan adalah cara yang membantu auditor internal menavigasi melalui kegiatan :
Dimana kita berada sekarang
Kemana kita harus pergi
Kita berasal darimana
Cara untuk ke tempat tujuan
Proses pemodelan merupakan suatu bentuk peta untuk membantu auditor menavigasi melalui
serangkaian kegiatan yang diamati. Namun, proses pemodelan yang baik adalah jalur yang
menunjukkan bagaimana mendapatkan dari satu titik ke titik lain dengan jalan yang lebih
75
sederhana. Proses pemodelan merupakan alat penting auditor internal baik untuk review dari
proses perusahaan yang ada dan untuk menyarankan daerah untuk perbaikan.
Lembar kerja
Lembar kerja adalah dokumen-dokumen yang menggambarkan kerja internal auditor dan
menyediakan dasar dan pemahaman untuk internal audit. Lembar kerja internal audit juga dapat memiliki
makna hukum. Lembar kerja internal audit adalah catatan pokok pekerjaan tampilan audit dan pada suatu
saat mereka dapat memberikan bukti tentang apa yang terjadi atau tidak terjadi saat pengadutian
berlangsung.
Fungsi utama dari lembar kerja auditor meliputi:
- Dasar perencanaan audit. Lembar kerja audit sebelumnya dari auditor dengan informasi latar belakang
untuk melakukan review saat ini di daerah secara keseluruhan yang sama.
- Rekaman audit yang dilakukan. Lembar kerja menjelaskan tampilan audit saat ini dan juga
memberikan referensi ke sebuah program audit yang dibentuk.
- Penggunaan audit.
- Deskripsi situasi minat khusus. Seperti kebijakan dan prosedur, akurasi, efisiensi, kinerja personil,
atau potensi penghematan biaya.
- Dukungan untuk kesimpulan audit tertentu. Lembar kerja memberikan materi pembuktian yang cukup
yang akan disertakan dalam laporan audit.
- Referensi sumber. Lembar kerja dapat menjawab pertanyaan tambahan yang diajukan oleh
manajemen maupun oleh auditor eksternal.
- Staf penilaian kinerja staf selama audit secara langsung tercermin dalam atau ditunjukkan oleh lembar
kerja.
# Lembar kerja standar
Lembar kerja dirancang terutama untuk mendukung internal audit individu dan dapat digunakan
oleh anggota lain dari fungsi internal audit, termasuk pengelolaan dan jaminan kualitas. Lembar kerja
harus mengikuti serangkaian standar yang konsisten dan dapat berdiri sendiri. Lembar kerja standar audit
internal harus mencakup bidang-bidang:
- Relevansi untuk tujuan audit
- Penyingkatan detail
76
File permanent
File administrasi
File prosedur audit
77
mendapatkan informasi yang mereka butuhkan dengan lebih jelas dan detail. Berikut adalah langkah-
langkah yang dilakukan oleh auditor internal :
Understanding the Process Modeling Hierarchy
Disini internal auditor harus memahami bagaimana satu proses dengan proses yang lain saling
berhubungan. Beberapa proses kunci yang membantu internal auditor untuk berkomunikasi lebih baik
kepada lainnya,
Sistem
Proses
Aktivitas
Pelanggan eksternal
Pelanggan internal
78
4. Deskripsi situasi yang diperhatikan
5. Mendukung kesimpulan audit spesifik
6. Sumber referensi
7. Penilaian staf
8. Koordinasi audit
a. Workpaper standard
Internal auditor harus mencatat informasi relevan untuk mendukung kesimpulan dan hasil
perikatan. Standard kinerja internal audit harus mencakup area-area seperti:
a. Relevansi untuk audit objektif
b. Penyingkatan (condensation) dari detail
c. Kejelasan dari presentasi
d. Kecermatan kertas kerja
e. Tindakan dalam item terbuka
f. Standard bentuknya, yang mencakup :
Preparation of headings
Enterprise
Neatness and legibility
Cross-indexing
b. Workpapers formats
Exhibit 16.5 menunjukkan kertas kerja yang dipersiapkan secara manual dari audit operasional
atas observasi persediaan fisik.
c. Workpaper document organization
Untuk kebanyakan internal audit, kertas kerja dapat dipisahkan dalam beberapa area audit:
1. File permanen
Beberapa data mungkin mencakup :
Keseluruhan chart audit atas unit audit
Chart dari akun dan 79elativ dari kebijakan utama dan prosedur
Laporan keuangan mengenai entitas potensial yang berguna untuk data analitis
Salinan dari laporan audit terakhir, program audit yang digunakan
Informasi tentang audit unit
Informasi logistic untuk membantu auditor selanjutnya
2. File administrative
Workpaper 79elative79nal79e files mungkin tidak dibutuhkan untuk audit kecil.
79
3. File prosedur audit
Listings of completed audit procedures
Completed questionnaries
Description of operations procedures
Review activities
Analysis and schedules pertaining to financial statements
Enterprise documents
Finding points sheet, supervisor notes, or draft of reports
Audit bulk files
d. Workpaper preparation techniques
Dalam mempersiapkan workpapers, melibatkan drafting audit comment dan membuat skedul
untuk mendeskripsikan kerja audit dan mendukung kesimpulannya. Aspek penting adalah meyakinkan
atau memastikan bahwa semua member dari staff internal audit memahami tujuan dan kritikal dari audit
workpapers. Mempersiapkan secara manual maupun menggunakan sistem computer-based, audit
workpaper harus memiliki indexing dan standar notasi yang akan menjadikan review menjadi mudah dan
80elative80nal audit lainnya.
(I) Workpaper indexing and cross-referencing
Cross-references dan notasi membuat auditor atau reviewer mengambil referensi signifikan dan
menelusuri kembali original citation-nya atau sumbernya. Index number pada workpaper, sama
seperti volume dan nomor halaman dalam published book.
(II) Tick Marks
Tick marks merupakan form manual auditor atau notasi menggunakan pensil. Auditor dapat
mengembangkan particular mark untuk mengindikasikan given value dalam skedul keuangan
cross-foots ke other related values dan tick mark lain untuk mengindikasikan pada trial balance.
(III) References to external audit sources
Internal auditor kadang mencatat informasi yang diperoleh dari sumber luar. Penting untuk
mencatat sumber seperti komentar langsung pada workpaper. Auditor butuh referensi hukum dan
regulasi untuk mendukung kerja auditnya.
(IV) Workpaper Rough Notes
Saat interview, internal auditor membuat very rough notes, penulis personal form of shorthand
readable only by the author. Auditor harus menulis atau memasukkan ulang rough notes ini ke
komentar workpaper. Karena ada alasan untuk review lagi, original note sheets harus termasuk
dalam workpaper, terletak di belakang workpaper manual binder atau di bagian file.
80
e. Workpaper Review Processes
Bergantung pada ukuran staf audit dan kepentingan 81elative dari given audit, mungkin ada
multiple review atas workpaper, satu melalui in-charge auditor, dan lainnya melalui senior member dari
manajemen internal audit. Beberapa internal audit function menyiapkan memorandum atau workpaper
review checklist untuk dokumen dan perluasan reviewnya. Poin dari review ini atau pertanyaan may
simply highlight electrical errors, seperti missing cross-references. Pertanyaan ulang harus kembali
diajukan, dan reviewer harus mengambil tanggung jawab untuk memastikan bahwa open questions telah
diatasi. Proses review workpaper memastikan bahwa semua report findings memiliki dukungan melalui
bukti audit sebagai dokumentasi dalam workpaper.
81
menggunakan rule should appaly ke catatan administrative internal audit, dan ditempatkan dalam folder
aman dalam sisten server departemen audit.
16.5 Pentingnya Mendokumentasikan Internal Audit
Dokumentasi yang cukup itu dibutuhkan untuk menampilkan keseluruhan proses internal audit.
Chapter ini menekankan pada pentingnya kertas kerja audit untuk aktivitas internal audit sebaik proses
untu k menampilkan deskripsi dari aktivitas perusahaan. Kemampuan untuk mempersiapkan deskriptif
dan efektivias kertas kerja sebagai kunci dari internal CBOk yang diminta. Dalam hal ini semua auditor
internal dari CA sampai staff audit, harus menyesuaikan diri dengan banyak peralatan TI yang disediakan
untuk mendeskripsikan dan mendokumentasikan proses internal audit.
82
Chapter 17
PELAPORAN HASIL AUDIT INTERNAL
Sebuah laporan audit merupakan dokumen formal di mana internal auditor merangkum
pekerjaannya dengan melaporkan observasi dan rekomendasi. Laporan audit merupakan produk akhir
yang paling penting dari kegiatan audit internal bagi pengguna, baik di dalam dan di luar perusahaan.
Laporan Audit memberikan bukti tentang karakter 83egular83tor83 kegiatan audit internal dan
memungkinkan orang lain untuk mengevaluasi kontribusi ini. Laporan audit yang efektif, harus didukung
oleh audit lapangan kualitas tinggi, seperti dibahas dalam Bab 9, tetapi audit lapangan yang sama dapat
dibatalkan oleh laporan yang ditulis dengan buruk atau tidak siap. Penyusunan laporan yang jelas dan
efektif harus menjadi perhatian utama bagi auditor internal di semua tingkatan, dari CAE untuk
mengaudit anggota tim staf.
Pelaporan audit internal yang bagus adalah lebih dari sekedar laporan persiapan dan penampilan.
Laporan-laporan audit harus mencerminkan filosofi dasar dari pendekatan total audit internal suatu
perusahaan, termasuk tujuan dasar dari review, mendukung strategi dan kebijakan utama, prosedur yang
mencakup pekerjaan audit, dan kinerja 83egular83tor83 dari staf audit. Sementara laporan audit adalah
sarana utama komunikasi, auditor internal akan kurang efektif jika komunikasi mereka dengan
perusahaan terbatas hanya untuk laporan yang dipublikasikan. Komunikasi juga harus dilakukan melalui
wawancara selama penelitian lapangan, menutup pertemuan ketika temuan audit yang pertama kali
disajikan, pertemuan dengan manajemen senior dan komite audit untuk memberitahukan mereka tentang
hasil audit, dan kontak lainnya di seluruh perusahaan. Semua anggota dari perusahaan audit internal harus
memiliki komunikator efektif baik dalam kata-kata lisan dan tulisan. Bab ini membahas tujuan dan gaya
penyajian laporan audit internal, termasuk berbagai format dan metode tersebut menyajikan hasil
pekerjaan audit kepada manajemen dan lainnya di perusahaan. Laporan audit merupakan komponen
utama komunikasi audit internal.
Laporan audit internal memiliki tujuan dasar untuk menggambarkan audit yang direncanakan dan
dijadwalkan dan menyampaikan hasil audit itu. Secara alamiah, laporan audit internal umumnya kritis
dan cenderung untuk menekankan hal-hal seperti mengidentifikasi kelemahan pengendalian internal.
Sementara itu tepat untuk melaporkan bahwa audit internal mereview beberapa daerah dan tidak
menemukan masalah, jika departemen audit atau sejumlah individu secara konsisten tidak menemukan
masalah dalam sebagian besar audit yang dijadwalkan, mungkin perlu meninjau pendekatan penilaian
83
risiko audit internal atau memeriksa kembali aktivitasnya. Apakah dokumen tertulis resmi diedarkan
kepada manajemen tingkat senior dan dewan atau presentasi lisan informal di akhir audit lapangan, semua
laporan internal audit harus selalu memiliki empat tujuan dasar dan komponen, yaitu:
Audit internal harus berusaha untuk membantu manajemen untuk melakukan pekerjaan yang
lebih efektif, memahami bahwa untuk mengidentifikasi pengendalian internal dan merekomendasikan
solusi yang berguna, maka dia harus bekerja sama secara penuh dan menjalin hubungan yang lebih erat
dengan manajemen.
Meskipun laporan audit telah didiskusikan hampir sebagai satu konsep, mereka dapat mengambil
berbagai format yang berbeda dan gaya, mulai dari dokumen berbasis Web untuk laporan hardcopy
kertas. Dalam format apapun, sebuah laporan audit merupakan dokumen laporan resmi yang berisi
84
kepentingan dan rekomendasi audit internal, berikut empat tujuan dibahas sebelumnya. Dalam beberapa
tahun terakhir, manajemen kadang ditempatkan pembatasan atau kendala pada audit internal yang
terbatas dari menyiapkan laporan audit yang efektif. Sebagai contoh, beberapa manajer senior, di masa
lalu dan hari-hari dari dokumen kertas, mungkin telah menyatakan bahwa semua laporan audit harus satu
halaman atau kurang dalam ukuran. Jenis permintaan kadang-kadang terjadi karena fungsi audit internal
menuliskan pada halaman dan halaman temuan laporan audit yang mungkin tampak signifikan kepada
auditor internal tetapi tidak kepada manajemen senior.
Pentingnya pelaporan audit telah berubah setelah Sox. Dalam sidang kongres yang mengarah ke
tindakan, kritik diarahkan pada komite audit yang kadang-kadang hanya menerima laporan diringkas
tetapi tidak menerima tingkat detail mengenai temuan audit. Dengan Sox, anggota komite audit dan
manajemen senior untuk menerima salinan lengkap dari semua laporan audit. Sementara itu adalah hak
mereka untuk meminta laporan diringkas juga, mereka masih bertanggung jawab untuk menerima dan
memahami semua temuan audit yang dilaporkan. Temuan kontrol internal harus jelas diuraikan dalam
laporan audit internal. Bagian ini membahas laporan audit formal diterbitkan serta mekanisme alternatif
untuk pelaporan audit internal.
85
Umumnya meliputi pernyataan tujuan audit yang merupakan informasi singkat atas ruang
lingkup audit secara singkat dan tanggal perkiraan pekerjaan lapangan audit.
Lokasi yang dikunjungi dan waktu audit
Halaman sampul laporan audit harus menyatakan secara jelas kapan pekerjaan lapangan
audit dilaksanakan dan juga menyebutkan lokasi yang dikunjungi.
Prosedur audit yang dilaksanakan
Informasi ini berguna jika audit internal telah melaksanakan beberapa prosedur pengujian
khusus guna menentukan opini. Misalnya internal mungkin menyebutkna penggunaan
sampling statistic.
Opini auditor berdasarkan hasil review
Laporan audit internal harus selalu memberikan penilaian yang adil atas kecukupan
pngendalian secara keseluruhan atau masalah lain dalam area yang diriview.
Laporan audit internal seringkali mengikuti satu dari banyak pendekatan, antara lain jenis
perusahaan, gaya manajemen keseluruhan, dan ketrampilan staf audit internal. Audit internal
ingin mengkomunikasikan apa yang dilakukan, ditemukan, dan yang harus diperbaiki. Elemen
kunci dari laporan audit internal haruslah temuan audit dan rekomendasi.
Pendekatan alternative untuk mengembangkan dan menerbitkan laporan audit meliputi:
86
Beberapa departemen audit internal menerbitkan laporan yang menyebutkan bahwa audit
internal telah merEview beberapa area topic dan umumnya tidak menemukan
pengecualian pengendalian.
Berfokus pada hal yang signifikan
Format laporan audit yang umum, dan biasanya yang terbaik, merupakan laporan yang
berfokus hanya pada hal-hal yang signifikan yang berhubungan secara potensial dan
kelemahan pengendalian internal, kebijakan, pendekatan operasional, peggunaan sumber
daya, kinerja karyawan, dan hasil yang dicapai atau mungkin untuk dicapai. Keuntungan
berfokus pada hal-hal yang signifikan adalah manajer senior bisa mendapatkan informasi
yang dibutuhkannya tanpa melewati rincian yang berlebihan.
Auditor internal diarahkan kepada proyek yang mungkin menemukan exception atau
kelemahan audit internal di beberapa area untuk direview. Exception yang direview seprti halnya
observasi audit internal merupakan subjek temuan audit. Auditor akan menemukan jumlah dan
variasi exeption yang besar di hampir keseluruhan review. Beberapa akan secara relative menjadi
penting dan sedangkan beberapa akan menjadi tidak penting (minor).
Namun, tidak terlalu penting menyantumkan hal minor didalam laporan yang nantinya
diserahkan kepada komite audit dan senior manajemen melalui laporan audit formal kecuali hal
tersebut merepresentasikan trend. Kemudian audit internal perlu mempertimbangkan item-item
melalui temuan yang disimpulkan dan mencakup keseluruhan kondisi.
Dalam menyimpulkan fieldwork audit internal harus meyakinkan dirinya sendiri bahwa
informasi yang cukup untuk mengembangkan temuan audit, dan serta bagaimana tersebut
disajikan telah dimiliki. Setelah itu perlunya diskusi informal dengan 87egul manajemen melalui
presentasi formal laporan audit.
Laporan audit disajikan dengan mengikuti format yang memungkinkan pembacanya
untuk memahami isu audit dengan mudah. Apapun sifat atau temuan audit, pembacanya harus
dapat menangkap temuan audit dan memutuskan dengan cepat apa yang salah dan apa yang perlu
dibenarkan. Temuan audit yang tersusun dengan buruk membuat pembacanya mempertanyakan
apakah masalah yang terjadi dan mengapa harus dipertimbangkan. Sedangkan laporan audit yang
baik harus berisi :
Pernyataan Kondisi. Kalimat pertama dalam laporan temuan harus menyimpulkan hasil dari
review audit internal atas area yang diperhatikan. Hal ini dapat memberikan perbandingan
87
mengenai apakah hal tersebut dan apakah yang seharusnya. Tujuannya adalah untuk member
gambaran kepada perhatian pembacanya. Ex :
“Peralatan produksi telah dijual pada bargain rate dan tidak mengikuti kebijakan disposisi
asset tetap”
“WIP inventory divisi ABC tidak benar dinilai berdasarkan GAAP”
Apakah yang ditemukan?. Temuan harus mendiskusikan antara prosedur dan hasil dari
prosedur tersebut. Bergantung kompleksitasnya, temuan dapat disimpulkan melebihi satu
kalimat atau dapat berupa diskusi ekstensif menjelaskan prosedur audit. Ex :
“Berdasarkan sampel laporan beban employee yang diisi untuk kuarter ke empat 20XX, agen
penyewaan mobil yang telah dipilih oleh perusahaan, tidak digunakan selama 65% laporan
beban direview”.
Kriteria audit internal dalam menyajikan temuan. Temuan audit harus memiliki criteria,
atau pernyataan mengenai apa yang seharusnya digunakan dalam memutuskan pernyataan
kondisi. Dalam mengaudit efektifitas dari beberapa prosedur, mungkin tidak ada target atau
pengukuran yang dipaparkan sebelumnya yang digunakan sebagai indikaator dan standard.
Audit internal harus mempertimbangkan :
o Criteria Of Extremes
Kinerja yang jelas tidak memadai atau yang mudah terlihat, akan relative mudah untuk
diukur. Namun, ketika kinerja bergerak mendekati rata-rata, akan menjadi sulit untuk
diputuskan. Meskipun seringkali terlalu ekstrim atau mengacau, hal tersebut dapat
menyebabkan audit internal menyatakan situasi yang diobservasi “hampr buruk
seperti….”
o Criteria Of Comparable
Perbandingan dapat digunakan antara operasi atau aktivitas yang hampir sama. Namun,
tidak bagus untuk menyatakan secara spesifik bahwa departemen A X% lebih buruk
daripada departemen B, laporan tersebut sebaiknya membandingkan kondisi yang
ditemukan berdasarkan rata-rata atau tipenya di dalam perusahaan.
o Criteria Of Element
Dalam beberapa kasus auditor internal menyatakan dengan tidak tepat criteria kinerja
dengan jangka luas tertentu yang memungkinkan untuk mengevaluasi kondisi yang
dilaporkan. Tipe criteria yang samar ini sebagai contoh menyatakan “seluruh manajer
harus membuat keputusan yang baik”. Yang spesifik.
o Criteria Of Expertise
88
Dalam beberapa situasi, audit internal mungkin menemukan bahwa berguna untuk
mengandalkan ahli lain untuk mengevaluasi aktivitas.
Efek temuan yang dilaporan. Audit internal harus selalu mempertimbangkan seberapa
pentingnya, ktika menentukan apakah suatu item disertakan dalam laporan audit. Oleh karena
itu audit internal harus menimbang materialitas – apabila temuan tidak signifikan, maka tidak
89egular89 temuan sama sekali.
Penyebab atau alasan penyimpangan audit. Mengapa penting bagi manajemen ketika
membaca laporan audit?. Alasan adanya penyimpangan dari ketentuan, standar, atau
kebijakan harus dijelaskan dengan singkat dan sebaik mungkin.
Rekomendasi audit internal. Laporan temuan audit harus berisi rekomendasi sebagai
tindakan perbaikan yang tepat. Kesimpulan temuan audit seperti apa yang harus diselesaikan.
Apabila beberapa fakta yang dilaprkan dalam temuan audit tidak benar, tidak masalah
bagaimana dekatnya dengan kebenarannya, auditee sering kali menghadapi tantangan
kredibilitas keseluruhat laporan audit. Setiap salah saji yang ada dapat membuat laporan audit
dipertanyakan. Rekomendasi tersebut harus mempertimbangkan cost dan benefit atas
berbagai alternative rekomendasi yang ada. Rekomendasi ini juga harus menjadi tindakan
perbaikan yang tepat dan cepat.
89
untuk memperbaiki kekurangan yang dilaporkan, mungkin tidak begitu jelas namun demikian
harus dipertimbangkan sebagai tindakan positif yang dilaporkan.
Laporan keadaan mitigasi. Keadaan mitigasi secara umum terdiri dari factor yang berkaitan
dengan masalah atau kondisi yang telah didiskusikan dalam laporan audit selama manajemen
tidak memiliki atau memiliki pengendalian yang kecil. Semenjak factor ini mengurangi
tanggung jawab manajemen atas suatu kondisi, maka harus dilaporkan sebagai bagian dari
penyebab.
Tanggapan audit sebagai bagian dari laporan audit. Tanggapan audit atas temuan mengandung
informasi yang menyediakan keseimbangan laporan audit. Apabila persetujuan tidak dicapai
atas temuan dan rekomendasi, auditee harus memberikan kesempatan untuk menjelaskan
dasar dari hal yang tidak terjadi.
Meningkatkan kualitas laporan audit tonal. Kecuali yang layak, laporan audit harus
menghindarkan kata-kata yang mendindikasikan bahwa auditee “gagal untuk mencapai”,
“tidak menjalankan” atau “tidak sesuai”. Pernyataan negative seperti “ pengendalian yang
tidak memadai pada pengendalian kas” dapat dirubah dengan menggunakan ide laporan audit
positif dan konstruksi yang tepat seperti “pengendalian kas memerlukan perbaikan”.
Semakin berkembangnya teknologi, hasil audit dapat dilaporkan dalam format yang
beragam. Format laporan audit yang familiar dan sering kali paling bagus untuk menyajikan
pekerjaan audit adalah berbasis text. Beberapa 90egular90tor yang kurang formal dan lebih
ringkas dimana audit internal dapat melaporkan hasil dari pekerjaannya antara lain :
Laporan Lisan. Dalam beberapa situasi, audit internal mungkin ingin untuk melaporkan hasil
dari pekerjaan dan rekomendasinya secara lisan. Gaya pelaporan ini harus berlangsung
setidaknya secara interim, ketika tim audit internal yang bertugas melaporkan hasil dari
pekerjaannya diakhir konferensi penutup fieldwork. Di kasus lain, laporan lisan mungkin
merupakan hasil dari tindakan perbaikan yang diperlukan secara mendadak, dan presentasi
lisan akan menjadi pembuka laporan tertulis.
Memo pelaporan informal atau interim. Dalam situasi dimana mungkin untuk menyarankan
manajemen perkembangan signifikan selama audit, setidaknya sebelum laporan regular
diterbitkan, audit internal mungkin saja perlu untuk menyiapkan laporan tertulis interim.
Laporan ini mengenai masalah signifikan khusus yang memerlukan tindakan perbaikan
dengan segera, atau laporan tersebut bertipe laporan perkembangan.
90
Laporan audt dengan tipe questionnaire. Tipe laporan ini, merupakan tingkasan ineterim yang
berguna bagi laporan audit formal atau melayani sebagai lampiran untuk dokumen laporan
formal. Format ini akan bekerja dengan baik apabila scope review audit sesuai dengan hal-
hal procedural yang cukup spesifik, dan seringkali pada level operasi yang cukup rendah.
Laporan audit deskriptif regular. Dalam banyak tugas audit, pekerjaan tersebut harus
diselesaikan dengan persiapan laporan audit deskriptif regular. Bentuk dan isinya akan
beragamantara tugas individual audit dan departemen audit internal.
Ringkasan dan laporan temuan audit yang sugnifikan. Fungsi audit internal akan menerbitkan
laporan yang meringkas keseluruhan laporan individual yang diterbitkanteuan signifikan, dan
berbagai isinya, secara tahunan .
Informasi dan statistic area yang akan diaudit dapat diperoleh selama survey dan akan disertakan
dalam kertas kerja. Hal ini dilakukan untuk memastikan bahwa informasi yang dibutuhkan telah
diperoleh di awal audit, dan hail ini akan mencegah adanya penundaan dalam proses penulisan laporan
final. Tujuan dan scope dari review, ditentukan ketika memulai audit.
Ketika temuan audit akan dikembangkan dan diselesaikan, mereka dapat dimasukan pada laporan
yang tepat, bersama dengan komentar pendahuluan auditee. Proses pelaporan audit akan dimulai dengan
mengidentifikasi temuan, draft laporan untuk mendiskusikan temuan tersebut dan rekomendasi yang
berkaitan, mendiskusikan isu audit yang telah diidentifikasi dengan manajemen beserta penyajian
presentasi draft laporan, penyelesaian tanggapan manajemen atas yemuan audit, dan publikasi laporan
audit formal yang mencakup seluruh area yang direview.
91
1. Menyajikan cross check akurasi, kelengkapan, dan kualitas pekrjaan audit.
2. Membantu untuk mendorong hubungan partenship dengan 92egul manajemen yang
memiliki semangat kooperatif dan komitmen untuk bekerja dengan solusi yang memadai.
Pengesahan harus dilakukan dalam tahapreview, satu hal yang paling utama yang memperngaruhi
adalah pesentasi draft laporan kepada manajemen audite. Strategi waktu pengiriman draft report
adalah :
At the exit conference. Audit internal secara umum menemukan kesusahan untuk
mengirimkan draft laporan audit yang lengkap pada akhir fieldwork exit conference.
Banyak audit terlalu kompleks dan mungkin terdapat banyak pertanyaan final atau
klarifikasi atau perubahan yang diperlukan untuk menyetujui draft laporan audit dikirim
pada saat exit conference. Sebelum keberangkatan tiem audit field. Tim audit telah
mendiskusikanperhatiannya dengan 92egul manajemen dalam exit conference formal dan
kemudiang menyiapkan draft laporan, disertai komentar tambahan atau klarifikasi yang
mungkin timbul selama konferensi. Hal ini ,erupakan pendekatan yang lebih realistis dari
pada yang sebelumnya. Tekanan dalam menyelesaikan pekerjaan audit dapat
menyebabkan tim audit mengambil jalan pintas sesuai keinginannya untuk menyelesaikan
perikatan ini. Setelah menyelesaikan fieldwork. Pada situasi ini tim audit melaksanakan
exit conferencen
Namun kembali ke perusahaan induk untuk membuat draft audit report selama beberapa
hari atai 7 minggu. Ini akan berjalan sangat baik. Dimana mereka memiliki kesempatan
untuk mereview field dan membuat penyesuaian dengan tepat untuk draf laporan audit,.
Exit atau closing conference harus melibatkan anggota dari tim audit dan 92egul manajemen
yang bertanggung jawab atas area yang direview. Dalam konferensi ini, temuan utama dan
rejomendasi yang diusulkan akan direview, dan persetujuan harus dicapai antara sudit dan
92egul manajemen dan untuk menjamin persetujuan tersebut lebih jauh lagi atas temuan audit
dan rekomendasi. Konferensi penutup ini akan memberikan audit internal lesempatan utama
untuk mengkonfirmasi kekuatan hasil audit dan untuk membuat modifikasi yang dibutuhkan
laporan audit sebagai pembenaran.
92
Setelah laporan audit akhir ini telah diterbitkan, audit internal harus menjadwalkan tindak
lanjut penelaahan untuk memastikan bahwa tindakan yang diperlukan berdasarkan audit itu
sebenarnya diambil. Audit internal harus memainkan hanya terbatas, peran spesifik setelah
laporan audit telah dirilis, seperti membuat sendiri yang tersedia untuk menanggapi pertanyaan-
pertanyaan, dan meninjau kembali situasi pada saat audit dijadwalkan berikutnya di daerah
tersebut. Banyak perusahaan telah mengadopsi tipe menengah pendekatan dimana koordinasi
rekomendasi audit laporan tindak lanjut ditempatkan di kantor lain-biasanya dalam fungsi
pengawas atau beberapa lebih netral administratif layanan grup. Tindakan perbaikan kemudian
diawali dengan garis bertanggung jawab atau manajer staf, tetapi tanggapan dapat dilakukan
terhadap kelompok koordinasi. Jika ada yang tidak semestinya.penundaan dalam berurusan
dengan rekomendasi, kantor koordinasi dapat mengeluarkan tindak lanjut laporan status. Dalam
pendekatan ini, salinan dari tanggapan ini juga dapat diberikan kepada audit internal untuk
informasi.
Audit internal memiliki tanggung jawab untuk menghasilkan laporan audit yang dapat
dibaca, dimengerti,dan persuasif. Tujuannya adalah untuk mengeluarkan laporan bahwa akan
perintah perhatian manajer yang memiliki tanggung jawab untuk berbagai operasional kegiatan
dan untuk mendorong mereka untuk mengambil tindakan koreksi yang tepat. Tujuannya
keduanya adalah untuk laporan audit yang akan membangun rasa hormat terhadap upaya audit
internal. Audit internal menerima hasil akhir dalam pengetahuannya tentang tindakan yang
diambil oleh auditee berdasarkan rekomendasi laporan audit internal. Kombinasi internal audit
keterampilan teknis dan kemampuan untuk berkomunikasi hasilnya untuk orang-orang yang
terbaik akan memastikan penerimaan dan dukungan aktif adalah elemen dari baik pelaporan audit.
Pentingnya bagian menggarisbawahi kerja audit internal kebutuhan untuk memberikan laporan
audit perhatian. Ini berarti bahwa harus CAE aktif terlibat dalam proses laporan audit, dan semua
tingkat staf audit internal harus berpikir dalam hal kebutuhan laporan akhir.
93
Laporan audit internal dan workpapers pembantu dapat mendukung bahan dalam tindakan
litigasi atau bahkan pemerintah yang sah. Suatu perusahaan mungkin diperlukan untuk
menghasilkan catatan kerja internal audit untuk membuktikan, di pengadilan hukum, apa yang
dilakukannya atau tidak lakukan di beberapa daerah. Juga, perintah pengadilan mungkin
mengharuskan perusahaan mengungkapkan catatan-catatan pendukung beberapa masalah.
Catatan tujuh tahun Sox’s retensi aturan mengatakan bahwa perusahaan harus berhati-hati untuk
melestarikan dan mengatur semua pendukung catatan yang meliputi banyak daerah. Laporan
audit internal dan workpapers pendukung catatan penting perusahaan yang memiliki aturan-
aturan retensi rekaman yang sama.
Komunikasi efektif baik secara orang-ke-orang dan dengan lebih besar kelompok, adalah
komponen kunci sukses audit internal. Auditor internal harus memiliki pemahaman yang baik tentang
masalah yang terkait dengan komunikasi efektif dan cara mengatasinya dengan mereka. Situasi terus
timbul dalam internal fungsi audit ketika individu perlu berkomunikasi satu sama lain. Ini termasuk
memberikan instruksi lisan kepada staf auditor, membahas masalah operasional selama pertemuan keluar
audit, konseling bawahan, mewawancarai calon karyawan, atau melakukan review kinerja staf. Semua
situasi ini melibatkan hubungan pribadi yang berbeda tetapi terdiri dari aliran dua arah terus pesan.
Auditor internal harus memahami proses ini untuk mengidentifikasi jenis masalah yang dapat mendistorsi
atau benar-benar mencegah komunikasi yang efektif. Masalah ini mempengaruhi semua langkah dalam
proses komunikasi dan mencakup:
Tidak memberikan pertimbangan yang tepat untuk hubungan kekuatan pesan pengirim dan penerima.
Komunikasi dengan supervisor garis sering berbeda dari yang dengan seorang senior.
Mengabaikan stres emosional sementara oleh baik pengirim atau penerima. Pertemuan keluar audit
sering berubah menjadi sebuah situasi yang penuh dengan konflik dan stres kecuali komunikator
internal audit membutuhkan perawatan untuk mempertimbangkan potensi masalah emosional.
Gagal untuk benar mengevaluasi kapasitas penerima untuk menerima dan memahami pesan. Jika
audit internal bertemu dengan masalah kontrol parah di bidang teknis dalam proses pekerjaannya,
isu-isu tersebut harus dikomunikasikan benar.
Penggunaan kata-kata yang dapat memiliki beberapa arti atau dapat menyampaikan tidak disengaja
makna. Kami telah membahas masalah ini ketika menyiapkan laporan audit, tetapi ini adalah semua
yang lebih penting dalam komunikasi verbal.
94
Tidak semestinya tergesa-gesa dalam transmisi pesan yang melemahkan kejelasan dan atau
kredibilitas. Pesan sering harus dikomunikasikan secara perlahan sehingga semua pihak akan
mengerti.
Persepsi bahwa pengirim keinginan untuk memenuhi kebutuhan pribadi, dengan demikian
menyebabkan emosional resistensi dan blok. Sering kali orang lain melihat auditor internal orang
memiliki agenda pribadi. Lainnya cepat menyadari hal ini, dan komunikasi bisa menjadi tersumbat.
Kegagalan untuk membangun fondasi yang dibutuhkan untuk pesan inti dan terkait buruk waktu.
Keprihatinan audit internal tidak efektif dikomunikasikan ketika mereka hanya dibuang di pangkuan
auditee.
Kurangnya kejelasan atau keyakinan karena keengganan untuk menyebabkan penerima
ketidakpuasan. Sedangkan auditor internal harus membangun sebuah kasus untuk menggambarkan
kekhawatiran meyakinkan, auditor tidak boleh berbasa-basi untuk menghindari menggambarkan
situasi masalah tetapi harus selalu jelas mengkomunikasikan keprihatinan kontrol.
Dampak tindakan nonverbal, seperti nada suara, ekspresi wajah, dan cara komunikasi. Sebagai
contoh, di beberapa bagian dunia, bersila dengan telapak kaki menunjuk ke pendengar dapat dilihat
sebagai penghinaan ekstrim.
Tidak memberikan pertimbangan kepada persepsi dan perasaan terkait dengan penerima. Auditor
harus berusaha untuk memahami bagaimana pesan akan diterima dan diterjemahkan oleh penerima
mereka.
Kedua belah pihak dalam komunikasi-terutama utama penggerak-belajar dari pertanyaan dan
komentar yang dibuat oleh penerima dalam menanggapi serangkaian pesan. Ini disebut feedback. Bagian
dari komunikasi dua arah yang efektif adalah untuk mendorong umpan balik sehingga auditor internal
memiliki dasar yang terbaik untuk menentukan apakah manajerial tujuan tercapai. Pendekatan yang
berbeda mungkin diperlukan untuk mendorong dan memanfaatkan umpan balik yang baik. Sebuah
komponen mendengarkan terkait-adalah penting dalam rangka pemanfaatan umpan balik yang lebih baik
dan untuk menunjukkan minat pada orang lain pandangan. Jika tidak, hasil seperti pesan bisa untuk
menciptakan emosional respon yang secara signifikan penerimaan blok penerima dan pemahaman
tentang dimaksudkan pengirim pesan.
Berbagai kebutuhan orang berhubungan alternatif untuk kompetisi, konflik, dan kerjasama.
Secara tradisional, konflik telah dilihat sebagai merusak dan tidak diinginkan. Namun, bila dikelola
dengan benar, konflik dapat berguna dalam mencapai organisasi kesejahteraan. Auditor internal perlu
belajar untuk memanfaatkan konflik ke titik di mana itu konstruktif tetapi untuk mengontrol ketika itu
mengancam untuk keluar dari tangan. Internal tanggung jawab audit tak terhindarkan menghasilkan
95
situasi yang menciptakan kompetisi dan potensi konflik. Manajemen kemudian memiliki tantangan untuk
mengeksploitasi manfaat kompetisi dan konflik yang sehat tapi untuk mengontrol proses untuk
menghindari ekses. Selama review mereka, auditor sering menemukan diri mereka dalam konflik dengan
berbagai elemen dari perusahaan. Auditor dapat menyebabkan auditee kehilangan tingkat berdiri
kompetitif dalam usaha mereka, dan auditee mungkin tidak setuju dengan internal audit hanya pada dasar
itu. Dalam jalannya review, konflik sering terjadi, dan auditor efektif harus menggunakan konflik ini
untuk berkomunikasi dengan manajemen dan meyakinkan untuk mengambil tepat tindakan. Namun,
auditor internal yang efektif perlu memahami bagaimana mengendalikan konflik.
Dalam perusahaan yang khas, ada kebutuhan terus benar keseimbangan stabilitas dan perubahan.
Manajemen mencari stabilitas dengan mengembangkan kebijakan dan prosedur dimana operasi standar
untuk meningkatkan kontrol internal dan untuk memastikan penanganan terbaik berulang sejenis
peristiwa. Namun, kondisi yang berubah panggilan kebijakan diubah dan prosedur. Mencari
keseimbangan yang tepat antara stabilitas dan perubahan diperlukan adalah sulit, karena faktor yang
terlibat biasanya sulit untuk menganalisis dan mengukur. Salah satu kendala untuk mengubah adalah
bahwa perusahaan sering membuat kebijakan dan prosedur, dan kebijakan tersebut cenderung menjadi
bias yang menguntungkan mereka, sehingga membuat mereka tidak menyadari dan tidak responsif
terhadap kebutuhan untuk berubah. Audit internal merasa kesulitan ketika merekomendasikan kebijakan
atau perubahan prosedural melalui audit laporan. Selain itu, orang biasanya tidak ingin menerima
perubahan bahkan ketika kebutuhan untuk itu cukup jelas. Pada tingkat tertinggi, perlunya perubahan
mungkin melibatkan strategi baru, bisnis baru usaha, perubahan produk, atau kebijakan pendukung baru.
Perubahan terkait mungkin melibatkan struktur organisasi baru, relokasi tanaman, produksi baru proses,
atau perubahan pada orang, tapi auditor internal sering tidak membuat rekomendasi untuk perubahan
pada tingkat itu.
Ketika membuat rekomendasi mereka, auditor internal harus memahami bagaimana perusahaan
akan menghadapi perubahan. Bagaimana audit internal mencapai diperlukan perubahan dengan cara yang
terbaik akan melayani kesejahteraan yang lebih tinggi tingkat perusahaan? Dalam semua kasus, sifat dan
ruang lingkup tindakan yang diperlukan tergantung pada pentingnya tertentu direkomendasikan berubah.
Karena individu menempatkan prioritas tinggi pada mereka kebebasan bertindak, pertimbangan manusia
yang sangat penting dalam desain dan pelaksanaan kontrol ini. Karena semua manajer bertanggung jawab
untuk internal kontrol dan pada saat yang sama tunduk kepada mereka, dampak yang direkomendasikan
kontrol perbaikan pada orang harus dipertimbangkan hati-hati. Mungkin tidak dalam tahap proses
manajemen adalah pemahaman dan pertimbangan orang begitu kritis.
96
17.5 Laporan Audit dan Memahami Masyarakat di Audit Internal
Diskusi ini tentang membuat laporan audit internal yang efektif berfokus pada kepentingan semua
auditor internal sehubungan dengan hubungan mereka dengan audit komite, manajemen senior, dan satu
sama lain. Sementara semua ini adalah kepentingan untuk auditor internal sebagai bagian dari kajian
mereka dan analisis pengendalian internal, juga harus menarik perhatian para CAE dan komite audit.
Beberapa unik dan masalah khusus menghadapi auditor internal dalam kegiatan mereka, termasuk
gambar masalah, karena auditor sering dianggap sebagai fokus berlebihan pada rinci kepatuhan atau
mengendalikan masalah dan dipandang oleh banyak orang sebagai ancaman. Seperti telah dibahas dalam
bab-bab sebelumnya, gambar ini mungkin telah diperoleh karena cara di mana auditor internal pernah
digunakan dalam perusahaan. Sampai batas tertentu, gambar juga dihasilkan karena beberapa hari ini
auditor internal tidak melakukan cukup melalui pekerjaan audit mereka dan cara untuk membangun
hubungan pribadi yang lebih baik gambar.
Sekarang auditor internal menghadapi beberapa masalah serius untuk merubah gambar ini.
Auditor Internal dibebankan dengan tanggung jawab pelindung tertentu yang cenderung membuat lain
dalam perusahaan melihat mereka sebagai antagonis atau petugas polisi. Internal audit peran total harus
pergi jauh melampaui peran sempit memberikan pelayanan pelindung. Sebaliknya, auditor internal harus
peduli dengan kesejahteraan total perusahaan di semua tingkat dan sehubungan dengan aktivitasnya.
Dalam semua, aspek komunikasi dan hubungan dengan orang-orang terus tantangan yang melibatkan
target untuk audit internal yang selalu bergerak maju. Keberhasilan audit internal dalam pertemuan
tantangan yang menyediakan salah satu peluang terbesar untuk melayani perusahaan dan untuk mencapai
kesejahteraan maksimum.
97
CHAPTER 23
BOARD AUDIT COMMITTEE COMMUNICATIONS
Bab lain telah berbicara tentang bagaimana mengelola banyak proses audit internal atau
bagaimana untuk meningkatkan prosedur audit internal. Internal audit melaporkan kepada komite audit,
yang menyetujui kegiatan secara keseluruhan, perencanaan dan review hasil audit internal. Namun,
hubungan di sini adalah sedikit berbeda dari seorang supervisor. Komite Audit menjadi jauh lebih aktif
dalam pengawasan kegiatan audit internal sejak peluncuran Sarbanes-Oxley (Sox), tetapi biasanya
komite tidak secara fisik hadir sehari-hari. Audit chief executive (CAE) audit internal, sering menjadi
kontak utama dengan komite audit dan harus mendidik dan memberikan saran komite pada isu-isu audit
internal. Banyak komite audit memahami masalah pelaporan keuangan yang terkait dengan auditor
eksternal mereka tapi kadang-kadang melihat audit internal sebagai sumber yang tidak terpecaya.
Bab ini membahas tentang peranan dan tanggung jawab komite audit untuk audit internal. Kami
membahas, peran dalam menyetujui audit charter, menunjuk CAE, menyetujui rencana audit, dan
mereview hasil audit internal. Bab ini juga membahas jenis pelaporan bahwa audit internal harus
menyediakan komite audit untuk menyajikan hasil kerja mereka dan untuk menyoroti isu-isu yang
mungkin memerlukan tindakan lebih lanjut. Sox mengamanatkan tanggung jawab komite audit lainnya,
seperti peran dalam mengelola program pelanggaran whistleblower keuangan.
Di sini kita membahas bagaimana audit internal dapat membantu komite audit dalam inisiatif
tersebut. Komite audit memiliki tanggung jawab untuk mengatur arah keseluruhan untuk audit internal.
Sementara banyak anggota audit internal sering tidak mungkin memiliki kontak sehari-hari banyak
dengan anggota komite audit, semua orang di sana harus menyadari bahwa komite audit adalah sumber
terakhir untuk melaporkan hal yang memerlukan perhatian yang tidak biasa dan untuk mencari resolusi.
Semua auditor internal harus memiliki tubuh yang umum dari pengetahuan (CBOK) pemahaman tingkat
tinggi peran dan tanggung jawab komite audit di hari ini, perusahaan.
98
seluruh forum. Sebagaimana dibahas dalam Bab 4, salah satu anggota komite audit harus ditunjuk sebagai
ahli keuangan peraturan Sox. Dalam rangka memenuhi tanggung jawabnya kepada jajaran direksi,
kepada pemegang saham, dan untuk masyarakat, komite audit perlu untuk memulai dan mengelola fungsi
audit internal yang harus menjadi set independen dari mata dan telinga dalam perusahaan, memberikan
penilaian pengendalian internal dan hal-hal lain.
Komentar dalam bab ini didasarkan pada struktur perusahaan seperti satu dengan SEC.
Perusahaan non-publik lainnya akan mendapatkan keuntungan dari sebuah struktur komite audit juga.
Sebagai contoh, banyak yang non-profit atau perusahaan swasta yang cukup besar untuk memiliki papan
formal direksi dan fungsi audit internal. Meskipun tidak diamanatkan untuk melakukannya oleh Sox dan
aturan-aturan SEC, organisasi tersebut akan mendapatkan keuntungan dari komite audit hanya dewan
direktur independen. Auditor internal di perusahaan ini akan menguntungkan kedua fungsi audit internal
dan manajemen perusahaan secara keseluruhan dengan menyarankan jenis pendekatan.
Sedangkan auditor eksternal memiliki tanggung jawab utama untuk dewan suatu perusahaan
direktur untuk membuktikan keakuratan dan kewajaran laporan keuangan, audit internal memiliki peran
lebih besar dalam menilai pengendalian internal atas keandalan pelaporan keuangan, efektivitas dan
efisiensi operasi, dan perusahaan itu kepatuhan terhadap hukum dan peraturan yang berlaku. Dewan
direksi Perusahaan memiliki komite audit formal untuk beberapa waktu, dan audit internal selalu
memiliki hubungan pelaporan jangka panjang kepada dewan komite audit direksi. Namun, banyak yang
telah berubah sejak Sox pada pertengahan 2002.
Pada tahun pertama abad ini, masalah utama yang berevolusi dari runtuhnya Enron dan skandal
keuangan yang terkait adalah fakta bahwa komite audit tidak melakukan evaluasi yang cukup pada tata
kelola perusahaan independen. Sebagai contoh, pada tahun 1999 Blue Ribbon Komite Meningkatkan
Efektivitas Komite Audit Perusahaan dibentuk oleh NYSE, SEC, American Institut Akuntan Publik
(AICPA), dan lain-lain. Ia mengeluarkan serangkaian rekomendasi pada peningkatan kemandirian,
operasi, dan efektivitas komite audit. Bursa efek kemudian diadopsi standar baru direktur komite audit
independen sebagai daftar persyaratan untuk dilakukan secara bertahap selama 18 bulan berikutnya, dan
Audit Dewan Standar AICPA menaikkan standar untuk auditor eksternal sehubungan dengan komite
audit. Kegagalan keuangan berikutnya Enron dan lain-lain menunjukkan inisiatif ini tidak cukup.
Hasilnya adalah kerja legislatif yang menyebabkan Sox.
Hari ini, karena perjalanan Sox, komite audit telah memperluas tanggung jawab dan audit internal
memiliki tanggung jawab yang lebih besar untuk melayani terbaik komite audit. Walaupun komite audit
biasanya memiliki kontak teratur terutama dengan CAE, semua auditor internal harus memiliki
pemahaman tentang hubungan ini sangat penting. Kami membahas tanggung jawab komite audit tinggi
99
dan bagaimana audit internal yang lebih baik dapat bekerja dengan komite audit sesuai dengan peraturan
Sox.
100
Identifikasi, penilaian, dan pengelolaan risiko keuangan dan ketidakpastian
Terus menerus memperbaiki sistem keuangan
Integritas laporan keuangan dan pengungkapan keuangan
Kepatuhan terhadap persyaratan hukum dan peraturan
Kualifikasi, kemandirian, dan kinerja auditor independen di luar
Kemampuan, sumber daya, dan kinerja dari departemen audit internal
Penuh dan terbuka komunikasi dengan dan antara akuntan independen, manajemen, auditor
internal, konsultan, karyawan, komite audit
Komite audit diperlukan sebelum jajaran direksi keluar dan mendapatkan otorisasi, melalui
dokumen piagam, untuk kegiatan komite audit dewan hanya sebagai CAE, mewakili fungsi audit internal
perusahaan itu, secara teratur pergi sebelum dewan komite audit. Sementara beberapa mungkin terlihat
pada kebutuhan piagam komite audit sebagai halaman tambahan untuk menambahkan bulk ke pernyataan
proxy sudah tebal, itu adalah komitmen formal oleh komite audit dewan untuk memastikan integritas
laporan keuangan dan mengawasi fungsi audit internal dan eksternal. Tidak ada format yang diperlukan
tunggal atau isi dokumen ini diamanatkan untuk piagam, namun NYSE telah menerbitkan sebuah piagam
model yang telah diadopsi oleh banyak perusahaan publik saat ini. Format bervariasi dari satu perusahaan
ke yang lain, tapi audit charter komite umumnya mencakup:
1. Tujuan dan kekuasaan komite audit
2. Komposisi komite audit
3. Jadwal pertemuan
4. Komite audit prosedur
5. Komite audit kegiatan utama
a. Tata kelola perusahaan
b. Pelaporan Publik
c. Akuntan independen
d. Audit dan akuntansi
e. Kegiatan Lainnya
6. Discretionary kegiatan
a. Akuntan independen
b. Audit internal
c. Akuntansi
d. Kontrol dan sistem
e. Pelaporan Publik
f. Kepatuhan tanggung jawab pengawasan
101
g. Penilaian risiko
h. Tanggung jawab pengawasan keuangan
i. imbalan kerja rencana investasi tanggung jawab fidusia
7. Komite audit keterbatasan
Banyak komite audit charter berisi deskripsi dari kategori yang tercantum. Beberapa tampaknya
telah dikembangkan oleh perusahaan penasehat hukum dengan bahasa untuk menutupi setiap kontingensi
sehingga lebih jelas dan ringkas. Tidak setiap perusahaan seperti Microsoft dalam hal ukuran dan sumber
daya, tetapi semua perusahaan dengan pendaftaran SEC harus sesuai dengan aturan Sox. Entitas yang
lebih kecil tidak akan memiliki sumber daya atau perlu merilis piagam komite audit berbasis Web. Tapi
mereka tetap harus memiliki komite audit direktur independen, sebagaimana diamanatkan oleh Sox, serta
piagam komite audit. Ini adalah jenis dokumen resolusi dewan direksi yang akan menjadi bagian dari
arsip perusahaan.
Apakah lebih besar atau kecil, perusahaan masih harus memiliki kontrol internal yang efektif dan fungsi
audit internal. Ini terutama penting saat ini, sebagai sumber daya yang terbatas audit internal tidak bisa
lagi mengandalkan auditor eksternal untuk melakukan tugas-tugas mereka mungkin telah dilakukan di
masa lalu. CAE untuk itu perusahaan kecil harus meninjau ulang bahan-bahan yang dipublikasikan oleh
IIA, AICPA, atau Sistem Informasi Audit dan Control Association, dan bekerja dengan auditor internal
dari perusahaan-perusahaan kecil lain dalam masyarakat untuk mengembangkan ide-ide dan pendekatan.
102
Keanggotaan
Keanggotaan Komite terdiri dari setidaknya tiga direktur, yang semuanya harus memenuhi persyaratan
independensi yang dibentuk oleh Dewan dan hukum yang berlaku, peraturan, dan persyaratan daftar.
Setiap anggota dalam penilaian Dewan Direksi memiliki kemampuan untuk membaca dan memahami
laporan keuangan yang mendasar dan dinyatakan memenuhi kecanggihan keuangan standar yang
ditetapkan oleh persyaratan dari Pasar Bursa NASDAQ, LLC. Setidaknya satu anggota Komite harus
dalam penilaian Dewan akan sebuah “komite audit ahli keuangan” seperti yang didefinisikan oleh aturan
dan peraturan Komisi Sekuritas dan Bursa. Dewan menunjuk anggota Komite dan ketua. Dewan dapat
menghapus setiap anggota dari Komite setiap saat dengan atau tanpa sebab.
Secara umum, tidak ada anggota Komite dapat melayani lebih dari tiga komite audit perusahaan publik
(termasuk Komite Audit Perseroan) pada waktu yang sama. Untuk tujuan ini, layanan pada komite audit
dan secara substansial anak perusahaan yang dimiliki dianggap sebagai layana pada komite audit tunggal.
Operasi
Komite bertemu sedikitnya enam kali dalam setahun. Pertemuan tambahan dapat terjadi sebagai Komite
atau kursi yang dianggap dianjurkan. Panitia akan menyebabkan disimpan memadai
risalah, dan akan melaporkan tindakan dan kegiatan pada triwulan berikutnya rapat Dewan. Anggota
Komite akan dilengkapi dengan salinan setiap menit pertemuan dan setiap tindakan yang diambil dengan
persetujuan bulat. Komite ini diatur oleh aturan yang sama tentang pertemuan (termasuk rapat melalui
telepon konferensi atau mirip peralatan komunikasi), tindakan tanpa rapat, pemberitahuan, surat
pernyataan pemberitahuan, dan kuorum dan persyaratan suara seperti yang berlaku kepada Dewan.
Komite ini berwenang dan diberdayakan untuk mengadopsi aturan prosedurnya sendiri tidak konsisten
dengan (a) ketentuan Piagam ini, (b) ada ketentuan dalam Anggaran Rumah Tangga Perusahaan, atau (c)
undang-undang negara bagian Washington.
Komunikasi
Auditor independen yang melapor langsung kepada Komite. Komite ini diharapkan memelihara
komunikasi bebas dan terbuka dengan auditor independen, auditor internal, dan manajemen. Komunikasi
ini akan mencakup sesi periodik eksekutif swasta dengan masing-masing pihak.
Pendidikan
Perusahaan bertanggung jawab untuk memberikan anggota baru dengan orientasi yang sesuai briefing
dan kesempatan pendidikan, dan Komite penuh dengan sumber daya pendidikan terkait dengan prinsip
103
akuntansi dan prosedur, topik akuntansi saat ini penting berkaitan dengan Perusahaan, dan hal-hal lain
yang mungkin diminta oleh Komite. Perusahaan akan membantu Komite dalam memelihara melek
finansial sesuai.
Kewenangan
Panitia akan memiliki sumber daya dan wewenang yang diperlukan untuk tugas debit dan
tanggung jawab. Komite memiliki wewenang tunggal untuk mempertahankan dan mengakhiri nasihat
luar atau ahli lain atau konsultan, yang dianggap tepat, termasuk otoritas tunggal untuk menyetujui
perusahaan ‘biaya dan persyaratan retensi lainnya. Perusahaan akan memberikan kepada Komite dengan
pendanaan yang tepat, sebagai Komite menentukan, untuk pembayaran kompensasi kepada auditor
independen Perseroan, di luar pengacara, dan penasehat lainnya yang dianggap biaya yang sesuai, dan
administrasi dari Komite yang diperlukan atau sesuai
dalam melaksanakan tugasnya. Dalam melaksanakan peran pengawasan, Komite diberdayakan untuk
menyelidiki setiap masalah yang perlu mendapat perhatian. Panitia akan memiliki akses ke
Perusahaan buku, catatan, fasilitas, dan personil. Setiap komunikasi antara Komite dan penasehat hukum
dalam rangka mendapatkan nasihat hukum akan dipertimbangkan komunikasi istimewa Perusahaan, dan
Komite akan mengambil semua langkah yang diperlukan untuk melestarikan sifat istimewa orang-orang
komunikasi. Komite dapat membentuk dan mendelegasikan wewenang untuk subkomite dan dapat
mendelegasikan kewenangan untuk satu atau lebih anggota yang ditunjuk komite.
Tanggung Jawab
Tanggung jawab khusus Komite dalam melaksanakan peran pengawasan yang dimaksud dalam
Komite Audit Tanggung Jawab Kalender. Kalender akan Tanggung Jawab diperbaharui setiap tahun
diperlukan untuk mencerminkan perubahan dalam persyaratan peraturan, berwibawa bimbingan, dan
praktek pengawasan berkembang. Yang paling baru-baru ini diperbarui Tanggung Jawab Kalender akan
dianggap sebagai addendum Piagam ini. Komite mengandalkan keahlian dan pengetahuan manajemen,
auditor internal, dan auditor independen dalam melaksanakan tanggung jawab pengawasannya.
Manajemen Perusahaan bertanggung jawab untuk menentukan laporan keuangan Perseroan adalah
lengkap, akurat, dan sesuai dengan prinsip akuntansi yang berlaku umum dan membangun memuaskan
pengendalian internal atas pelaporan keuangan. Auditor independen bertanggung jawab untuk mengaudit
laporan keuangan Perusahaan dan efektivitas Perusahaan pengendalian internal atas pelaporan keuangan.
Ini bukan tugas Komite untuk merencanakan atau melakukan audit, untuk menentukan bahwa laporan
keuangan secara lengkap dan akurat dan dalam sesuai dengan prinsip akuntansi yang berlaku umum,
104
untuk melakukan investigasi, atau memastikan kepatuhan terhadap hukum dan peraturan atau standar
Perusahaan bisnis perilaku, kode etik, kebijakan internal, prosedur, dan kontrol.
Sebuah kritik utama komite audit pada pra-Sox pada hari-hari setelah jatuhnya Enron bahwa
banyak anggota dewan yang menjabat sebagai komite audit tampaknya tidak memahami keuangan dan
masalah pengendalian internal. Orang-orang terpilih untuk dewan komite audit karena hubungan mereka
dengan senior, manajemen bisnis atau profesional latar belakang tapi mereka sering tidak memahami
kontrol keuangan atau internal yang kompleks isu seputar banyak perusahaan. Sox sekarang
mengharuskan bahwa setidaknya salah satu dari audit Komite direktur independen harus apa yang disebut
“ahli keuangan” dengan beberapa persyaratan yang cukup spesifik untuk peran itu, seperti diuraikan
dalam Bab 4 tinjauan Sox. Ini anggota dewan pakar keuangan bisa sangat baik menjadi terbaik atau
terdekat audit audit internal sekutu komite dan mungkin sangat baik menjadi titik awal untuk CAE untuk
mengikat erat audit internal untuk komite audit dewan. Hari ini khas audit anggota komite dan tentunya
para pakar keuangan tentu dalam yang baru dan menantang posisi dengan mandat hukum dan banyak
tekanan. Sox telah menyebabkan banyak perubahan tata kelola perusahaan, dewan direksi, dan komite
audit. Dalam banyak situasi, audit CAE dan internal mungkin thread unik dari kesinambungan tata kelola
perusahaan, dan audit internal dapat membantu komite audit di era baru ini melalui pendekatan tiga
langkah:
Langkah 1. Melalui laporan dan presentasi, memberikan ringkasan rinci arus audit internal proses untuk
penilaian risiko, perencanaan dan melakukan audit, dan pelaporan hasil melalui laporan audit.
Langkah 2. Bekerja dengan sumber daya manusia dan sumber daya lainnya, rencana ini kepada komite
audit untuk membantu meluncurkan etika Sox yang diperlukan dan program whistleblower seperti
dibahas dalam Bab 24.
Langkah 3. Mengembangkan rencana rinci untuk meninjau dan menilai pengendalian internal dalam
perusahaan. Ini adalah komponen kunci dari Sox, Bagian 404 pengendalian internal
penilaian persyaratan, seperti dibahas dalam Bab 4.
Langkah pertama di sini adalah bahwa audit internal harus melakukan upaya terkonsentrasi untuk
menjelaskan proses dan prosedur untuk komite audit, dewan secara keseluruhan, dan senior manajemen
dengan penekanan pada kebutuhan internal audit Sox. Setelah presentasi ini papan diluncurkan, harus
menjadi bagian dari tahunan proses audit perencanaan internal dengan perubahan yang sedang
105
berlangsung dilaporkan. Namun demikian, bahkan sebelum meluncurkan setiap penyajian tersebut, audit
internal harus melalui sendiri proses dan melakukan apa yang mungkin disebut pemeriksaan kesehatan
untuk menilai saat ini internal praktek audit. Pemeriksaan ini mungkin menunjuk ke daerah-daerah di
mana ada ruang yang sedang berlangsung untuk audit internal perbaikan. Bukti 23.3 adalah audit
kesehatan penilaian internal check survei internal yang dapat diperluas atau diubah tergantung pada
kondisi saat ini. Idenya di sini adalah bahwa audit internal harus pergi melalui tingkat tinggi organisasi
kesehatan penilaian diri, bertanya sendiri bagaimana ia lakukan di saat ini dan apa yang harus dilakukan
untuk meningkatkan, dan kemudian membuat perbaikan yang diperlukan. Ini juga di sepanjang garis dari
penilaian kontrol-diri, seperti dibahas dalam Bab 11.
Setelah audit internal melalui latihan seperti koreksi diri, audit proses dan kegiatan yang sedang
berlangsung harus disajikan kepada komite audit dan dewan secara keseluruhan dan manajemen.
Tujuannya adalah untuk memastikan bahwa semua pihak menyadari proses audit internal dan isu-isu
yang sedang berlangsung. Informasi tersebut harus disampaikan kepada anggota kunci manajemen
terlebih dahulu sebelum presentasi komite audit untuk memastikan pesan bahwa audit internal akan
dipahami dengan baik dan konsisten dengan inisiatif manajemen lainnya. Tergantung pada perusahaan
dan sejarah masa lalu, audit internal dapat menerima terlalu sedikit atau bahkan kredit terlalu banyak
untuk perannya dalam tata kelola perusahaan proses.
Dewan komisaris komite audit mempunyai satu tanggung jawab primer untuk fungsi audit
internal suatu perusahaan. Sesuai Sox, konsep ini lebih dari sekedar teori; audit internal melaporkan
kepada komite audit “secara tertulis” tetapi secara efektif dilaporkan kepada CFO ( chief financial officer)
atau beberapa petugas korporat senior.
Fungsi audit internal modern saat ini harus mempunyai suatu piagam, yang secara aktif
berhubungan dengan komite audit perusahaan. Piagam ini seringnya sangat
spesifik mengenai hubungan dengan audit internal dan secara tipikal memerlukan audit
komite ke:
Review sumber-sumber daya, rencana, aktivitas, penempatan pegawai, dan struktur organisasi
audit internal. Area ini di diskusikan dalam Chapters 12 dan 13.
Review pertemuan, kinerja, dan penggantian CAE.
Review semua audit dan laporan yang disiapkan oleh audit internal bersama-sama dengan respon
manajemen. Laporan audit dan komunikasi di diskusikan dalam Chapter 17.
106
Review dengan manajemen, CAE, dan akuntan independen ketercukupan dari pelaporan
keuangan dan sistem pengawasan intern. Review harus meliputi lingkup dan hasil program audit
internal serta kooperasi gangguan atau keterbatasan, bila ada, dikenakan oleh manajemen
terhadap perilaku program audit internal.
Poin ini adalah bagian dari hubungan antara audit internal dan komite auditnya untuk sekali
waktu, tetapi piagam komite audit diterbitkan dalam susunan yang formal. CAE harus bekerja berdekatan
dengan komite audit untuk memastikan hubungan komunikasi yang efektif sudah berlangsung, seperti
yang di diskusikan di poin ketiga. Beberapa departemen audit internal telah mengatur kebiasaan,
kelebihan waktu, dari penyediaan komite audit hanya dengan sebuah ringkasan dari audit internal
penemuan laporan atau baru saja menerbitkan laporan pada audit internal yang telah memutuskan
menemukan laporan audit yang signifikan. Sox meletakkan ini dalam suatu perspektif baru. Audit
internal seharusnya tidak hanya mengirimkan komite audit sesuatu yang sepertinya diperlukan untuk
dilihat.Mandat Sox dimana audit internal harus menyediakan komite audit dengan semua laporan audit
dan semua respon manajemen yang mendukung. Bahkan ketika audit internal membangitkan sejumlah
besar laporan audit, seperti untuk perusahaan ritel dengan audit tentang banyaknya unit lebih kecil yang
di simpan yang sering mempunyai sedikit penemuan signifikan, komite audit harus menerima informasi
yang rinci atas semua performa audit. Laporan Ringkasan bisa disediakan, tetapi laporan lengkap untuk
semua audit harus disediakan juga.
(a) Pertemuan Chief Audit Executive
Tipikal pelaporan CAE secara 107egular107tor107ve kepada manajemen perusahaan, tetapi
komite audit bertanggungjawab untuk perekrutan dan pembubaran audit internal ekselutif ini. Dewan
Komite Kompensasi bisa saja terlibat saat CAE dirancang sebagai pegawai dari perusahaan. Objektivitas
disini bukan untuk menolak hak manajemen perusahaan menyebutkan orang yang akan mengelola
departemen audit internal, yang melayani kebutuhan yang beragam dari manajemen perusahaan dan
komite audit. Keikutsertaan komite audit untuk memastikan independensi dari fungsi audit internal ketika
ada suatu kebutuhan berbicara mengenai pengidentifikasian isu dalam review dan penilaian control
internal dan aktivitas lainnya dari suatu perusahaan.
Keikutsertaan 107egula komite audit dalam pemilihan CAE bisa mengambil/menangani sejumlah
formulir tetapi secara tipikal mencakup review dari usul direktur yang diikuti dengan wawancara formal.
Manajemen Perusahaan—seringnya terutama
CFO—secara tipikal berkonsultasi dengan dewan komite audit mengenai kandidat potensial
CAE, mempersilahkan waktu untuk komite audit mereview dan memberikan komentar, serta
107
kadang-kadang mewawancarai, sebelum perubahan apapun dibuat. Di banyak contoh, perusahaan akan
berhadapan dengan kebutuhan untuk menyebut satu CAE baru karena orang yang sudah ada yang
berhenti atau dipromosikan. Manajemen dapat menyarankan promosi seseorang dari dalam perusahaan
atau dapat merekrut orang luar, tetapi komite audit akan mempunyai keputusan terakhir. Perjanjian
terhadap adekuasi dari kualifikasi untuk melayani kebutuhan dari manajemen dan dewan komisaris
adalah kondisi penting dari satu hubungan efektif yang sedang berjalan antara manajemen senior dan
komite audit.
Komite audit biasanya tidak terlibat dalam berbagai hal 108egular108tor108ve sehari-hari
mengenai CAE dan keseluruhan fungsi audit internal tetapi harus memastikan berjalannya kualitas fungsi
audit internal. Sebagai contoh, pejabat CAE harus melanjutkan untuk mempunyai peluang promosi atau
untuk mendapatkan tanggung-jawab lain sebagai bagian dari satu program pengembangan manajemen.
Dalam contoh lain, manajemen senior dapat menyatakan perasaan yang kuat bahwa CAE harus ditransfer
atau diakhiri oleh karena konsen manajemen yang kuat. Di situasi lainnya, komite audit harus mereview
usul tindakan personil dan menyediakan CAE dengan perekrutan yang adil atas isu yang terlibat. Komite
audit sendiri dapat merasakan bahwa CAE tidak melakukan pekerjaan yang cukup, baik dalam mentaati
permintaan komite audit atau dalam mengarahkan fungsi audit internal, atau keduanya. Dalam kasus
lain,dewan komite audit secara tipikal akan menyatakan konsen itu pada manajemen perusahaan dan
memulai proses untuk penggantian personil. Dalam kasus yang ekstrim dimana ada perselisihan paham
mengenai CAE, komite audit bisa merekrut konsultan eksternal untuk melakukan pekerjaan audit review
yang diinginkan oleh komite atau bisa mengarahkan manajemen, melalui dewan derivative, untuk
melakukan perubahan.
Keseluruhan isu di sini adalah bahwa komite audit mempunyai kemampuan merekrut atau
memecat CAE, tetapi harus sedang berjalan ditingkat kooperasi. Komite audit secara umum tidak berada
di tempat basis sehari-hari untuk menyediakan 108egular108t audit internal rinci dan harus memenuhi
persyaratan manajemen untuk beberapa dukungan rinci. CAE atau anggota apapun dari audit internal
tidak bisa mengabaikan begitu saja permintaan manajemen sesuai dengan klaim laporan beberapa orang
saja pada komite audit dan tidak bertanggungjawab pada manajemen lini perusahaan. Dengan cara yang
sama, manajemen perusahaan harus memastikan bahwa internal audit adalah bagian dari perusahaan,
bukan orang luar.
108
Seperti yang di diskusikan dalam Chapter 12, piagam audit internal bertindak sebagai satu basis atau
otorisasi untuk setiap program audit internal efektif. Piagam adekuasi khususnya penting untuk
mendefinisikan peran dan tanggung-jawab audit internal serta tanggung jawab untuk melayani komite
audit dengan baik. Bahwa misi dari audit internal harus jelas menyediakan layanan pada komite audit
demikian pula pada manajemen senior. Piagam audit internal bukan saja dokumen yang luas tetapi umum
juga dokumen yang secara umum mendefinisikan tanggung-jawab dari audit internal dalam perusahaan,
menggambarkan standar yang diikuti, dan mendefinisikan hubungan antara komite audit dan audit
internal. Poin selanjutnya adalah pentingnya pengkhususan sebagaimana mengirimkan satu pesan khusus
pada manajemen senior dimana CAE bisa pergi ke satu pihak atasan—komite audit—kalau sekiranya
kontroversi atau isu pengawasan intern signifikan.
Komite audit bertanggungjawab untuk persetujuan piagam audit internal, seutuhnya, dewan
bertanggungjawab untuk menyetujui piagam komite audit. Kita mendiskusikan piagam audit internal di
sini karena inilah tanggung jawab komite audit, tetapi piagam audit internal juga melindungi detil yang
lebih besar/rinci dalam diskusi Chapter 12 tentang membuat piagam dan membangun satu fungsi audit
internal yang efektif. Siapakah bertanggungjawab untuk draft piagam audit internal ini? Teorinya komite
audit mungkin akan men-draft dokumen ini sebagai sebuah aktivitas dewan komite. Pada kenyataannya,
CAE biasanya memelopori dalam membuat draft piagam ini dan/atau akan menyarankan perbaikan
sesuai pada satu piagam yang sudah ada pada dewan komite audit.
Sementara itu piagam audit internal memberi hak pekerjaan yang dilakukan harus dilakukan,
anggota komite audit tidak boleh berada dalam suatu posisi untuk membuat persyaratan draft piagam
audit rinci. CAE secara tipikal bekerja berdekatan dengan dewan komite audit untuk membuat draft
persyaratan ini. Selain dari pada piagam, spesifikasi alami dan lingkup dari tanggung-jawab pelayananan
audit internal pada komite audit harus formal dan diuraikan. Tanggung-jawab ini bisa meliputi
109egular109 ditulisnya laporan status audit, pertemuan-pertemuan yang secara teratur dijadwalkan
dengan komite audit, dan keduanya, yaitu hak dan kewajiban akses langsung audit internal pada komite
audit.
Sementara itu pemahaman ini secara tipikal tidak memerlukan resolusi komite audit formal, kedua belah
pihak harus mempunyai satu pemahaman jelas tentang tanggung-jawab audit internal untuk menyajikan
laporan dan untuk mengikuti rapat komite audit. Penerimaan piagam audit internal dan perbekalan yang
berhubungan oleh ketertarikan semua pihak berarti bahwa audit internal bebas dari penghalang yang
sangat mungkin mencegahnya dari penyingkapan kebutuhan pada komite audit, bahkan kesensitivan
yang alami.
109
Pernyataan piagam hubungan audit internal pada komite audit ini menjadi penting karena audit
internal juga mempunyai hubungan pekerjaan sehari-hari dengan manajemen perusahaan. Sementara itu
komite audit memilih CAE, anggota lain dari tim audit direkrut dan dibayar oleh perusahaan, bukan
komite audit independen. Manajemen Senior sering melupakan audit internal itu memiliki hubungan
pelaporan di dalam perusahaan. Manajemen Perusahaan kadang-kadang memberikan diskon untuk
kebutuhan ini untuk piagam audit internal atas alasan-alasan bahwa tidak batasan pada audit internal
independen. Meskipun demikian, piagam audit internal yang kuat, yang disetujui oleh komite audit,
adalah ketetapan penting corporate governance.
110
laporan ringkas dari aktivitas audit masa lampau dan taksiran kembali dari pemenuhan nya untuk
memberikan komite audit suatu pemahaman dari area signifikan dalam review masa lampau. Walaupun
audit internal harus melaporkan aktivitas kepada komite audit secara 111egular, laporan ringkasan
aktivitas masa lampau ini memberikan suatu ikhtisar area untuk penekanan audit dan gap acara penting
potensial dalam pemenuhan audit. Tampilan 23.4 adalah satu contoh dari satu tahun-rencana audit untuk
dipresentasikan kepada komite audit. CAE akan menyajikan jenis laporan kepada komite audit ini,
mencakup untuk masing-masing audit tertentu dan dengan detil pendukung yang cukup untuk menjawab
pertanyaan. Laporan ringkasan aktivitas masa lalu ialah penting untuk memperlihatkan jadwal area
dalam rencana tahun berjalan dan penyempurnaan rencana tersebut.
Di banyak perusahaan, rencana audit tahunan mengembangkan melalui dua proses, analisis risiko
internal dan diskusi dengan keduanya, yaitu manajemen senior serta komite audit. Manajemen dan
komite dapat menyarankan area untuk review potensial audit internal, dan audit internal harus
mengembangkan rencana di dalam batasan dari anggaran dan keterbatasan sumber daya. Jika komite
audit telah mengusulkan review beberapa area tetapi audit internal khusus tidak mampu untuk melakukan
audit yang telah direncanakan terhadap beberapa batasan yang diketahui, CAE harus dengan jelas
mengkomunikasikan kekurangan itu kepada komite audit.
(d) Review dan Tindakan Komite Audit atas Audit Finding yang Signifikan
Tanggung jawab penting komite audit adalah mereview dan mengambil tindakan atas audit
finding yang signifikan yang dilaporkan oleh auditor internal dan eksternal, manajemen, dan lain-lain.
Audit internal dan yang lain seharusnya tidak memfilter audit finding dan mengatakan kepada komite
audit apa yang dikatakan signifikan, kepentingan dan efisiensi dari kesuleruhannya akan dilayani lebih
baik oleh audit internal yang secara teratur melaporkan audit finding yang signifikan seperti halnya
keadaan dan disposisi temuan. Dalam memberi reaksi atas audit finding yang signfikan, membutuhkan
kombinasi atas pemahaman, kompetensi, dan kerjasama pihak-pihak utama yang berkepentingan seperti
audit internal, manajemen, auditor eksternal, dan komite audit sendiri. Kesejahteraan keseluruhan
perusahaan menjadi standar untuk menilai jasa audit internal, dan kepentingannya dengan manajemen
memiliki batas tertentu yang saling bertentangan.
111
harus lebih menyadari dan sensitive atas hal ini, dimana Sox mengharuskan komite audit
untukmenyetujui seluruh jasa audit eksternal, termasuk comfort letter, sama seperti halnya jasa nonaudit
dari auditor eksternl yang dilarang. Namun auditor kesternal masih diperbolehkan untuk menyediakan
jasa pajak , sama halnya dengan jasa pengecualian yang diminimalisir mereka dilarang untuk
memberikan jasa non audit secarakontemporer dengan audit laporan keuangan , jasa tersebut seperti :
Pembukuan dan jasa lain yang berkaitan dengan pencatatan akuntansi atau laporan keuangan
klien yang diaudit
Merancang dan mengimplementasikan teknologi informasi keuangan
Jasa penaksiran dan penilaian, pendapat kewajaran atay kontribusi dalam berbagai pelaporan
Jasa outsourcing audit internal
Fungsi manajemen atau aktivitas pendukung sumberdaya manusia
Broaker atau dealer, penasihat investasi, atau jasa investasi bank
Jasa hukum dan jasa ali lainnya yang tidak berkaitan dengan audit
Jasa lain yang tidak diijinkan oleh PCAOB.
Audit internal harus mempertimbangkan penawaran layanan yang tepat dan konsisten dengan audit
charternya.
23.6 Program Whistleblower dan Kode Etik
Sox menetapkan kepada komite audit untuk membangun prosedur dalam menerima,
penyimpanan, dan perwatan atas keluhan yang berkaitan dengan akuntansi, pengendalian internal
akuntansi, atau masalah auditing, termasuk prosedur untuk kerahasiaan yang diajukan oleh karyawan
atas kekhawatiran akuntansi dan permasalahan audit. Akibatnya akan menghadapi tantangan
dokumentasi karena banyak masalah yang harus dilaksanakan dengan cara yang rahasia. Audit internal
seharusnya menawarkan jasanya kepada komite audit untuk membangun prosedur dokumentasi dan
komunikasi dalam area dibawah ini :
Dokumentasi pencatatan panggilan whistleblower. Sox mengamanatkan kepada komite audit
untuk membangun program whistleblower formal dimana karyawan dapat meningkatkan
perhatian berkaitan dengan masalah audit yang tidak tepat tanpa takun akan adanya pembalasan.
Biasanya perusahaan besar sudah memiliki fungsi etika, sehingga hanya perlu mengatasinya
dengan cara yang lebih aman lagi. Ketika perusahaan yang lebih kecil tidak memiliki
sumberdaya, audit internal harus menawarkan fasilitasnya dalam komunikasi, pencatatan
tanggal, waktu, dan nama pemanggil untuk penyelidikan dan disposisi wishtleblower.
Disposisi permasalahan whistleblower. Dokumentasi harus dijaga untuk mecatat sifat dari
investigasi tindak lanjut dan disposisi yang terkait. Meskipun Sox mengamanatkan program
112
whistleblower tidak memiliki program penghargaan tunai, dokumentasi lengkap yang mencakup
tindakan yang diambil serta setiap net saving harus dijaga.
Kode Etik. Sox membuat komite audit bertanggung jawab untuk mengimplementasikan kode etik
perusahaan untuk CEO dan CFO. Komite audit harus merangkum seperangkat peraturan bagi
perilaku yang tepat dan membuat senior officernya menyatakan bahwa mereka telah membaca
dan memahami serta menyetujui untuk mematuhinya.
113
Chapter 24
Auditor internal selalu dipandang sebagai para pemimpin etis dalam perusahaan. Setiap kali ada
pertanyaan dari transaksi yang menimbulkan pertanyaan atau penipuan dalam operasi, misalnya,
tanggapan manajemen selalu memanggil internal audit untuk menyelidiki. Karena standar profesional
mereka yang kuat, didukung oleh kode etik profesional baik yang diakui, auditor internal harus menjadi
pemimpin yang etis dalam perusahaan.
Pengetahuan dan pemahaman tentang auditor internal, kode perilaku profesional, seperti yang
dibahas dalam Bab 8 mengenai standar audit internal profesional, adalah kunci badan audit internal
umum tentang kebutuhan pengetahuan (CBOK). Etika dan enterprise-wide kode etik memiliki peran
yang lebih besar pada saat ini. Selama bertahun-tahun, banyak perusahaan mengucapkan kata-kata
tentang komitmen mereka untuk etika tetapi tidak pernah ada tindak lanjutnya. Namun, dengan adanya
serangkaian skandal akuntansi utama AS pada 1980-an, peluncuran Komite of Sponsoring kerangka
Organisasi Internal Kontrol pada 1990-an, dan yang sekarang ini, Peraturan Sarbanes-Oxley (SOx), telah
ada penekanan hampir di seluruh dunia tentang pentingnya membangun lingkungan etis di seluruh
perusahaan.
Sementara audit internal memiliki peran yang terus-menerus, banyak dari inisiatif ini juga telah
diluncurkan oleh departemen lain, termasuk sumber daya manusia (SDM) dan badan hukum. Sekedar
mempromosikan lingkungan etika bagi semua stakeholder perusahaan, inisiatif seluruh perusahaan harus
menekankan pemangku kepentingan kode etik individu yang kuat, pengakuan nilai-nilai inti perusahaan,
dan program whistleblower. Saat ini karyawan dan pemangku kepentingan di semua tingkat didorong
untuk berpikir dan bertindak berbeda dari pada tahun terakhir. Program whistleblower adalah contoh di
sini. Seluruh konsep di balik program ini adalah bahwa setiap karyawan atau pihak lain yang mengamati
beberapa hal yang salah di lingkungan kerja dan independen “meniup peluit” atau melaporkan kepada
manajemen senior, tanpa adanya ketakutan akan tindakan balasan. Konsep seperti ini telah memiliki
standar di AS, banyak aturan hukum dan telah menjadi unsur SOx, seperti dibahas dalam Bab 4.
Meskipun belum tentu penerima yang ditunjuk dari laporan whistleblower, internal auditor perlu
memahami peran dan whistleblowing bagaimana kegiatan ini dapat disimpan dalam lingkungan kontrol
perusahaan.
Bab ini membahas kode etik, etika perusahaan, dan program whistleblower dari kedua
perusahaan-lebar dan perspektif audit internal. Internal auditor perlu memahami konsep ini dan
bagaimana mereka harus diterapkan untuk perusahaan secara keseluruhan. Selain itu, di beberapa
114
perusahaan yang lebih kecil dengan lebih terbatas sumber daya, audit internal dapat dipanggil untuk
memulai dan mengelola banyak jika tidak semua aspek suatu perusahaan, etika dan program
whistleblower. Pengetahuan tentang kode auditor internal perilaku merupakan kebutuhan CBOK dasar;
pemahaman keseluruhan kode etik, program whistleblower, dan etika perusahaan adalah penting untuk
total perusahaan dan harus area audit pengetahuan kunci internal juga.
Bab ini juga menjelaskan bagaimana membangun etika dan fungsi whistleblower yang konsisten
dengan SOx dan nilai kepada semua stakeholder perusahaan: karyawan, petugas, vendor, dan kontraktor.
Lebih dari tujuan SOx untuk mencegah kecurangan pelaporan keuangan, program etika yang efektif
adalah suatu pengelolaan yang penting dan kepatuhan alat untuk seluruh perusahaan.
Bab ini juga sempat terlihat di Hukuman Pedoman Organisasi, AS- wortel berbasis-dan-tongkat
pendekatan yudisial untuk meningkatkan kepatuhan perusahaan kuat program. Bab ini diakhiri dengan
panduan untuk melakukan operasional dan kepatuhan audit atas fungsi-fungsi ini.
Kode etik adalah komponen utama dari standar profesional audit internal, dan auditor internal
banyak terlibat dengan meninjau dan membantu untuk meningkatkan etika perusahaan mereka. Hal ini
menjadi lebih lebih penting ketika SOx dimandatkan atau kode etik menandatangani laporan perilaku
dari pejabat senior dan menyerukan untuk program whistleblower diarahkan oleh komite audit.
Sebagaimana diuraikan pada Bab 4, mandat SOx bahwa komite audit perusahaan harus memiliki direktur
keuangan mereka (CFO) menandatangani pernyataan etika. Sementara ini tidak ada jaminan bahwa CFO
akan selalu mengikuti praktek-praktek bisnis yang etis, resiko pribadi dari denda besar atau bahkan
hukuman penjara. Namun, satu set kuat nilai-nilai pribadi seluruh perusahaan serta komitmen terus-
menerus atau keinginan untuk selalu melakukan hal yang benar sering kali bahkan lebih penting.
Sementara peraturan SOx yang terbatas pada pejabat eksekutif keuangan, perusahaan biasanya akan
menemukan nilai lebih dalam meluncurkan dan melaksanakan program seperti itu untuk seluruh
perusahaan dan stakeholder kunci. Beberapa kode etik dan aturan perilaku yang sangat spesifik dan
berhubungan hanya untuk petugas keuangan, namun, perusahaan akan menemukan nilai yang lebih besar
dalam memiliki satu set aturan berlaku untuk semua, dan audit internal mungkin ingin
mempertimbangkan dan menyarankan manajemen untuk bergerak ke arah itu.
Perusahaan dari semua ukuran dan bidang bisnis saat ini harus membentuk fungsi etika yang
efektif, termasuk pernyataan misi dan kode etik. Meskipun program etika perusahaan penting saat ini,
perusahaan tidak bisa mengklaim memiliki menerapkan program seperti ini dengan hanya menerbitkan
kode organisasi bisnis dan melakukannya bersama untuk seluruh karyawan untuk membacanya. Program
etika yang efektif memerlukan komitmen formal antara perusahaan dan karyawan dan agen untuk
115
melakukan hal yang benar. Banyak perusahaan saat ini telah memiliki unsur-unsur program etika di
tempat yang lainnya menganggap mereka memiliki etika karena praktek-praktek yang baik, bukan karena
masalah baru-baru ini. Semua, terlalu sering mereka mendirikan "etika program" berjumlah sedikit lebih
dari satu kode etik karyawan diberikan kepada karyawan baru pada hari pertama mereka pada pekerjaan
mungkin ditambah beberapa karyawan poster atau brosur. Karyawan baru diminta untuk membaca dan
menandatangani kode etik perusahaan itu sebagai bagian dari bahan menyelesaikan menyewa seperti
baru sebagai bentuk pemotongan pajak, rencana medis pilihan, dan pilihan karyawan lainnya. Terlalu
sering kode etik ditandatangani, mengajukan diri, dan dilupakan. Ini bukan merupakan program etika
yang efektif untuk perusahaan.
Program etika efektif untuk perusahaan dimulai dengan pemahaman risiko lingkungan dan
kemudian memerlukan kode etik yang efektif. Sementara penekanan mungkin sedikit berbeda pada
berbagai tingkatan, setiap orang harus menyadari dari perusahaan itu nilai dan misi secara keseluruhan.
Sebagai pihak yang alami tertarik pada baik, praktek bisnis yang etis, audit internal harus dalam posisi
kunci untuk membantu peluncuran sebuah perusahaan-wide etika berfungsi jika seseorang tidak ada atau
untuk membantu memperbaiki semua program saat ini. Hanya sebagai auditor internal harus memahami
bagaimana untuk mengevaluasi dan merekomendasikan kontrol akuntansi internal yang efektif, mereka
harus memiliki pemahaman dasar tentang unsur-unsur dari program etika organisasi yang efektif.
Setiap perusahaan, tidak peduli apa ukuran, harus memiliki pernyataan misi formal untuk
menggambarkan tujuan dan nilai-nilai secara keseluruhan. Pernyataan misi harus menjadi petunjuk untuk
membiarkan karyawan, pelanggan, pemegang saham, dan pemangku kepentingan lainnya tahu apa
perusahaan singkatan dan apa tidak. Sekali sedikit lebih dari lelah yang terdengar slogan, pernyataan misi
perusahaan yang efektif telah menjadi sangat penting untuk mempromosikan etika organisasi yang kuat
dan tata kelola perusahaan yang baik. misi yang efektif dapat menjadi aset besar untuk suatu, perusahaan
yang memungkinkan untuk lebih mencapai tujuan organisasi dan tujuan.
Sebuah pernyataan misi perusahaan yang kuat merupakan elemen penting dalam etika dan
inisiatif tata kelola perusahaan. Meskipun kebanyakan perusahaan tidak akan menghadapi krisis seperti
apa Johnson & Johnson lakukan dengan Tylenol tercemar, hal semacam ini mungkin telah membantu
beberapa perusahaan untuk lebih menghindari skandal akuntansi yang menyebabkan SOx.
Bekerja dengan fungsi petugas etika dan manajemen senior, audit internal dapat membantu untuk
mengevaluasi pernyataan misi atau menulis ulang dan memulai yang baru. Jika karyawan atau pemangku
kepentingan lainnya tidak menyadari pernyataan misi perusahaan atau jika mereka melihatnya sebagai
sedikit lebih dari satu set kata-kata berarti, ada kebutuhan untuk meninjau kembali dan merevisi dokumen
116
itu. Sebuah pernyataan misi sering dibuat buruk lebih berbahaya daripada baik, membuat anggota sinis
dan tidak bahagia organisasi yang menolak perubahan. Jika perusahaan tidak memiliki pernyataan misi
atau nilai-nilai, audit internal harus merekomendasikan perakitan tim untuk mengembangkan sebuah
pernyataan yang mencerminkan nilai-nilai keseluruhan perusahaan dan tujuan.
Jika pernyataan yang ada disambut dengan sinisme selama survei etika, sekarang saatnya untuk
membuat ulang dan merevisinya. Namun, apapun yang direvisi harus dibuat dengan hati-hati. Jika hanya
diluncurkan dengan tidak ada persiapan, dapat dilihat dengan sinis bahkan lebih.
Sebuah pernyataan misi yang baik juga merupakan titik awal yang baik untuk pesan manajemen
senior. Sebuah pernyataan misi yang baik harus membuat pernyataan positif tentang perusahaan dan
menginspirasi para pemangku kepentingan perusahaan untuk memanfaatkan energi mereka, semangat,
dan komitmen untuk mencapai tujuan dan sasaran. Idenya adalah untuk menciptakan rasa tujuan dan arah
yang akan dibagi di seluruh perusahaan. Mungkin salah satu contoh terbaik dari pernyataan misi itu
diungkapkan oleh Presiden AS John F. Kennedy di awal 1960-an:
“This nation should dedicate itself to achieving the goal, before this decade is out, of landing a man
on the moon and returning him safely to Earth.”
“Bangsa ini harus mendedikasikan dirinya untuk mencapai tujuan, sebelum dekade ini keluar, dari
manusia mendarat di bulan dan mengembalikannya dengan selamat ke Bumi.”
Kata-kata sederhana menggambarkan misi dan visi yang jauh lebih baik daripada dokumen luas
yang berhalaman banyak.
Setelah perusahaan telah mengembangkan sebuah pernyataan misi baru atau telah merevisi yang
sudah ada, itu harus diterapkan di semua anggota perusahaan dengan tingkat yang baik publisitas.
Menggunakan pendekatan nada-at-the-top, manajer senior harus menjelaskan alasan untuk laporan misi
baru dan mengapa itu akan penting bagi perusahaan. Ini harus dipasang pada billboard fasilitas, dalam
laporan tahunan, dan tempat lain untuk mendorong semua pemangku kepentingan untuk membaca dan
menerimanya. Pernyataan misi, bagaimanapun, seharusnya tidak berdiri dengan sendirinya. Serangkaian
langkah kunci lainnya yang dibutuhkan untuk membangun etika yang efektif dan fungsi kepatuhan.
Program etika yang efektif tidak dapat melindungi perusahaan dari risiko gempa bumi besar atau
beberapa peristiwa bencana besar lainnya, melainkan bisa, bagaimanapun, membantu untuk melindungi
dari berbagai risiko operasional dan bisnis lainnya. Sama seperti beberapa petugas akuntansi memutuskan
untuk melanggar aturan sebelum SOx, sikap yang dapat diterima untuk mengabaikan aturan etika bisa
menimbulkan risiko di banyak daerah lain. Para pekerja kantor yang salinan perusahaan perangkat lunak
117
atau catatan untuk digunakan pada komputer di rumah, pekerja pabrik yang melompati prosedur
pemeriksaan produk akhir untuk menghemat waktu, atau vendor yang sedikit kapal-kapal barang dari
dipesan karena "mereka tidak pernah memeriksa" pemberitahuan pengiriman semua contoh lentur aturan
dan meningkatkan risiko perusahaan. Jenis praktek sering berkembang karena kesenjangan yang
dirasakan antara manajemen senior dan staf. Karyawan yang secara teratur melihat manajer account
melebihi batas beban tanpa dampak segera mencoba membengkokkan aturan di daerah lain.
Audit internal dapat memimpin utama di sini dalam survei sikap karyawan dan praktek. sikap
Etika dan risiko dapat dinilai melalui baik review ditargetkan temuan dari audit masa lalu atau ulasan
khusus berdasarkan survei sikap karyawan dan stakeholder etika. Audit internal dapat menyelesaikan
pekerjaan ini etika survei melalui koordinasi dengan fungsi etika perusahaan, jika kelompok tersebut ada.
Sifat seperti fungsi etika yang dibahas dalam paragraf yang akan datang. Jika fungsi etika formal ada,
audit internal harus meninjau hasil setiap survei yang dilakukan di sana, membuat rencana untuk merevisi
atau memutakhirkan seperlunya. Sebuah survei etika merupakan cara yang sangat baik untuk memahami
sikap perusahaan dan merupakan bantuan untuk mendukung proses tata kelola perusahaan.
Jika audit internal telah menyelesaikan sejumlah besar audit operasional dan keuangan kepatuhan
terkait baru-baru ini, pemeriksaan ulang temuan laporan workpaper dan audit atau bahkan tanggapan
dapat memberikan wawasan tentang sikap etika secara keseluruhan. Temuan workpaper Konsisten
meliputi "kecil" pelanggaran mungkin menunjukkan tren keseluruhan dalam sikap etika. Sebuah contoh
di sini akan menjadi kegagalan berkelanjutan karyawan untuk mengikuti beberapa proses yang relatif
kecil atau prosedur, seperti mengamankan tanda tangan persetujuan kedua pada transaksi bernilai kecil,
meskipun kebijakan menyerukan untuk tanda tangan kedua, atau kegagalan untuk mendokumentasikan
aplikasi informasi teknologi baru , meskipun persyaratan sistem dokumentasi pembangunan. Tim audit
yang bertanggung jawab mungkin telah memutuskan hal itu "terlalu kecil" untuk disertakan dalam
ringkasan laporan audit final, tapi temuan tersebut sering menunjuk potensi masalah sikap etis. Bahkan
lebih buruk lagi, kadang-kadang jenis temuan yang dilaporkan dalam laporan audit hanya untuk menepis
dalam laporan tanggapan.
Beberapa yang sedang berlangsung "kecil" temuan tersebut tidak dapat menunjukkan pelanggaran
etika yang sedang berlangsung tetapi untuk daerah-daerah di mana aturan hanya perlu diubah. Namun,
auditor internal menelaah laporan audit masa lalu dan workpapers untuk masalah etika yang terbaik
mungkin bekerja dengan unit yang tepat dalam perusahaan untuk mendapatkan seperti prosedur aturan
yang tidak masuk akal berubah. audit internal mungkin juga mempertimbangkan meluncurkan audit
khusus untuk menilai sikap etis tersebut. Ini akan menjadi tinjauan kepatuhan yang kuat yang mencakup
118
beberapa daerah kunci di perusahaan atau review sangat terfokus dalam satu departemen atau kelompok.
Jenis internal audit memberikan penilaian secara keseluruhan sikap etis dalam perusahaan.
Dilakukan dengan benar, karyawan, pejabat, dan survei stakeholder dapat menjadi cara yang
sangat baik untuk menilai sikap etika perusahaan. Idenya adalah untuk mengumpulkan informasi
sebanyak mungkin tentang sikap etika dan praktek dari kelompok besar dalam perusahaan, seperti pekerja
pabrik (jika sesuai), staf kantor, manajer senior, vendor, dan lain-lain. Survei ini akan mencakup beberapa
pertanyaan umum, tetapi setiap kelompok juga akan menerima pertanyaan khusus ditujukan kepada
tanggung jawabnya. Kelompok perwira senior, misalnya, akan menerima set yang sama pertanyaan sikap
organisasi yang diberikan kepada semua tapi mendapatkan pertanyaan spesifik terkait SOx kontrol
internal.
Tidak pernah mudah untuk menyusun sebuah survei pengumpulan fakta yang menerima tingkat
respon yang tinggi, dan bantuan penggunaan khusus harus dipertimbangkan. Daripada serangkaian
pertanyaan membutuhkan hanya ya-atau-tidak ada tanggapan, survei harus terdiri dari banyak
"Pernahkah Anda. . . "Pertanyaan di mana orang-orang yang menyelesaikan survei ini dapat memberikan
jawaban selama atau sesingkat seperti yang mereka inginkan. Terbuka tanggapan membuat kompilasi
hasil yang lebih sulit, tetapi informasi menarik dan berharga bisa diperoleh.
Persyaratan kunci dari jenis survei adalah bahwa hal itu harus sebagai anonim mungkin. Survei
harus dikirim langsung ke rumah karyawan bersama dengan surat lamaran dari chief executive officer
(CEO) menjelaskan tujuan mereka dan tujuan. Kembali amplop, prestamped, diarahkan ke kotak pos
khusus harus dimasukkan. Tujuan utama di sini akan untuk survei sikap etika, namun, jika perusahaan
telah membentuk fungsi hotline whistleblower, sebagaimana akan dibahas, survei ini juga
memungkinkan masyarakat untuk melaporkan hal-hal tersebut. Meringkas hasil survei bisa menjadi
tantangan besar, terutama jika responden telah memberikan respon dalam bentuk-bebas. audit internal
atau petugas etika akan bertanggung jawab untuk menyiapkan laporan ringkasan dengan tujuan meninjau
hasil dengan komite audit dan manajemen senior.
Survei etika akan memungkinkan audit internal, tim etika kantor yang ditunjuk, atau orang lain
untuk mendapatkan pemahaman yang umum tentang etika lingkungan dalam perusahaan. Hal ini dapat
menjadi langkah pertama untuk meluncurkan fungsi etika formal atau upgrade dan meningkatkan yang
sudah ada. Survei ini juga akan menyediakan manajemen umum dengan beberapa wawasan ke dalam
suasana etika secara keseluruhan di perusahaan. Meskipun tidak disyaratkan SOx, informasi ini akan
meningkatkan praktek tata kelola perusahaan dengan menyorot area dimana perbaikan diperlukan.
(C) Merangkum Hasil Etika Survey: Apakah Kita Memiliki Masalah itu?
119
Hasil survei sikap etika atau penilaian dari audit internal masa lalu dapat memberikan beberapa
jaminan bahwa hal-hal yang cukup bagus di seluruh perusahaan. Lebih sering, bagaimanapun, mereka
dapat menaikkan beberapa tanda-tanda meresahkan mulai dari penyimpangan kepatuhan kecil tapi terus
menerus, untuk vendor yang disurvei mengklaim taktik negosiasi berat tangan, kepada karyawan yang
menyatakan mereka telah diminta untuk membengkokkan aturan. Pertanyaan keras dengan hasil seperti
itu adalah apakah mereka mewakili pengecualian mengganggu atau ujung gunung es masalah etika yang
jauh lebih besar. Pada titik ini, audit internal dan petugas etika perusahaan seharusnya bertemu dengan
manajemen senior untuk mengembangkan beberapa langkah selanjutnya.
Seperti disebutkan, SOx berbicara tentang etika dan isu-isu whistleblower hanya dalam hal
pejabat keuangan senior dan penipuan keuangan potensial. A, kuat efektif program etika, bagaimanapun,
akan bermanfaat bagi seluruh perusahaan selain memberikan kepatuhan SOx. Jika perusahaan sudah
tidak memiliki program etika mapan, audit internal adalah area logis untuk membantu menetapkan jenis
program.
Sementara pernyataan misi adalah batu kunci untuk terus bersama-sama keseluruhan struktur tata
kelola perusahaan, kode etik perusahaan memberikan panduan yang mendukung bagi para stakeholder.
SOx frase menggunakan kode etik, kami menggunakan kode nama yang lebih tradisional perilaku. Kode-
kode ini telah berada di tempat di perusahaan besar selama bertahun-tahun. SOx mensyaratkan bahwa
semua pendaftar berkembang seperti kode untuk pejabat keuangan senior untuk mempromosikan
penanganan jujur dan etis dari setiap konflik kepentingan dan kepatuhan terhadap peraturan pemerintah
dan peraturan yang berlaku. Bahkan jika perusahaan tidak datang di bawah aturan SOx, ada banyak
manfaat untuk mengembangkan dan menerbitkan kode etik yang tepat. Kode SOx yang diamanatkan,
tetapi perusahaan-perusahaan dari berbagai ukuran bisa mendapatkan keuntungan dari kode yang
mencakup seluruh pemangku kepentingan.
Perusahaan efektif hari ini harus mengembangkan dan menegakkan kode etik yang berlaku
mencakup etika, bisnis, dan aturan hukum bagi seluruh pemangku kepentingan perusahaan: petugas
keuangan disorot dalam SOx, seluruh karyawan lainnya, dan pemangku kepentingan kelompok yang
lebih besar. Audit internal adalah tidak biasanya kelompok katalis untuk menyusun atau membuka seperti
kode etik, tetapi dapat menjadi peserta utama dalam kedua membantu untuk memulai kode dan kemudian
menentukan bahwa kode mempromosikan praktek bisnis yang etis di seluruh perusahaan.
(A) Kode Etik Isi: Pesan apa yang ada pada kode itu?
Kode etik harus menjadi mengatur, menghapus ambigu aturan yang menjelaskan apa yang
diharapkan dari semua pemangku kepentingan perusahaan, petugas, karyawan, kontraktor, vendor, dan
120
lain-lain. Kode harus didasarkan pada kedua nilai-nilai dan isu-isu hukum di sekitar perusahaan. Artinya,
sementara semua perusahaan dapat berharap untuk memiliki kode etik larangan terhadap diskriminasi
seksual dan rasial, kontraktor pertahanan dengan isu-isu terkait kontrak-banyak mungkin memiliki kode
etik yang agak berbeda dari operasi toko makanan cepat saji. Namun, kode harus berlaku untuk semua
anggota perusahaan dari tingkat yang paling senior seorang pegawai administrasi paruh waktu. Sebagai
contoh, kode etik aturan yang melarang pelaporan keuangan yang salah adalah sama apakah diarahkan
pada CFO untuk pelaporan keuangan yang tidak benar triwulanan atau bagian-timer untuk kartu waktu
yang salah atau penipuan mingguan.
Jika perusahaan sudah memiliki kode etik, audit internal mungkin ingin jadwal review dari waktu
ke waktu untuk kembali kode tersebut. Terlalu sering, kode yang lebih tua pada awalnya dirancang
sebagai aturan bagi karyawan tingkat bawah dengan sedikit perhatian bagi anggota yang lebih senior dari
perusahaan. Sebagaimana telah kita bahas, SOx pedoman tata kelola perusahaan dimaksudkan untuk
perwira senior, tetapi juga harus berlaku untuk semua pemangku kepentingan perusahaan. Bekerja
dengan anggota senior manajemen dan komite audit, audit internal dapat memeriksa kode etik yang ada
untuk menentukan apakah aturan masih layak era pasca-SOx.
Daerah ini topik ditemukan dalam kode stakeholder perusahaan khas perilaku. Kode sebenarnya harus
memiliki aturan tertentu dalam setiap bidang ini.
I. Pengantar
a. Tujuan kode etik ini: Suatu pernyataan umum tentang latar belakang
kode etik, menekankan tradisi perusahaan.
b. Standar etika komitmen perusahaan yang kuat: Sebuah penyajian kembali misi pernyataan
dan pesan pendukung dari chief executive officer
c. Dimana dapat mencari panduan: penjelasan mengenai hotline seketika
d. Ketidakpatuhan Pelaporan: Petunjuk whistleblower-cara untuk melaporkan
e. Tanggung jawab untuk mengakui kode: sebuah deskripsi kode pengakuan proses untuk
semua stakeholder
II. Fair Dealing Standards
a. Perusahaan menjual praktek: panduan untuk menangani dengan pelanggan
b. Perusahaan membeli praktek: pedoman dan kebijakan untuk menangani dengan vendor
III. Perilaku di tempat kerja
a. Equal Employment Opportunity Standar: sebuah pernyataan omitmen yang kuat
b. Tempat kerja dan kebijakan pelecehan seksual: sebuah pernyataan komitmen yang sama
kuat
c. Alkohol dan penyalah gunaan zat: sebuah pernyataan kebijakan di daerah ini
121
IV. Konflik Kepentingan
a. Pekerjaan sampingan: batasan kerja meneerima dari pesaing
b. Investasi personal: aturan mengenai menggunakan data perusahaan untuk membuat
keputusan investasi pribadi
c. Hadiah dan mafaat lainnya: aturan mengenai menerima suap dan hadiah yang tidak tepat
d. Mantan karyawan: aturan yang melarang memberikan bantuan kepada eks-karyawan
dalam bisnis
e. Anggota keluarga: aturan tentang memberikan bisnis kepada anggota keluarga,
menciptakan potensi konflik kepentingan, dan hubungan anggota keluarga karyawan
V. Enterprise Properti dan Records
a. Enterprise aset: Sebuah pernyataan yang kuat pada tanggung jawab karyawan untuk
melindungi aset.
b. Sistem komputer sumber daya: Suatu perluasan pernyataan aset perusahaan
mencerminkan semua aspek sumber daya sistem komputer.
c. Penggunaan nama perusahaan: Sebuah aturan bahwa nama perusahaan harus digunakan
hanya untuk transaksi normal bisnis.
d. Enterprise catatan: Sebuah peraturan mengenai tanggung jawab karyawan untuk integritas
catatan.
e. Informasi rahasia: Aturan tentang pentingnya menjaga semua perusahaan informasi
rahasia dan tidak mengungkapkan ke luar.
f. Karyawan privasi: Sebuah pernyataan yang kuat mengenai pentingnya menjaga karyawan
rahasia kepada orang luar dan bahkan karyawan lainnya informasi pribadi.
g. Enterprise Manfaat: Karyawan tidak harus mengambil keuntungan perusahaan yang
mereka tidak berhak.
VI. Mematuhi Hukum
a. Di dalam informasi dan insider trading: Sebuah aturan yang kuat yang melarang insider
trading atau dinyatakan mendapatkan manfaat dari informasi orang dalam.
b. Politik kontribusi dan kegiatan: Sebuah pernyataan yang kuat terhadap peraturan kegiatan
politik.
c. Penyuapan dan suap: Sebuah aturan perusahaan menggunakan suap atau menerima suap.
d. kesepakatan bisnis asing: Aturan mengenai berurusan dengan agen asing sesuai dengan
yang Korup Asing Practices Act.
e. keselamatan Tempat Kerja: Sebuah pernyataan tentang kebijakan perusahaan untuk
mematuhi aturan OSHA.
122
f. Produk keamanan: Sebuah pernyataan tentang komitmen perusahaan untuk keamanan
produk.
g. Perlindungan lingkungan: Sebuah peraturan mengenai komitmen perusahaan untuk
mematuhi dengan undang-undang lingkungan yang berlaku.
Kata-kata ini adalah contoh dari nada dan gaya yang baik kode etik.
Ini menempatkan tanggung jawab pada penerima kode, mencoba untuk menjelaskan isu-
isu yang jelas cara, dan menyarankan diharapkan tanggapan dan tindakan.
Banyak perusahaan telah menemukan nilai dalam menambahkan serangkaian pertanyaan yang
sering diajukan (FAQ) ke kode bersama dengan jawaban yang disarankan. FAQs memungkinkan
pembaca untuk lebih memahami masalah, pertanyaan, dan aturan. Tim menyusun kode baru atau revisi
melakukan harus memastikan bahwa itu adalah jelas dan dipahami oleh semua. Ini bisa menjadi mengedit
nyata tantangan.
Kode etik untuk usaha yang berbeda terlihat berbeda dalam hal gaya, format,
dan ukuran. Beberapa kode adalah dokumen yang rumit; lainnya tulang sangat telanjang. Kode etik
perusahaan sudah tersedia melalui situs Web perusahaan atau etika atau departemen audit internal.
Disarankan bahwa tim merevisi suatu perusahaan perusahaan menghubungi kode dalam industri mereka
untuk memeriksa kode-kode mereka.
Perusahaan global menghadapi masalah lain ketika mengembangkan kode etik. Meskipun
korporasi mungkin berkantor pusat di Amerika Serikat, hal itu mungkin karena signifikan
operasi di seluruh dunia, di mana kunci manajer, karyawan, dan stakeholder lainnya
tidak menggunakan bahasa Inggris sebagai bahasa utama mereka. Meskipun biaya tambahan terjemahan,
perusahaan harus mempertimbangkan memproduksi versi kode di setidaknya bahasa utama digunakan
dalam operasi perusahaan. Jika ada beberapa lokasi dan jumlah hanya kecil
berbagai bahasa asing pemangku kepentingan, ringkasan dari kode etik utama dalam
masing-masing bahasa lokal mungkin cocok. Namun, mereka versi ringkasan
tentu harus menekankan bimbingan SOx penipuan yang sama keuangan yang terkandung dalam
utama kode etik.
123
yang baik akan hadir untuk secara resmi kode baru ke
perusahaan manajer top, khususnya petugas keuangan. Di masa lalu, kode kadang-kadang melakukan
penerimaan hanya menerima token dari kelompok perwira senior, yang merasa dokumen benar-benar
untuk staf, bukan mereka. Skandal keuangan yang menuju ke SOx disorot perbedaan ini. Baik Enron dan
WorldCom telah kode etik perusahaan yang memadai, tapi pejabat perusahaan mereka ternyata tidak
merasa aturan-aturan ini diterapkan kepada mereka.
Kelompok manajemen senior harus kemudian secara resmi mengakui bahwa mereka memiliki
membaca, memahami, dan akan mematuhi kode etik. Dengan tim manajemen
berdiri di belakang kode, perusahaan berikutnya harus menyajikan dan memberikan kode untuk
semua pemangku kepentingan perusahaan. Hal ini dapat dilakukan secara bertahap beberapa dengan
pengiriman ke lokal atau lebih fasilitas utama pertama diikuti oleh unit yang lebih kecil, lokasi asing, dan
lainnya stakeholder. Daripada hanya termasuk salinan kode dengan dokumen penggajian, perusahaan
harus melakukan upaya formal untuk menampilkan kode di cara yang akan mendapatkan perhatian
Kode etik baru dapat dikomunikasikan melalui video oleh CEO, Webcast, sesi pelatihan, atau
cara lain untuk menekankan pentingnya. Khusus metode komunikasi dapat digunakan untuk kelompok
lain, seperti vendor atau kontraktor, tetapi perusahaan harus bertujuan untuk mendapatkan semua
pemangku kepentingan untuk secara resmi mengakui bahwa mereka akan mematuhi kode etik. Hal ini
dapat dicapai dengan Internet atau telepon respon sistem, di mana setiap pihak perusahaan diminta untuk
menanggapi tiga pertanyaan:
1. Apakah Anda menerima dan membaca salinan kode etik? Jawaban Ya atau Tidak
2. Apakah Anda memahami isi kode etik? Jawaban Ya jika Anda memahami kode etik atau
Tidak jika Anda memiliki pertanyaan.
3. Apakah Anda setuju untuk tunduk oleh kebijakan dan pedoman dalam kode etik?
Jawaban Ya jika Anda setuju untuk mematuhi kode dan No jika Anda tidak.
Tanggapan harus dicatat pada database daftar nama karyawan dan
tanggal kajian mereka dan penerimaan atau nonacceptance. Setiap pertanyaan dari item
2 dapat ditangani melalui program whistleblower yang dijelaskan dalam Bagian 24.3.
Jika seseorang menolak untuk menerima kode karena pertanyaan, supervisor atau orang lain
harus mendiskusikan masalah tersebut dengan orang untuk mendapatkan resolusi akhirnya. Perusahaan
tersebut harus mengharapkan semua karyawan setuju untuk menerima dan mematuhi kode etik. Setelah
itu kode etik hanyalah peraturan kerja, dan kegagalan konsisten untuk
mematuhi aturan-aturan ini harus dapat dijadikan dasar bagi penghentian.
Persyaratan ini pengakuan kode mencegah karyawan dari mengatakan "Saya tidak tahu bahwa itu
aturan" ketika mereka melanggar atau melihat seseorang melanggar kode. Ini adalah ide yang baik untuk
124
pergi melalui proses kode penerimaan setiap tahun atau setidaknya setelah revisi. File
mendokumentasikan kode pengakuan ini harus ditahan secara aman.
125
Sebagian besar pelanggaran kode etik dapat ditangani melalui perusahaan yang normal prosedur
HR, yang seharusnya telah membentuk proses dimana pelanggaran pertama mungkin mengakibatkan
konseling verbal atau percobaan dengan terminasi untuk pelanggaran berulang. Beberapa hal harus
dilaporkan kepada otoritas di luar. Sebuah pelanggaran SOx
peraturan, seperti pengaturan rekening baru-baru ini ditemukan tidak berdokumen lembar, akan
dilaporkan kepada Komisi Sekuritas dan Bursa (SEC); pencurian barang dari sebuah gudang akan
dilaporkan ke jaksa daerah. Ketika hal ini ditemukan dan dilaporkan kepada pihak berwenang di luar,
bergerak hal di luar perusahaan's kontrol. Tujuan keseluruhan di sini adalah bagi perusahaan untuk
memiliki beberapa proses di tempat untuk mendorong semua stakeholder untuk mengikuti praktek etika
yang baik, sebagaimana didefinisikan dalam kode etik, dan untuk menyediakan mekanisme yang
konsisten untuk melaporkan pelanggaran dan mengambil tindakan disiplin jika diperlukan.
126
menyadari kode perusahaan mereka perilaku dan menggunakannya sebagai dasar pelaporan
pelanggaran dan rekomendasi keputusan selama semua audit internal lainnya.
Fungsi whistleblower adalah fasilitas di mana seorang karyawan atau stakeholder yang
melihat beberapa bentuk kesalahan dapat independen dan anonim melaporkan bahwa tindakan untuk
perusahaan atau badan pengawas dengan tidak takut akan pembalasan. Whistleblower program sudah
ada selama beberapa tahun untuk mendukung federal AS kontraktor hukum, peraturan kesehatan dan
keselamatan, dan lain-lain. SOx, bagaimanapun, telah pindah aturan-aturan ini ke dalam kantor bisnis
semua perusahaan publik Amerika Serikat. Audit komite menetapkan prosedur whistleblower ini, tetapi
fungsi-fungsi lain, seperti departemen etika, HR, atau internal audit, benar-benar mengaturnya.
Banyak perusahaan yang telah membentuk fungsi etika juga memiliki hotline atau etika
pertanyaan serupa saluran telepon. Etika hotline ini dapat memberikan awal titik untuk fungsi
whistleblower SOx, tetapi mereka biasanya perlu penyesuaian atau finetuning. Terlalu sering,
melaporkan insiden yang tidak diselidiki dengan benar atau kerahasiaan tidak sekuat yang diperlukan.
Sebuah slip-up di sini dapat menyebabkan masalah utama untuk perusahaan jika stakeholder
whistleblowing merasa hal belum terselesaikan atau kerahasiaan individu telah diganggu. audit internal
seringkali dapat menjadi utama bantuan disini melalui review dari proses yang ada, rekomendasi yang
sesuai kontrol, dan memberikan bimbingan kepada komite audit.
Program whistleblower SOx-mandat anggota komite audit hadir dengan tantangan lain. Dewan
khas anggota direksi komite audit dapat sadar seperti fungsi perusahaan melalui presentasi masa lalu,
tetapi hampir pasti tidak akan menyadari proses yang diperlukan untuk mendirikan whistleblower efektif
program. kelompok audit internal dapat membantu wakil komite audit untuk menetapkan program
whistleblower yang efektif yang akan sesuai dengan SOx. Bagian ini membahas cara untuk mendirikan
program whistleblower yang efektif dan bagaimana audit internal dapat membantu untuk memulai atau
refresh fungsi.
127
berdasarkan ketentuan ini. Meskipun ada belum banyak
whistleblower hal yang berkaitan dengan SOx pada saat ini, jika pengalaman dari yang lain undang-
undang whistleblower diterapkan di sini, kita bisa melihat lebih banyak secara berkelanjutan. Karyawan
atau stakeholder yang mendaftar keluhan whistleblower akan dilindungi sampai masalah teratasi. SOx
tidak berusaha untuk menghindari keluhan sembrono oleh mensyaratkan bahwa pengungkap harus
memiliki "masuk akal" keyakinan bahwa praktek
melaporkan merupakan pelanggaran.
Berdasarkan aturan-aturan ini SOx, itu adalah kejahatan bagi siapa pun "sadar, dengan maksud
untuk membalas, "untuk mengganggu kerja atau kehidupan setiap orang-a whistleblower-yang
menyediakan seorang petugas penegak hukum apapun informasi yang benar yang berkaitan dengan
komisi kemungkinan tindak pelanggaran SOx. Setiap whistleblower karyawan yang kemudian
menghadapi tindakan kerja yang merugikan berpotensi menjadi
"Dilindungi informan" saksi. Beberapa sumber hukum menekankan bahwa karyawan ini undang-undang
perlindungan yang luar biasa dan menggarisbawahi keseriusan SOx aturan ini.
SOx mengharuskan komite audit untuk membentuk suatu proses penerimaan dan pengobatan
pengaduan yang diterima mengenai akuntansi, kontrol akuntansi internal, atau audit hal-hal dan untuk
"penyerahan, rahasia anonim oleh karyawan" tentang akuntansi dipertanyakan atau masalah audit.
Stakeholders yang percaya mereka telah sah diberhentikan atau didiskriminasi, karena mereka
whistleblower tindakan, dapat mencari bantuan dengan mengajukan pengaduan, dalam waktu 90 hari
setelah tanggal pelanggaran, dengan DOL atau melalui melakukan tindakan distrik pengadilan federal.
Yang dirugikan biasanya kebutuhan untuk mengamankan bantuan hukum untuk mencari bantuan, tetapi
banyak hukum perusahaan akan bersemangat untuk terlibat. Proses ini bisa memakan waktu dan mahal
untuk perusahaan terdakwa. Para prosedural aturan di sini, termasuk beban pembuktian bagi majikan dan
karyawan, ikuti Udara 21 statute2 bagi karyawan maskapai penerbangan. Untuk misalnya, untuk menang
pada keluhan sebelum DOL, karyawan harus menunjukkan bahwa alasan diskriminatif adalah "faktor"
di personil yang tidak menguntungkan tindakan. Relief akan ditolak, namun, jika majikan menunjukkan
dengan "jelas dan bukti meyakinkan "bahwa itu akan mengambil tindakan personil yang sama di tidak
adanya aktivitas dilindungi.
Seorang karyawan yang berlaku sedemikian tindakan berhak untuk ganti rugi penuh
termasuk pemulihan, kembali membayar dengan bunga, dan kompensasi untuk litigasi biaya dan biaya
pengacara. Namun, jika DOL tidak mengeluarkan keputusan akhir dalam 180 hari pengajuan keluhan
whistleblower itu, masalah ini mungkin akan dipindahkan ke pengadilan distrik federal. Masalah rumit,
yang whistleblower dirugikan dapat mengambil tindakan terhadap berbagai bidang, mencari
perlindungan di bawah undang-undang federal dan negara bagian serta setiap perjanjian perundingan
128
bersama. Pengusaha yang terkena potensial "Ganda bahaya" untuk tindakan whistleblower dengan
kewajiban di bawah kedua SOx dan negara atau federal undang-undang tentang debit salah dan penyebab
serupa tindakan. Selain itu, whistleblower dirugikan dapat mencari ganti rugi melalui tindakan
pengadilan terpisah.
Berdasarkan pengalaman administrasi dan peradilan pada energi nuklir dan
industri penerbangan, undang-undang perlindungan whistleblower bisa menjadi perusahaan yang
potensial ranjau. Jika seorang karyawan memunculkan semacam kekhawatiran akuntansi atau audit
tentang suatu tindakan yang tidak benar atau ilegal, ia benar-benar dilindungi sampai masalah ini adalah
diselidiki dan diselesaikan. Akan ada banyak pengacara bersemangat untuk membantu whistleblower dan
ke file tindakan, terutama terhadap perusahaan-perusahaan besar dengan kantong dalam. Selain itu, tubuh
besar DOL dan preseden pengadilan ada untuk mendukung sanksi peraturan dan pribadi obat.
Berdasarkan lebih dari 20 tahun pengalaman dengan undang-undang perlindungan whistleblower,
sebuah dampak perusahaan harus berusaha untuk keseimbangan antara hak-hak karyawan untuk
meningkatkan keprihatinan pengungkap dan kemampuan perusahaan untuk mengelola tenaga kerja.
Sebuah lingkungan kerja yang positif sangat diperlukan di mana karyawan merasa bebas untuk
menyuarakan keprihatinan kepada manajemen ditambah dengan mekanisme yang efektif untuk
menangani keprihatinan apapun terangkat. Program etika terkait kuat dibahas sebelumnya dalam bab ini,
termasuk pernyataan misi dan kode etik, akan mendukung strategi ini.
129
Tim audit internal adalah jelas bagian dari pengelolaan, dan tanggung jawab pertama
auditor internal adalah melaporkan setiap hal-hal yang tidak patut atau ilegal ditemukan selama
pemeriksaan untuk manajemen audit internal untuk disposisi. anggota tim audit internal
tidak boleh mencoba untuk bekerja sebagai whistleblower independen sebagai bagian dari internal
mereka audit bekerja. audit internal harus mengembangkan kebijakan yang jelas menyatakan bahwa
setiap akuntansi SOx, hal pengendalian internal, atau audit ditemui selama perjalanan dari audit
dijadwalkan harus didokumentasikan dalam workpapers audit dan dikomunikasikan untuk manajemen
audit internal untuk resolusi. Kedua tim internal audit
dan pengelolaan fungsi diaudit harus memahami bahwa tujuan dari audit internal adalah untuk tidak
membiarkan lepas tim pelapor potensial dalam suatu departemen buku dan catatan. Semua barang yang
ilegal atau tidak layak harus diselidiki dan dilaporkan melalui proses audit internal yang normal.
130
Tujuan dari audit internal etika dan fungsi whistleblower adalah untuk menilai apakah kelompok
etika adalah mengikuti prosedur yang baik pengendalian internal, memanfaatkan sumber daya yang
efektif, sesuai dengan prosedur kerahasiaan yang baik, dan mengikuti piagam departemennya otorisasi
fungsi etika. Etika dan fungsi whistleblower mungkin sedikit berbeda dari perusahaan ke perusahaan,
tetapi audit internal harus mendapatkan pemahaman yang rinci tentang bagaimana fungsi beroperasi dan
prosedur yang biasanya dilakukan. Sebagai fungsi etika perusahaan itu, internal audit harus berharap
untuk menemukan prosedur setidaknya sama baiknya dengan audit internal tentang sesuai dengan
bidang-bidang seperti kerahasiaan dokumen dan dengan kebijakan perusahaan pada biaya perjalanan.
Lain etika fungsi tanggung jawab dapat menunjukkan daerah-daerah dimana audit internal dapat
menyarankan perbaikan. Sebagai contoh, kode etik's departemen etik biasanya harus memiliki bentuk
pengakuan atau proses dimana karyawan menunjukkan bahwa mereka telah membaca dan memahami
kode. Sebuah etika fungsi mungkin tidak menetapkan prosedur yang tepat di sini untuk memastikan
bahwa semua yang baru direkrut karyawan melalui proses pengakuan kode. audit internal dapat menilai
proses ini dan merekomendasikan perbaikan apabila diperlukan.
Exhibit 24.4 menjelaskan prosedur audit internal untuk review suatu perusahaan
etika dan fungsi pengaduan. Karena hubungan, dekat berkelanjutan yang harus ada antara fungsi etika
dan audit internal, CAE harus mendiskusikan penelaahan direncanakan dengan direktur etika secara rinci
untuk menjelaskan alasan dan tujuan pemeriksaan. Privasi dan kerahasiaan dapat menjadi isu di jenis
review. Sebuah panggilan untuk hotline mungkin telah menunjuk beberapa bentuk potensial karyawan
penyimpangan atau wahyu whistleblower SOx, yang etika akan ingin untuk menjaga rahasia sampai
masalah ini diselesaikan. Meskipun audit internal yang sedang berlangsung paparan ke daerah sensitif
lain dan masalah dalam perusahaan, direktur dari fungsi etika mungkin enggan untuk memiliki auditor
internal review bahan-bahan tertentu.
CAE harus menunjukkan paparan sedang berlangsung audit internal untuk sensitif lainnya informasi dan
persyaratan yang mengikuti standar profesional yang sesuai.
Exhibit 24.4 Langkah-langkah Audit untuk Tinjauan Fungsi dan Etika dari Whistleblower
1. Laporan Misi Perusahaan
1.1. Review pernyataan misi perusahaan untuk menilai apakah secara aktif dikomunikasikan dan
menekankan pentingnya etika pemerintahan dan bisnis praktek.
1.2. Jika pernyataan misi tampaknya kurang atau membutuhkan pembaruan, membahas daerah
atau rencana untuk perbaikan dengan komite audit.
1.3. Bertemu dengan anggota manajemen yang sesuai untuk menilai program-program yang terus
menerus untuk mempromosikan pernyataan misi seluruh perusahaan.
131
2. Etika Fungsi Administrasi
2.1. Menentukan siapa yang memiliki tanggung jawab untuk mengelola program etika secara
keseluruhan di perusahaan. Bertemu dengan fungsi untuk menilai kegiatan yang sedang
berlangsung dan program.
2.2. Mengembangkan pemahaman dan dokumen fungsi etika, termasuk unit struktur dan
pelaporan hubungan.
2.3. fungsi etika's Review piagam dan dokumentasi proses lainnya kunci, dan menentukan bahwa
mereka konsisten dengan inisiatif perusahaan lainnya.
2.4. Tentukan apakah ada beberapa bentuk fungsi hotline di tempat, dan menilai nya span
kegiatan.
2.5. Menilai fungsi etika prosedur keamanan kantor untuk kecukupan catatan, file, dan keamanan
workstation.
2.6. Jika kontraktor luar yang digunakan untuk menyediakan etika atau layanan hotline, review
dan dokumen kontrak pengaturan.
3. Kode Etik Proses
3.1. Mendapatkan salinan kode etik saat ini.
3.1.1. Menentukan bahwa kode tersebut saat ini dan secara teratur diperbarui.
3.1.2. Diskusikan kode dengan sampel staf perusahaan untuk menentukan bahwa
memahami kode dokumen.
3.1.3. Diskusikan kode dengan manajer dipilih di semua tingkatan untuk menentukan apakah ada
kekhawatiran tentang isu-isu kode atau konten.
3.2. Menilai kecukupan proses untuk memperoleh pengakuan kode.
3.2.1. Pilih sampel karyawan dan menentukan bahwa mereka mengakui
penerimaan kode.
3.2.2. Menentukan bahwa semua petugas telah menerima kode.
3.2.3. Menilai kecukupan prosedur untuk setiap karyawan yang gagal / menolak kode
pengakuan.
3.2.4. Menilai kecukupan catatan pengakuan kode.
3.3. Menilai kecukupan proses untuk memperbarui kode etik seperti yang diperlukan.
3.4. Menilai proses untuk mendistribusikan kode untuk semua pemangku kepentingan
perusahaan, termasuk lokasi terpencil seperti asing, vendor, dan lain-lain.
4. Hotline / Proses whistleblower.
132
4.1. Mengembangkan pemahaman umum proses whistleblower di tempat, dan
menentukan bahwa mereka menutupi komite audit persyaratan SOx.
4.2. Menilai kecukupan prosedur untuk mengkomunikasikan program whistleblower untuk
seluruh pemangku kepentingan.
4.3. Menilai kecukupan proses penebangan pesan whistleblower atau panggilan
diterima dan mendokumentasikan interaksi.
4.4. Review proses disposisi panggilan, dan memilih sampel panggilan terbaru
menentukan apakah proses muncul memadai.
4.5. Review keamanan secara keseluruhan proses di tempat, termasuk perlindungan dokumen
penting dan stakeholder whistleblower individu.
4.6. Bertemu dengan sumber daya manusia untuk menentukan bahwa prosedur yang memadai
tempat untuk melindungi / encapsulate setiap pelapor.
5. Komite Audit Tanggung Jawab. Bertemu dengan perwakilan komite audit
menentukan pengetahuan dan pemahaman tentang etika dan program whistleblower dalam
tempat.
Dengan asumsi hal ini dapat diselesaikan dengan tepat, tinjauan operasional
dari fungsi etika akan memberikan jaminan tambahan manajemen untuk integritas kontrol dalam fungsi
etika, komponen operasi di mana sebagian besar manajer memiliki eksposur sedikit atau pengalaman.
Etika dan proses whistleblower dibahas dalam bab ini adalah penting baik untuk kepatuhan SOx
dan tata kelola perusahaan, tidak peduli apa ukuran organisasi. Auditor Internal harus menyadari praktek-
praktek sebagai bagian dari CBOK mereka dan harus memainkan peran kunci dalam membantu baik
untuk memulai dan meninjau proses ini.
133
134
Chapter 25
DETEKSI DAN PREVENTIF KECURANGAN
Tergadang juga aktivitas yang perlu dipertanyakan bahkan akibat adanya kecurangan. Aktivitas
kecurangan dapat terjadi pada seluruh level di dalam perusahaan, pada pertengahan 2002, ketika Sox
berlaku, officer di dalam korporasi muncul sebagai pengacau utama yang menyebabkan banyaknya
kecurangan. CEO bekerjasama dengan CFO dapat melakukan kecurangan dengan memanipulasi laba
untuk meningkatkan keuntungan yang dilaporkan dan kompensasi bonus. Seorang manajer tingkat
menengah atau bahkan karyawan tingkat stafpun dapat melakukan tindakan kecurangan untuk
keuntungan pribadi ataupun frustasi kerja.
Auditor internal yang efektif perlu untuk mengenali potensi kecurangan di dalam praktek-praktek
bisnis sebagai bagian dari audit dan kemudian harus memberikan rekomendasi pengendalian dan
prosedur untuk membatasi peningkatan aktivitas kecurangan.
Bab ini akan menguraikan pedoman yang berisi kondisi umum yang akan dijumpai audit internal
ketika menghadapi kecurangan yang potensial setelah itu akan mendiskusikan langkah-langkah untuk
mengidentifikasi, menguji, dan proses kecurangan itu.
Kecurangan adalah salah satu istilah yang sering digunakan banyak orang meskipun mereka tidak
sepenuhnya memahami apa yang dibicarakan. Langkah pertama yang penting bagi auditor internal disini
adalah memahami definisi yang sesuai dengan dictionary dan hukum mengenai apakah kecurangan itu.
Ketika kecurangan ditemukan di dalam perusahaan, audit internal sering kali menjadi sumber
pertama yang dipanggil untuk melakukan investigasi dalam menentukan besarnya kecurangan yang
dilaporkan. Dalam situasi lain, auditor internal menemukan kecurangan selama schedule audit dan
kemudian menginvestigasi dan melaporkan hal tersebut kepada konsulat perusahaan atau otoritas hukum
lainnya.
Bab ini juga mendiskusikan inisiatid IIA untuk mereview kecurangan dalam audit internal seperti
halnya prosedur untuk mendeteksi dan mencegah kecurangan system komputer. Dulunya kecurangan ada
diluar tanggung jawab auditor, namun saat ini mereka memiliki tanggung jawab yang meningkat untuk
mendeteksi kecurangan dalam review aktivitas yang dilkukannya dengan memberikan rekomendasi
pengendalian yang tepat untuk pertahanan atas adanya kecurangan dimasa yang akan datang.
135
25.2. Red Flags: Fraud Detection Signs for Internal Auditors
Auditor dan manajemen harus melihat indicator aktivitas kecuangan yang mungkin lebih dalam
lagi. Oleh karena itu mereka perlu untuk melihat yang dinamakan dengan red flag.
Beberapa tipe sinyal red flag yang dapat menunjukkan aktivitas kecurangan keuangan yang
potensial antara lain yaitu :
Kurangnya kebijakan perusahaan dan standard prosedur operasi yang tertulis
Berdasarkan interview dengan berbagai level, kurangnya kepatuhan dengan kebijakan
pengendalian internal organisasi
Kelemahan kebijakan pengendalian internal, terutma dalam pembagian tugas
Operasi yang tidak teratur di berbagai bidang seperti pembelian, penerimaan, gudang atau kantor
regional.
Transaksi yang tidak tercatat atau catatan yang hilang
Salinan atau bukti perubahan dokumen
Tulisan tangan yang difotokopi atau dipertanyakan pada dokumen.
Catatan penjualan dengan void atau kredit yang berlebihan
Saldo bank tidak direkonsiliasi dengan dasar waktu atau terdapat stale item di dalam rekonsiliasi
bank
Saldo buku besar pembantu yang diluar kondisi secara terus menerus
Hubungan laporan keuangan yang tidak biasa
Perbedaan antara perhitungan fisik inventory dan pencatatan perpetual yang tidak dijelaskan
secara berkelanjutan.
Cek ditulis untuk kas dengan jumlah yang besar
Tulisan tangan cek dalam lingkungan kumputer
Transfer dana yang berkelanjutan atau tidak biasa anatar rekening bank perusahaan
Transfer dana ke bank luar negeri
Transaksi yang tidak konsisten dengan bisnis entitas
Prosedur penyaringan karyawan baru yang buruk, termasuk tidak adanya latar belakang atau
referensi
Keengganan manajemen untuk melaporkan kesalahan criminal
Transfer 136lleg personal yang tidak biasa
Officer atau karyawan dengan gaya hidup yang lebih dari kemampuannya
Waktu liburan yang tidak digunakan
136
Transaksi related party yang sering dan tidak biasa
Karyawan yang memiliki hubungan erat dengan pemasok
Karyawan yang memiliki hubungan erat satu sama lain di daerah dimana pemisahan tugas yang
dielakkan
Penyalahgunaan akun beban seperti manajer yang tidak mengikuti peraturan yang telah dibuat
Asset bisnis yang menghilang tanpa penjelasan.
Namun, auditor internal sering kali gagal mendeteksi kecurangan untuk alasan berikut :
Keengganan untuk mencari kecurangan.
Terlalu banyak kepercayaan kepada auditee.
Penekanan yang tidak cukup pada isu kecurangan yang potensial dalam audit finding yang sering
menunjuk kepada red flag.
Perhatian akan kecurangn menerima dukungan yang tidak tepat dari manajemen.
Auditor terkadang gagal berfokus pada area dengan resiko tinggi.
Kecurangan dapat berarti banyak, namun disini lebih mengarah ke tindakan criminal.
Kebanyakan pemahamannya berdasarkan undang-undang federal kecurangan secara umum yang
berbunyi :
“Barangsiapa, dengan cara apapum di dalam yuridiksi setiap departemen atau agensi US,
secara sadar dan sengaja memalsukan, menyembunyikan, atau menutupi dengan trik, skema
atau peralatan, atau membuat segala kesalahan, fiktif, atau kecurangan dalam menulis atau
dokumentasi pernyataan atau entry yang mengandung kesalahan, fiktif, atau kecurangan,
harus didenda tidak lebih sari…. atau dipenjara tidak lebih dari…. atau keduanya”.
Auditor membutuhkan pemahaman mengenai mengapa orang-orang melakukan kecurangan.
Beberapa hal dibawah ini merupakan daftar beberapa tipe alasan untuk melakukan kecurangan yang
antara lain yaitu :
137
Kelemahan pengendalian internal membuat kecurangan menjadi mudah, hal ini merupakan
memotivasi dasar banyaknya penipuan karena dengan lemahnya pengendalian membuat
kecurangan tidak akan terdeteksi.
Rendahnya kemungkinan terdeteksi.
Rendahnya kemungkinan untuk dituntut
Manajemen puncak yang tidak terlalu perduli
Rendahnya kesetiaan atau rasa memiliki organisasi. Saat ini pemilik operasi bisnis mungkin
kontinen dan lapisan bisnisnya jauh sehingga tidak terlalu peduli dalam perkembangan.
Ekspektasi anggaran atau target keuangan yang tidak masuk akal.
Kurangnya kompensasi persaingan dan buruknya kesempatan promosi.
Hal tersebut diatas merupakan seluruh alasan dimna pengendalian internal ditempatkan dan
kecurangan dilakukan hanya oleh satu orang saja. Deteksi kecurangan akan lebih sulit dideteksi ketika
terdapat kolusi diantara banyak orang.
Ketika beberapa orang melakukan kecurangan bersama-saman, akan selalu ada kemungkinan
seseorang pangkatnya akan diputuskan. Kecurangan yang melibatkan senior manajemen akan sulit
untuk terdeteksi, sedangkan yang terjadi di level perusahaan yang lebih rendah akan lebih mudah
untuk terdeteksi dengan investigasi auditor internal yang tepat.
Tanggung jawab auditor eksternal dalam mendeteksi kecurangan laporan keuangan sedang
berlangsung namun menghadapi berbagai isu pertentangan selama beberapa tahun. SAS oertama
AICPA No.1 beberapa tahun yang lalu menyatakan :
“Auditor tidak memiliki tanggung jawab untuk merencanakan dan melaksanakan audit
untuk memperoleh keyakinan yang memadahi ata adanya salah saji, baik disebabkan oleh
error atau kecurangan yang tidak material dengan laporan keuangan yang dideteksi”.
Meskipun selama periode munculnya kecurangan keuangan yang mengarah pada Treadway
Commission Report on Fraudulent Financial Reporting pada tahun 1987, standard audit AICPA
tetap tidak mengharuskan auditor internal bertanggung jawab atas deteksi kecurangan.
Kemudian tanggung jawab ini dinyatakan kembali dalam SAS No.82 yang berisi “Auditor
memiliki tanggung jawab untuk merencanakan dan melaksanakan audit untuk memperoleh
138
keyakinan yang memadai mengenai apakah laporan keuangan bebas dari salah saji material, baik
disebabkan oleh error atau kecurangan.”
Berdasarkan Sox dan PCAOB yang baru, pada desember 2002, AICPA menerbitkan SAS
No, 99 mengenai tanggung jawab auditor untuk mendeteksi kecurangan pelaporan keuangan. SAS
Np. 99 ini, merupakan perubahan utama tanggung jawab auditor eksternal, dimana mereka harus
mengambil sikap skeptisme 139llegal139onal (keraguan) terhadap kemungkinan adanya
kecurangan.
Karakteristik terjadinya kecurangan yang timbul dari penyalahgunaan asset dan pelaporan
keuangan. Factor resiko yang terkait dengan salah saji penyalahgunaan asset yaitu :
1) Insentif/Tekanan
a) Kewajiban keuangan personal dapat menciptakan tekanan bagi manajemen atau
karyawan yang memiliki akses ke kas atau asset lain yang rentan terhadap pencurian
atau penyalahgunaan
b) Hubungan yang merugikan antara perusahaan dan karyawan dengan akses ke kas atau
asset lain yang rentan atas penucurian memotivasi karyawan tersebut untuk
menyalahgunakan asset. Hubungan tersebut seperti :
Mengetahui atau mengantisipasi PHK karyawan dimasa depan
Actual atau mengantisipasi perubahan kompensasi atau imbalan karyawan
Promosi, kompensasi, atau reward lain yang tidak konsisten dengan yang
diharapkan.
2) Opportunity (Adanya Kesempatan)
a) Karakteristik atau keadaan tertentu yang dapat meningkatkan kerentanan
penyalahgunaan asset. Kesempatan penyalahgunaan asset akan meningkat ketika :
Besarnya jumlah kas yang ada ditangan atau yang diproses.
Inventory dengan ukuran yang kecil, jumlah yang banyak, atau yang
memiliki permintaan besar.
Asset yang mudah dikonversi
Asset tetap dengan ukuran yang kecil, berharga, atau yang kurang jarang
diamati oleh pemilik.
b) Pengendalian internal yang tidak memadai atas asset dapat meningkatkan kerentanan
penyalahgunaan asset. Penyalahgunaan asset ini meningkat ketika :
Terdapat pemisahan tugas atau pemerikasaan independen yang tidak memadai
139
Pengawasan manajemen yang tidak memadai atas tanggung jawab karyawan
terhadapp asset
Penyaringan karyawa yang memiliki akses ke asset yang kurang memadai
Pencatatan yang tidak memadai terhadap asset
System otorisasi dan persetujuan transaksi yang kurang memadai
Kurangnya rekonsiliasi asset yang lengkap dan tepat waktu
Kurangnya dokumentasi transaksi yang sesuai dan tepat waktu.
Kurangnya liburan untuk karyawan yang melaksanakan fungsi pengendalian
kunci
Pemahaman teknologi informasi oleh manajemen yang tidak memadai, yang
memungkinkan karyawan teknologi informasi melakukan penyalahgunaan
Pengendalian akses ke pencatatan terotomatis yang kurang memadai, termasuk
pengendalian atas review events log system computer.
Pada perubahan SAS No.99 mengakui bahwa manajemen sering kali dalam posisi
mengesampingkan pengendalian untuk melakukan kecurangan laporan keuangan.dalam standard
tersebut menyatakan bahwa penekanan utama auditor eksternal dalam mendeteksi kecurangan
adalah prosedur untuk melaksanakan periktan audit. Untuk membebankan standard audit deteksi
kecurangan bagi anggotanya, AICPA memberikan langkah-langkah yang kuat untuk membawa
auditor eksternal dengan cepat kearah situasi yang mendorong adanya kecurangan baik dengan
material pendidikan maupun studi kasus yang dapat ditemui di dalam web pagenya.
Auditor internal banyak menghadapi kecurangan potensial dalam review yang telah
dijadwalkannya. Mereka lebih banyak terlibat dalam review transaksi yang lebih rinci daripada
auditor eksternal dan selain itu mereka dapat melihat dokumen atau transaksi yang dipertanyakan
lebih sering lagi. Apabila manajemen merasa terdapat kecurangan yang potensial di dalam
perusahaan, langkah pertama yang hamper sering dilakukan adalah menghubungi auditor internal
yang memiliki beberapa hubungan dan komunikasi dengan departemen hokum perusahaan.
Standard professional praktek audit internal oleh IIA, menyatakan bahwa kecurangan
mencakup pandangan secara umum. Auditor internal harus memikirkan hal yang terjadi sebagai
kemungkinan kesalahan dan harus melihat setiap bukti atas aktivitas yang tidak tepat atau 140llegal
di dalam audit.
140
Mengakui bahwa mungkin sulit untuk mendeteksi kecurangan, standard IIA 2004 1210.A2
yang direvisi menyatakan bahwa : “auditor internal harus memiliki pengetahuan yang cukup untuk
mengidentifikasi indicator kecurangan tetapi tidak diharapkan untuk memiliki ahli yang memiliki
tanggung jawab utama dalam mendeteksi dan menginvestigasi kecurangan”.
Dalam melaksanakan tanggung jawab ini, auditor internal harus menentukan misalnya,
apakah :
Lingkungan organisasi mendorong kesadaran pengendalian dan sasaran serta tujuan
realistis perusahaan telah ditentukan
Kebijakan tertulis yang ada menjelaskan aktivitas yang dilarang dan tindakan yang
diperlukan ketika pelanggaran ditemukan.
Kebijakan otoriasi yang tepat untuk transaksi telah dibangun dan dikembangkan
Kebijakan, praktek, prosedur, laporan dan mekanisme lain dikembangkan untuk memonitor
aktivitas dan menjaga asset terutama pada area yang beresiko tinggi.
Sumber komunikasi memberikan informasi yang cukup dan dapat dipercayakepada
manajemen
Rekomendasi perlu dibuat untuk pembentukan dan peningkatan pengendalian biaya efektif
untuk mencegah kecurangan.
Selain membantu dalam membangun dan mereview pengendalian untuk mencegah dan
mendeteksi kecuranga, auditor internal seringkali terlibat dalam investigasi kecurangan. Ketika
menghadapi informasi yang berpotensi kecurangan, langkah awal auditor internal adalah
mengkonsultasikan dengan penasehat perusahaan. Dalam setiap review yang berhubungan dengan
kecurangan, auditor harus memiliki Tujuan utama yaitu :
1) Membutikan kerugian. Review investigasi audit internal harus mengumpulkan material
yang relevan sebanyak yang diperlukan untuk menentukan ukuran keseluruhan dan ruang
lingkup kerugian
2) Menetapkan niat dan tanggung jawab. Langkah yang berkaitan dengan siapa yang
melakukannya. Sebisa mungkin, auditor internal harus berusaha untuk mengidentifikasi
seluruh pihak yang bertanggung jawab atas kerugian tersebut dan apabila ada keadaan
khusus atau berbeda yang dikaitkan dengan aksi kecurangan.
141
3) Membuktikan metode investigasi audit yang digunakan. Tim investigasi perlu untuk
membuktikan bahwa kesimpulan kecurangan yang terkait berdasarkan rincian, proses
investigasi dari langkah-ke langkah.
Teknologi Informasi (TI) aau teknologi yang berkaitan dengan kecurangan mencakup
berbagai masalah dan kekhawatiran. Karena system dan proses TI mendukung banyak area dan
melintasi banyak garis di dalam perusahaan, kita berfikir kecurangan yang berkaitan dengan TI
terjadi di berbagai dimensi dari yang kecil hingga aktivitas kecurangan yang signifikan, yang antara
lain :
Masalah akses internet. Perusahaan sering membuat panduan dan pengendalian untuk
membatasi penggunaan internet, namun web begitu meluas yang sulit untuk memishkan
pribadi dari penggunaan bisnis. Peraturan tersebut sering kali dilanggar oleh karyawan dan
sering kali dilewati dengan menggunakan perangkat lunak yang memungkinkan mereka
untuk berkeliling dalam system firewall.
Penggunaan personal sumberdaya TI yang tidak tepat. Perusahaan harus menetapkan aturan
yang menyatajan bahwa tidak boleh ada file atau program pribadi di dalam work supplied
systems.
Penggunaan software yang illegal. Karyawan kadang-kadang mencoba untuk mencuri /
download salinan software perusahaan atau memasang perangkat software sendiri pada
sumber daya komputer perusahaan. Dengan demikian, mereka melanggar aturan perusahaan
dan sering kali karyawan mereka membuat perusahaan melanggar perjanjian lisensi software
dan juga memungkinkan system perusahaan terinfeksi virus.
Keamanan komputer dan kecurangan konfidensial. Karyawan dapat melanggar perlindungan
password dan mendapatkan akses yang tidak layak ke system komputer dan file.
Informasi pencurian melalui perangkat USB. Saat ini perangkat penyimpanan yang
berukuran kecil dapat dipasang pada system komputer dan digunakan untuk mendownload
beberapa gigabyte informasi.
Pencurian informasi atau kecurangan penyalahgunaan komputer. Ini adalah salah satu hal
yang tidak benar untuk mengakses system komputer dengan melanggar pengendalian
password dan untuk melihat, memodifikasi, atau menyalin data atau files dengan tidak tepat
yang dapat menyebabkan terjadinya computer crime.
142
Penggelapan atau transfer dana elektronik tanpa otorisasi. Mencuri uang atau sumber daya
lain melalui transaksi yang tidak tepat atau tidak terotoriasi merupakan penyebab yang
masalah kecurangan system dan jaringan TI yang signifikan.
Hal diatas merupakan hal yang dianggap kecil untuk pelanggaran TI. Namun, auditor tidak
perlu mereview bagian ini, karena ada daerah yang memiliki resiko lebih tinggi yang menghabiskan
waktu dan sumberdaya yang terbatas.
Akibat adanya skandal keuangan yang menimbulkan terbentuknya Sox, AICPA dan auditor
eksternal memiliki tugas utama untuk mendeteksi lebih baik aktivitas kecurangan dalam audit
laporan keuangan. Auditor internal juga perlu untuk lebih banyak mempertimbangkan kecurangan
dalam pekerjaannya. Seseuai dengan SAS No.99, auditor internal seringkali terlibat dalam
pekerjaan investigasi kecurangan. Auditor internal harus memiliki pemahaman CBOK mengenai
red flag yang menindikasikan kemungkinan kecurangan sama halnya dengan prosedur review yang
termasuk dalam investigasi kecurangan dalam semua audit internal.
143
CHAPTER 27
PROFESSIONAL CERTIFICATIONS : CIA, CISA, and MORE
Sertifikasi profesional banyak dipandang sangat bermanfaat, tetapi yang lain tampaknya tidak
melihatnya begitu berharga. misalnya, dan tidak untuk memilih pada industri, industri asuransi diisi
dengan berbagai jenis dan tingkat sertifikasi. Pembeli potensial dari asuransi jiwa misalnya dapat
menghadapi orang penjualan dengan aliran inisial sertifikasi setelah nama pada kartu bussines. Apakah
sertifikasi inisial tersebut mempunyai pengaruh terhadap perilaku konsumen dalam memutuskan untuk
membeli asuransi kepada seorang sales asuransi atau sales asuransi lainnya?. Bagi banyak orang
jawabannya mungkin tidak. Sertifikasi inisial tersebut mungkin akan membantu memberitahu konsumen
apakah tenaga penjualan asuransi tersebut berpengalaman atau tidak.
Auditor internal juga memiliki kebutuhan untuk sertifikasi profesional yang kuat dan terorganisir.
Banyak telah bergabung profesi dengan tidak ada persyaratan sertifikasi spesifik di luar gelar sarjana
kuliah yang mereka ambil. Yang lain mencapai derajat akuntansi dan disiapkan untuk ujian sertifikasi
akuntan publik. Manajemen pernah berasumsi bahwa potensi calon auditor internal harus memiliki CPA
untuk menjadi memenuhi syarat sebagai auditor internal, tapi seiring berjalannya waktu banyak
menyadari bahwa profesi auditor internal membutuhkan orang-orang dengan kualifikasi lebih dari
sekedar CPA. Keadaan berubah atas desakan dari Institut Internal Auditor (IIA) professional. Dan
hasilnya adalah adalah sertifikasi auditor internal bersertifikat (CIA). Sekarang di luar atau terpisah dari
CIA, seorang internal auditor dapat menjadi auditor sistem informasi yang bersertifikat (CISA), pemerika
fraud bersertifikat (CFE), atau banyak lagi dari sertifikasi. Beberapa dari sertifikasi ini mungkin sangat
berharga bagi beberapa auditor internal yang khas. Bab ini mendiskusikan sertifikasi professional yang
paling penting untuk auditor internal modern. khususnya, bab ini seperti di CIA dan CISA sertifikasi,
termasuk kualifikasi dan persyaratan pemeriksaan.
144
4. Keahlian bisnis manajemen.
Dengan mengajukan diri menjadi peserta ujian CIA, berarti seseorang itu setuju untuk menerima
segala kondisi dari program itu termasuk keseluruhan persyaratan, ujian dan penerimaan kode etik CIA,
pendidikan berkelanjutan profeional (CPE) dan banyak kondisi lainnya yang disyratkan oleh departemen
sertifikasi.
Untuk mengajukan diri menjadi peserta ujian CIA, peserta harus merupakan sarjana atau setara
dengan sarjana seperti sarjana akuntansi dari institusi yang terakreditasi. Para kandidat peserta CIA harus
menunjukan moral yang tinggi dan karakter professional dan harus mengumpulkan sebuah referensi
karakter kepada CIA. Sebagai tambahan internal auditor harus memenuhi syarat mempunyai pengalaman
sebagai internal audit dalam 24 bulan atau pengalaman lainnya yang sama dalam bidang audit, eksternal
audit, internal control. Untuk lulusan dari S2 disyaratkan mempunyai pengalaman kerja minimal 1 tahun.
Pengalaman kerja harus diverifikasi oleh CIA atau supervisor dari calon peserta ujian CIA itu sendiri.
145
kandidatharushadiruntuk mengujisitus untukproctored sit-down
examinations,saatiniCIAditawarkanmelalui rantaiseluruh duniaberbasis
komputersituspengujian(CBT).Calonharus memenuhipersyaratan pendaftaran, menerima
sebuahsituspengujian"tiket," dankemudian mengaturuntuk mengunjungisebuah
situspengujianberwenang.
146
(c). CFSA REQUIREMENTS
CFSA adalah sertifikasi khusus lainnya yang dikeluarkan oleh IIA dan disesuaikan untuk
membuktikan kompetensi dan profesionalisme internal auditor dalam bidang perbankan, asuransi, dan
layanan sekuritas keuangan. Ujian CFSA mencakup area sebagai berikut :
Domain 1 : Layanan Pengauditan Keuangan
Domain 2 : Perbankan
Domain 3 : Asuransi
Domain 4 : Sekuritas
Pengetahuan khusus yang diminta oleh masing-masing domain sangat berbeda. Karena spesialisasi
aturan dan praktiknya antarnegara, ujian CFSA hanya terbatas di Amerika Serikat dan Kanada.
(d) Importance of the CIA Specialty Certification Examinations
Sementara pemeriksaan CIA yang sangat penting bagi auditor internal sebagai tingkat profesional
dan manajer meninjau mandat auditor internal mereka, mungkin ada nilai profesional yang terbatas untuk
sertifikasi khusus untuk auditor internal IIA. Sebagai contoh, CFSA adalah sebutan baru yang tidak
diakui secara luas, dan auditor internal mengklaim kredensial tersebut tidak mungkin terkesan terlalu
banyak orang saat ini.
Namun, mencapai CFSA atau penunjukan CCSA dapat menjadi penting bagi auditor internal yang
bekerja di daerah-daerah khusus. Untuk auditor internal bekerja di lingkungan pemerintah di tingkat
manapun, misalnya, CIA bersama dengan GAAP bisa sangat berharga.
Pemeriksaan CIA keseluruhan harus menjadi ujian penting dan pengukuran untuk semua auditor
internal. Pengetahuan tentang bidang topik CIA, juga merupakan set yang sangat baik persyaratan CBOK
untuk auditor internal. Semua auditor internal harus mempertimbangkan pencapaian CIA sebagai tujuan
profesional prima.
147
dapat diganti untuk salah satu dari lima tahun dari system informasi audit, kontrol, atau pengalaman
keamanan.
Pengujian CISA memiliki pendidikan yang sama, pengalaman, dan persyaratan pendidikan
berkelanjutan seperti untuk pengujian CIA dibahas sebelumnya. Ini adalah teknis yang cukup tingkat
pengujian, dan meskipun seorang calon mungkin telah mencapai sertifikasi CIA, CISA membutuhkan
pengetahuan teknis dalam serangkaian bidang yang luas.
Gelar CISA telah diterima secara global standar pencapaian dalam audit sistem informasi, kontrol,
atau bidang keamanan sejak tahun 1978 dan telah diakui oleh banyak pemerintah dan kelompok bisnis
besar di seluruh dunia.
148
2. Transaksi keuangan
3. Legal Elements of Fraud
4. Penilaian dan Investigasi kecurangan
149
Mampu menjalankan rencana audit, termasuk membuka pertemuan, melaksanakan audit, dan
menutup pertemuan menggunakan tehnik audit yang diterima dan diverifikasi,
mendokumentasikan, dan mengkomunikasikan penemuan-penemuan sebagai hasil dari audit.
Mampu secara objektif menyajikan hasil audit yang sesuai standard dan mengevaluasi
keeffektivan hasil dan aktivitas koreksi yang sesuai etika dan seiring waktu.
Mengetahui dan mampu mengaplikasikan tehnik dan tool dasar auditing, seperti flowcharting,
variasi konsep, tehnik observasi, dan tehnik pengujian fisik. CQA juga harus mendemonstrasikan
pengetahuan mengenai alat pengendalian kualitas, statistik deskriptif, dan teori sampling.
150
Chapter 28
INTERNAL AUDITOR SEBAGAI KONSULTAN PERUSAHAAN
Suatu peran internal auditor sebagai konsultan bisnis kadang-kadang sedikit ambigu. Sampai saat
ini, Institute of Internal Auditor (IIA) International Standards for the Professional Practice of Internal
Auditing (Standar Internasional Praktik Profesional Audit Internal), seperti yang dijelaskan dalam Bab 8,
melarang auditor internal dari bertindak sebagai konsultan bisnis. Gagasan sudah bahwa auditor internal
berada di sana untuk meninjau dan menilai pengendalian internal dan kemudian untuk membuat
rekomendasi untuk perbaikan kontrol dan tindakan korektif melalui laporan audit internal. Berpikir
kemudian adalah bahwa konsultasi internal audit tindakan yang mungkin menciptakan konflik
kepentingan. Standar ini tidak ada konsultasi-tidak diikuti terlalu dekat; auditor internal yang sering
bertindak seperti konsultan sebagai bagian dari mereka manajemen berorientasi review. Penulis
mengingat hari sebelumnya sebagai suatu informasi teknologi (IT) auditor internal. Dengan lima tahun
ditambah mengembangkan dan merancang TI aplikasi dan pemahaman yang kuat tentang proses
pengembangan sistem, itu sulit untuk tidak bertindak sebagai seorang konsultan. Banyak auditor internal
lainnya semua tapi diabaikan konsultasi larangan ketika membuat rekomendasi audit internal.
Larangan konsultasi audit internal menjadi lebih kuat pada hari-hari awal Sarbanes-Oxley Act
(Sox). Sementara undang-undang Sox awal hampir tidak disebutkan internal audit, banyak orang merasa
bahwa audit internal akan melanggar aturan ini tidak ada konsultasi- jika itu membantu manajemen untuk
menginstal efektif Bagian 404 proses pengendalian internal. Aturan sejak berubah, bagaimanapun, dan
baru sekarang IIA standar tegas izin auditor internal untuk bertindak sebagai konsultan manajemen dalam
tertentu yang ditunjuk dan ditentukan review audit. Banyak standar IIA sekarang dipisahkan menjadi
berbeda membuktikan (yaitu, audit) dan konsultasi bagian bimbingan.
Bab ini membahas potensi peran audit internal sebagai konsultan internal untuk keseluruhan
perusahaan auditor. Kami membahas konsultasi standar IIA dan bagaimana layanan konsultasi internal
audit dapat cocok dan antarmuka dengan sebaliknya normal kegiatan audit internal. Selain itu, kami
melihat bagaimana audit internal dapat memberikan konsultasi internal untuk perusahaan dengan cara
yang tidak bertentangan normal audit membuktikan fungsi.
Menjabat sebagai konsultan perusahaan adalah peran yang diperluas dan penting bagi banyak
internal auditor. Konsultasi internal mungkin tidak sesuai dengan semua fungsi audit internal. Dalam
beberapa kasus, industri, keprihatinan komite audit, atau bahkan ukuran internal fungsi audit dapat
membatasi rencana untuk menawarkan layanan konsultasi internal. Mana pengaturan ini tampaknya
bekerja, bagaimanapun, audit internal biasanya memiliki bagian dalam pengetahuan dan pengalaman
menjadi konsultan internal penting dan berkuasa. Semua auditor internal harus memiliki tubuh yang
151
umum (CBOK) tingkat pengetahuan tentang perbedaan antara audit internal membuktikan tanggung
jawab dan menjabat sebagai konsultan internal. Selain itu, ketika auditor internal memilih untuk
bertindak sebagai konsultan perusahaan, mereka harus memiliki tingkat CBOK baik pemahaman
konsultasi praktik terbaik.
Seperti yang disebutkan di seluruh buku ini, tujuan dari audit internal adalah untuk membantu
manajemen dengan analisis menyediakan, informasi, dan rekomendasi untuk peningkatan kontrol dan
operasi. Kontrol internal dapat dievaluasi untuk:
- Kepatuhan terhadap kebijakan dan prosedur, peraturan, dan peraturan
- Keandalan dan integritas informasi keuangan dan operasional
- Efektivitas dan efisiensi operasi
- Pengamanan aset
Standar IIA sekarang secara khusus menjelaskan audit internal baik sebagai pembuktian dan
kegiatan konsultasi. Mereka memungkinkan auditor internal untuk memberikan jasa konsultasi berkaitan
dengan operasi yang merupakan tanggung jawab mereka sebelumnya, dengan ketentuan bahwa mereka
mengungkapkan penurunan potensial untuk kemerdekaan mereka atau obyektivitas terkait untuk jasa
konsultasi yang diusulkan sebelum menerima engagement. Standar IIA menetapkan konsultasi audit
internal sebagai penasehat dan terkait dengan audit layanan klien kegiatan, sifat dan ruang lingkup yang
disepakati dengan klien dan yang dimaksudkan untuk menambah nilai dan meningkatkan tata kelola
perusahaan, manajemen risiko, dan mengontrol proses tanpa auditor internal dengan asumsi tanggung
jawab manajemen. Contohnya termasuk nasihat, saran, fasilitasi, dan pelatihan.
Sering ada kesenjangan yang besar antara membuktikan tingkat audit internal dan apa yang
diperlukan untuk menjadi konsultan yang efektif. Dalam laporan internal audit, auditor internal mungkin
merekomendasikan perubahan, tetapi mereka tidak dapat memastikan bahwa perubahan terjadi. Internal
auditor hanya sering melakukan audit pembuktian, membuat rekomendasi mengenai berbagai tingkat,
dan kemudian bekerja sama untuk membuat hasil yang lebih baik.
Menjabat sebagai konsultan internal, auditor internal dapat diadakan untuk standar yang lebih
tinggi kinerja dan akuntabilitas. Dalam situasi ini, mereka harus bertindak sebagai tujuan dan kritis
“orang luar” di dalam perusahaan mereka sendiri, memberikan fakta-fakta keras dan berita buruk di luar
temuan laporan audit, termasuk isu-isu bahwa manajemen kadang-kadang tidak mau mendengar. Selain
itu, mereka harus siap untuk memberikan kebenaran manajemen di luar kesalahan saja, kelalaian, dan
kelemahan pengendalian internal. Mereka juga perlu untuk menjadi baik di percakapan konsultasi yang
152
berhubungan dengan off-the-record, yang kadang-kadang lebih penting daripada laporan audit tertulis.
Internal auditor yang menguasai prinsip-prinsip konsultasi internal yang efektif dapat menggunakan
metode terkait dan teknik untuk menggali lebih dalam dan menyampaikan kebenaran.
Menjabat sebagai perusahaan konsultan sering tempat auditor internal yang agak berbeda peran
dari audit internal normal membuktikan penugasan, di mana audit internal penggunaannya audit tujuan
perencanaan dan pengukuran risiko untuk merencanakan dan jadwal audit. Walaupun manajemen
biasanya memiliki beberapa fleksibilitas dalam menunda atau menjadwal ulang review yang
direncanakan, audit internal memiliki wewenang dan tanggung jawab untuk jadwal itu. Selain itu, audit
internal pada umumnya dapat menentukan ruang lingkup sendiri, jadwal waktu, dan tugas tim audit.
Penjadwalan audit internal biasanya beroperasi pada kolaborasi dasar, dan manajemen lokal dapat
menegosiasikan kunjungan audit atau bahkan banding kepada manajemen senior dan akhirnya komite
audit jika mereka berkeberatan dengan terencana mengunjungi audit internal, audit internal umumnya
memiliki tanggung jawab untuk melancarkan audit internal review.
Tanggung jawab untuk memulai dan untuk penjadwalan tugas konsultan adalah sering sangat
berbeda. Manajemen melibatkan auditor internal untuk datang dan membantu sebagai konsultan di
beberapa daerah. Tujuan tugas, waktu, ditugaskan tim, ruang lingkup pekerjaan yang harus dilakukan,
dan hampir segala sesuatu yang lain tidak dikenakan audit internal rencana tetapi untuk negosiasi dengan
kelompok manajemen meminta. Dalam beberapa hal, pada saat pemeriksaan internal yang bertindak
sebagai konsultan perusahaan, manajemen berusaha keluar dan terlibat dengan audit internal yang sama
dengan kontrak dengan sebuah perusahaan luar yang menawarkan jasa konsultan. Sebuah proyek
konsultasi diluncurkan melalui keterlibatan formal surat, seperti dibahas dalam Bagian 28.4 dan juga
ditunjukkan dalam Lampiran 7.3, dan proyek seringkali hasil dengan cara, informal hampir kolaboratif.
Di luar itu lelucon lama oleh beberapa skeptis manajemen-“Halo, saya dari audit internal, dan aku di sini
untuk membantu Anda “-auditor internal yang bertindak sebagai konsultan perusahaan benar-benar telah
membawa dalam karena manajemen telah meminta bantuan konsultasi.
Ada juga beberapa perbedaan penting lainnya antara operasi audit internal sebagai konsultan
internal dan penggunaan manajemen dari luar, independen perusahaan konsultan. Mungkin perbedaan
terkuat adalah bahwa jika manajemen memutuskan bahwa tidak menyetujui dari konsultan eksternal,
dapat memecat mereka. Hal-hal yang tidak mudah bila menggunakan sumber daya audit konsultasi
internal. Walaupun manajemen dapat mengakhiri keterlibatan konsultasi internal audit, tim audit yang
sama masih merupakan bagian dari keseluruhan perusahaan. Di sisi sangat positif, bagaimanapun,
internal auditor bertindak sebagai internal konsultan lebih memahami sistem organisasi, budaya,
masalah, dan lebar berbagai hal lainnya. Seorang konsultan eksternal sering tidak punya mendalam
pengetahuan.
153
Standar audit internal konsultasi sekarang jelas mendefinisikan internal audit potensi berperan
sebagai konsultan internal. Namun, beberapa anggota manajemen senior atau komite audit mungkin tidak
menyadari bahwa standar audit internal sekarang memungkinkan seperti formal kegiatan konsultasi
internal. Fungsi audit internal perlu merencanakan dan secara resmi memulai kegiatan internal konsultasi.
Tentu saja, audit internal pertama-tama harus membahas pengaturan, pertama dengan komite audit.
Kepala eksekutif audit harus menjelaskan bagaimana hal ini, komponen baru diperluas jasa audit internal
untuk manajemen dapat membawa nilai bagi perusahaan. Tentu saja, audit internal tidak boleh
melupakan bahwa tanggung jawab utama adalah untuk mengkaji kecukupan dan efektivitas internal
kontrol dalam perusahaan. Audit internal membuktikan peran sangat signifikan.
154
Bagaimana sumber daya dibagi antara audit internal terkait membuktikan dan konsultasi internal?
Audit internal perlu mengurus ekstrim bahwa hal itu tidak dipandang sebagai auditor dan
konsultan satu hari berikutnya. Dalam sebuah perusahaan audit yang lebih besar, hal ini dapat
dicapai dengan membuat bagian yang terpisah konsultasi internal dalam fungsi audit internal
secara keseluruhan. Jika tidak, perawatan harus diberikan untuk memisahkan dua fungsi yang
berbeda.
Penganggaran dan akuntansi untuk biaya jasa konsultasi audit internal. Meskipun perusahaan
konsultan eksternal atau independen biasanya tagihan jasa mereka di tingkat yang cukup besar,
internal audit membuktikan layanan sering disampaikan, gratis, untuk usaha mereka, dengan
biaya yang ditutupi dari anggaran keuangan terpusat. Internal konsultan mungkin harus dilihat
sebagai fungsi nilai tambah, mirip dengan cara bagaimana perusahaan menetapkan biaya
anggaran internal pada grafik atau jasa komputer waktu. Mekanisme pengisian dan penagihan
harus ditetapkan untuk setiap kegiatan konsultasi seperti internal.
Perencanaan dan penjadwalan kegiatan audit konsultasi internal. Terpisah namun perencanaan
yang berbeda dan penjadwalan alat harus ditetapkan untuk semua kegiatan konsultasi internal.
Banyak prosedur yang sama untuk merencanakan dan melaksanakan audit internal yang dibahas
dalam Bab 7 sampai 11 berlaku di sini. Namun, kegiatan audit internal konsultasi harus disimpan
terpisah dari reguler bahan audit internal.
Pelaporan hasil dan komunikasi dengan manajemen dan komite audit. Konsultasi kegiatan harus
melalui proses pelaporan berkala mirip dengan format dasar laporan audit internal yang dibahas
dalam Bab 17. Namun, laporan konsultasi tidak mengandung temuan laporan audit yang sama,
rekomendasi, dan respon yang diharapkan ditemukan di normal laporan audit internal. Selain itu,
sering laporan konsultasi tidak harus rinci, tingkat tinggi ringkasan diterima.
Menjual program audit konsultasi internal. Jika audit internal akan memberikan jasa konsultasi
kepada perusahaan secara keseluruhan, ia harus menjual dan mempromosikan kegiatan ini.
Meskipun kami tidak menyarankan makan siang kekuatan untuk mempromosikan program, audit
internal harus mengembangkan sebuah katalog jasa informal untuk menjelaskan konsultasi
dengan kemampuan dan persembahan.
155
akuntan publik kemudian akan memiliki semacam garis titik-titik di kantor, memisahkan laporan
keuangan auditor yang bersertifikat dari spesialis, seperti konsultan IT. Selama bertahun-tahun,
bagaimanapun, ini garis titik-titik tumbuh fuzzier sebagai konsultan ahli, terutama mereka dengan
kemampuan IT, harus terlibat langsung dalam membantu untuk menyelesaikan audit perusahaan IT-
terikat berat. Demikian pula, yang kuat BPA auditor keuangan menjadi sangat terlibat dalam membantu
dengan khusus proyek konsultan keuangan.
Pemisahan tugas menjadi hampir transparan sebelum jatuhnya Enron dan perjalanan Sox pada
abad kedua puluh satu dini. Salah satu kerusakan pengendalian internal disorot dalam audiensi legislatif
Sox adalah bahwa perusahaan akuntan publik sering sangat menyarankan bahwa salah satu konsultan IT
yang mengunjungi klien audit keuangan untuk menginstal aplikasi keuangan baru; kantor akuntan publik
akan mengirim perusahaan auditor CPA kembali untuk meninjau pengendalian internal atas bahwa
aplikasi yang sama. Menariknya, auditor keuangan biasanya tidak menemukan banyak masalah
pengendalian internal dalam aplikasi konsultan mereka sendiri baru saja diinstal. Sox telah dilarang ini
potensi konflik-dari pendekatan-bunga, dan praktik akuntansi konsultasi publik sekarang pindah sebagai
perusahaan konsultan independen.
Inti dari contoh ini adalah untuk menunjukkan bahwa pemisahan-pembatasan-tugas antara audit
dan konsultasi dapat mengurai dari waktu ke waktu. Perawatan harus dibayar untuk memisahkan peran
auditor internal yang bertindak sebagai konsultan dari mereka melakukan audit membuktikan fungsi.
Parafrase standar konsultasi audit internal yang dirangkum dalam Bab 8 (lihat Bagian 8.2 (b), 2201),
maka sangat penting bahwa auditor internal membangun pemahaman dengan klien keterlibatan
konsultasi tentang tujuan, ruang lingkup, tanggung jawab masing-masing, dan harapan klien yang lain.
Untuk signifikan Pertunangan konsultasi internal audit, pemahaman ini harus didokumentasikan.
Konsultan adalah individu yang memberikan nasihat dan bantuan kepada klien dalam suatu tugas
yang spesifik. Peran konsultan sedikit berbeda dengan auditor internal. Auditor internal memulai dengan
mempersiapkan outlining area audit program untuk mereview atau menetapkan standard. Konsultan
membuat struktur review kepatuhan berdasarkan dengan standard-standard yang ada, mendiskusikan
masalah-masalah dengan manajemen dan mengembangkan solusi secara lebih kolaboratif.
Untuk menjadi konsultan internal yang efektif, auditor internal perlu untuk melakukan perubahan
dan perlu untuk mengembangkan pendekatan baru. Langkah-langkah tindakan kunci untuk auditor
internal yang berperan sebagai konsultan internal antara lain :
156
i. Konsultasi dalam membantu mengimplementasikan rekomendasi laporan audit internal
setelah menyelesaikan review internal.
Berdasarkan arahan standar audit internal dan komite audit, mengharuskan manajemen
auditee harus menanggapi temuan laporan audit dengan rencana tindakan perbaikan dalam waktu
dekat. Dalam beberapa kasus, temuan audit menekankan kebutuhan untuk beberapa bentuk
tindakan perbaikan di dalam manajemen, dimana mungkin memiliki sumber keahlian yang
terbatas untuk mengimplementasikan adanya perbaikan yang disarankan.
Audit internal yang bertindak sebagai konsultan mungkin memiliki sumberdaya yang
tepat untuk mengimplementasikan rekomendasi laporan audit. Hal ini terjadi ketika rekomendasi
audit internal mencakup area perbaikan dokumentasi, memperbaiki prosedur pengendalian
internal atau pelatihan staf di area yang berkaitan dengan pengendalian internal. Jika management
auditee mengindikasikan bahwa mereka tidak memiliki sumber daya yang cukup untuk
mengiplementasikan rekomendasi dari audit internal, maka jasa konsultasi audit internal akan
diperlukan. Selain itu apabia menggunakan konsultan dari luar mungkin akan lebih mahal dan
penggunaan aktunya lebih lama. Ada beberapa area berbahaya untuk pekerjaan konsultasi yaitu :
1) Rekomendasi audit internal tidak boleh dikerjakan oleh audit internal itu sendiri sehingga
membangun oportunitas konsultasi.
2) Harus ada independensi antara internal audit yang membuat rekomendasi dengan konsultan
internal yang membantu menajemen untuk mengimplementasikan rekomendsi tersebut.
157
Proses awalnya, mengharuskan audit internal untuk memperoleh informasi lebih banyak
mengenai kemungkinan tugas tersebut untuk mengetahui ukuran dari suatu masalah. Apabila
seluruh hal telah cocok, audit internal harus membuat aktivitas konsultasi internalnya menjadi
formal dengan adanya surat perikatan konsultasi.
Otoritas atau pemimpin dari tim konsultasi internal audit internal harus membuat surat
formal mengenai pemahaman yang menggambarkan proyek konsultasi internal. Karena ini
merupakan pemahaman internal perusahaan, sehingga tidal memiliki dasar hukum yang sama
dengan yang dibuat oleh konsultan dari luar perusahaan. Surat perikatan ini, menjelaskan tujuan
yang akan dicapai konsultan audit internal, siapa yang akan melakukan pekerjaan tersebut, waktu
dan durasinya, dan outcome yang diharapkan dari proyek kon sulatsi ini.
Engagement letter yang disetujui akan menjadi dasar untuk proyek konsultasi internal
audit. Proyek konsultasi internal harus terorganisir dan dilacak dengan cara yang sama sebagai
audit internal normal. Perbedaan utamanya adalah bahwa subyek proyek konsultasi adalah
permintaan dan prioritas manajemen intern perusahaan.
158
permasalahan utama ialah sehubungan dengan kurangnya pelatihan, masalah perancangan sistem
teknologi informasi pendukung, masalah pengawasan dokumen, dan kesulitan input pelanggan.
Isu Ini mengidentifikasikan mungkin dapat terorganisir ke dalam satu diagram sebab akibat,
seperti terlihat dalam tampilan 28.3. Suatu ide harus mengidentifikasikan kontribusi potensial
masalah secara grafis dengan cara menyarankan sebab utama. Konsultan kemudian dapat
menggunakan diagram untuk mendiskusikan masalah dan yang menyebabkan masalah dengan
manajemen untuk memperoleh beberapa perjanjian umum terhadap masalah saat ini.
Seringkali jenis masalah potensial tingkat-tinggi menyebabkan hasil analisa secara
berurutan “Sudahkah memikirkan . . . ?” pertanyaan yang mengirim balik konsultan untuk analisa
lebih lanjut. Bagaimanapun, seperti kebanyakan analisa menunjuk konsultan 159rofess satu
rekomendasi.
159
menggunakannya berkelanjutan. Dalam kasus lain, konsultasi proyek harus didokumentasikan
dalam satu cara dimana manajemen bisa melanjutkan dengan mendokumentasikan hasil dan
fungsi atestasi audit internal akan mampu untuk menerima secara penuh pekerjaan konsultasi ini
jika mereka mengaudit pengendalian internal nya.
Mungkin lebih jika dibandingkan untuk suatu proyek audit internal tradisional, dengan
perikatan konsultasi, perhatian lebih harus berikan terhadap jam dan biaya yang dibutuhkan.
Disana akan sering menjadi biaya silang langsung, dan manajemen dapat mengharapkan untuk
melihat akuntansi rinci catatan yang mendukung permintaan biaya. Untuk suatu proyek audit
internal normal, pihak yang diaudit dapat menerima komunikasi bahwa suatu audit akan
diselesaikan setelah tiga minggu. Ketika auditor internal menyelesaikan dalam waktu empat atau
lima minggu, manajemen pihak yang diaudit dapat ingin tahu kenapa waktu pengerjaanya panjang
tetapi tidak ada permintaan biaya langsung untuk memperluas waktu.
Dalam konsultasi proyek audit internal, manajemen sering meminta untuk menyerap biaya
pekerjaan. Ekspansi dari suatu proyek dari sekitar tiga minggu ke lima minggu yang 160rofes
akan menghasilkan permintaan biaya silang ke buku besar pihak yang diaudit, dan di sana harus
terdapat dokumentasi terperinci untuk mendukung aktivitas ini. Selain itu, untuk mendukung
pemisahan tugas antara konsultasi audit internal dan aktivitas atestasi, hubungan konsultasi
proyek harus diselesaikan dalam satu cara bahwa mereka selalu terpisah dari review atestasi audit
internal.
160
internal audit. Selain dari pada itu, kepedulian besar harus berikan kepada pengorganisasian aktivitas
konsultasi audit internal sehingga tidak dirasa oleh lainnya sebagai pelayanan sendiri. Oleh karena itu,
penemuan atestasi audit internal tidak akan menerangkan sebagai pekerjaan promosi untuk meningkatkan
konsultasi proyek.
Auditor internal harus juga mempunyai suatu pemahaman CBOK tentang standar hubungan
konsultasi serta proses konsultasi. Sekalipun fungsi audit internal dipilih untuk tidak terlibat dalam
konsultasi internal di luar pekerjaan atestasi normal, semua auditor internal harus memahami peran dan
tempat konsultasi di keseluruhan proses audit internal.
161