Chapter 1

FOUNDATIONS OF INTERNAL AUDITING

Pengertian Audit Internal

Sebuah cara yang efektif untuk memulai buku ini tentang audit internal modern untuk merujuk
standar profesional dari Institute of Internal Auditors (IIA). internal ini auditor organisasi profesi
mendefinisikan praktek audit internal berikut: Audit internal adalah fungsi penilaian independen yang
dibentuk dalam suatu organisasi untuk memeriksa dan mengevaluasi kegiatannya sebagai layanan
untuk organisasi.
Pekerjaan audit internal dibedakan dari audit terkait seperti pekerjaan yang dilakukan oleh
akuntan publik luar atau pihak lain (seperti pemerintah regulator) yang tidak secara langsung
merupakan bagian dari suatu organisasi. Adapun definisi IIA dari audit internal meliputi sejumlah
istilah penting yang berlaku untuk profesi:
1. Independen berarti audit yang bebas dari pembatasan yang secara signifikan dapat membatasi ruang
lingkup dan efektivitas review atau pelaporan kemudian temuan yang dihasilkan dan kesimpulan.
2. Penilaian menegaskan perlunya evaluasi yang merupakan dorongan internal auditor ketika mereka
mengembangkan kesimpulan mereka.
3. Didirikan menegaskan bahwa audit internal adalah, fungsi definitif formal organisasi modern.
4.Memeriksa dan mengevaluasi menggambarkan peran aktif auditor internal, pertama untuk fakta
pertanyaan dan kemudian untuk evaluasi menghakimi. Kegiatannya mengkonfirmasi lingkup yurisdiksi
luas pekerjaan audit internal yang berlaku untuk semua kegiatan dari organisasi modern.
5.Istilah kegiatannya (its activities)mengkonfirmasi lingkup yurisdiksi yang luas dari audit internal
pekerjaan yang berlaku untuk semua kegiatan dari perusahaan modern .
6.Layanan mengungkapkan bahwa bantuan dan bantuan kepada manajemen dan anggota lain
organisasi adalah produk akhir dari semua pekerjaan audit internal.
7.Untuk organisasi menegaskan bahwa jumlah Popper terkait lingkup jasa audit internal
ke seluruh organisasi, termasuk semua personil, dewan direksi dan komite yang audit, pemegang
saham, dan pemangku kepentingan lainnya.

Audit internal juga dapat diakui sebagai kontrol organisasi yang fungsi dengan mengukur dan
mengevaluasi efektivitas pengendalian lainnya. ketika sebuah organisasi menetapkan perencanaan dan
kemudian mulai menerapkan nya rencana dalam hal operasi, ia harus melakukan sesuatu untuk
memantau operasi untuk memastikan pencapaian tujuan yang telah ditetapkan. Upaya-upaya lebih
lanjut dapat dianggap sebagai kontrol. Sementara fungsi audit internal itu sendiri salah satu jenis
kontrol yang digunakan, ada berbagai kontrol lainnya. Peran khusus internal Audit adalah untuk

1
membantu mengukur dan mengevaluasi kontrol-kontrol lainnya. Dengan demikian, intern auditor harus
memahami kedua peran mereka sendiri sebagai fungsi kontrol dan sifat dan ruang lingkup jenis-jenis
kontrol dalam organisasi.
Sejarah Dan Latar Belakang Audit Internal
Hal yang biasa bagi setiap kegiatan-kegiatan termasuk kontrol seperti auditing- intern untuk
datang menjadi ada sebagai hasil dari kebutuhan yang muncul. Organisasi bisnis 1942, ketika audit
internal modern yang baru saja mulai, sangat berbeda dari organisasi abad kedua puluh satu kami hari
ini.
Misalnya, selain dari beberapa perangkat elektromekanis dan kegiatan di laboratorium
penelitian, komputer sistem tidak ada. Organisasi tidak perlu untuk pemrogram komputer
sampai mesin ini mulai menjadi berguna untuk berbagai pencatatan dan
fungsi komputasi lainnya. Demikian pula, organisasi harus sangat sederhana
sambungan telepon di mana operator telepon dialihkan semua panggilan yang masuk ke
sejumlah telepon desktop yang.
Hari ini, kita semua terhubung melalui luas, web di seluruh dunia otomatis telekomunikasi dan
Internet. The meningkatnya kompleksitas bisnis modern dan organisasi lain telah menciptakan
kebutuhan untuk spesialis yang sama di berbagai kontrol bisnis: auditor internal. Kita dapat lebih
memahami sifat audit internal hari ini jika kita tahu sesuatu
tentang perubahan kondisi di masa lalu dan kebutuhan yang berbeda ini
perubahan yang dibuat.
Pada tingkat yang paling primitif, evaluasi atau fungsi audit internal dapat
ada apabila salah satu orang duduk kembali dan survei sesuatu yang ia punya
dilakukan. Pada saat itu, individu meminta dia-sendiri seberapa baik suatu tugas tertentu
telah dicapai dan, mungkin, bagaimana mungkin akan dilakukan dengan lebih baik jika itu menjadi
dilakukan lagi.
Tugas audit internal pertama biasanya berasal untuk memenuhi kebutuhan operasional sangat
dasar dan tajam didefinisikan. Paling awal khusus perhatian manajemen adalah apakah aset organisasi
sedang benar dilindungi, apakah prosedur dan kebijakan perusahaan sedang memenuhi dengan, dan
apakah catatan keuangan yang dipertahankan secara akurat.
Untuk sebagian besar, upaya audit internal ini awalnya dipandang sebagai terkait erat
perpanjangan pekerjaan auditor eksternal. Akibat dari semua faktor ini adalah bahwa ini auditor
internal awal adalah dipandang sebagai memainkan peran yang relatif sempit dalam organisasi mereka,
dengan terbatas tanggung jawab dalam total spektrum manajerial. Internal auditor awal sering
dipandang sebagai checker berorientasi finansial catatan dan lebih dari polisi

2
Petugas dari rekan kerja. Dalam beberapa organisasi, auditor internal memiliki besar
tanggung jawab untuk rekonsiliasi dibatalkan cek gaji dengan laporan bank atau
memeriksa matematika dalam dokumen bisnis biasa.
Dalam organisasi ritel, auditor internal sering bertanggung jawab untuk mendamaikan penjualan
tunai harian untuk mencatat penerimaan penjualan. Memahami sejarah audit internal penting karena tua
gambar masih berlanjut, sampai batas tertentu, untuk auditor internal modern saat ini. Hal ini agar
meskipun karakter fungsi audit internal saat ini sangat berbeda.
Seiring waktu, operasi berbagai organisasi meningkat dalam volume dan kompleksitas,
menciptakan masalah manajerial dan tekanan baru pada manajemen senior.
Hubungan Terhadap Operasional, Keuangan Dan Informasi Sistem Audit
Selama tahun 1960, ada kecenderungan kuat bagi banyak orang untuk menggunakan istilah
operasional audit di tempat audit internal tradisional. Alasannya adalah bahwa intern audit adalah
istilah diikat terlalu erat dengan audit keuangan dasar, termasuk eksternal.
Dalam bentuknya yang paling ekstrim, yang disebut fungsi audit operasional akan memisahkan
sendiri sepenuhnya dari daerah keuangan disebut. Mereka akan mengklaim, misalnya, tidak memiliki
keahlian di kontrol keuangan mengelilingi piutang operasi. Sebaliknya, mereka mungkin melihat proses
kontrol dan mengabaikan isu apakah kas yang diterima dicatat dengan benar dan diikat ke rekening
keuangan, termasuk buku besar.
Cakupan akuntansi dan kontrol keuangan dan proses juga memberikan kesempatan bagi
memperluas jangkauan layanan audit internal ke dalam wilayah operasional yang lebih luas. Karena
catatan akuntansi dan keuangan secara langsung atau tidak langsung mencerminkan semua kegiatan
operasional, audit internal berorientasi finansial ulasan pintu sering terbukauntuk kegiatan lainnya.
Dalam hal strategi, sebuah ditinggalkan audit internal akuntansi dan keuangan daerah dapat
membuat vakum yang akan mengundang munculnya fungsi audit jenis lainnya. Audit Mutu Internal
Jaminan dan ASQ Kualitas Audit "misalnya, akan membahas berapa banyak tradisional auditor internal
di masa lalu diabaikan Organisasi Internasional untuk
Standardisasi (ISO) "kualitas" gerakan di awal hari, yang menyebabkan hampir profesi yang terpisah
dari kualitas auditor.
Fungsi audit internal saat ini perlu memiliki cakupan yang memadai kunci akuntansi dan
keuangan daerah, dan tanggung jawab siapa yang melakukan itu pasti akan meluas ke gambaran
wilayah operasional yang lebih luas. kegagalan untuk menutupi area keuangan utama adalah salah satu
argumen perusahaan audit eksternal dibuat untuk manajemen senior ketika mereka menawarkan untuk
menyediakan outsourcing perusahaan audit internal jasa. Selama beberapa tahun menjelang
diberlakukannya SOA, hampir muncul bahwa kantor akuntan publik yang mengambil alih audit

3
 internal melalui pengaturan outsourcing mereka. Sekarang, auditor eksternal organisasi dilarang juga
melakukan audit internal untuk organisasi yang sama.
Auditor internal saat ini adalah elemen jauh lebih penting dalam rangka pengendalian internal
secara keseluruhan organisasi daripada mereka yang tidak yang bertahun-tahun di masa lalu. Agar
efektif di sini, auditor internal harus mendapatkan pemahaman yang kuat tentang pengendalian internal,
dan keterlibatan audit internal dengan Bagian SOA 404 ulasan memerlukan beberapa pemahaman yang
berlaku umum prinsip akuntansi (GAAP) dan kontrol keuangan yang terkait. Oleh karena itu, auditor
internal saat ini perlu memahami keuangan dan operasional serta sistem informasi kontrol.

FOUNDATIONS OF INTERNAL AUDITING

Defenisi audit internal Independen

Penilaian menegaskan perlunya evaluasi

Didirikan audit internal sabgai fungsi definitif

formal organisasi modern
Defenisi audit internal Memeriksa dan mengevaluasi
menurut IIA
Layanan adalah produk akhir dari semua pekerjaan
audit internal.
Menegaskan cakupan untuk organisasi

Sejarah Dan Latar Belakang

Audit Internal

Hubungan Terhadap Operasional, Keuangan

Dan Informasi Sistem Audit

4
 Chapter 2
Internal Audit’s Common Body of Knowledge
Apa yang dimaksud dengan CBOK (Common Body of Knowledge)
CBOK diberbagai profesi diartikan sebagai batas minimum kecakapan yang dibutuhkan untuk kinerja
yang lebih efektif dalam suatu profesi tersebut. Dibanding menaruh semua pengetahuan dibidang yang
mana praktisi, seperti misalnya internal auditor, perlu terlihat “ahli” dalam profesi tersebut, suatu CBOK
lebih memfokuskan pada pengetahuan minimal yang diperlukan oleh setiap professional dalam disiplin
ilmu tersebut untuk menghasilkan kinerja yang lebih efektif.
CBOK juga merujuk pada berbagai organisasi profesional yang yang dikembangkan atau berusaha
dikembangkan untuk CBOK organisasi tersebut. Contohnya : BAI (Bank Administration Institute) yang
membuat CBOK sebagai acuannya terutama dalam hal risikonya.
Hubungan antara CBOK dengan pengetahuan lainnya bagi seorang internal auditor dapat dilihat pada
gambar berikut:

Institute of Internal Auditor’s Research Foundation CBOK

Audit internal dikembangkan dari suatu dukungan utama akuntansi dan pengecekan keakuratan
matematika, hingga evaluasi pengendalian internal spesialis saat ini. Profesi auditor internal memiliki
sejarah yang panjang. Berdasarkan International Standards for the Practice of Internal Auditing IIA,
auditor internal saat ini bekerja di perusahaan, organisasi non-profit, dan seluruh kantor pemerintahan.
Diluar standar yang telah dibuat IIA dan beberapa review persyaratan legal audit internal. Tidak terdapat
aturan pasti mengenai panduan benar dan salah dalam praktek audit internal. Selain itu, auditor internal
saat ini mengikuti sejumlah besar praktek terbaik dibawah keseluruhan panduan dari standar IIA. Banyak
praktek terbaik audit internal yang dikomunikasikan dari satu auditor ke auditor lainnya melalui publikasi
dan aktivitas IIA, mengikuti motto “Progress through Sharing (Kemajuan melalui Berbagi)” mereka.
Meski demikian, setelah bertahun-tahun, audit internal profesional menunjukkan kebutuhan akan hal

5
yang lebih formal dan pengembangan dalam CBOK audit internal. Lembaga Riset IIA (the IIA Research
Foundation-IIARF) meluncurkan upaya utama pada tahun 2006 untuk mengembangkan semacam CBOK
untuk profesi audit internal. Hasil awalnya pada tahun 2008, dipublikasikan pada studi riset pertengahan
tahun 2007.
Tujuan yang dinyatakan oleh survey ini mencakup dan menggambarkan bagian dari praktek audit internal
profesional diseluruh dunia, termasuk:
 Pengetahuan dan kemampuan dalam proses auditor internal
 Kemampuan dan tingkat peorganisasian yang digunakan untuk praktek kerja audit internal
 Kewajiban yang dapat ditunjukkan auditor internal
 Struktur organisani audit internal
 Beberapa tipe industri yang mempraktekan audit internal
 Regulasi lingkungan di beberapa negara

CBOK IIARF bertujuan mendokumentasikan pemahaman tentang peran nilai tambah unik yang dimiliki
audit internal perusahaan di seluruh dunia, berdasarkan pemahaman ini, suatu tujuan CBOK IIARF
menjasi lebih baik dalam menentukan masa depan audit internal dan memastikan bahwa hal tersebut
berisi “semangat dan kontribusi relevan terhadap perusahaan”.
Sayangnya, tujuan CBOK IIARF tidak mengembangkan seperangkat standar level tinggi dalam
pelaksanaan audit internal, seperti pendekatan yang digunakan dalam PMBOK PMI maupun praktek
terbaik untuk Perpustakaan Informasi Teknologi Infrastruktur (Information Technology Infrastructure
Library—ITIL). IIARF ditujukan hanya untuk memperoleh pengetahuan yang lebih baik mengenai
aktivitas dan tugas auditor internal saat ini dalam berbagai bagian unit IIA di seluruh dunia dan operasi
individu seperti fungsi kepala audit internal termasuk Chief Audit Executives (CAEs), manajer audit,
senior audit internal/supervisor, staf, dan hal lainnya yang terkait audit internal.
Meskipun disebut sebagai CBOK, pendekatan IIARF tidak menentukan seperangkat pengetahuan umum
akan praktek terbaik audit internal melainkan untuk mensurvei apa yang dilakukan auditor internal disaat
praktek publikasi studi dari negara ke negara. Untuk mengembangkan studi IIARF, sebuah tim kontraktor
dikontrak, format rinci standar survey dikembangkan, dan survey ini dikirim kepada 9000 fungsi
individual audit internal.
Survey CBOK IIARF dilakukan terhadap survei tipe-pelanggan yang serupa dimana partisipan ditanyai
untuk bersedia memberikan tanggapan atas pertanyaan berdasarkan skor 1 sampai 5 untuk setiap
pertanyaan. Tanggapan dengan skor 5 berarti responden sangat setuju dengan pertanyaan survey, skor 4
berarti setuju, dan skor 1 mengindikasikan responden sangat tidak setuju dengan pertanyaan survey.
Hasilnya akan dipubikasikan sebagai nilai tengah atas bebagai tanggapan; tidak ada nilai standar deviasi
yang ditunjukkan dalam tingkatan tanggapan-tanggapan tersebut.

6
Kelemahan survei ini ialah hasil dari survei tersebut dapat membingungkan. Selain itu, survei ini juga
tidak dapat menghasilkan informasi lebih lanjut yang dapat emndukung jenis tanggapan atau variasi dari
skor yang tercatat. Berikut ini 3 pernyataan evaluasi CBOK IIARF yang berada di bawah skor 4 dan
diatas skor 3,5:
1. Kegiatan Internal audit anda membawa sebuah pendekatan sistematis untuk mengevaluasi
keefektivan proses penguasaan.
2. Cara aktivitas internal audit kita menambah nilai untuk proses penguasaan adalah melalui akses
langsung kepada komite audit.
3. Ijin dengan IIA’s Standard s for the Professional Practice of Internal Auditing adalah sebuah
factor kunci dari kegiatan audit internal anda untuk menambah nilai untuk proses penguasaan.

Dengan laporan seluruh level responden yang relatif rendah untuk pertanyaan-pertanyaan ini, maka
perhatian beberapa manajemen audit internal harus dipusatkan pada hal ini. IIA menyatakan
merencanakanm untuk memperbarui studi CBOK IIARF setiap tiga tahun dan menunjukkan rencana
umum untuk mengembangkan dan melepas produk lain dan penawaran untuk meningkatkan dan
membangun CBOK audit internal.
CBOK IIARF tidak memberi pedoman dalam praktek terbaik audit internal. CBOK IIRF hanya
memberikan gambaran garis bersar aktivitas audit internal dan bagaimana mempraktekannya. Standar
IIA dibentuk melalui upaya keras komite relawan. Melalui bagian IIA lokal mereka, auditor internal
seharusnya bisa lebih terlibat dalam proses pengembangan standar IIA. Yang paling penting ialah,
standar IIA ini secara efektif menentukan body of knowledge atau seperangkat praktik terbaik bagi audit
internal.

WHAT DOES AN INTERNAL AUDITOR NEED TO KNOW ? apa yang perlu diketahui oleh
seorang auditor internal?
Seorang auditor internal semestinya mengembangkan pengetahuan umum mengenai esensi dari seluruh
topik yang dibahas dalam buku ini.
Auditor internal yang berpengalaman biasanya terspesialisasi dalam beberapa area dan memliliki
tingkatan yang lebih besar atas pengetahuan industri spesifik. Bagaimanapun perusahan manufaktur
industri alat berat atau yang menyediakan beberapa jasa financial, seorang auditor internal
berpengalaman seharusnya mengembangkan kemampuan dan pengetahuan mengenai bagian spesifik
tersebut.
Pengetahuan tersebut bisa didapat dari membaca publikasi industry-spesifik, menghadiri pameran
perdagangan , atau hanya mendengar lebih banyak. Setelah memperbanyak pengetahuan tentang

7
industry-spesifik , seorang auditor internal dapat menggunakan beberapa pengetahuan tersebut dan
menggabungkannya dengan prinsip-prinsip audit secara layak.

MODERN INTERNAL AUDITING ‘S CBOK GOING FORWARD

Kita mengenal bahwa lapangan dan profesi dari internal auditing adalah luas. IIA telah memgumumkan
rencana utama untuk membangun dan memperluas IIARF CBOK itu sendiri di tahun- tahun kedepan .
Akan tetapi, pulikasi terbaru IIARF CBOK menemukan bahwa akhir-akhir ini sejumlah auditor internal
tidak mengikuti standar IIA , IIA mereview temuan ini dan hanya menerbitkan lebih banyak materi dasar
untuk kedepannya. Laporan praktek ini menunjukan kebutuhan pengetahuan auditor internal secara
nyata.

8
 Chapter 3
Internal Control Framework: The COSO Standard

PENTINGNYA PENGENDALIAN INTERNAL YANG EFEKTIF

 Pengendalian internal adalah suatu proses yang diimplementasikan menajemen yang didesain untuk
mendapatkan penjaminan yang layak atas informasi keuangan dan proses bisnis perusahaan.
Pengendalian internal yang efektif atas proses bisnis tercapai jika (1) misi yang telah ditetapkan
tercapai dengan cara etis, (2) menghasilkan data yang akurat dan handal, (3) memenuhi undang-undang
dan kebijakan berusaha yang berlaku, (4) menyediakan penggunaan asset yang ekonomisasi dan
efisien, (5) menyediakan keamanan asset yang tepat.
 Sistem pengendalian internal terus menjadi dasar dari kegiatan operasional dan akuntansi dari proses
bisnis yang efektif.
 Aktivitas utamanya meliputi mengevaluasi dan menilai berbagai tingkat pengendalian.
 Manajer bertanggung jawab menciptakan dan mengelola pengendalian internal ini, dan auditor internal
menilai efektivitasnya serta membuat rekomendasi yang diperlukan.

INTERNAL CONTROLS STANDARDS: BACKGROUND

 Definisi pengendalian internal menurut SAS (Statement on Auditing Standards) No. 1:
pengendalian internal terdiri dari perencanaan bisnis dan semua metode yang terkoordinasi serta
pengukuran yang dipakai entitas untuk mengamankan asetnya, mencocokkan keakuratan dan
kehandalan data akuntansi, mengembangkan efisiensi operasional, dan mendukung ketaatan untuk
menentukan kebijakan manajerial.
 Foreign Corrupt Practices Act of 1977 melarang penyuapan pada pejabat asing dan mendorong
ketentuan diwajibkannya pemeliharaan bku dan pencatatan yang akurat sebaik system pengendalian
internal akuntansi.
 FCPA membawa dampak yang signifikan baik untuk auditor internal, maupun eksternal, karena
untuk pertama kalinya manajemen bertanggung jawab atas sistem pengendalian internal akuntansi yang
memadai untuk menyediakan penjaminan yang layak bahwa transaksi diotorisasi dan dicatat untuk
nenyediakan penyiapan laporan keuangan yang sesuai dengan GAAP.
 Selain itu FCPA menyatakan bahwa akuntabilitas dipelihara untuk penggunaan aset dan aksesnya
hanya diperbolehkan dengan otorisasi atas persediaan fisik periodik.
 FCPA meningkatkan pentingnya pengendalian internal dan peraturan anti penyuapan.

9
 FCPA merupakan langkah awal untuk membantu perusahaan memikirkan tentang kebutuhan
pengendalian internal yang efektif, meskipun tidak ada pedoman atau standar atas ketentuan yang
ditetapkan oleh FCPA

EVENTS LEADING TO THE TREADWAY COMMISSION

 FCPA mengharuskan laporan perusahaan untuk mencatat pengendalian internal mereka, teatapi tidak
meminta auditor eksternal untuk membuktikan apakah perusahaan sudah mematuhi peraturan
pelaporan pengendalian internal FCPA.
 The Cohen Commission merupakan high-level commission on auditor’s responsibility. Mereka
menyarankan adanya laporan tentang pengendalian internal, dimana auditor eksternal perlu
memberikan opini atas kewajaran asersi pengendalian manajemen dalam financial statement internal
control letter yang disusulkan.
 FEI mengesahkan rekomendasi The Cohen Commission ttg internal control dan setuju bahwa
perusahaan harus melaporkan bagaimna pengendalian akuntansi internal mereka.
 Selanjutnya SEC menerbitkan peraturan yang meminta laporan manajemen atas sistem pengendalian
akuntansi internal perusahaan. SEC menyatakan bahwa informasi efektivitas pengendalian internal
dibutuhkan untuk mmbantu investor melakukan evaluasi yang lebih baik atas kinerja manajemen dan
integritas laporan keuangan yang diterbitkan ke publik.
 Expectation gap merupakan masalah yang dialami oleh AICPA, dimana standar audit mereka tdk
menyediakan petunjuk yg cukup untuk auditor eksternal atau pengguna laporan.
 Untuk mengatasinya AICPA menerbitkan peraturan2 baru, termasuk SAS No.30 tentang Pelaporan
Pengendalian Akuntansi Internal, serta SAS No.55 tentang Pertimbangan Struktur Pengendalian
Internal dalam Audit Laporan Keuangan. Proses pengendalian internal misalnya kebijakan dan
prosedur yang berfokus pada efektivitas, efisiensi, ekonomis, dan ekonomisasi proses pengambilan
keputusan manajemen atau prosedur yang meliputi aktivitas riset&development. SAS No.55 ini
mendefinisikan internal control dalam 3 elemen kunci: (1) Lingkungan Pengendalian, (2) Sistem
Akuntansi, dan (3) Prosedur Pengendalian.
 The National Commission on Fraudulent Financial Reporting atau Treadway Commission
bertujuan untuk mengidentifikasi factor penyebab kecurangan pada laporan keuangan dan memberikan
saran untuk meminimalisnya. Komisi ini meminta manajemen melaporkan efektivitas system
pengendalian internal dan menentukan elemen kunci apa saja yang membentuknya, termasuk
lingkungan pengendalian yg kuat, codes of conduct, audit komite yang kompeten dan ikut terlibat, serta
fungsi audit internal yang kuat.

10
KERANGKA PENGENDALIAN INTERNAL COSO
Pengendalian internal menurut COSO: pengendalian internal adalah proses, dipengaruhi oleh dewan
direksi, manajemen, dan personel lain, disusun untuk menyediakan keyakinan yang layak dalam rangka
meraih tujuan dalam kategori: (1) efektivitas dan efisiensi operasi, (2) kehandalan laporan keuangan, (3)
kepatuhan terhadap undang2 dan peraturan yang berlaku.
Inti dari kerangka pengendalian internal COSO adalah kita harus mempertimbangkan bagaimana tiap
pengendalian internal saling berhubungan dengan pengendalian internal lain.
a.Lingkungan Pengendalian
Merupakan pondasi/dasar struktur pengendalian internal menurut COSO, yang berpengaruh terhadap
struktur semua aktivitas dan penilaian risiko, termasuk sejarah dan budaya perusahaan.
i. Integritas dan Nilai Etika
Nilai ini merupakan pesan yang dikomunikasikan oleh manajer senior. Jika perusahaan telah
mengembangkan code of conduct yang kuat, yang menentukan integritas dan nilai etika, dan bila
para pemegang kepentingan mengikutinya, seluruh pemegang kepentingan akan memiliki
keyakinan bahwa perusahaan telah memiliki nilai yang baik. Code of conduct mendeskripsikan
peraturan tentang perilaku etika.
Gangguan yang mendorong para pemegang kepentingan untuk mengadakan audit: tidak ada
pengendalian atau ada, tapi tidak efektif; tingginya desentralisasi, sehingga menurunkan kesadaran
top-manager akan tindakan manajer di bawahnya; fungsi internal audit yang lemah; sanksi tindakan
yang tidak benar kurang berat atau tidak dipublikasikan.
ii. Komitmen untuk Kompetensi
Perusahaan perlu untuk menspesifikasi tingkat kompetensi yang diperlukan untuk berbagai job-
desk serta mewujudkan persyaratan tersebut menjadi tingkat pengetahuan dan keterampilan yang
diperlukan. Dengan menempatkan orang yang tepat dalam pekerjaan yang tepat dan memberikan
pelatihan yang cukup yang diperlukan, perusahaan telah memenuhi komponen pengendalian
internal COSO yang penting.
iii. Dewan Direksi dan Komite Audit
Dewan direksi dan komite audit harus benar-benar pihak yang independen. Dengan menetapkan
kebijakan dan me-review seluruh kegiatan perusahaan, dewan direksi dan komite audit memiliki
tanggung jawab penting untuk menetapkan pengendalian pada tingkat atas.
iv. Filosofi Manajemen dan Gaya Operasi
Komponen ini harus dipahami oleh auditor internal dan menjadikannya pertimbangan dalam
mengevaluasi efektivitas pengendalian internal. Tidak ada gaya dan filosofi yang paling baik, tetapi
faktor ini penting dalam mempertimbangkan komponen pengendalian internal lainnya.

11
 v. Struktur Organisasi
Struktur organisasi adalah tatanan atau pendekatan atas usaha bekerja individu untuk di ditugaskan
dan disatukan guna meraih seluruh tujuan. Struktur organisasi merupakan aspek penting dari
pengendalian internal perusahaan. Komponen ini menyediakan kerangka untuk aktivitas
perencanaan, pelaksanaan, pengawasan, dan pemantauan guna membantu meraih tujuan.
Komponen ini berhubungan dengan bagaimana fungsi2 yg ada dikelola dan diorganisir.
vi. Pembagian Kewenangan dan Tanggung Jawab
Pengendalian internal sangat terpengaruh dengan tingkat dimana individu sadar akan tanggung
jawabnya. Hal ini akan menuntunnya menjadi chief executive, yang memiliki tanggung jawab besar
untuk semua aktivitas yang berhubungan dengan entitas, termasuk sistem pengendalian internal.
vii. Kebijakan SDM dan Praktika
Kebijakan dan praktika seputar SDM meliputi:
- rekrutmen dan penetapan kerja (hiring)
- orientasi/pengarahan pegawai baru
- evaluasi, promosi, dan kompensasi
- tindakan disiplin
Komponen ini penting karena jika tidak ada kebijakan dan prosedur SDM yang kuat, maka pesan
dari atas dalam sturktur perusahaan tidak akan tersampaikan.
viii. Lingkungan Pengendalian COSO dalam Perspektif
Kerangka pengendalian internal COSO berupa piramid, dimana lingkungan pengendalian menjadi
pondasi. Perusahaan yang sedang membangun pengendalian internal yang kuat harus
memperhatikan komponen ini baik2. Akan tetapi komponen lain juga tidak kalah penting. Evaluasi
atas pengendalian internal COSO bukan hanya mempertanyakan ”apakah debet dan kredit sudah
balance?” akan tetapi karena kebutuhan kebijakan yang kuat, yang fundamental tapi mungkin
berbeda untuk tiap perusahaan.

b. Penilaian Risiko
Kemampuan perusahaan untuk meraih tujuannya memiliki risiko, dari internal maupun eksternal.
COSO mendeskripsikan penilaian risiko dlm 3 tahapan: (1) mengestimasi signifikansi risiko; (2)
menilai kemungkinan atau frekuensi terjadinya risiko; (3) mempertimbangkan bagaimana risiko harus
dikelola dan tindakan apa yg hrs dilakukan.
Kerangka pengendalian internal COSO menyarankan risiko harus dipertimbangkan dari 3
perspektif:
1. Risiko perusahaan dari faktor eksternal

12
 Meliputi pengembangan teknologi yang dapat mempengaruhi sifat dan jgka waktu riset dan
development atau mendorong adanya perubahan proses produksinya; perubahan kebutuhan atau
harapan konsumen; penetapan harga; garansi; atau aktivitas jasa (services).
2. Risiko perusahaan dari faktor internal
Misalnya gangguan server IT; kualitas kayawan; atau akses atas aktiva yang lebih bebas.
3. Specific activity-level risks
Meliputi bidang pemasaran, IT, dan keuangan.

c. Aktivitas Pengendalian
- Macam aktivitas pengendalian:
1.Top-level reviews
Manajemen dan internai auditor pada berbagai tingkat harus me-review hasil kinerja mereka,
membandingkannya dengan budget, statistika kompetitif, dan ukuran benchmark lain.
2.Fungsional langsung atau manajemen aktivitas
Manajer pada berbagai tingkat harus me-review laporan operasional dari sistem pengendalian
mereka dan mengambil tindakan korektif yang tepat.
3.Proses informasi
IT mengandung banyak pengendalian dimana sistem secara internal mengecek kepatuhan dalam
area tertentu dan kemudian melaporkan pengecualian pengendalian internalnya. Hal-hal yang
dilaporkan sebagai pengecualian harus mendapatkan tindakan korektif secara otomatis dari
prosedur sistem, atau operatornya, atau maanjemen.
4.Pengendalian fisik
Perusahaan harus memiliki pengendalian yang tepat atas aset fisiknya, termasuk aset tetap.
Persediaan, dan surat berharga.
5.Indikator kinerja
Manajemen seharusnya mengumpulkan data2 yg berhubungan, baik operasional maupun keuangan
satu sama lain dan melakukan tindakan analitis, investigasi, dan korektif yang tepat.
6.Pemisahan tugas
Tugas2 harus dipisahkan antara orang2 yg berbeda untuk mengurangi risiko terjadinya tindakan
yang salah atau tidak tepat.

- Integrasi aktivitas pengendalian dengan penilaian

Pengendalian internal merupakan proses dan aktivitas pengendalian yang tepat harus dilakukan untuk
mengidentifikasi risiko.

13
 - Pengendalian atas sistem informasi
Kerangka pengendalian internal COSO menyoroti beberapa area IT untuk mengevaluasi kecukupan
seluruh pengendalian internal. Pengendalian umum meliputi sentralisasi server atau pengendalian
penyimpanan data manajemen, termasuk penjadwalan pekerjaan, manajemen database, dan
perencanaan bisnis berkelanjutan. Kerangka pengendalian internal COSO menyimpulkan adanya
kebutuhan untuk mempertimbangkan pengaruh keterlibatan teknologi ketika mengevaluasi aktivitas
pengendalian sistem informasi.

d. Komunikasi dan Informasi

- Hubungan antara informasi dan pengendalian internal
Informasi yang penting harus dapat mengalir dari tingkat atas sampai ke bawah. Kerangka
pengendalian internal IT COSO harus menekankan pentingnya menjaga informasi dan sistem
pendukung yang sesuai dengan kebutuhan perusahaan secara keseluruhan. Sistem informasi yang
efektif dilakukan untuk mendukung perubahan di berbagai tingkat.
 Strategic and integrated systems
Dengan strategic system, laporan engendalian internal COSO mengharuskan manajer
mempertimbangkan perencanaan, desain, dan implementasi sistem informasinya sebagai bagian dari
strategi perusahaan secara keseluruhan. Strategic system ini mandukung bisnis perusahaan dan
membantu menjalankan misinya. Selain itu COSO juga menekankan pentingnya sistem informasi
yang terintegrasi dengan operasi lain.
 Kualitas informasi
Untuk menentukan kualitas informasi, harus diketahui apakah: isi dari informasi yang dilaporkan
sudah tepat; informasi tsb tepat pada waktunya dan tersedia saat dibutuhkan; informasi tsb didapat
sekarang atau minimal terbaru; data dan informasi benar; informasi tsb dapat diakses oleh pihak
yang tepat.

- Aspek komunikasi pengendalian internal

Menurut pengendalian internal COSO, komponen komunikasi yang paling penting adalah bahwa
para pemegang kepentingan harus menerima pesan dari manajer senior untuk mengingatkan mereka
akan tanggung jawab pengnedalian internal. Hal ini penting untuk memastikan bahwa perusahaan
akan mengikuti prinsip pengendalian internal yang efektif. Komunikasi harus berjalan dua arah, dan
COSO menekankan bahwa para pemegang kepentingan harus juga melapor kepada perusahaan

14
 secara keseluruhan. Komunikasi ke atas ini memiliiki 2 komponen: (1) komunikasi normal: proses
dimana para pemegang kepentingan diharapkan untuk melaporkan status, kesalahan, atau masalah
melalui supervisor mereka, (2) komunikasi rahasia: merupakan mekanisme dimana seseorang dapat
melaporkan berbagai hal kepada personel atasnya secara anonim.
Pengendalian internal COSO menjelaskan elemen komunikasi sbb: entitas yang budayanya
dipahami dengan baik oleh seluruh personel perusahaan dan memiliki banyak sejarah beroperasi
dengan integritas, umunya hanya akan mengalami sedikit kesulitan mengkomunikasikan pesannya.
Entitas tanpa tradisi akan perlu banyak jalan untuk mengkomunikasikan pesannya.

e. Pengawasan
- Aktivitas pemantauan yang terus-menerus (ongoing)
Contoh aktivitas pemantauan yang terus-menerus:
 Fungsi normal manajemen operasional
Review manajemen atas laporan operasional dan keuangan merupakan aktivitas pemantauan
terus-menerus yang penting.
 Komunikasi dari pihak eksternal
Elemen ini berhubungan erat dengan komponen komunikasi dari pihak eksternal.
 Struktur perusahaan dan aktivitas supervisory
Ketika manajer senior harus selalu me-review laporan dan melakukan tindakan korektif, supervisi
tingkat pertama dan sturktur perusahaan yg berhubungan memiliki peran penting dalam
pemantauan.
 Physical inventory dan rekonsiliasi aset

- Evaluasi pengendalian internal yang terpisah

Pengendalian internal COSO mememberikan pedoman proses evaluasi untuk me-review
pengendalian internal. Evaluator harus: (1) mengembangkan pemahaman atas desain sistem; (2)
menguji pengendalian kunci; (3) mengembangkan kesimpulan berdasarkan hasil pengujian. Selain
itu juga dapat dilakukan benchmarking, yaitu proses membandingkan proses yang dilakukan
perusahaan dengna prosedur pengendalian yang dilakukan oleh perusahaan sejawat (peer).
Dokumentasi yang baik akan membuat evaluasi atas pengendalian internal lebih efktif. Tapi tidak
semua didokumentasikan. Bila ada proses yang tidak didokumentasikan, informal, tapi cukup efektif,
maka tim review akan perlu untuk menyiapkan dokumentasi evaluasi sendriri guna menjelaskan
bagaimana proses tsb bekerja dan ttg sifat dasar pengendalian internalnya.

15
 - Pelaporan kekurangan pengendalian internal
COSO menyatakan: jika kekurangan pengendalian internal perusahaan dapat mempengaruhi
pencapaian tujuannya, maka harus dilaporkan kepada pihak yang dapat melakukan tindakan yang
diperlukan. Penemuan kekurangan pengendalian internal seharusnya dilaporkan tidak hanya kepada
individu yang bertanggung jawab atas fungsi atau aktivitas yang terkait, yang dapat melakukan
tindakan korektif, tetapi juga minimal dilaporkan pada manajemen yang berada satu tingkat di atasnya.
Proses ini memugkinkan individual tsb menyediakan dukungan atau pandangan yang diperlukan untuk
melakukan tindakan korektif, dan untuk mengkomunikasikan dengan pihak lain dalam perusahaan
yang aktivitasnya mgkn terpengaruh. Bilamana penemuan kekurangan melewati batas organisasi, maka
pelaporannya harus menyesuaikan juga dan diarahkan sedemikan rupa sehingga mencukupi untuk
dapat dilakukan tindakan yang tepat.

DIMENSI LAIN DARI KERANGKA PENGENDALIAN INTERNAL COSO

Tiga dimensi yang berada pada bagian atas kerangka pengendalian internal COSO:
 Kehandalan laporan keuangan
 Kepatuhan terhadap undang-undang dan peraturan yang berlaku
 Efektivitas dan efisiensi operasi

16
 Chapter 4
Internal Audit and the Sarbanes-Oxley Act

Skandal keuangan perusahaan menyebabkan komunitas investasi memperbarui standar audit

keuangan menjadi lebih baik dalam praktek firma akuntan public. Institute of Internal Auditor (IIA)
merilis revisi dengan singkat standarnya untuk praktik professional internal untuk menggantikan set
standar yang sebelumnya terlalu luas,dan detail. ISACA merevisi dan memperbaiki kerangka proses
COBIT agar lebih dapat diterima oleh semua auditor dan kelompok manajemen. Perubahan utama yang
berkaitan dengan Sarbanes-Oxley Act (SOA) meliputi perusahaan akuntan publik, standar audit
keuangan, dan tata kelola perusahaan. Melalui inisiatif legislatif, profesi akuntan publik telah mengalami
perubahan dan AICPA telah kehilangan tanggung jawabnya untuk menetapkan standar akuntansi audit
publik. Sebuah entitas baru, PCAOB, telah ditetapkan, sebagai bagian dari SOA dan di bawah SEC, untuk
menetapkan standar akuntansi audit publik dalam mengawasi perusahaan akuntan public individual.
Bab ini membahas pengaturan akuntansi yang sangat signifikan, standar publik dan undang-undang
tata kelola perusahaan. SOA dan PCAOB melakukan perubahan terbesar untuk akuntan publik, laporan
keuangan, dan aturan tata kelola perusahaan sejak SEC diluncurkan pada tahun 1930-an. SOA
menyajikan aturan baru yang paling penting untuk audit dan internal audit.

"Where were the auditors?” Kegagalan Standart

Pertanyaan tersebut tidak diarahkan secara langsung pada auditor internal, tetapi kepada
akuntan publik auditor eksternal yang bertanggung jawab untuk mengaudit buku perusahaan yang
mengalami kegagalan dan menyatakan bahwa laporan keuangan mereka disajikan secara wajar.
Berdasarkan skandal Arthur Anderson yang terjadi, auditor eksternal telah melewatkan
beberapa kesalahan besar dan penipuan dalam tinjauan laporan keuangan organisasi. Terlalu sering,
kantor akuntan publik besar dituduh menjual jasa audit mereka untuk mendapatkan tugas di daerah
yang lebih menguntungkan misalnya konsultasi.
Bagaimana mungkin sebuah tim auditor independen apabila factor utama yaitu staf keuangan
menjabat sebagai auditor eksternal dan kemudian mengharuskan mereka menerima posisi lan. Hal
tersebut menyebabkan terlalu banyak hubungan dekat yang membuat independensi sulitnya tujuan
pengambilan keputusan. Outsourcing atau mengontrak beberapa atau semua jasa audit internal telah
menjadi tren yang berkembang sepanjang tahun 1990-an.

Sarbanes-Oxley Overview: Kunci Internal Audit

SOA memperkenalkan perubahan suatu proses secara total dalam menerbitkan stamdart
audit eksternal dan mereview kinerja auditor kesternal dan memberikan tanggung jawab tata kelola
kepada senior exevutives dan dewan direksi. PCAOB akan menerbikan standar audit keuangan dan

17
juga akan mengawasi auditor kesternal dengan etika professional dan kinerja. Karena SOA memiliki
pengaruh besar kepada auditor internal, maka auditor internal yang modern dan efektif sebaiknya
mengembangkan pemahaman umum atas SOA sebaik mungkin. Hokum Federal dikelola dan
diterbitkan pada seksi perundang-undangan yang terpisah yang disebut Title. Beberapa SOA tertulis
memngamanatkan aturan yang diterbitkan agensi yang bertanggung jawab, yaitu SEC untuk
perumdamg-umdamgammya. Aturan SOA yang spesifik dikembangkan secara signifikan atau tidak
oleh banyak auditor internal.

SOA Title I: Public Company Accounting Oversight Board

Standar audit atas isu isu yang sering terjadi dirancang oleh ASB yang dimiliki oleh AICPA
melalui suatu proses yang memaksa untuk mengembangkan perubahan standar yang diusulkan,
luas anggota secara individual, dan penerbitan akhir atas standar professional yang baru atau
yang direvisi. Standar ini berdasarkan GAAS melalui standar auditing yang spesifik yang disebut
SAS. Beberapa GAAS merupakan praktek audit yang baik. PCAOB ini, merupakan adalah new
nonfederal, perusahaan nonprofit dengan tanggung jawab mengawasi seluruh subyek audit
kepada SEC. buakan merypakan pengganti AICPA tetapi diasumsikan memiliki tanggung jawab
untuk beberapa fungsi yang telah dikelola pleh AICPA. PCAOB ini dijelaskan lagi dalam SOA
title I perundang-undangan dengan bagian yang terpisah. PCAOB ini mengatur hanya eksternal,
nukan internal auditor, karena perubahan proses audit dan tata kelola perusahaaan
mempengaruhi cara auditor internal mengkoordinasi pekerjaannya bersama auditor eksternal
untuk mencapai GCG sehingga merupakan suatu alas an mengapa fungsi internal audit saat ini
memulai untuk melakukan outsourching eksternal auditor.

PCAOB Administration and Public Accounting Firm Registration

PCAOB terdiri dari 5 anggota yang ditunjuk oleh SEC, dimana 3 orang bukan anggota
CPA. PCAOB tidak didominasi oleh CPA dan kepentingan akuntan public. Ketua PCAOB
harus tidak berpraktek sebagai CPA selama 5 tahun untuk menjaga dewan PCAOB dari
dominasi CPA dan firma akuntan public.PCAOB sendiri akan didominasi oleh pengacara dan
aktifis public interest. Tanggung jawab PCAOB antara lain yaitu:

Registrasi firma akuntan publik yang mengaudit perusahaan, sifatnya detail, dan
hanya mengisi form aplikasi dan kemudian memulai bisnis. Harus mengungkapkan
biaya yang dikumpulkan dari perusahaan yang telah diaudit, menyediakan data audit
dan standar kualitas, memberikan informasi rinci mengenai CPA yang akan melakukan
audit, dan mengungkapkan tindakan pidana, perdata, atau administratif tertunda.

18
  Menetapkan standar audit, Standar ini termasuk pengauditan, pengendalian mutu,
etika, independen dan kunci area audit lainnya.
 Melakukan inspeksi dari kantor akuntan publik terdaftar, PCAOB memiliki
tanggung jawab untuk mereview kualitas perusahaan terdaftar. Di masa lalu, proses peer
review AICPA ditangani, tetapi perusahaan besar sering ditemukan sedikit mengkritik
rekan-rekan mereka. PCAOB tidak membangunnya sendiri melainkan kantor akuntan
publik dapat menerima lebih rinci sebagai review yang ketat.
 Melakukan investigasi dan pendisiplinan prosedur, Prosedur-prosedur ini dapat
diterapkan ke seluruh perusahaan terdaftar atau hanya untuk individu dalam perusahaan
tersebut. Kesalahan yang diselesaikan dalam investigasi formal mengakibatkan sanksi
yang melarang suatu perusahaan atau individu auditor dari melaksanakan audit dibawah
PCAOB.
 Melakukan standar dan fungsi kualitas lain sebagai ketentuan dewan, PCAOB
dapat masuk ke daerah lain untuk melindungi investor dan kepentingan umum.
 Menegakkan kepatuhan SOA, Meskipun ada masih banyak yang harus ditentukan
PCAOB akan bertanggung jawab untuk menegakkan kepatuhan terhadap aturan SEC
terhadap semua undang-undang SOA dan dapat mengakibatkan berbagai tindakan
hukum administrasi atau prosedur lain yang sesuai.

Auditing, Quality Control, and Independence Standards

Standar IIA akan direvisi sehingga SOA memberikan PCAOB amanat untuk
mengembangkan standar dengan persyaratan minimum :
 Retensi kertas kerja audit Standar akan membutuhkan bahwa kertas kerja audit dan
bahan-bahan lain untuk mendukung laporan auditor harus dipertahankan untuk jangka
waktu tidak kurang dari tujuh tahun.
 Persetujuan mitra
Standar akan dikeluarkan harus mendapat persetujuan pihak concurring atau kedua untuk
setiap penerbitan laporan audit. Persetujuan ini bisa dilakukan dengan anggota lain dari
kantor akuntan publik yang sama-sama memiliki pemeriksa independen.
 Lingkup prngujian pengendalian internal
Standar SOA sekarang memerlukan auditor eksternal untuk menggambarkan lingkup
pengujian auditor eksternal proses serta temuan dari pengujian itu. Hasilnya akan dijelaskan
lebih rinci tentang prosedur pengujian dalam laporan dan laporan tambahan serta prosedur
pengujian yang lebih luas. Seringkali auditor eksternal dihadapkan dengan populasi uji yang

19
 sangat besar dan diuji hanya jumlah yang sangat kecil item. Jika tidak ada kendala yang
ditemukan, mereka menyatakan pendapat berdasarkan hasil dari sampel yang sangat
terbatas.
 Evaluasi struktur pengendalian dan prosedur
Standar PCAOB akan mencakup prosedur penelaahan dan evaluasi pengendalian intern.
Karena telah menjadi standar di seluruh dunia diakui, PCAOB akhir standar di sini akan
hampir pasti mengikuti model COSO pengendalian internal.
 Standar pengendalian audit mutu
PCAOB diberi amanat untuk melepaskan kontrol kualitas audit standar dalam penerbitan
laporan keuangan yang diaudit. Meskipun PCAOB tidak akan diharapkan untuk
mengeluarkan standar kualitas spesifik sendiri, SOA undang-undang Negara yang
didaftarkan perusahaan akuntan publik mensyaratkan harus mempunyai standar yang
berkaitan dengan:
1. Pengawasan terhadap etika professional dan independen
2. Prosedur memecahkan masalah akuntansi dan audit dalam perusahaan
3. Pengawasan kinerja audit
4. Mempekerjakan tenaga professional
5. Standar yang disetujui dan dilaksanakan oleh perikatan
6. Inspeksi kualitas internal
7. Standar kualitas lain yang ditemtukan oleh PCAOB
 Implikasi audit internal dari standar PCAOB
Fungsi internal audit yang efektif harus mengawasi secara ketat standar PCAOB yang
berkembang dan memodifikasi departemen proses internal audit untuk mengikuti apa yang
pada akhirnya akan eksternal dan internal audit standar praktek terbaik.

Inspections, Investigations, and Disciplinary Procedures

PCAOB diberi kewenangan untuk melakukan program berkelanjutan untuk melakukan

inspeksi atas perusahaan akuntansi terdaftar untuk menilai kepatuhan terhadap peraturan SOA,
aturan-aturan SEC, dan standar professional yang berfokus pada kinerja kantor akuntan publik
terhadap audit yang dipilih untuk ditinjau dan atas penerbitan laporan audit yang terkait untuk
mengidentifikasi setriap tindakan atau kelalaian yang ada terhadap pelanggaran dari peraturan
yang ditetapkan oleh SOA, PCAOB, dan SEC serta AICPA.

SOX II : Indepensdensi Auditor

20
 Internal audit dan eksternal audit berdasarkan sejarahnya telah terpisah dan independen.
Tanggung jawab eksternal auditor adalah menilai kewajaran system pengendalian internal
organisasi dan laporan keuangan yang diterbitkannya sedangkan tanggung jawab internal dalam
melayani manajemen perusahaan memiliki area yang lebih luas lagi. Pemisahan firma eksternal
audit secara berkelanjutan dalam fungsi internal audit dimulai pada awal 1990 yaitu dimulai
ketika perusahaan besar lebih memilih untuk melakukan outsourcing pada dalam fungsi fungsi
tertentu yang bukan merupakan fungsi inti. Organisasi akan menyerahkan fungsi tersebut kepada
ahli yang lebih memahami fungsi tersebut, sehingga pihak di dalam perusahaan yang seharusnya
menjalankan fungsi tersebut dapat melakukan fungsi lain yang dapat mendatangkan keuntungan.
Sedangankan outsourcing baru dilaksanakan sekitar tahun 1980, dimana firma audit eksternal
mengelola perusahaan kliennya dan mereka diberikan tawaran untuk mengambil alih fungsi
audit internalnya. Hal tersebut terjadi karena senior manajemen seringkali tidak begitu
memahami perbedaan dari dua fungsi tersebut dan terkadang mereka lebih nyaman untuk
mempekerjakan auditor eksternal karena beberapa alas an termasuk tergoda oleh biaya murah
yang ditawarkan oleh para eksternal auditor. Selain itu mereka melihat auditor eksternal
memiliki peran yang lebih penting dalam menyusun laporan keuangan tahunan sedangkan audit
internal terlibat dalam tugas-tugas yang kurang penting. Adanya outsourcing internal audit
tersebut, menuai skandal dimana fungsi internal audit Enron dijalankan oleh eksternal
auditornya, sehingga menimbulkan banyak kritik dan komentar mengenai independensinya. Hal
inilah yang menjadi peristiwa utama dalam SOX.
Batasan-Batasan Jasa Eksternal
Berdasarkan SOA section 201, mengilegalkan firma akuntan public yang terdaftar
untuk memberikan jasa baik audit maupun nonaudit termasuk internal audit, konsultasi, serta
perencanaan keuangan senior officier secara permanen dan terus menerus. Sehingga
outsourcing internal audit tidak boleh diberikan kepada eksternal audit yang sedang
menjalankan pekerjaan auditnya dalam suatu organisasi. Jasa yang dilarang SOA untuk
diberikan oleh firma akuntan public tersebut antara lain yaitu :
 Implementasi dan Rancangan system Informasi Keuangan, auditor internal memerlukan
pemahaman yang tinggi dalam memahami pemasangan system keuangan yang dapat
juga menjadi tanggung jawab eksternal auditor.
 Pembukuan dan Jasa Laporan Keuangan, firma akuntan public memiliki tawaran untuk
menjalankan jasa akuntansi disamping melaksanakan audit. Tanggunga jawab
kelompok akuntansi tersebut seperti analisis, dokumentasi, dan membangun laporan
keuangan sebelum audit dilaksanakan.

21
  Fungsi manajemen dan Sumber Daya Manusia, sebelum SOA auditor eksternal
memiliki tanggung jawab besar dalam area ini. Sehingga beberapa dari mereka
menduduki posisi manajemen kliennya, yang menyebabkan lingkungan di hampir
seluruh manajer akuntansi organisasi merupakan auditor eksternal. Situasi ini membuat
cemas internal auditor yang tidak berasal dari firma yang sama, karena promosi pada
level tersebut terbatas.
 Jasa terlarang lainnya, seperti penasehat investasi, dan audit yang bergaitas denfan jasa
jasa legal.

SOA, tidak melarang auditor eksternal memberikan jasa perpajakan, namun di awal
tahun 2003, CEO dari perusahaan telekomunikasi Sprint diberhentikan karenaketrlibatannya
dalam masalah penghindaran pajak atas saran eksternal auditnya. SOA mengijinkan auditor
eksternal untuk membuat perikatan nonaudit selain jasa jasa yang dilarang tadi, jika jasa
tersebut disetujui diawal oleh komite audit.
Karena saat ini auditor eksternal tidak hanya sebagai auditor, maka internal auditor
sebaiknya memiliki tingkat perhatian dan tanggung jawab yang lebih tinggi dalam perannya
sebagi penilai pengendalian internal dan mendukung praktek GCG.
Persetujuan awal Komite Audit atas Jasa yang berikan
SOA Section 202, Totle 1 menjelaskan bahwa komite audit di awal, harus menyetujui
jasa baik audit maupun non audit. Sedangkan semakin lama komite audit terkadang hanya
menerima lebih dari tulisan singkat atau usulan lisan atas jasa tambahan yang diberikan
eksternal auditor yang disetujui secara asal-asalan. Komite audit akan melibatkan diri mereka
dengan kewajiban pidana atau litigasi pemegang saham apabila mereka menyetujui aksi yang
dilarang. Sehingga ketika komite audit menyetujui jasa nonaudit tertentu, mereka harus
mengungkapkannya kepada investor melalui proxy laporan tahunan. SOA memperbolehkan
komite audit melimpahkan wewenang persetujuan awal jasa nonaudit tersebut kepada satu
atau lebih direktur luar dalam komite audit. Hal tersbut akan meredakan ketegangan
permasalahan bisnis jangka panjang jomite aduit, namun akan memberikan tanggung jawab
lebih pada beberapa anggota komite audit dan selain itu juga menimbulkan banyak tanggung
jawab hukum baru yang diamanatkan SOA.
Perputaran Patner External Audit
Seksi lain dalam title III menyatakan bahwa mitra firma akuntan public akan membuat
perikatan setiap lima tahun sekali. Ketika ada situasi dimana mitra menjalankan peran utama
dalam audit dan kemudian melayani secara terus menerus dan memiliki peran sebagai
penasehat setelah periodenya usai. Jika CAE melihat situasi ini sebagai kemungkinan

22
 pelanggaran aturan SOA, masalah ini harus dibicarakan dengan ketua komite audit untuk
mempertimbangkan tindakan yang mungkin akan dilakukan. Akibat adanya rotasi ini
memberikan tantangan kdalam fungsi internal audit, karena memungkinkan internal audit
bekerja dengan nyaman bersama mitra dan timnya dalam periode yang terbatas. Selain itu
internal audit perlu untuk membiasakan diri bekerja dengan tim audit baru dari waktu ke
waktu dan memiliki peran yang kuat untuk memperkenalkan tim baru tersebut kepada
organisasi.
Auditor Eksternal Memberi Laporan kepada Komite Audit
Auditor eksternal selalu berkomunikasi secara teratur dengan komite aduit berkaitan
dengan perikatan atau hal-hal tertentu yang terjadi. Pasca Enron atau skandal lain yang terjadi
diperusahaan, ditemukan bahwa ternyata sering kali komunikasi ini malah justru sangat
terbatas. Sebelumnya, anggota manajemen dapat menegosiasikan "lulus" dari partner akuntan
publik pada perubahan perlakuan akuntansi yang disarankan, tetapi hal tersebut dilaporkan
kepada komite audit hanya dalam istilah yang paling umum, namun saat ini auditor eksternal
diwajibkan untuk melaporkan kebijakan dan praktek akuntansi yang digunakan, alternative
perlakuan akuntansiserta pendekatan yang dipilih auditor eksternal secara tepat waktu.
Apabila terjadi perselisihan mengenai perlakuan akuntansi, komite audit sebaiknya memiliki
kesadaran untuk mengambil tindakan yang tepat.
Konflik Kepentingsn dan Kewajiban Rotasi Firma Eksternal Audit
SOA title II, seksi 206, melarang auditor eksternal untuk memberikan jasa audit
kepada perusahaan apabila CEO,CFO, atau Kepala Bagian Akuntansi merupakan anggota
dari firma eksternal audit tersebut dalam audit yang sama pada tahun yang lalu. Disamping
itu, partner audit tidak dapat menginggalkan perikatan untuk memulai pekerjaan sebagai
senior eksekutif dalam perusahaan yang sama yang baru saja diaudit. CAE tidak termasuk
dalam larangan ini, masa lalu hubungan perusahaan audit eksternal. Anggota staf dan manajer
dapat berasal dari tim akuntan publik untuk berbagai posisi dalam organisasi yang diaudit
sedangkan larangan ini sifatnya terbatas pada mitra akuntansi publik. Seeorang dapat memulai
karir awal mereka dari akuntan publik dapat pindah ke junior kemudian menuju ke posisi
manajemen tingkat menengah dalam organisasi di mana mereka ditugaskan sebagai auditor
eksternal.
Untuk memenuhi rotasi partner, SOA perlu memiliki draft usulan awal rotasi tersebut,
dimana perusahaan diharuskan untuk mengganti auditor eksternalnya secara periodic namun
ternyata menyebabkan timbulnya banyak keberatan. General Accounting Office diberi
kewajiban untuk melakukan review satu tahun dan mempelajari pengaruh potensial dari rotasi

23
 auditor wajib dan hasilnya akan diserahkan dalam sebuah kongres komite sehingga
memungkinkan pengambilan tindakan di masa yang akan dating.

SOA Title III : Tanggung jawab perusahaan

Menjelaskan mengenai standar kinerja komite audit dan aturan aturan baru yang cukup
banyak, srprti perubahan regulasi untuk komite audit dimana internal audit harus memiliki
tingkat kepentingan yang lebih pada area ini.
Tata Aturan Komite Audit Perusahaan Publik
Berdasarkan SOA, perusahaan yang terdaftar di US diharuskan untuk memiliki komite
audit hanyalah direktur yang independen saja. Departemen internal audit memiliki laporang
yang berkaitan dengan komite audit akhir akhir ini, namun dahulu hubungan tersebut
seringkali merupakan suatu hubungan yang lemah. CAE hanya memiliki garis pelaporan
hubungan langsung kepada komite audit dan dengan garis utama yang kuat dengan CFO.
Internal audit melaporkan dan bertemu dengan komite audit 3 bulan atau sebulan sekali
dengan komunikasi yang terbatas. Saat ini, hubungan prlaporan begitu kuat dan aktif.
Agar anggota dari komite audit independen, komite audit harus tidak menerima jasa
konsultan atau penasihat yang berasal dari perusahaan dan tidak memiliki afiliasi dengan
seluruh pihak yang berkepentingan atau unit-unit yang berkaitan dengan organisasi. Selain itu
SEC mengaharuskan paling tidak terdapat satu anggota sebagai “financial expert” yang
memiliki pendidikan dan pengalaman mengenai :
 Pemahanan GAAP dan laporan keuangan
 Berpengalaman dalam mempersiapkan atau mengaudit laporan keuangan perusahaan
yang diperbandingkan dan menerapkan prinsip tersebut dalam hubungan dengan
estimasi akuntansi, akrual dan persediaan.
 Berpengalaman dalam struktur dan difat penngendalian internal
 Memiliki pengalaman yang berkaitan dengan fungsi komite audit dan operasinya

Komite audit membangun suatu prosedur untuk menerima, menyimpan, dan

menanggapi keluhan serta menangani informasi whistleblower yang berkaitan dengan
akuntansi yang dipertanyakan dan peristiwa audit yang terjadi dengan mempekerjakan
konsultan dan penasihat yang independen. Prosedur tersebut berada dibawah departemen
etika, yang memiliki fungsi etika dalam membangun kode etik perusahaan. Departemen ini
memiliki fungsi hotline yang memungkinkan karyawan melaporkan adanya pencurian atau
menyampaikan keluhan atas adanya gangguan.
Tanggung Jawab Perusahaan atas laporan keuangan

24
 Organisasi memasukkan laporan keuangan kepada SEC dan menerbitkan hasilnya
kepada investor, namun pihak yang memasukkan atau memiliki kewenangan dalam
pelaporannya terkadangan tidak memiliki tanggungjawab secara personal. Pihak tersebut
diharuskan menjamin bahwa :
1. Mereka telah mereview laporan tersebut
2. Tidak terdapat material yang tidak benar atau informasi yang menyesatkan di dalam
Laporan keuangan tersebut.
3. Laporan keuangan menjelaskan mengenai kondisi keuangan dan hasil dari operasi
perusahaan.
4. Bertanggung jawab :
a) Membangun dan memelihara pengandalian internal.
b) Rancangan penendalian internal dalam memastikan material informasi
organisasi dan pemangku kepentingan telah dibuat selama periode berjalan
ketika laporan disiapkan.
c) Mengevaluasi pengendalian internal organisasi selama 90 hari sebelum laporan
diterbitkan.
d) Mempresentasikan evaluasi yang dilaksankaannya sebagai efek dari
pengendalian internal pada saat laporan dibuat.
5. Mengungkapkan kepada auditor, komite audit dan direktur lainnya, mengenai :
a) Seluruh signifikan kekurangan dan kelemahan pengendalian dalam rancangan
dan operasi pengendalian internal yang dapat mempengaruhi reliabilitas
pelaporan data keuangan.
b) Semua kecurangan, baik yang material maupun tidak yang mempengaruhi
manajemen atau karyawan lain yang memiliki peran signifikan dalam
pengendalian internal organisasi.
6. Mengindikasikan perubahan pengendalian internal atau yang lainnya dalam laporan
yang secara signifikan mempengaruhi pengendalian tersebut, termasuk tindakan
pembenaran, evaluasi pengendalian internal pada tanggal sebelumnya.

Mengingat bahwa SOA memberlakukan hukuman pidana potensi denda atau penjara
terhadap individu para pelanggar tindakan , persyaratan di atas merupakan beban berat yang
dimiliki pejabat perusahaan yang bertanggung jawab oleh karena itu, para karyawan
perusahaan harus menjalani langkah wajar untuk memastikan bahwa mereka telah
mematuhinya.

25
 Fungsi internal audit harus memiliki titik berat yang kuat dalam menjalankan review
dalam area pengendalian internal, dengan penilaian resiko atas lingkungan pengendalian
internal yang lebih detail, kemudian mendiskusikannya kepada corporate officier dan
selanjutnya merencanakan dokumen audit mengenai bagaimana system pengendalian internal
di review dengan detail.
Auditor internal mungkin saja mengidentifikasi kelemahan signifikan di dalam
organisasiyang tidak material terhadap operasi perusahaan. Suatu kelemahan bkan merupakan
kelemahan pengendalian internal yang secara signifikan material apabila masalahnya bersifat
local dan tidak berakibat besar, menjalar dan apabila masalah dapat diperbaiki setelah
ditemukan oleh auditor internal.

Materialitas

Sebelum SOA, akuntan public menggunakan pedoman apabila kesalahan (error)

atau kegagalan pengendalian internal sehingga merubah pelapotan earning per share dalam
pecahan sen merupakan suatu kejadian yang material yang berkaitan dengan pelaporan
keuangan. Sedangkan auditor eksternal untuk perusahaan besar menemukan beberapa
transaksi yang salah dalam jumlah yang besar, namun terkadang kesalahan tidak
teridentifikasi atau membuat beberapa penyesuaian karena teridentifikasi nonmaterial
untuk organisasi dengan angka jutaan hingga ratusan juta. Auditor menentukan apakah
suatu transaksi material atau tidak, SEC mengindikasi standart legal atas materialitas. Data
atau informasi secara umum akan menjadi material apabila :
 Ada kemungkinan besar bahwa investor akan menganggap itu tidak penting dalam
pengambilan keputusan investasi,
 Ada kemungkinan besar bahwa informasi direview oleh investor dan secara signifikan
mempengaruhi keseluaruhan informasi.
Pihak-pihak yang yang berkaitan dengan proses audit keuangan perlu untuk
mengembangkan pemahaman secara konsisten mengenai kesalahan yang material, dimana
internal auditor perlu untuk bekerja lebih dekat dengan auditor eksternal sebaik mungkin
begitu juga dengan komite audit untuk memastikan memiliki definisi yang konsisten atas
materialitas, ketika kesalahan dan kelalaian dilaporkan.
Hukuman dalam Kegagalan Pelaporan
SOA memiliki serangkaian hukuman pidana untuk pejabat perusahaan yang
menandatangani atau mengesahkan sebuah laporan keuangan, sementara mereka mengetahui
bahwa laporan tersebut tidak sesuai dengan semua persyaratan. Hukuman maksimum adalah
denda tidak lebih dari 5 juta dolar dan atau 20 tahun penjara. Denda tersebut akan dikenakan

26
 hanya jika pelaku kesalahan yang dibebankan, diadili, dan dihukum. Hukuman yang
sebenarnya akan didasarkan pada Pedoman Hukuman organisasi.

Pengaruh Tidak Tepat dalam Mengatasi Audit

SOA sekarang memiliki peraturan kuat untuk melarang beberapa tindakan tertentu.
Memungkinkan adanya ketidaksepakatan manajemen dengan auditor eksternal atas beberapa
perkiraan atau interpretasi dan manajemen berusaha mempengaruhi auditor yang tidak
semestinya.
Audit eksternal mungkin telah dilakukan pengujian terbatas di beberapa daerah
kemudian mengusulkan penyesuaian berdasarkan hasil tes itu. Jenis mungkin "tidak
representatif". Sedangkan auditor eksternal, khususnya di bawah SOA, dalam perselisihan
tersebut, audit internal sering berperan sebagai fasilitator. Mereka tidak membantu untuk
menbuatnya tidak tepat namun membantu untuk menyelesaikannya.

Kegagalan, Bar dan Denda

Title III menjelaskan peraturan dan hukuman secara detail berkaitan dengn tata kelola
perusahaan dengan tujuan untuk memperketat peraturan yang sudah ada untuk
menambahkan aturan baru terutama apa yang sering tampak keterlaluan atau setidaknya
perilaku yang sangat tidak layak sebelum bertindak.
‘
Kegagalan Bonus yang Tidak Layak

Section 304 mengharuskan organisasi mengemukakan kembali earning karena

beberapa pelanggaran hukum, CEO dan CFO harus mengganti rugi perusahaan atas
beberapa bonus atau intensif yang diterima dalam laporan salah diterbitkan selama 12
bulan terakhir. SOA juga menepatkan hukuman untuk personal bagi senior corporate
officers yang memperoleh keuntungan karena tidak memberikan complain atas laporan
keuangan yang bersifat material.

Dana pensiun Blackout Periode

27
 Standar peraturan 401-K dan program pensiun yang sama bahwa pengurus dana dapat
membangun masa blackout selama periode waktu yang terbatas yang melarang rencana
peserta membuat penyesuaian investasi untuk rencana pribadi mereka.
Tanggung Jawab Pengacar yang Profesional
Berdasarkan section 307 adanya revisi peraturan mengenai etika pengacara
professional dan setiap kontroversinya. Pengacara diharuskan untuk melaporkan bukti
pelanggaran yang material atas perlindungan hukum atai pelanggaran perusahaan yang sejenis
kepada Chief Legal Counsel atau CEO. Apabila pihak tersebut tidak merespon pengacara
diharuskan untuk melaporkan bukti kepada tingkat paling tinggi kepada komite audit. SOA
mengijinkan pengacara menyelesaikan pelanggaran hukum, pengacara harus menarik
pelaporan perikatan atas beberapa pelanggaran yang disebut dengan pendekatan “noisy
withdrawal”.

Dana Wajar untuk Investor

Section III menyatakan bahwa apabila individual dalam group didenda suatu atas
kegagalan melalui administrasi atau aksi legal, dana yang dikumpulkan akan menjadi dana
disgorgement untuk dibagikan kepada para investor yang menderita karena penipuan atau
tindakan akuntansi yang tidak benar. Investor yang merugi karena kesalahan perusahaan
perorangan dapat dikenakan beberapa penyelesaian keuangan dari dana tersebut.

SOA Title IV: Enhanced Financial Disclosures (Peningkatan Pengungkapan Keuangan)

Pengungkapan dalam Laporan Berkala

SOA mengamanatkan kepada SEC untuk mengembangkan aturan-aturan yang laporan

keuangan pro forma yang dipublikasikan, tidak boleh mengandung pernyataan material yang
tidak benar atau menghilangkan fakta yang membuat laporan menyesatkan. Hasil proforma
juga harus merekonsiliasi dengan kondisi keuangan dan hasil usaha berdasarkan GAAP.
Sebenarnya tidak ada standard an tidak ada format yang konsistendalam dunia keuangan
dalam pelaporan pro forma earning.

Penilaian manajemen pengendalian internal: Bagian 404

SOA mengharuskan setiap pengajuan laporan tahunan harus memuat laporan

pengendalian internal yang menyatakan tanggung jawab manajemen untuk membangun dan
memelihara sistem pengendalian internal yang memadai. Internal audit, konsultan luar, atau

28
 bahkan tim manajemen yang bukan eksternal auditormemiliki tanggung jawab untuk
meninjau dan menilai efektivitas pengendalian internal mereka.
Kode Etik Petugas Keuangan

SOA mengharuskan perusahaan mengadopsi kode etik senior financial officer, beserta
CEO dan petugas keuangan inti untuk mengungkapkan kepada SEC kepatuhan sebagai bagian
dari laporan keuangan tahunan. Kode etik karyawan telah terbentuk di dalam organisasi
selama bertahun-tahun. SOA khusus mensyaratkan bahwa organisasi kode etika atau perilaku
senior financial officer cukup untuk :
o Kejujur dan etika, termasuk etika penanganan konflik aktual atau kepentingan antara
hubungan pribadi dan profesional.
o Lengkap, adil, akurat, tepat waktu dan pengungkapan dapat dimengerti dalam laporan
keuangan organisasi
o Kepatuhan terhadap peraturan pemerintah dan peraturan yang berlaku.
Organisasi besar telah membangun fungsi etik tetapi terkadang perusahaan kecil tidak.
Auditor internal dapat memiliki peran penting untuk membantu kepatuhan kepada aturan etik.
Apabila fungsi etik tidak sesuai, internal audit dapat membantu mengumumkan beberapa
fungsi dari seluruh anggota organisasi, dewan direksi, serta karyawan.
Pengungkapan Komite Audit Financial Expert - Section 407
Karena diharuskan adanya expert keuangan dalam komite audit, CPA mempunyai persyaratan
internal audit yang bekerja dalam audit keuangan dan siapa yang memiliki kesulitan
mengelola anggaran rumahtangga personalnya. Dalam memenuhi syarat, expert harus
memiliki pengalaman sebagai akuntan publik, auditor internal, atau afficer keuangan pokok.
Oleh karena itu, financial expert harus memiliki:
1. Pemahaman tentang GAAP dan laporan keuangan
2. Pengalaman dalam penyusunan atau audit laporan keuangan organisasi sebanding
dengan penekanan pada estimasi akuntansi, akrual, dan cadangan
3. Pengalaman dengan akuntansi internal kontrol
4. Pemahaman tentang fungsi komite audit
SEC Enhanced Disclosure Reviews - Section 408S
SOA mengamanatkan SEC untuk melakukan review untuk menyempurnakan
pengungkapan dalam perusahaan secara teratur dan sistematis dan tidak kurang sekali setiap
tiga tahun. SEC diberikan amanat untuk melakukan tinjauan rinci laporan pendukung bahan
audit keuangan sehingga memutuskan untuk melakukan tinjauan pengungkapan yang
disempurnakan oleh salah satu dari enam situasi:

29
 1. Jika perusahaan telah mengeluarkan pernyataan materi hasil keuangan
2. Jika terjadi kegagalan yang signifikan dalam harga saham
3. Jika ada perusahaan memiliki kapitalisasi penanda besar
4. Jika terjadi perbedaan yang signifikan dalam harga saham untuk rasio laba
5. Jika operasi perusahaan secara signifikan mempengaruhi sektor materi ekonomi nasional
6. Setiap factors lain SEC dapat mempertimbangkan yang relevan

Real-TIme Financial Statement DIsclosures - Section 409R

Title IV bahwa perusahaan harus mengungkapkan kepada masyarakat secara cepat dan
saat ini informasi tambahan yang mengandung masalah materi laporan keuangan. Audit
internal harus mempertimbangkan review pengendalian terkait setiap aplikasi yang
dijadwalkan untuk pengungkapan pelaporan. Hasil audit harus didokumentasikan dengan baik,
dan harus ada proses tindak lanjut untuk memastikan bahwa tindakan perbaikan telah diambil
untuk memperbaiki setiap masalah kontrol ditemui selama audit itu.
Judul SOA V: Analis Konflik kepentingan
Title V dirancang untuk memperbaiki penyalahgunaan efek analis. Investor telah
mengandalkan rekomendasi dari analis sekuritas selama bertahun-tahun. Merupakan upaya
untuk memperbaiki penyalahgunaan efek analis. Aturan perilaku yang telah ditetapkan dengan
hukuman hukum bagi pelanggaran. SOA telah dirancang kembali dan diatur oleh praktek
analis sekuritas. Hasilnya harus memberikan investor informasi lebih.
Judul SOA VI dan VII: Otoritas Komisi, Studi dan Laporan
Title VII memberikan SEC wewenang untuk terlibat dalam serangkaian penelitian dan
laporan berdasarkan tanggal jatuh tempo untuk pengiriman laporan-laporan kepada Kongres
komite atau agen-agen federal secara tepat. SOA memiliki lima kewenangan yaitu :
1. Konsolidasi kantor akuntan publik.
2. Credit Rating Agencies.
3. Efek Profesional Pelanggaran dan Pelanggar. Mencakup para bankir dan penasihat
investasi, akuntan publik dan perusahaan mereka, pengacara, dan berlatih lainnya
sebelum SEC.
4. Analis Aksi Penegakan Hukum SEC. Pelanggaran persyaratan pelaporan keamanan
hukum akan dipelajari selama lima tahun.
5. Studi Investasi Bank. Berikut studi akan difokuskan pada apakah investasi bank dan
penasehat mereka memiliki perusahaan membantu memanipulasi laba yang dilaporkan.

Judul SOA VIII, IX, dan X: Akuntabilitas Penipuan

30
 Title VIII diakhiri dengan Bagian yang sangat singkat 807 mendefinisikan hukuman
pidana bagi pemegang saham perusahaan publik. Peraturan, aturan dan denda yang digariskan
dalam SOA telah membuat aturan berikut sangat penting. Judul IX kemudian berisi
serangkaian perangkat hukuman tambahan kejahatan kerah putih. Judul X "Sense of the
Senat" yang menyatakan bahwa pengembalikan pajak penghasilan badan harus
ditandatangani oleh CEO.

Judul SOA XI: Penipuan Akuntabilitas Perusahaan

Title SOA terakhir mendefinisikan tanggung jawab perusahaan secara keseluruhan

untuk pelaporan keuangan penipuan. Berfokus ketentuan lain seperti Pedoman
Pengorganisasian Hukuman dan menegaskan kembali aturan untuk perusahaan dan denda
meningkat selain itu juga memberikan kewenangan untuk membekukan sementara transfer
dana perusahaan untuk pejabat dan orang lain dalam subyek penyelidikan SEC.

Dampak dari Undang-Undang Sarbanes-Oxley pada Auditor Internal Modern

Tujuannya adalah untuk memberikan auditor internal pemahaman keseluruhan bagian

inti yang akan berdampak pada audit tahunan organisasi dan komite audit. Internal Perubahan
yang terlihat pertama adalah hubungan dengan auditor eksternal mereka. Hubungan telah
berubah, dan auditor internal yang profesional tidak akan lagi melihat konsultan dari kantor
akuntan publik menginstal sistem akuntansi yang baru atau mungkin takut bahwa departemen
audit internal akan outsourcing.
Selain itu komite audit dan manajemen perusahaan, akan memperoleh sumber informasi tetapi
auditor internal harus dapat memberikan wawasan yang sangat berharga.

31
 BAB 6
Risk Management: COSO ERM

Setiap perusahaan membutuhkan suatu pengidentifikasian setiap risiko yang mungkin untuk
mereka hadapi setelah itu memanage resiko-resiko tersebut ketingkatan yang wajar atau dapat
dikendalikan. Pemahaman mengenai risoko ini merupakan komponen utama dalam pencapaian Sarbanes-
Oxley (Sox), dalam Auditing Standards No.5.

Setiap manajer pada satuan kerja, baik operasional ataupun non-operasional, adalah manajer
resiko. Sebagaimana teori manajemen menjelaskan bahwa unsure inti manajemen adalah
planning,doing,dan controlling, maka sebagai pemilik dari risiko yang timbul dari
kegiatannya(planning,doing), manajer risiko haruslah sebagai pengendali(controlling) dari risiko
tersebut.

Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu sendiri. Manajemen
risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu mekanisme untuk
menyediakan suatu perlindungan dari timbulnya suatu resiko.

Mengapa manajemen resiko itu penting? Sikap orang ketika menghadapi resiko berbeda-beda.
Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang sebaliknya sangat senang
menghadapi resiko sementara yang lain mungkin tidak terpengaruh dengan adanya resiko. Pemahaman
atas sikap orang terhadap resiko ini dapat membantu untuk mengerti betapa resiko itu penting untuk
ditangani dengan baik.

RISK MANAGEMENT FUNDAMENTAL

Dalam upaya pencapaian nilai itu, setiap organisasi sama-sama menghadapi ketidakpastian.
Ketidakpastian ini mengandung risiko yang sangat potensial untuk menghilangkan kesempatan
pencapaian tujuan perusahaan.

Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk meminimalkan resiko
atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas organisasi. Suatu proses manajemen
risiko yang efektif memerlukan empat langkah:

1. IDENTIFIKASI RISIKO

Pengidentifikasian risiko merupakan proses analisa untuk menemukan secara sistematis

dan berkesinambungan atas risiko (kerugian yang potensial) yang dihadapi perusahaan.

32
 Karenanya diperlukan checklist untuk pendekatan yang sistematik dalam menentukan kerugian
potensial. Salah satu alternatif sistem pengklasifikasian kerugian dalam suatu checklist adalah;
kerugian hak milik (property losses), kewajiban mengganti kerugian orang lain (liability losses)
dan kerugian personalia (personnel losses). Checklist yang dibangun sebelumnya untuk
menemukan risiko dan menjelaskan jenis-jenis kerugian yang dihadapi oleh sesuatu perusahaan.

Perusahaan yang sifat operasinya kompleks, berdiversifikasi dan dinamis, maka

diperlukan metode yang lebih sistematis untuk mengeksplorasi semua segi. Metode yang
dianjurkan adalah;

a. Questioner analisis risiko (risk analysis questionnaire).

b. Metode laporan Keuangan (financial statement method).
c. Metode peta-aliran (flow-chart).
d. Inspeksi langsung pada objek.
e. Interaksi yang terencana dengan bagian-bagian perusahaan.
f. Catatan statistik dari kerugian masa lalu.
g. Analisis lingkungan.

Jenis Risiko Perusahaan

33
 2. KUNCI PENILAIAN RISIKO (RISK ASSESSMENT)

Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah berikutnya adalah untuk
menilai kemungkinan relatif yang signifikansi. Berbagai pendekatan yang dapat digunakan di sini, mulai
dari analisis pendekatan kualitatif hingga analisis pendekatan kuantitatif. Hal ini dapat membantu
memutuskan mana dari serangkaian resiko yang paling berpotensi terhadap peristiwa yang paling
menghawatirkan manajemen. Manajer bertanggungjawab terhadap penilaian resiko dengan
menggunakan pendekatan kuesioner:

1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?” Menggunakan
skor dari 1 sampai 9, jika :
 Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama periode
berjalan.

34
  Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
 Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan antar kedua
2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?

Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan tergantung pada
keuangan risiko yang signifikan. Sebuah risiko yang dapat menurunkan biaya laba bersih per saham
harus memenuhi syarat untuk nilai maksimal 9.

3. ANALISIS RISIKO

Setelah melakukan identifikasi resiko, maka tahap berikutnya adalah pengukuran resiko dengan
cara melihat potensial terjadinya seberapa besar severity (kerusakan) dan probabilitas terjadinya risiko
tersebut. Penentuan probabilitas terjadinya suatu event sangatlah subyektif dan lebih berdasarkan nalar
dan pengalaman.

Kesulitan dalam pengukuran risiko adalah menentukan kemungkinan terjadi suatu risiko karena
informasi statistik tidak selalu tersedia untuk beberapa risiko tertentu. Selain itu, mengevaluasi dampak
severity (kerusakan) seringkali cukup sulit untuk asset immateriil. Dampak adalah efek biaya, waktu dan
kualitas yang dihasilkan suatu resiko. Setelah mengetahui probabilitas dan dampak dari suatu resiko,
maka kita dapat mengetahui potensi suatu resiko Probabilitas terjadinya resiko sering disebut dengan risk
likelihood; sedangkan dampak yang akan terjadi jika resiko tersebut terjadi dikenal dengan risk impact
dan tingkat kepentingan resiko disebut dengan risk value atau risk exposure.

COSO ERM: ENTERPRISE RISK MANAGEMENT

COSO Enterprise Risk Management adalah sebuah kerangka kerja untuk membantu perusahaan
untuk memiliki definisi yang konsisten terhadap risiko mereka. Ini juga merupakan alat yang penting
untuk memahami dan meningkatkan pengendalian internal SOx. Dokumen kerangka COSO ERM
dimulai dengan mendefinisikan manajemen risiko perusahaan:

“Enterprise risk management is a process, effected by an entity’s board of directors, management and
other personnel, applied in a strategy setting and across the enterprise, designed to identify potential
events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives.”

Terdapat beberapa poin penting dalam definisi ini, yaitu:

 ERM adalah proses.

 Proses ERM dilaksanakan oleh orang-orang dalam perusahaan.
 ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.
 Konsep risk appetite harus dipertimbangkan.

35
 ERM memberikan keyakinan positif yang masuk akal tapi tidak pada pencapaian objektif.
 ERM dirancang untuk membantu mencapai tujuan.

ELEMEN KUNCI COSO ERM

Bagan ini menunjukkan kerangka COSO ERM ini sebagai tiga dimensi kubus dengan komponen-
komponen:

1. Empat kolom vertical mewakili tujuan strategis risiko perusahaan.

2. Delapan baris horizontal atau komponen risiko.
3. Beberapa tingkat untuk menggambarkan setiap perusahaan, dari tingkat induk entitas
sampai anak perusahaan individual.

Bagian ini menjelaskan komponen horizontal COSO ERM; kemudian bagian lainnya membahas
dua dimensi dan bagaimana mereka semua berhubungan satu sama lain. Tujuan kerangka ERM adalah
untuk menyediakan model bagi perusahaan untuk mempertimbangkan dan memahami mereka terkait
risiko kegiatan di semua tingkat, serta bagaimana dampak risiko komponen satu sama lain. Tujuan bab
ini adalah untuk membantu Auditor Internal -dari kepala audit eksekutif (CAE) untuk staf auditor-untuk
lebih memahami COSO ERM dan belajar bagaimana dapat membantu mengelola berbagai risiko yang
dihadapi perusahaan.

a. Komponen Lingkungan Internal

Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur:

 Filosofi Manajemen Risiko.

 Risk Appetite.
 Sikap dewan direksi.
 Integritas dan nilai-nilai etika.
 Komitmen terhadap kompetensi.
 Struktur organisasi.
 Penugasan wewenang dan tanggung jawab.

36
  Standar Sumber daya manusia
b. Menetapkan Tujuan

Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM, pengaturan obyektiv
yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses ERM yang efektif.
Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus
menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap operasional, pelaporan, dan
kepatuhan kegiatan. COSO ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan,
untuk (1) mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi, (2) menetapkan
strategi untuk mencapai tujuan, (3) mendefinisikan tujuan yang terkait, dan (4) mendefinisikan selera
risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi dari bahan COSO ERM bimbingan.

c. Identifikasi Peristiwa

Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan
pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa dalam arti
negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja perangkat
monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya.

Proses pemantauan harus mencakup: (1) Peristiwa ekonomi eksternal, alam, dan politik, (2) faktor social,
(3) peristiwa infrastruktur internal, (4) proses internal, (5) teknologi internal maupun eksternal,

d. Penilaian Risiko

Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek peristiwa terkait
risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari
dua perspektif: kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari
proses penilaian risiko, juga perlu mempertimbangkan risiko yang melekat:

 Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah ukuran dari
anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari kegiatannya. Risiko
inheren di luar kendali manajemen dan biasanya berasal dari faktor eksternal.
 Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko ancaman dan
penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual.
e. Respon Risiko

Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur mengenai
tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat ditangani dalam salah
satu dari empat cara dasar:

37
 1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk.
Kesulitannya adalah bahwa perusahaan seringkali tidak bisa drop garis produk atau berjalan kaki
sampai setelah kejadian risiko telah terjadi dengan nya terkait biaya. Penghindaran dapat menjadi
berpotensi mahal strategi jika investasi tersebut dilakukan untuk masuk ke suatu daerah dengan
penarikan berikutnya untuk menghindari risiko.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu.
Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari ketergantungan pada satu baris
kunci produk; membelah operasional TI menjadi dua yang terpisah secara geografis lokasi akan
mengurangi risiko beberapa bencana kegagalan.
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui pembelian
asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi keuangan, perusahaan
dapat melakukan lindung nilai operasi melindungi dari fluktuasi harga yang mungkin, atau dapat
berbagi risiko bisnis potensial dan manfaat melalui perusahaan perjanjian usaha patungan atau
struktural lainnya pengaturan. Idenya adalah untuk memiliki pihak lain menerima beberapa
potensi risiko serta berbagi dalam penghargaan yang dihasilkan.
4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan selfinsures dengan
mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya, perusahaan harus melihat
kemungkinan risiko dan dampak dalam terang risiko mendirikan toleransi dan kemudian
memutuskan apakah akan menerima resiko itu atau tidak.
f. Kegiatan Pengendalian

ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko yang memadai, perusahaan
harus memilih kontrol aktivitas yang diperlukan untuk memastikan bahwa risiko tanggapan dijalankan
secara tepat waktu dan efisien. Setelah melalui risiko identifikasi kejadian COSO ERM, penilaian, dan
respon proses, risiko pemantauan memerlukan empat langkah:

1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan
pengendalian prosedur untuk memantau atau benar bagi mereka.
2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah mereka terkait pengendalian risiko
prosedur yang bekerja secara efektif.
3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif dan seperti
yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko monitoring
proses.

38
 Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah untuk
mengidentifikasi dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol daerah-daerah
pengendalian internal:

o Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi orang yang
sama yang mengotorisasi transaksi tersebut.
o Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah ditelusuri
kembali dengan transaksi yang menciptakan hasil tersebut.
o Keamanan dan integritas. Pengendalian proses harus memiliki kontrol yang tepat prosedur seperti
bahwa hanya orang-orang yang berwenang dapat meninjau kembali atau memodifikasi mereka.
o Dokumentasi. Proses harus didokumentasikan.
g. Informasi dan Komunikasi

Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari
satu komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan proses
yang jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari web
kompleks sistem informasi operasional dan keuangan yang sering tidak terkait dengan baik. Hubungan
ini menjadi lebih kompleks untuk proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar
tidak langsung meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.

h. Pemantauan

The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa pemantauan dapat meliputi
jenis kegiatan:

o Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti uang tunai posisi, unit
penjualan, dan data keuangan kunci.
o Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci dari
didirikan risiko kriteria, termasuk tingkat kesalahan dapat diterima atau item diselenggarakan di
ketegangan.
o Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari laporan audit
internal dan eksternal, termasuk status ERM terkait SOx mengidentifikasi kesenjangan.
o Perbarui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi, tren industri,
dan berita ekonomi secara umum.

DIMENSI LAIN ERM COSO:RISIKO OBJEK PERUSAHAAN

a. Tujuan Operasional Manajemen Risiko

39
 Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan untuk mengidentifikasi risiko
atas setiap unit usaha. Identifikasi ini membutuhkan informasi yang rinci, kemudian dikumpulkan dan
dianalisis, khususnya untuk sebuah perusahaan besar yang mencakup beberapa wilayah geografis, lini
produk, atau bisnis proses. Review audit internal atau survei yang langsung dipengaruhi oleh risiko
tersebut dapat membantu untuk mengumpulkan informasi latar belakang lebih rinci tentang potensi risiko
operasional.

b. Tujuan Pelaporan Manajemen Risiko

Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan dari internalnya dan
eksternal baik itu dari keuangan perusahaan dan data non keuangan. Pelaporan yang akurat sangat penting
untuk suatu keberhasilan perusahaan dalam banyak dimensi.

c. Risiko Kepatuhan Tujuan Hukum dan Peraturan

Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang dikenakan atas standar
industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-
kadang tidak terduga. Hasilnya adalah litigasi diarahkan terhadap perusahaan yang pernah memproduksi
produk yang mengandung asbes tertentu, panggilan ganti rugi berdasarkan risiko manusia yang potensial
di masa mendatang. COSO ERM merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan
untuk masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal pemerintah,
pengaturan tujuan, atau pemantauan risiko, serta di seluruh perusahaan.

RISIKO AUDIT DAN PROSES ERM COSO

Sebuah perusahaan dapat meningkatkan proses secara keseluruhan sama halnya Sox
pengendalian internal melalui implementasi yang efektif dan efisien COSO ERM. Dengan berfokus pada
kerangka COSO ERM serta manajemen risiko umum baik praktek, audit internal dapat membantu
perusahaan dengan perencanaan dan melakukan review proses manajemen risiko perusahaan. Untuk
meninjau praktek COSO ERM dan implementasi prosedur, auditor internal, baik sebagai peninjau audit
internal kontrol atau konsultan manajemen, perlu mengembangkan pengertian pengendalian COSO ERM
dan proses. Selain itu, setiap kajian internal audit proses ERM perusahaan harus dikembangkan melalui
perencanaan internal audit berbasis risiko yang akan dibahas lebih lanjut di materi selanjutnya. Internal
Audit harus meninjau sisi perusahaan ERM proses menggunakan beberapa alat ini:

 Proses flowchart Sebagai bagian dari setiap proses ERM yang diidentifikasi, diagram alur proses
dapat berguna dalam menggambarkan bagaimana manajemen risiko beroperasi dalam perusahaan.
Ini dibutuhkan untuk melihat dokumentasi yang disiapkan untuk risiko terkait proses, menentukan
kondisi saat ini, dan menggambarkan semua kecukupan semua tingkatan proses risiko perusahaan.

40
 Tinjauan bahan dan pengendalian risiko. Sebuah proses ERM menghasilkan dalam volume besar
bahan pedoman, terdokumentasi, format laporan, dan sejenisnya. Proses ERM berharga untuk risiko
dan pengendalian bahan audit internal
 Pembandingan. Meskipun sering disalahgunakan istilah, benchmarking adalah proses untuk melihat
fungsi dalam lingkungan lain untuk menilai operasi mereka dan untuk mengembangkan pendekatan
berdasarkan praktek-praktek.
 Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi pada efektivitas
ERM dari berbagai macam orang. Mereka dapat dikirimkan disetujui stakeholder. Ini merupakan
teknik audit internal yang baik.

41
 Chapter 7
Performing Effective Internal Audits (Menampilkan internal audit yang efektif)

Diasumsikan bahwa fungsi internal audit yang efektif dimulai dengan sebuah charter audit yang
disetujui seperti halnya dengan persetujuan komite audit untuk sebuah rencana tahunan aktivitas internal
audit perusahaan. Pada bab ini, akan menjelaskan langkah langkah yang penting untuk melaksanakan
review audit internal atas pengendalian internal. Secara virtual, seluruh audit internal dimulai dengan
menetapkan charter audit internal yang telah disetujui, penegasan kembali tujuan awal audit,
pengembangan rencana audit individual secara terperinci. Kemudian, program audit internal beserta
review awal dan dokumentasi atas pengendalian internal, pengujian untuk menentukan apakah telah
berjalan sesuai dengan yang diharapkan, laporan hasil audit secara berkelanjutan. Seluruhnya dijelaskan
berdasarkan inti dari ketentuan CBOK.
Seorang auditor internal yang efektif bertindak sebagai perangkat garis depan dari mata dan
telinga untuk komite audit dan manajer senior, dan harus melakukan lebih dari sekedar review kewajiban
perusahaan dengan dokumentasi yang dipublikasi dan prosedur.
7.1 Mengorganisir dan Merencanakan Internal Audit
Sebelum fungsi internal audit dapat menjalankan audit apapun, dibutuhkan beberapa building blocks
sebagai tempat untuk menyeimbangkan sebuah fungsi internal audit yang efektif. Pondasi building blocks
internal audit ini antara lain:
a. Sebuah rencana efektif dari organisasi dan sebuah piagam untuk melaksanakan aktivitas audit
internal.
b. Sebuah rencana audit tahunan atau jangka panjang
c. Standar dan pendekatan efektif untuk menampilkan semua internal audit.
Audit internal akan lebih efektif jika semua anggota dari staff audit ikut konsisten, prosedur yang
professional dalam menampilkan review mereka. Mereka akan menjadi sumber daya perusahaan yang
kuat pada pandangan manajer, yang selalu mengharapkan konsistensi, pendekatan yang berkualitas dari
sumber daya audit internal.
7.2 Aktivitas audit internal yang berkenaan dengan persiapan
Masing-masing proyek audit internal harus berhati-hati merencanakan sebelum memulainya. Audit harus
dimulai sebagai sebuah elemen yang terskedul pada perencanaan tahunan audit internal dan proses
memperkirakan resiko, berdasarkan permintaan special komite audit atau manajemen, atau sebagai
respon pada kejadian yang tidak direncanakan, seperti penemuan kecurangan, peraturan baru, atau
kejadian ekonomi yang tidak terduga.

42
Setelah internal audit mengembangkan rencana untuk bekerja untuk tahun mendatang, perencanaan dan
penjadwalan audit internal individu dering menjadi tantangan. Di samping rencana yang well-thought-
out, kejadian yang tidak terjadwal, permintaan dari manajer, atau situasi seperti hasil yang tidak
menguntungkan dari audit lain mungkin akan menyebabkan perubahan pada sebuah rencana jangka
panjang audit internal. Meskipun sering ada tekanan untuk memulai contohnya audit special secara tiba-
tiba, sebuah audit yang terencana dengan baik akan hampir selalu menyajikan hasil audit yang lebih baik.
Sebagai tambahan, audit internal dapat memperoleh penghematan yang signifikan pada waktu dan usaha
dengan perencanaan lanjutan yang cukup dan pekerjaan yang berkenaan dengan persiapan.
a. Menentukan tujuan audit baik yang menyeluruh maupun individual
Audit internal harus secara umum menetapkan rencana-rencana untuk aktivitas audit internal yang
secara khas menutupi periode fiscal tahunan.
b. Menjadwal audit dan memperkirakan waktu (tahunan/triwulan/bulanan;person;scope;object) yang
paling penting adalah jumlah staf setiap penugasan harus dibuat scheduling yang lebih rinci
c. Survey awal: mereview kertas kerja sebelumnya, mereview laporan audit sebelumnya, entitas
organisasi, materi audit lainnya yg berhubungan.
7.3 Memulai Audit Internal
Dimulai dengan membuat surat perikatan, surat ini harus memperingatkan manajer audit dari :
1. Adressee, komunikasi harus dialamatkan kepada manajer secara langsung bertanggung jawab
kapada unit yg di audit.
2. Tujuan dan scope dari audit
3. Tanggal mulai yg diharapkan dan lama waktu audit yang direncanakan
4. Tanggung jawab perorangan untuk melakukan review
5. Persiapan kebutuhan lanjutan, seperti akses jaringan telekomunikasi, akses untuk kunci sistem IT
atau database.
6. Salinan surat perikatan
7. Laporan operasi lainnya
a) Survey lapangan untuk internal audit, merupakan hal yg sangt kritikal/penting dalam penetapan arah,
detail scope, dan hasil audit. Survey lapangan mengijinkan auditor untuk,
1. Menyesuaikan dirinya dengan proses local utama di tempat dan
2. Evaluasi struktur pengendalian dan level dari resiko pengendalian pada proses yang bervariasi
dan sistem yang termasuk dengan audit.
Informasi yang harus ditemukan selama survey lapangan:
1. Struktur organisasi termasuk nama-nama dari orang-orang penting adalah benar
2. Manual and directives

43
 3. Laporan (reports) yang terkait misalnya penganggaran, operasi, studi biaya,dll
4. Observasi perorangan
5. Diskusi dengan orang-orang penting untuk mengetahui area-area yg bermasalah, hasil sebenarnya
dari operasi perusahaan, dan perubhan rencana atau reorganisasi.
b) Dokumentasi hasil survey lapangan internal audit pada kertas kerja audit. (bisa berupa flowchart)
c) Kesimpulan survey lapangan auditor
Tujuan utama dari suvei lapangan adalah untuk menyocokkan asumsi yang dibuat dari perencanaan
audit sebelumnya, yang bertujuan untuk mengembangkan pemahaman pada sistem kunci dan proses.
dengan survey awal, auditor diharapkan menyesuaikan scope dan tujuan audit yang direncanakan
dengan keadaan sebenarnya.
7.4 Mengembangkan dan menyiapkan audit program
Untuk mencapai konsistensi audit, auditor internal harus menggunakan audit program untuk
melakukan prosedur audit dengan konsisten dan cara yang efektif untuk tipe audit yang sama. Istilah
program mengarah pada seperangkat prosedur audit hamper mirip dengan program komputer,
instruksi yang dijalankan sama dengan instruksi program setiap proses dijalankan.
a. Format audit program dan persiapannya
Audit program adalah sebuah prosedur yang menjelaskan langkah demi langkah yang harus
dilakukan oleh internal audit ketika sedang melakukan kerja lapangan. Program ini harus
diselesaikan setelah survey lapangan dan survey sebelumnya selesai dilakukan dan sebelum
memulai audit yang sebenarnya. Hal yang paling penting dari program itu adalh program itu harus
mengidentifikasi aspek area yang harus diperikasi kedepannya dan area yang sensitive yang
membutuhkan penekanan audit. Tujuan penting lainnya dari audit program adalah sebagai
peralatan pemandu baik untuk onternal auditor yang kurang atau yang mempunyai pengalaman
lebih.
b. Tipe-tipe dari bukti audit
Bukti audit meliputi semua audito internal review atau pengamatan. Auditor internal harus
mengumpulkan bukti audit untuk mendukung evaluasi auditor- internal audit standart yang
disebut bukti audit yang cukup, competent,relevant, dan berguna-. Liat exhibit 7-8
7.5 Melakukan Audit Internal
a. Prosedur awal fieldwork internal audit
Auditor dan anggota tim audit harus memulai audit dengan rapat bersama anggota yang tepat dari
manajemen perusahaan yang diaudit untuk menentukan kerangka perencanaan awal audit,
termasuk area yang harus diaudit, laporan khusus atau dokumen yang dibutuhkan, dan orang2 yg
akan diwawancarai. Auditor harus meminta semua pihak organisasi yang terpengaruh untuk

44
 member mereka jadwal sementara kinerja audit yang direncanakan. Auditor yang sedang bekerja
harus bertemu dengan manajemen perusahaan untuk mendiskusikan berbagai masalah dan
mencari pemecahannya. Bila ada komponen kunci dalam audit yang telah direncanakan meleset,
manajemen audit harus mengembangkan strategi peninjauan kembali untuk menyelesaikan
masalah termasuk, yang meliputi:
 Meninjau kembali prosedur audit untuk melaksanakan pengujian tambahan dalam area
yang berbeda
 Menyelesaikan audit tanpa menggunakan data yang hilang tersebut.
 Menyelesaikan bagian audit yang lain dan menjadwalkan kunjungan selanjutnya untuk
melaksanakan pengujian.
b. Teknik bantuan audit fieldwork
Manajemen audit unternal harus mengkomunikasikan semua masalah teknik audit kepada para
stafnya yang harus dipahami oleh yang auditor yang sedang bekerja agar bisa dicari solusinya
sesegera mungkin.
c. Audit Management Fieldwork Monitoring
Bila audit membutuhkan waktu yang lama atau membutuhkan sumber daya yang terlalu banyak,
maka manajemen audit internal harus meriview progress audit secara berkala dan menyediakan
pengarahan teknis melalui kunjungan dan komunikasi. Tujuannya untuk mereview progress kerja
dan membantu menyelesaikan masalah yang ada
d. Penemuan audit yang potensial, penemuan awal audit biasanya mempunyai elemen-elemen ini:
1. Identifikasi penemuan
2. Kondisi
3. Referensi kepada dokumen pekerjaan audit
4. Rekomendasi awal auditor
5. Hasil dari diskusi hasil temuan dengan manajer
6. merekomendasikan disposisi dari penemuan
e. modifikasi audit program dan jadwal
audit program memrupakan petunjuk keseluruhan pelaksanaan internal audit yang dikembangkan
dari data survey awal dan dari file internal audit terdahulu. Kebutuhan modifikasi audit program
sangat diperlukan sangat internal audit telah mengembangakan audit program umum untuk
mereview unit yang hamper sama. Perubahan itu dibutuhkan dalam jadwal audit sebagai progress
kerja dan fleksibilitas harus direncanakan untuk menghadapi persyaratan yang tidak terduga.
f. Melaporkan temuan audit persiapan kepada manajer

45
 Penemuan audit potensial harus diriview oleh management unit selama pelaksanaan audit untuk
menentukan apakah mereka memang fakta dan berpengaruh signifikan.
7.6 Membungkus perikatan bidang Internal Audit
Internal audit harus dikelola dengan cara yang sama seperti proyek lainnya yang membutuhkan waktu
personal dan sumber daya lain serta emmberi hasil yang dapat dikomunikasikan. Sumber daya
personal dan biayanya harus direncankan dan dianggarkan pada tingkat yang terinci. Perluasan waktu
atas audit harus ditinjau lebih lanjut manajemen audit internal untuk menyediakan overview dari audit
yang telah direncanakan atau yang masih berjalan. Periode selama 3 bulan seringkali merupakan
waktu yang tepat untuk aktivitas yang direncanakan.
7.7 Melakukan Internal Audit Individual
Seorang auditor internal harus melaksanakan kinerja dan memiliki kemampuan untuk merencanakan
dan melaksanakan audit internal individual.
Proses audit internal :
1. Sebagai bagian dari perencanaan audit, melaksanakan analisis resiko untuk mengidentifikasi
resiko pengendalian yang potensial
2. Berdasarkan hasil anlisis resiko dan kendala lain mengembangkan audit plan.
3. Menjadwal audit internal di awal dan mengalokasikan sumber daya
4. Mereview laporan audit terdahulu dan kertas kerja yang melingkupi audit area
5. Mengunjungi lokasi dan melaksanakan survey lapangan yang melingkupi area dari audit yang
direncanakan.
6. Berdasarkan kertas kerja dan survey lapangan yang dibuat, menyiapkan audit program
7. Menyiapkan dan menyampaikan surat perikatan audit dan merencanakan untuk memulai audit
internal
8. Memulai audit internal lapangan dan audit internal yang telah direncanakan.
9. Mendokumentasikan proses dan melaksakan prosedur audit yang telah direncankan
10. Mengembangkan audit point sheet yang melingkupi penemuan awal internal audit
11. Menyelesaikan dokumentasi audit dan mengiktisarkan penemuan audit yang potensial.
12. Menyelesaikan audit internal lapangan dan meriview temuan audit yang diusulkan dengan
auditee.
Nilai yang paling penting yang disediakan oleh proses audit internal kepada komite audit dan manajemen
merupakan laporan hasil pelaksanaan audit di lapangan secara rinci atau sebagai bagian dari operasi
keseluruhan.

46
47
 Chapter 8
STANDAR FOR THE PROFESIONAL PRACTICE OF INTERNAL AUDITING

Setiap profesi pasti memiliki standar kinerja yang ditetapkan secara umum untuk menilai apakah
pelakunya telah bekerja secara professional atau tidak, standar ini ditetapkan agar mereka memiliki acuan
dan setiap pelakunya dapat mengerjakannya dengan seragam, mengacu pada standar standar yang telah
ditetapkan. Internal auditor juga memiliki standar yang dijadikan acuan seperti IIA Standart. Standar ini
berisi hal hal apa yang harus dilakukan oleh internal auditor dan harus menjalankannya dan menjadi sifat
dasar bagi internal auditor.

Internal Auditing Professional Practice Standards

Internal auditor bekerja pada ruang lingkup yang luas serta bertugas untuk mengaudit beberapa
kegiatan operasional dan laporan keuangan. Karena tugasnya yang beraneka ragam, Audit Komite dan
Senior Manajemn brharap agar seorang internal audit menjalankan tugasnya dengan berperilaku secara
kompeten dan konsisten. Oleh karena itu, IIA, sebagai organisasi Internal Audit membuat standar yang
digunakan sebagai sifat dasar bagi seorang internal audit.
IIA didesain sebagai :
 Dasar pelatihan bagi sorang internal auditor
 Kerangka kerja dalam menjalani aktivirtas sebagai internal auditor
 Tolak ukur saat menjalankan aktivitas sebagai internal auditor
 Membantu mengembangkan proses dan operasional sebuuah organisasi

Background of the IIA Standards

Standar ini ditentukan olh IIA’s professional standards committee berdasarkan atas kinerja
professional beserta pendapat yang diterima dari anggota IIA dan anggota lainnya. Semua internal auditor
saat ini, sebagai bagian dari IIA, harus mengikuti aturan standar profesi tersebut. Sangat disayangkan
apabila internal auditor tidak memiliki piagan IIA. Internal auditor mungkin jugta bisa berasal dari profesi
lainnya, seperti bank atau dari ebuah perusahaan yang meemberikan jasa internal auditor. Mungkin ada
beberapa perbedaan standar profesi dari profesi-profesi lainnya.
Mereka menggunakan istilah yang brbeda, tapi mereka tetap harus mmatuhi aturan standar profesi
berdasarkan IIA. Disaat terjadi konflik, dan saat ada sebuah pertanyyaaan mengenai konflik tersebut dan
yang bertanya adalah seorang internal audit, disinilah standar IIA menjadi sebuah pegangan untuk
menyel;esaikan sebuah konflik.

48
 Standar IIA tertua (trbit tahun 2004) memuat beberapa hal detail yang bia dikatakan hampit tidak
masuk akal. Ementara saat IIA memebuat beberapa aturan umum yang dibuat secara luas, tetapi standar
IIA tertua justru trlalu spesifik. Standar IIA yang sekarang lebih spesifik dan realistis untuk menutnun
funsi dari seorang internal auditor sehingga bisa bertugas lebih efektif dan efisien. Ada perubahan dalam
IIA standar 2004 yang telah direvisi bahwa memperbolehkan seorang IIA bertindak sebagai konsultan
dan juga sebagai perannya yaitu sebagai auditor.
Standar yang paling awal muncul, justru kembali pada prinsip dimana seorang internal audit
dilarang menjadi seorang konsultan. Tapi larangan tersebut tidak dihiraukan beberapa tahun terakhir ini,
dan telah direvisi di tahun 2004 serta telah diklarifikasikan.

IIA’s Current Standards : What Has Changed

Standar IIA diubah secara berkala brgantung dari bisnis dan tugas seorang internal auditor saat
ini. Pada tahun 2007, karena ada kendala mengenai siapa yang mengawasi kinerja internal auditor, maka
dibuatlah peraturan yang baru yang ditambahakan pada praturan keadaan eksternal 1312.
Berbunyi : “peraturan mengenai keadaan eksternal harus diubah setidaknya 5 tahun sekali oleh
independent review atau tim review dari luar organisasi. Potensial dibutuhkan untuk lebih banyak
frekuensi kondisi ekternal juga kualifikasi dan kbbasan dari eksternal reviewer, termasuk bbrapa konflik
yang berpotensial untuk terjadi, harus didiskusikan bersama dengan CAe (Chief Audit Executive)
bersama dengan pmimpin atas lainnya. Diskusi tersebut juga harus didasarkan pada ukuran,
kompleksitas dan bidang industry dari organisasi atau perusahaan terait.”
Perubahan tersebut merupakan perubahan yang signifikan dalam standar internal auditor. IIA
mempublikasikan apa yang disebut dengan peraturan pelatihan disemua standar termasuk perubahannya
untuk melaksanakan review eksternal, 2 peraturan pelatihan berupa
detail syarat bagi reviewer termasuk eksternal review tim harus terdiri dari individu yang kompeten dalam
menjalaknkan tugas profesionalnya sebagai seorang internal auditor. Seluruh internal auditor harus
wspada terhadap kualitas review dan para CAE haru memperhatikan internal auditornya agar mereka
memenuhi syarat yang berlaku dan membuat susunan secara periodic.

2009 New Internal Audit Standards

Standar ini resmi dirilis pada Jauari 2009. Perubahan signifikan yang ditinjau kembali dari semua
standar dimana terdapat kata ‘seorang internal auditor harus’ diubah menjadi ‘seorang internal auditor
wajib’. Dan peraturan trbaru tersebut sudah secara resmi diteteapkan. Perubahan IIA berupa perubahan
dari ‘harus’ menjadi ‘wajib’ mugnkin merupakan salah satu perubahan yang paling signifikan dalam
prakteknya bagi seorang internal audit sejak peraturan ini ditemukan oleh Victor Brin. Standar-standar

49
tersebut merupakan kumpulan peraturan bagi semua aktivitas seorang internal auditor, baik sebagai IA
maupun sebagai konsultan internal atau bagi yang mengatus semua fungsi internal audit.

Standar Perilaku Auditor Internal

1. Harus menunjukkan kejujuran, obyektifitas dan kesungguhan dalam melaksanakan tugas dan
memenuhi tanggung jawab profesinya.
2. Harus menunjukkan loyalitas terhadap organisasinya atau terhadap pihak yang dilayani. Audit
internal tidak boleh secara sadar terlibat dalam kegiatan yang menyimpang atau melanggar
hokum.
3. Tidak boleeh secara sadar terlibat dalam tindakan atau kegiatan yang dapat mendiskreditkan
profesi audit internal atau organisasinya.
4. Haarus menahan diri dari kegiatan yang dapat menimbulkan konflik dengan kepentingan
organisasinya atau kegiatan yang dapat menimbulkan prasangka yang meragukan
kemampuannyauntuk dapat mlaksanakan tugas dan memenuhi tanggungjawab profesinya secara
objektif.
5. Tidak boleh menerima sesuatu dalam bentuk apapun dari karyawan, klien, planggan ataupun
mitra bisnisnya yang dapat iduga mmpengaruhi pertimbangan profesinya.
6. Hanya melakukan jasa yang dapat diselesaikan dengan menggunakan kompetesi professional
yang dimilikinya.
7. Harus mengusahakan berbagai uoaya agar senantiasa meemenuhi standar profsi audit internal.
8. Auditor internal harus bersikap berhati-hati dan bijaknsaan dalam menggunakan infornasi yang
diperoleh dalam melaksanakan tuganya.
9. Dalam melaporkan hasil pekerjaannya auditor internak harus mngungkap[kan smua fakta penting
yang diketahuinya.
10. Harus senantiasa meningkatkan kompetensi serta efektivitas dan kualitas pelaksanaan tugasnya.
Auditor internal wajib mengikuti pendidikan professional berkelanjutan.

Standar Atribut
Standar 1000 – Tujuan, Wewenang, dan Tanggung Jawab
1000 – Tujuan, Wewenang, dan Tanggung Jawab
Tujuan, wewenang, dan tanggung jawab dari Aktivitas Audit Internal harus didefinisikan secara formal
dalamPiagam Audit Internal, konsisten dengan Definisi Internal Audit, Kode Etik, dan Standar. Kepala
Eksekutif Audit harus secara berkala meninjau Piagam Audit Internal dan menyampaikannya kepada
manajemen senior dan Dewan untuk persetujuan.

50
Standar 1100 – Independensi dan Objektivitas
1100 – Independensi dan Objektivitas
Aktivitas Audit Internal harus independen, dan auditor internal harus bersikap objektif dalam
melaksanakan pekerjaan mereka.

Standar 1110 – Independensi Organisasi

1110 – Independensi Organisasi
Kepala Eksekutif Audit harus melapor ke suatu tingkat di dalam organisasi yang memungkinkan
Aktivitas Audit Internal untuk memenuhi tanggung jawabnya. Kepala Eksekutif Audit harus
mengonfirmasi kepada Dewan akan independensi organisasi dari Aktivitas Audit Internal sekurang-
kurangnya setiap tahun sekali.

Standar 1120 – Objektivitas Individual

1120 – Objektivitas Individual
Auditor internal harus memiliki sikap yang tidak memihak, tidak bias, dan menghindari konflik
kepentingan.

Standar 1130 – Gangguan terhadap Independensi atau Objektivitas

1130 – Gangguan terhadap Independensi atau Objektivitas
Jika independensi atau objektivitas terganggu baik secara kenyataan ataupun secara penampilan, rincian
gangguan harus diungkapkan kepada pihak-pihak yang tepat. Sifat dari pengungkapan akan tergantung
pada gangguan tersebut.

Standar 1200 – Keahlian dan Kecermatan Profesional

1200 – Keahlian dan Kecermatan Profesional
Penugasan harus dilakukan dengan keahlian dan kecermatan profesional.

1210 – Keahlian
Auditor internal harus memiliki pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk
melaksanakan tanggung jawabnya. Aktivitas Audit Internal secara kolektif harus memiliki atau
mendapatkan pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melaksanakan
tanggung jawabnya.

51
Standar 1220 – Kecermatan Profesional
1220 – Kecermatan Profesional
Auditor Internal harus menerapkan kecermatan dan keterampilan yang diharapkan dari seorang auditor
yang cukup berhati-hati dan kompeten. Kecermatan profesional tidak berarti kesempurnaan.

Standar 1230 – Pengembangan Profesional Berkelanjutan

1230 – Pengembangan Profesional Berkelanjutan
Auditor internal harus meningkatkan pengetahuan, keterampilan, dan kompetensi lainnya melalui
pengembangan profesional berkelanjutan.

Standar 1300 – Program Pemastian Kualitas dan Peningkatan

1300 – Program Pemastian Kualitas dan Peningkatan
Kepala Eksekutif Audit harus mengembangkan dan memelihara program pemastian kualitas dan
peningkatan yang mencakup semua aspek dari Aktivitas Audit Internal.

Standar 1310 – Persyaratan Program Pemastian Kualitas dan Peningkatan

1310 – Persyaratan Program Pemastian Kualitas dan Peningkatan
Program pemastian kualitas dan peningkatan harus mencakup penilaian internal dan eksternal.

Standar 1320 – Pelaporan Program Pemastian Kualitas dan Peningkatan

1320 – Pelaporan Program Pemastian Kualitas dan Peningkatan
Kepala Eksekutif Audit harus menyampaikan hasil program pemastian mutu dan peningkatan kepada
manajemen senior dan Dewan.

Standar 1321 – Penggunaan Frasa “sesuai dengan Standar Internasional untuk Praktik
Profesional Audit Internal”
1321 – Penggunaan frasa “sesuai dengan Standar Internasional untuk Praktik Profesional Audit
Internal”
Kepala Eksekutif Audit diperbolehkan menyatakan bahwa Aktivitas Audit Internal sesuai dengan Standar
Internasional untuk Praktik Profesional Audit Internal hanya jika hasil program pemastian kualitas dan
peningkatan mendukung pernyataan ini.

Standar 1322 – Pengungkapan Ketidaksesuaian

1322 – Pengungkapan Ketidaksesuaian

52
Ketika ketidaksesuaian dengan Definisi Audit Internal, Kode Etik, atau Standar berpengaruh terhadap
keseluruhan lingkup atau pelaksanaan aktivitas audit internal, Kepala Eksekutif Audit harus
mengungkapkan ketidaksesuaian dan dampaknya kepada manajemen senior dan Dewan.

Standar Kinerja
Standar Kinerja, yaitu Standar yang menjelaskan sifat dari kegiatan audit internal dan sebagai kriteria
evaluasi kinerja. Butir-butirnya adalah sebagai berikut:
2000 – Mengelola Aktivitas Audit Internal
2010 – Perencanaan
2020 – Komunikasi dan Persetujuan
2030 – Manajemen Sumber Daya
2040 – Kebijakan dan Prosedur
2050 – Koordinasi
2060 – Pelaporan kepada Manajemen Senior dan Dewan
2100 – Sifat Kerja
2110 – Tata Kelola
2120 – Manajemen Risiko
2130 – Pengendalian
2200 – Perencanaan Penugasan
2201 – Pertimbangan Perencanaan
2210 – Tujuan Penugasan
2220 – Lingkup penugasan
2230 – Alokasi Sumber Daya Penugasan
2240- Program Kerja Penugasan
2300 – Pelaksanaan Penugasan
2310 – Mengidentifikasi Informasi
2320 – Analisis dan Evaluasi
2330 – Pendokumentasian Informasi
2340 – Supervisi Penugasan
2400 – Mengomunikasikan Hasil
2410 – Kriteria untuk Berkomunikasi
2420 – Kualitas Komunikasi
2421 – Kesalahan dan Kelalaian
2430 – Penggunaan Frasa “Dilaksanakan sesuai dengan Standar Internasional Praktik Profesional Audit

53
Internal “
2431 – Pengungkapan Ketidaksesuaian
2440 – Diseminasi Hasil
2500 – Memantau Kemajuan
2600 – Resolusi Penerimaan Manajemen Senior atas Risiko

54
 Chapter 10
Audit Program and Establishing the Audit Universe

Definisi Lingkup dan Tujuan Internal Audit Universe

Audit universe adalah kumpulan dari semua area yang tersedia untuk di audit dalam suatu perusahaan.
Beberapa contoh aktivitas yang bisa diaudit:
 Kebijakan, prosedur, dan praktik pada suatu tingkatan perusahaan, dan lokasi yang spesifik, seperti
unit-unit internasional.
 Manufacturing, distribusi, atau unit-unit rantai persediaan.
 Sistem Informasi pada infrastruktur dan tingkatan aplikasi spesifik.
 Kontrak utama atau lini produk
 Fungsi-fungsi pembelian, akuntansi, keuangan, pemasaran, dan pengelolaan.
Kita harus mendefinisikan entitas audit dengan suatu cara, dimana internal audit individual dapat
menghemat biaya. Contohnya:
 Pada banyak instansi, hal ini mungkin paling efisien untuk menunjuk proses umum yang mencakup
semua unit pada keseluruhan entitas audit, terutama jika kebijakan dan prosedur umum mencakup
semua unit individual.
 Untuk rantai multirestoran dengan banyak unit kecil, boleh jadi akan menjadi terbaik untuk
mendefinisikan setiap restoran kecil individual sebagai unit yang diaudit, dengan tidak ada
perencanaan untuk menjadwalkan proses spesifik pada setiap restoran, dalam audit yang terpisah.
Tim internal audit disini mereview semua operasi atau cara kerja pada restoran utama, bukannya
proses umum, seperti prosedur pengendalian kas untuk semua unit restoran.
Tim internal audit seharusnya juga mendefinisikan beberapa poin penting audit untuk memastikan
konsistensinya dalam pelaksanaan audit dari semua audit internal potensial. Poin penting ini bertindak
sebagai suatu garis besar umum untuk dokumen perencanaan audit dan program kerja audit, serta
membantu menghasilkan laporan mengenai status pengendalian di dalam lingkungan pengendalian
perusahaan.
Empat jenis poin penting audit untuk seluruh keamanan informasi:
 Pengendalian akses IT
 Sistem konfigurasi keamanan
 Pemantauan dan tanggapan peristiwa
 Manajemen dan administrasi keamanan

Empat poin penting audit untuk elemen universe infrastruktur IT :

55
 1. Struktur dan strategi
2. Metodologi dan prosedur
3. Pengukuran dan pelaporan
4. Perkakas dan teknologi
Penilaian kapabilitas dan tujuan internal audit
Auditor internal harus mengetahui segala sesuatu tentang jenis bisnis, transaksi, kemudian pengaruhnya
terhadap keuangan. Internal audit harus realistis dalam mengembangkan daftar audit universe, yang
pertimbangan utamanya adalah pengendalian risiko (prioritas berdasarkan tingkat risiko audit). Internal
audit seharusnya menganalisis setiap calon potensial internal auditor dengan cara:
 Menetapkan sasaran pengendalian tingkat tinggi untuk setiap calon audit universe
 Menilai risiko tingkat tinggi untuk calon audit universe
 Mengkoordinasi aktivitas internal audit dengan audit lainnya dan menarik perhatian pemerintah
 Mengembangkan sasaran pengendalian tingkat tinggi untuk audit yang ditunjuk oleh audit universe
 Mengembangkan daftar pertanyaan pendahuluan mengenai penilaian pengendalian untuk setiap audit

Audit Universe Time and Resources Limitations

Walaupun dalam hal ini kita masih berhadapan pada suatu tingkatan sangat tinggi, langkah berikutnya
adalah melihat sisa materi dalam pendahuluan audit universe, jika waktu dan sumberdaya tersedia untuk
tinjauan ulang materi tersebut. Dalam beberapa situasi, mungkin ada terlalu banyak materi audit yang
ditinggalkan dalam audit universe untuk mencukupi dalam periode waktu yang layak. Disamping itu,
internal audit juga menetapkan jadwal di periode sekarang atau dalam tiga sampai lima tahun siklus, yang
memerlukan ketrampilan internal audit khusus. Sumber daya internal audit perlu ada dalam suatu area
karena keamanan jaringan TI digunakan untuk perencanaan, kesinambungan dan pengujian, dimana
keterampilan internal audit atau sumber daya akan diperlukan.
“Menjual” Audit Universe pada Komite Audit dan Manajemen
CAE dan tim kunci internal auditor mungkin melakukan usaha besar-besaran untuk membangun dan
mengurus internal audit universe, dan mungkin memohon bantuan dan saran dari senior manajemen
dalam hal kontens dan asumsi-asumsi dari audit universe, tetapi komite audit adalah entitas yang
bertanggungjawab untuk memeriksa dan menerima dokumen. Pada akhirnya komite audit
bertanggungjawab jika ada pertanyaan mengenai mengapa internal audit tidak melihat beberapa area, dan
CAE seharusnya memberi laporan singat secara hati-hati pada komite audit dan menjelasakan kunci
asumsi-asumsinya.
Membuat Program Audit: Komponen Kunci Audit Universe

56
Setelah auditor menentukan penekanan yang sesuai atas masing-masing dari 5 jenis pengujian (prosedur
pengendalian intern, uji pengendalian, uji substansi, uji analisis, uji saldo), program audit khusus untuk
masing-masing jenis tersebut harus dirancang.
Prosedur audit ketika dikombinasikan akan membentuk program audit. Mungkin akan ada suatu
kumpulan program sub audit untuk masing-masing siklus transaksi.
a. Format program audit dan persiapannya
Prgram audit adalah suatu prosedur yang mendeskripsikan mangenai langkah-langkah dan
pengujian-penguijan yang akan dilakukan oleh auditor ketika melakukan lingkungan kerjanya. Program
audit harus diselesaikan setelah melengkapi persiapan dan melakukan survey lapangan, dan sebelum
memulai pelaksanaan lingkungan kerja audit. Program audit harus dibentuk sesuai beberapa kriteria, yang
paling penting dalam program audit adalah auditor harus mengidentifikasi aspek-aspek daam area yang
akan diperiksa lebih lanjut dan sensitive area yang akan meminta penekanan audit. Sehingga pengalaman
auditor sangat penting.
Ada beberapa jenis format program audit secara umum :
 Satuan prosedur umum audit
 Program dengan instrukrur terinci untuk auditor
 Checklist atau daftar nama untuk implikasi pemeriksaan

b. Jenis bukti program audit

Internal auditor harus mengumpulkan bukti audit yang didukung evaluasi, dimana standar bukti internal
audit adalah mencakup empat kriteria yaitu sufficient (cukup), kompeten, relevan, dan berguna. Suatu
program audit, yang dibentuk dengan baik, harus dapat menjadi petunjuk auditor dalam proses
mengumpulka bukti audit. Internal auditor akan menemukan berbagai jenis bukti yang dapat berguna
dalam pengembangan kesimpulan atau emuan audit.
Audit Universe dan Pemeliharaan Program
Dokumen universe audit adalah gambaran umum dari semua unit audit yang memperbolehkan
pemeriksaan fungsi internal audit perusahaan. Hal ini adalah perencanaan yang menegaskan luas dan
lingkup aktivitas internal audit. Untuk beberapa tingkatan, jika dipertanyakan setelah ditemukan
kenyataan bahwa mengapa tim internal audit tidak pernah menjadwalkan pemeriksaan di beberapa area,
internal audit dapat menjelaskan bahwa area tersebut tidak termasuk annual perencanaan internal audit,
karena hal tersebut tidak pernah ditetapkan sebagai bagian deskripsi internal audit universe. Universenya
adalah peta big-picture yang mencakup teoritis internal audit dan perencanaan aktivitas internal audit
yang terus menerus.

57
58
 Chapter 12

INTERNAL AUDIT CHARTERS AND BUILDING THE INTERNAL AUDIT FUNCTION

Piagam Internal Audit dan Membangun Fungsi Internal Audit

Menciptakan Fungsi Internal Audit

Tidak ada cara yang optimal dalam menciptakan Fungsi Internal Audit, karena masing masing
perusahaan memiliki tipe bisnis, masa geografis, struktur organisasi serta kebutuhan internal audit yang
berbeda satu sama lain dan harus berdasarkan atas Internasional Standard for the Professional Practisce
of Internal Auditing.
Manajer puncak yang akan menjadi Chief Audit Executive ditantang untuk membangun fungsi
internal audit baru dengan berbagai macam pilihan, sesuai dengan keseluruhan bisnis perusahaan,
struktur logistic dan geografi, resiko pengendaliannya, dan keseluruhan budaya perusahaan
Kebutuhan utama dari seorang pemimpin yang kuat untuk organisasi yang efektif, untuk internal
audit pemimpinnya adalah Chief Audit Executive yang mengerti seluruh kebutuhan perusahaan dan
resiko pengendalian yang potensial sebaik dengan kontribusi potensial yang dapat dilakukan internal
audit perusahaan

Piagam Audit : Komite Audit dan Kewenangan Manajemen

Audit charter (Piagam Audit) adalah dokumen formal, yang disetujui oleh komite audit, untuk
menjelaskan misi, independensi, objektivitas, lingkup, tanggung jawab, kewenangan, akuntabilitas, dan
standar internal audit perusahaan.
Internal audit memiliki bebas kendali untuk mengetahui luasnya kisaran pencatatan dan megajukan
pertanyaan pada tingkat apapun, beberapa proses dalam memberikan wewenang juga perlu suatu
kewenangan. Fungsi internal harus melapor kapda komite audit atas dewan didalam struktur perusahaan.
Komite audit inimemiliki kewenangan dalam hak dan tanggung jawab yang berhubungan dengan
kewenangan formal suatu dokumen atau resolusi ( internal audit charter).
Tidak ada kebutuhan pasti dalam kewenangan dokumen, namun piagam internal audit menguatkan
internal audit dengan :
 Independensi dan objektivitas
 Lingkup atas tanggung jawab
 Kewenangan dan akuntabilitas

59
Membangun Internal Audit Staff

Setiap fungsi internal audit memerlukan seseorang yang diberi tugas dan tanggung jawab internal
audit, tersiri atas staf pendukung dan administrasi. Di dalam internal audit, terdapat bermacam-macam
posisi untuk berbagai tingkat dan tipe internal audit sendir di dalam sebuah perusahaan.
a) Tugas CAE
Harus ada seseorang yang bertanggung jawab atas seluruh fungsi internal audit, penanggung
jawab ini dulunya disebut dengan direktur namun sekarang telah berganti gelar menjadi CAE,
kebanyakan dari senior manajemendalam perusahaan akan menjadi penanggung jawab terakhir atas
keseluruhan fungsi audit.
 Operasi Perusahaan dan Isu Risiko.
 Sumber Daya Manusia dan Administrasi Internal Audit.
 Hubungan antara Komite Audit dan Manajemen,.
 Tata Pemerintahan Perusahaan, Akuntansi, dan Isu Regulasi.
 Tim Pembangunan Internal Audit dan Administrasi.
 Teknologi.
 Risiko yang berdasarkan Perencanaan Audit dan Proses yang Unggul.
 Kemampuan Bernegosiasi dan Hubungan Manajemen.
 Keyakinan Internal Audit dan Peran Konsultasi.
 Standar Praktik Profesional Internal Audit.

b) Tanggung Jawab Manajemen Internal Audit

Tingkat supervisor atau manajemen yang mengelola fungsi internal audit bergantung pada
ukuran keseluruhan perusaahan yang nantinya menciptakan fungsi secara efektifdengan
perencanaan tertutup, pemantauan serta pengawasan. CAE harus menjadi generalis internal audit
dengan pengetahuan baik mengenai isu pengendalian internal perusahaan, sedangkan manajer dan
pengawas internal audit adalah orang yang ahli dalam beberapa bidang seperti IT isu internal audit,
financial. Biasanya auditor tersebut bersertifikat seperti CPA, CIA, atau CISA yang merupakan
syarat untuk menduduki posisi tertentu dalam internal audit komite. Sertifikasi merupakan suatu
ukuran yang menunjukkan kemampuan, karena ketika CAE membangun internal audit yang efektif
perlu untuk mempertimbangkan kemampuan dan bakat calon calon yang akan menduduki posisi
manajer internal yang lebih baik dari hanya sekedar inisial setelah namanya.
Tanggung Jawab Pekerjaan
1) Melaksanakan audit bagian keuangan atau operasional atas departemen perencanaan audit
tahunan.

60
 2) Membantu direktur untuk mempersiapkan pembaharuan regular atas aktivitas internal
audit untuk komite audit
3) Menyediaan saran dan nasihat system baru, inisiatif, dan layanan yang diberikan dibawah
prespektif pengendalian internal
4) Membantu direktur untuk mengkoordinasi aktivitas keuangan internal audit, termasuk Sox
404 penilaian pengendalian internal, dengan registrai independen akunatan public.
5) Mengelola sumber daya keuangan fungsi internal audit secara efektif dan efisien
6) Mempekerjakan, Pelatihan, dan mengembangkan secara professional tim internal audit
keuangan
7) Mengawasi kualitas pekerjaan yang dilaksanakan oleh tim internal audit keuangan dan
memastikan pemenuhan terhadap standar yang berlaku

Kompetensi Kunci Manajer Internal Audit Keuangan

 Pengetahuan mendalam atas prkatek internal audit dan prinsip yang tertera dalam standar
IIA
 Pengetahuan yang kuat atas prinsip akuntansi dan pemahaman atas laporan keuangan
 Pengetahuan yang terpadu dan pengalaman dengan peraturan dan kebutuhan yang
memperngaruhi proses internal audit serta profesi akuntansi
 Orientasi secara terinci dengan analitis dan kemampuan penyelesaian masalah yang kuat
 Kepemimpinan yang terpadu, manajemen dan kemampuan administasi
 Dewan-dasar kemampuan bisnis termasuk keuangan atau praktek operasional dan prosedur
dari prespektif operasi perusahaan.
 Interpersonal yang kuat, komunikasi, dan kemampuan presentasi

Kebutuhan Kemampuan
 Gelar sarajan muda atas ilmu pengetahuan dalam administrasi bisnis yang utama dalam
akuntansi atau keuangan
 Memiliki pengalaman minimal tujuh tahun dalam internal audit atau akuntan public
 Harus bersetifikat Akuntan Publik (CPA) dan Bersertifikat Auditor Internal (CIA)

c) Tanggung Jawab Staf Internal Audit

Internal audit merupakan tempat yang baik untuk non ahli yang baru saja lulus. Perusahaan
memiliki kebutuhan teknisi dan akan mempekerjakan teknisi baru yang bergelar sarjana muda atau
membutuhkan orang dalam periklanan dan menambah calon dengan kemampuan periklanan

61
maupun komunikasi yang tepat, namun tingkat awal calon staff internal audit dapat berasal dari
tingkat area universitas

Tanggung Jawab Pekerjaan

Memiliki tanggung jawab dalam perencanaan, pengenbangan, pelaksanaan, pelaporan, dan
mengikuti tugas internal audit secara spesifik sesuai yang diarahkan.

Spesifikasi Tugas dan Tanggung Jawab

 Mempersiapkan atau merevisi program audit untuk mencapai tujuan, dan melaksanakan
internal audit yang sesuai dengan program audit yang disetujui
 Meriview dan menilai kebaikan pengendalian internal dan memastikan kecukupan
pengendalian internal
 Menentukan rivew secara periodik dan pengujian untuk memastikan kesesuaian dengan
prosedur dan regulasi yang ada, kemudian membuat rekomendasi untuk memperbaiki
prosedur saat ini dan yang diusulkan.
 Mereview dan melaporkan kelemahan pengendalian internal yang memungkin terjadi dan
pelanggaran praktek bisnis perusahaan, undang undang serta prosedur yang berlaku.
 Melaksanakan pekerjaan lain yang berhubungan dengan tugas internal audit
 Mengikuti pertemuan baik internal amupun eksternal untuk memperluas keahlian
professional dan mempertahankan prjanjian professional yang mendukungfungsi penugasan.

Pengetahuan dan Kemampuan

 Pendidikan: Gelar Sarjana Muda atau setara dalam pengalaman dan pendidikan
 Kemampuan Interpersonal: suatu tingkat keyakinan dan diplomatic, kesopanan dan
kebijaksanaan. Pekerjaan menciptakan hubungan personal yang luas dengan orang lain yang
biasanya merupakan personal atau sifat sensitive serta dapat memotivasi atau mempengaruhi
masing masing personal.

Kemampuan lain
 Pengetahuan umum akuntansi dan prosedur audit serta kemampuan untuk nekerja secara
independen
 Memiliki kemampuan bekerja dengan kertas kerja dan software pemrosesan kata data; yang
dapat mengoperasikan laptop komputer dan peralatan kantor umum
 Dapat bekerja secara independen

62
 d) Sistem informasi Spesialis Audit
Ahli tekhnologi informasi internal auditor memerlukan pelatihan dan kemampuan special.
Tidak seluruh fungsi internal audit memerlukan sedikitnya satu ahli dalam staff internal audit
dengan teknologi informasi yang kuat dan berhubungan dengan kemampuan pengendalian internal
seperti, system keamanan, aplikasi pengendalian internal, dan system operasi komputer
manajemen.
Kemampuan yang dibutuhkan para ahli system informasi audit dalam internal audit
bergantung pada jangka waktu teknis fungsi perusahaan. Perusahaan dengan aplikasi yang berbasis
perencanaan sumberdaya perusahaan, diatur terkait dengan aplikasi yang terikat pada database
kompleks yang memerlukan perangkat kemampuan ahli system audit informasi yang berdebeda
dengan perusahaan yang memiliki sumberdaya teknologi informasi aplikasi berbasis web.

e) Spesialis Auditor Lainnya

Posisi dalam internal audit sebenarnya hanya CAE sebagai posisi tertinggi, manajer internal
audit pendukung, staf internal audit, dan ahli system informasi audit. Posisi ahli dalam internal
audit dapat saja bertambah untuk mendukung tugas yang ada, bergantung pada ukuran perusahaan,
dan sifat keseluruhan dari aktivitas internal audit. Sehingga akan muncul cabang lain dari internal
audit yang disebut dengan kualitas audit, yang lebih berorientasi pada produksi dan mengikuti
standar yang ada. Banyak kemungkinan perusahaan menambah anggota untuk mendukung tim
internal audit untuk beberapa tugas pemantauan dan dokumentasi pengendalian internal organisasi;
tim internal audit yang besar biasanya memerlukan staf untuk mendukung laptop komputer dan
sumberdaya lain yang diperlukan.

Pendekatan Organisasi Departemen Internal Audit

Logistik dan biaya sering menjadi factor kunci karena tidak ada cara yang optimal dalam
menciptakan Fungsi Internal Audit, karena perbedaan tipe bisnis, masa geografis, struktur organisasi
serta kebutuhan internal audit. Biasanya perusahaan yang menggunakan operasi worldwide memerlukan
internal audit untuk melakukan review dalam situs perusahaan tersebut yang dapat diselenggarakan
secara desentralisasi dengan team local yang lebih dekat dengan operasi actual. Risiko yang dihadapi
adalah kesulitan bagi CAE untuk mengatur kekompakan fungsi internal audit, dan internal audit local
akan lebih memisahkan diri dengan bagian inti fungsi internal audit. Namun, internal audit local dapat

63
mengamati operasi local perusahaan dan dapat berada dalam situs dengan cepat, tanpa penundaan akibat
waktu perjalanan.
Sedangkan apabila berdasarkan kantor pusat, auditor internal perusahaan induk, bertanggungjawab
mendatangi situs mereka untuk melaksanakan audit. Pendekatan ini menghasilkan proses internal audit
yang konsisten namun adanya kendala perjalanan dan biaya.

a) Sentralisasi vs Desentralisasi Struktur Organisasi Internal Audit

Sentralisasi
 Sangat efisient untuk para idealis, namun bagi para sosialis hal tersebut tidak bekerja.
 COSO dan Sox menyarankan penggunaan sentralisasi pada level yang beragam. Merupakan suatu
posisi yang kuat untuk mengirim pesan management untuk unit yang ada di lapangan yang
melakukan review.
 Tim audit yang terpisah memungkikan mereka tidak mengetahui kebijakan dan pengambilan
keputusan hal inilah yang menyebabkan lemahnya komunikasi dengan tim internal audit local.
 Menemukan dengan mudah untuk mempertahankan penyeragaman, standart perusahaan yang
dapat diciptakan melalui kebijakan internal audit yang kuat dan prosedur tertentu melalui pesan,
e-mail, conference call, dan alat lainnya.

Desentralisasi
 Anggota unit local sering memiliki pemahaman masalah dalam unit tersebut, daripada
menyimpulkan situai permasalahan dan menyerahkannya ke level yang lebih tinggi untuk
pengambilan keputusan, sehingga mereka sering kali menyelesaikan dengan cepat dan dan
dengan cara yang lebih pintar.
 Adanya penundaan apabila pengambilan keputusan dilakukan oleh level yang lebih tinggidapat
sangat mengganggu. Anggota unit local sering kali lebih termotivasi untuk menyelesaikan
masalah pada level dimana dia berada dalam suatu organisasi dan sering memiliki pilihan untuk
mengembangkan keputusan yang lebih tepat
 Memiliki kelemahan pada saat menjelaskan kebijakan pengambilan keputusan terpusat secara
rasional atau terdapat kesalahan dalam ketepatan pengkomunikasian keputusan

b) Mengatur Fungsi Internal Audit

Banyak cara untuk mengatur fungsi internal audit melalui satu dari empat cara yang antara lain
yaitu
i. Mengatur Internal Audit Berdasarkan Tipe Audit

64
 Departemen audit terbagi atas tiga tim ahli ; (1) Sistem Informasi atai teknologi informasi
auditor; (2) audit ahli keuangan; (3) operasional auditor. Hal ini membuat proses audit
lebih efektif karena mereka memiliki tanggung jawab berdasarkan keahlian dan
pengalaman yang dimiliki. Beberapa masalah dan risiko pengendalian yang terkait dengan
wilayah yang sering terjadi adalah penanganan yang sangat baik dengan menugaskan
auditor internal yang memiliki keahlian special yang penting.

ii. Parallel Internal Auidt untuk Keseluruhan Struktur Perusahaan

Adanya alternative persekutuan dengan organisasi yang sejenis menjadi suatu struktur
organisasi perusahaan. Tim internal audit secra individual dapat menugaskan komponen
organisasi yang spesifik seperti divisi orperasional atau afiliasinya. Apabila unit organisas
ini memiliki keahlian sejenis dalam bisnis dan wilayah geografi, internal audit
memperoleh keuntungan dengan memiliki pemahaman isu pengendalian internal untuk
tipe aktivitas operasional tertentu yang mendukung perusahaan memiliki keahlian yang
spesifik.

iii. Pendekatan Geografi untuk Organisasi Internal Audit

Dengan pendekatan ini perusahaan local menugaskan untuk merancang tim internal
auditnya lagi. Menggunakan pendekatan geografi ini secara otomatis, menimbulkan
perluasan, pendekatan tipe audit atau struktur perusahaan ketika tipe operasi tertentu
terkonsentrasi pada wilayah geografi terpisah; biasanya terdapat keanekaragaman tugas
audit dalam wilayah individu.
Keuntungan dan kerugiannya hampi sama dengan dua pendekatan sebelumnya.
Dalam suatu saldo, pendekatan ini sering kali tampak bagus dehingga banyak digunakan
dalam praktik. Kantor audit terpisah jumlahnya tergantung pada lingkup operasi
perusahaan. Perusahaan dengan keanekaragaman operasi internasional memiliki beberapa
kantor internal audit internasional.

iv. Penggunaan Staf Internal Audit Kantor Pusat

Pendekatan ini didukung oleh CAE dan sebagian kecil staf administrasi pendukung,
dengan berbagai ekspansi oleh fungsi internal audit pusat yang sanga bergantung pada
pekerjaan yang didelegasikan kepada komponen tertentu dan tipe jasa audit internal
dilaksanakan oleh unit pusat. Sehingga pelaporan seluruh audit direview dan disetujui oleh

65
 kantor pusat. Masalah yang terjadi adalah kebijakan dan prosedur internal audit umum,
pengembangan, distribusi akhir, oleh fungsi internal audit kantor pusat. Perencanaan dan
administrasi dilaksanakan di kantor pusat, sedangkan aktivitas lain, dilakukan CAE yang
selalu membutuhkan tambahan asistem professional internal audit, dan dikembangkan
oleh internal audit kantor pusat atau anggota perencanaan dan administrasi yang lain.

v. Nonaudit dan Tugas Informal Staf

Adanya audit keuangan atau operasional yang special atau memberikan konsultasi
meskipun aktifitas tersebut terkadangng berupakan bagian dari aktivitas umum
perusahaan yang tidak pernah ditemukan dalam internal audit. Aktivitas tersebut
merupakan suatu proyek dengan durasi terbatas seperti penyelesaian pengendalian
keseluruhaan inventory. Aktivitas inimenunda proses perencanaan audit dan menjadi
penyabab masalah pengendalian perusahaan. CAE harus secara aktif mendorong tipe
proyek ini secara periodek untuk memberikan pengalaman tambahan dan diharapkan
dapat mendorong untuk posisi lain di dalam perusahaan.

Kebijakan dan Prosedur Internal Audit

Setiap internal audit mengembangkan kebjiakan dan prosedur yang memerintah fungsinya sebagai
petunjuk untuk seluruh staf audit dan sebagai pegangan untuk pengguna jasa audit. Internal audit
prosedur bergantung ukran fungsi dan kesluruhan perusahaan dan harus mengandung beberapa element
yaitu :
 Piagam audit dan kewenangan dokumen internal audit yang lain
 Kode etik perusahaan yang didalamnya terkandung peraturan peraturan
 Prosedur dan aturan departemen internal audit yang lain
 Standr Internal Audit
Internl audit harus mengikuti standard dalam mengisi kertas kerja, komunikasi terkaitm dan
kebijakan retensi. Mereka harus memastikan bahwa kertas kerja telah dikelola dengan benar, diulis
dengan jelas, dan telah mengalamatkan semua area dalam seluruh lingkup audit. Serta harus mengandung
bukti yang mencukupi tatas tuga yang telah dilaksanakan dan mendukung kesimpulan yang didapatkan.

Pengembangan Profesional :Membangun Fungsi Internal Audit yang kuat

Internal audit mrupakan fungsi internal dan yang merupakan bagian dari gaya operasi perusahaan
dan ketaan terhadap peraturan. Eskipun merupakan bagian dari perusahaan namun tetap bersifat

66
independen, unik, dan special. Besifat unik karena dengan adanya perkecualian dengan ketua eksekutif
officer dan terkadang pemberian nasihat, dan merupankan unit yang hanya melaporkan secara langsung
kepada komite audit. Internal audit akan slalu unik di setiap perusahaan dengan hak dan kewajiabbnya
untuk menilai risiko, menjadwalkan review dan mengajukan permintaan atas perbaikan apabila
diperlukan. Hal ini merupakan peran yang menunjukkan perhatian perofesional dan kehormatan dari
seluruh anggota internal audit.

Chapter 13
INTERNAL AUDIT KEY COMPETENCIES

13.1 Pentingnya Kunci Kompetensi Internal Audit

Seorang auditor internal harus memiliki banyak keahlian untuk menjadi auditor internal yang
sukses. Salah satu syaratnya yaitu harus mengenyam pendidikan selama empat tahun, sehingga dapat
memberikan pemahaman tentang bagaimana mengobservasi area operasional dan menggambarkan hal
tersebut dalam bentuk kata-kata maupun tulisan. Namun, yang lebih penting lagi dan mendasar, seorang
auditor internal harus memiliki etika personal yang kuat dan memiliki komitmen kerja yang tinggi.
Moeller merekomendasikan kompetensi utama yang harus dimiliki oleh seorang auditor internal, yaitu :
 Interview skills : auditor internal mampu mewawancarai manajer unit atau karyawan pada
tingkat produksi, memberikan pertanyaan yang layak, sehingga bisa mendapatkan
informasi yang dibutuhkan.
 Analytical skills : auditor internal harus harus memiliki kemampuan untuk melihat
kejadian-kejadian yang tidak berhubungan dengan data-data yang ada, sehingga dapat
memberikan gambaran kepada auditor mengenai suatu hal yang dianggap tidak biasa dan
material.
 Testing and analysis skills : berhubungan dengan analytical skills, seorang auditor harus
mampu mereview data-data kejadian atau populasi untuk menguji kinerja, sehingga dapat
menentukan apakah sudah efektif atau belum.
 Documentation skills : mampu mengambil hasil dari observasi audit, pengujian data dan
dokumen, baik secara verbal maupun grafis, dalam menggambarkan lingkungan yang
sudah diobservasi.
 Recommending results and corrective actions : berdasarkan pendokumentasian, auditor
harus mampu memberikan dan mengembangkan rekomendasi yang efektif sebagai
tindakan korektif.
 Communication skills : auditor internal harus mampu mengkomunikasikan hasil kerja

67
 audit sesuai dengan rekomendasinya kepada karyawan dan senior manajemen.
 Negotiating skills : karena sering terjadi perbedaan pendapat antara penemuan dan
rekomendasi, auditor harus mampu menegosiasikan hasil observasinya secara sukses.
 Commitments to learning : auditor harus memiliki keinginan untuk belajar dan menjalani
pendidikan berkelanjutan.

13.2 Kemampuan Interview Auditor Internal

Wawancara merupakan langkah awal dalam proses audit internal. Fungsi dari perencanaan
internal audit harus menampilkan review beberapa area, penilaian dari pengendalian internal, 68elati dari
proses operasional termasuk mengidentifikasi tujuan audit, waktu, dan sumber daya yang digunakan
untuk melakukan audit. Auditor harus 68elat pada persiapan wawancara. Berikut adalah tahapan
interview :
a) Setelah mengenal lingkungan, auditor membuat kerangka waktu dan tujuan dari perencanaan
internal audit.

b) Mengenalkan internal auditor yang akan melakukan reviewaktual sebaik yang diperkirakan oleh
partisipan auditee.
c) Jika ini adalah perencanaan audit pertama dari area ini atau jika terdapat perbedaan signifikan
sejak review terakhir, mendaftar area operasi mana yang bisa direview.
d) Jika ada internal audit terakhir sebelumnya di area ini, cek status yang ditemukan terakhir dan
rekomendasinya sebaik perubahan sistem yang terjadi sebelumnya.
e) Kerangka perencanaan waktu tentang langkah audit review.
f) Permintaan untuk audit material, termasuk akses yang benar untuk files dan sumber daya sistem
TI, kata kunci temporer, akses ke file kunci, dan perpustakaan fisik, koneksi telekomunikasi, dan
fasilitas lainnya.
g) Untuk tambahan periode waktu review, jadwal status pertemuan secara 68elative.
h) Jadwal tentative atas audit kepatuhan sebaik pertemuan wrap-up awal.
i) Membuat pengaturan untuk ketersediaan sumber daya untuk menjawab pertanyaan atau masalah
yang terjadi selama review berlangsung.
j) Menjelaskan perkiraan proses internal audit, termasuk laporan perencanaan sementara,
memperkirakan respons time untuk rekomendasi audit, dan mengantarkan laporan akhir.
k) Melalui interview dan kepastian yang ada, memberikan waktu yang cukup untuk pertanyaan.
l) Follow-up wawancara dengan detail ringkasan memo kerangka waktu potensial audit dan banyak
permasalahan lain yang belum terjawab.

68
13. 3 Analytical Skills
Mengadopsi definisi dari sumber web Wikipedia, analytical skills menunjuk pada kemampuan
untuk visualize, kepandaian berbicara, dan mengatasi masalah kompleks dan konsepnya dan untuk
membuat keputusan yang dibuat dengan memahami dasar dari informasi yanhg tersedia. Keahliannya
mencakup kemampuan internal auditor ditunjukkan dalam memakai cara berpikir logika untuk
pertemuan dan menganalisis informasi, mendesain dan menguji solusi untuk masalah, dan perumusan
rencana. Tes untuk keahlian analytical, internal auditor secara kuat dapat mempertanyakan laporan
produksi yang tidak konsisten , untuk menaruh rangkaian even dalam urutan yang tepat, atau untuk
membaca laporan status proyek dan mengidentifikasi kesalahan potensial. Review analytical biasanya
memerlukan internal auditor untuk mereview beberapa bukti audit material lalu menggunakan logika
untuk mengambil bagian dari masalah dan datang dengan sebuah keputusan.
Untuk menjadi analytical, internal auditor perlu untuk berpikir tentang segala factor yang meliputi
dalam situasi lalu mengevaluasi plus dan minusnya dalam mengembangkan solusi yang dianjurkan.
Keputusan internal audit harus dibuat secara konsisten, dan cara organisasi
Internal auditor harus menggunakan pendekatan analytical untuk menggambarkan kegunaan dari
well-documented, proses well-reasoned untuk sampai pada keputusan dalam aktivitas audit internal.
13. 4 Testing and Analysis Skills
Saat internal auditor harus mengembangkan keputusan awal menggunakan pendekatan analytical,
tantangan berikutnya adalah mempunyai kemampuan untuk menguji, review, dan assess the materials.
Contohnya, exhibit 13.2 menggambarkan alternative pendekatan pengujian audit. Tes pertama, physical
observation, sering tidak berfikir dalam konteks pengujian. Tetapi jika pendekatan analytical, dengan
menetapkan review dan menerima criteria, yang digunakan untuk pengorganisasian proses pengujian
dasar-observasi, physical observation dapat dilihat sebagai proses pengujian valid yang baik.
Syarat untuk kompetensi internal audit adalah analisis dari hasil test. Internal auditor memilih
sampel dan menyelenggarakan pengujian internal audit, lalu hasilnya dianalisis. Dalam penyelenggaraan
tiap sampel ditetapkan audit objektif, internal auditor harus mereview hasil dari kesalahan-kesalahan
yang mungkin dideteksi dalam sampel untuk menentukan apakah itu sebenarnya kesalahan, jika tepat,
sifat dan penyebab kesalahan.

13. 5 Internal Auditor Documentation Skills

Auditor internal memiliki beberapa tantangan dalam mempersiapkan sebuah dokumentasi
memadai yang mencakup seluruh pekerjaannya. Di dalam memenuhi kebutuhan tersebut seorang auditor

69
internal butuh untuk mengembangkan suatu audit work documentation skills. Sebuah fungsi audit
internal seharusnya terdiri dari beberapa standar praktek terbaik guna memenuhi kebutuhan
pendokumentasian secara elektronik.
Beberapa praktik audit internal terbaik yang seharusnya dilakukan ketika mengimplementasikan
sebuah effective internal audit e-office ialah sebagai berikut:
 Membuat standar hardware dan software
Meskipun audit internal dilakukan di berbagai macam wilayah akan tetapi harus tetap
menggunakan standar hardware dan software yang sama.
 Menggunakan password berdasar peraturan keamanan dengan pembaharuan 70elativ
Karena informasi yang diaudit bersifat 70elative70 maka perlu digunakan suatu password
didalam melindungi seluruh sistem.
 Membangun sebuah security awareness
Seluruh anggota dalam tim audit seharusnya telah diinstruksikan pada suatu sumber dokumen
audit yang 70elative70.
 Backup, backup and backup
Suatu prosedur yang kuat harus memiliki 100% backup file harian dalam folder file audit internal.
 Membuat prosedur pengendalian revisi file
Berdasar penggunaan nama file konvensional atau sistem pengendalian software, konvensional
seharusnya dibuat untuk mengidentifikasi seluruh dokumen dengan sebuah tanggal yang dibuat
dan angka yang direvisi.
 Membangun templates dan membuat style protocols
Sekuruh memo, audit program, rencana audit, dan dokumen kunci lain dari audit internal
seharusnya digunakan dengan format yang sama.
 Membuat e-mail style rules
Ada begitu banyaknya persyaratan dan kebutuhan untuk email messages, maka sebuah peraturan
mengenai e-mail style perlu dibentuk.
 Membuat e-mail attachment rules
 Implementasi secara aktif dan memonitor antivirus dan firewall tools
Software yang efektif harus sudah diinstall, diupdate secara berkala dan dimonitor.
 Membatasi pengguna
Seorang pengguna sumber e-office haruslah dibatasi (terutama apabila laptop sering dibawa
pulang ke rumah)
 Membuat kunci dan peraturan keamanan untuk mesin 70elative
Seluruh mesin laptop auditor harus telah dikonfigurasi dengan kunci yang memadai.

70
  Monitor compliance
Seorang anggota dari tim audit internal harus secara 71elative mereview dan memonitor
kepatuhan terhadap prosedur e-office auditor.

Selain itu terdapat suatu praktik terbaik dalam dokumentasi audit internal diantaranya:
 Menulis naratif dan deskripsi
 Mendeskripsikan seluruh pekerjaan dalam suatu narasi agar pihak luar dapat memahami
ketika mereview dokumen audit
 Dokumen konsep audit diobservasi tetapi tidak mendeskripsikan asumsi atau ide
spekulatif.
 Mengeneralisasi sistem dokumen yang berhubungan dengan menggunakan hyperlinks
 Simplifikasi
 Jaga agar dokumentasinya cukup simple tetapi tidak terlalu simple
 Tulis dokumentasi terkecil dengan least overlap
 Letakkan informasi pada tempat yang paling diapropriasi
 Memperlihatkan informasi kunci pada publik dengan menyertakan summary dan brief
description
 Menggunakan whiteboard, corkboard, atau internal web site
 Menjelaskan apa kepada dokumen
 Dokumen dengan sebuah tujuan
 Fokus pada kebutuhan pengguna 71elati
 Menjelaskan kapan pada dokumen
 Iterate, iterate, iterate. Melakukan suatu pendekatan evolusionary untuk memperoleh
feedback pada material
 Mencari jalan terbaik untuk mengkomunikasikan, menyetujui suatu transfer dukungan
dokumentasi
 Melindungi dokumen saat ini
 Mengupdate dokumentasi secara 71elativ tetapi hanya ketika terjadi suatu kesalahan
 General
 Selalu dipastikan bahwa dokumentasi itu memenuhi persyaratan
 Memberi kesempatan kepada para pengguna untuk menjustifikasi dokumentasi
 Membangun suatu pengesahan agar suatu dokumentasi menjadi lebih kuat
 Menyediakan persiapan latihan pendokumentasian pada seluruh anggota tim audit
internal.
13.6 Rekomendasi Hasil dan Tindakan Koreksi

71
 Melaporkan hasil dari kerja audit nya dan mengembangkan rekomendasi yang kuat untuk
tindakan koreksi. Auditor internal harus mempunyai kemampuan kunci untuk merangkum hasil dari kerja
audit, untuk mendiskusikan apa yang salah, serta untuk mengembangkan rekomendasi dalam tindakan
koreksi yang efektif. Setiap auditor internal seharusnya memfikirkan kerja audit mereka dalam hal:
Tujuan audit, Apa yang ditemukan, Mengapa ditemukan kesalahan atau ketidakpatuhan, lalu Apa dapat
mengkoreksi kesalahan tersebut, serta apa rekomendasi dari auditor internal untuk tindakan koreksi.
Auditor internal pada semua level sebaiknya mengembangkan kompetensi berfikir tentang hal-hal
tersebut. Mengkaji ulang bukti dan membuat ketepatan rekomendasi audit dapat menjadi sulit jika audit
menemukan pembatas yang kompleks atau area yang sangat tidak jelas.
13.7 Kemampuan Komunikasi Auditor Internal
Auditor internal pada semua level sebaiknya mengembangkan kemampuan untuk berdiskusi dan
mempresentasikan temuan audit dan rekomendasi audit internal yang terkait. Mereka juga harus mampu
berkomunikasi dengan yang lainnya dalam perusahaan tentang kerja mereka secara tepat dan untuk
membantu yang lainnya dalam memahami nilai dari auditor internal.

13.8 Kemampuan Bernegosiasi Auditor Internal

Ketika berfokus pada rekomendasi yang dikembangkan di dalam laporan atau selama me-review
bukti audit di lapangan, auditor internal akan mendiskusikan banyak area dimana manajemen dan yang
lainnya tidak setuju dengan asumsi auditor internal dan penemuan-penemuan potensialnya.
Internal auditor harus berkomunikasi dalam rangka negosiasi mengenai isu atau pendapat, baik
itu berhadapan secara langsung, melalui telepon, ataupun tulisan. Berikut adalah beberapa elemen kunci
dari proses negosiasi.
Tahap I : Memulai Negosiasi – Penawaran Awal
1. Information
Belajar sebanyak mungkin mengenai isu audit atau masalah yang didiskusikan
2. Leverage Evaluation
Sebagai permulaan, evaluasi pemicu atau kekuatan 72elative negosiasi kita dan pemicu dari pihak
lain.
3. Analysis
Apa saja isu yang berkembang, hal ini penting ketika memulai review mengenai laporan audit
yang bermasalah.
4. Rapport

72
 Bangun hubungan dengan auditee dan dengan pihak lawan. Audit internal harus menentukan
terlebih dahulu apakah pihak lawan akan kooperatif ; apabila tidak, maka pertimbangkan untuk
memperkerjakan manajemen senior sebagai mediator praktikal.
5. Goals and Expectations
Tujuan berbeda dengan ekspektasi, apa yang menjadi ekspektasi dari internal audit ketika sesi ini
selesai.
6. Type of Negotiation
Bagaimana jenis negosiasinya, apakah kompetitif, kooperatif, atau tidak biasa, apakah
berhadapan langsung, melalui fax, menggunakan mediator, atau dengan cara lain.
7. Budget
Setiap negosiasi mengeluarkan biaya. Audit internal akan menghabiskan waktu staff dan
manajemen untuk bertemu dan bernegosiasi, yang mungkin dapat digunakan untuk mengerjakan
pekerjaan audit lainnya .
8. Plan
Kembangkan rencana negosiasi sementara.
Tahap II : Tahap Penawaran
1. Logistics
Tentukan tempat, waktu, dan cara negosiasi. Hal ini penting apabila melibatkan beberapa unit
atau lokasi di dalam prosesnya.
2. Opening Offers
Penawaran terbaik apa yang kita punya, apakah akan memodifikasi rekomendasi atau tidak.
3. Subsequent Offers
Bagaimana kita menyesuaikan rencana negosiasi untuk merespon pergerakan lawan yang tidak
bisa diantisipasi.
4. Tactics
Tentukan taktik yang akan kita gunakan, dan perkirakan taktik apa yang digunakan oleh lawan.
5. Concessions
Tentukan konsesi apa yang akan dibuat, dan bagaimana membuatnya.
6. Resolution
Temukan cara terbaik untuk menyelesaikan masalah. Temukan solusi yang dapat dirundingkan
dan kreatif.
Tahap III : Tahap Penutup
1. Logistics

73
 Tentukan cara dan waktu yang tepat untuk menutup pertemuan negosiasi. Apakah pada saat
pertemuan tersebut atau nanti setelah auditor internal menyajikan revisi mereka.
2. Documentation
Siapkan dokumen terperinci yang menggambarkan jalannya pertemuan, dengan penekanan pada
perubahan rencana dan persetujuan kedua belah pihak.
3. Emotional Closure
Dalam menutup pertemuan, penting untuk mengidentifikasi kepentingan dan perubahan dari tiap
pihak. Apabila kita mengabaikan surat tersebut, maka persetujuan tersebut kemungkinan bukan
yang terakhir.
4. Implementation
Meskipun audit internal setuju untuk membuat perubahan pada laporan audit mereka dan auditee
setuju untuk merubah beberapa prakteknya, perjanjian negosiasi akan menjadi kurang berguna
kecuali diimplementasikan dengan tepat.
13. 9 Komitmen untuk Belajar Auditor Internal
Semua auditor internal harus menanamkan komitmen untuk belajar secara konstan dan
berkelanjutan sebagai bentuk kompetensi yang paling utama. Contohnya, di tahun 2008, SEC
mengkonversikan aturan-aturan akuntansi dari GAAP menjadi IFRS (international financial reporting
standards). Walaupun auditor internal tidak perlu memahami secara mendalam atas perubahan aturan
akuntansi ini, namun mereka harus mengetahui dampak-dampak yang mungkin terjadi atas perubahan
tersebut.
13.10 Pentingnya Core Competencies Auditor Internal
Kompetensi-kompetensi yang tersaji pada bab ini sangat penting bagi semua auditor internal.
Ketika topiknya adalah kemampuan berkomunikasi yang bagus atau kemampuan untuk belajar pada
daerah yang kurang dikuasai, hal tersbut bagus untuk dipraktekkan, keakraban yang kuat dan penggunaan
kunci kompetensi audit internal yang didiskusikan disini merupakan elemen yang dibutuhkan bagi setiap
CBOK auditor internal.

74
 Chapter 16
DOCUMENTING RESULTS THROUGH PROCESS MODELING AND WORKPAPERS
16.1 Internal Audit Documents Requirement
Dokumentasi internal audit mengacu pada laporan audit diterbitkan, rencana kegiatan, dan bahan
lain yang mendukung laporan, lembar kerja audit, key meeting minute, alat audit dengan bantuan
komputer dan teknik (CAATTs) bahan, dan data lain serta informasi untuk mendukung internal audit.
Tentu saja, fungsi internal audit harus menetapkan dan mengikuti beberapa standar minimum retensi
dokumentasi.
SEC mengharuskan bahwa catatan disimpan untuk tujuh tahun setelah auditor menyimpulkan
audit atau mereview laporan keuangan. Untuk internal audit, periode retensi catatan akan menjadi
minimal tujuh tahun setelah laporan audit dikeluarkan. Sebuah fungsi internal audit harus mengatur untuk
mempertahankan semua catatan penting dari internal audit untuk periode retensi tujuh tahun. Berikut
adalah tiga aspek penting dokumentasi internal audit.
 Proses pemodelan
 Lembar kerja audit
 Dokumen manajemen

Internal auditor kadang memulai proses auditnya dari area baru dimana tidak adanya laporan audit
sebelumnya atau belum pernah dilakukan audit pada bagian tersebut dan mungkin dokumentasi
perusahaan yg minim tentang bagian tersebut. Internal auditor perlu mengamati operasi, laporan
tinjauan dan prosedur, dan mengajukan pertanyaan untuk mengembangkan pemahaman dari
proses baru. Dokumentasi yang dihasilkan penting untuk memahami lingkungan pengendalian
internal dan untuk membuat rekomendasi-konsultasi yang bersangkutan pada saat yang tepat.
Proses pemodelan
Proses pemodelan adalah cara yang membantu auditor internal menavigasi melalui kegiatan :
 Dimana kita berada sekarang
 Kemana kita harus pergi
 Kita berasal darimana
 Cara untuk ke tempat tujuan

Proses pemodelan merupakan suatu bentuk peta untuk membantu auditor menavigasi melalui
serangkaian kegiatan yang diamati. Namun, proses pemodelan yang baik adalah jalur yang
menunjukkan bagaimana mendapatkan dari satu titik ke titik lain dengan jalan yang lebih

75
 sederhana. Proses pemodelan merupakan alat penting auditor internal baik untuk review dari
proses perusahaan yang ada dan untuk menyarankan daerah untuk perbaikan.
Lembar kerja
Lembar kerja adalah dokumen-dokumen yang menggambarkan kerja internal auditor dan
menyediakan dasar dan pemahaman untuk internal audit. Lembar kerja internal audit juga dapat memiliki
makna hukum. Lembar kerja internal audit adalah catatan pokok pekerjaan tampilan audit dan pada suatu
saat mereka dapat memberikan bukti tentang apa yang terjadi atau tidak terjadi saat pengadutian
berlangsung.
Fungsi utama dari lembar kerja auditor meliputi:
- Dasar perencanaan audit. Lembar kerja audit sebelumnya dari auditor dengan informasi latar belakang
untuk melakukan review saat ini di daerah secara keseluruhan yang sama.
- Rekaman audit yang dilakukan. Lembar kerja menjelaskan tampilan audit saat ini dan juga
memberikan referensi ke sebuah program audit yang dibentuk.
- Penggunaan audit.
- Deskripsi situasi minat khusus. Seperti kebijakan dan prosedur, akurasi, efisiensi, kinerja personil,
atau potensi penghematan biaya.
- Dukungan untuk kesimpulan audit tertentu. Lembar kerja memberikan materi pembuktian yang cukup
yang akan disertakan dalam laporan audit.
- Referensi sumber. Lembar kerja dapat menjawab pertanyaan tambahan yang diajukan oleh
manajemen maupun oleh auditor eksternal.
- Staf penilaian kinerja staf selama audit secara langsung tercermin dalam atau ditunjukkan oleh lembar
kerja.
# Lembar kerja standar
Lembar kerja dirancang terutama untuk mendukung internal audit individu dan dapat digunakan
oleh anggota lain dari fungsi internal audit, termasuk pengelolaan dan jaminan kualitas. Lembar kerja
harus mengikuti serangkaian standar yang konsisten dan dapat berdiri sendiri. Lembar kerja standar audit
internal harus mencakup bidang-bidang:
- Relevansi untuk tujuan audit
- Penyingkatan detail

# Lembar kerja dokumen organisasi

Seperti halnya dalam sistem pengarsipan manual, bahan lembar kerja diklasifikasikan menurut jenis dasar
mereka dan dikelompokkan bersama dalam sebuah file. Lembar kerja dapat dipisahkan ke dalam bidang
audit yang luas:

76
  File permanent
 File administrasi
 File prosedur audit

# Lembar kerja teknik persiapan

Proses rinci mensyaratkan bahwa auditor internal mengikuti standar departemen audit secara
keseluruhan untuk persiapan lembar kerja dan juga membuat lembar kerja mudah untuk diikuti dan
dipahami. Bagian yang penting adalah untuk memastikan bahwa semua anggota staf audit internal
memahami tujuan dan lembar kerja audit mereka.
# Lembar kerja tinjauan proses
Terdapat adanya peninjauan terhadap inisial reviewer dan tanggal pada setiap lembar lembar
kerja. Beberapa fungsi internal audit menyiapkan memorandum atau checklist evaluasi lembar kerja
untuk sifat dokumen dan tingkat tinjauan mereka. Proses review workpaper harus selalu dilakukan
sebelum penerbitan laporan audit final.
3. Catatan Dokumen Manajemen
Catatan dokumen manajemen merupakan cara untuk mempertahankan catatan organisasi dari
waktu ke waktu. Hal ini dapat meliputi klasifikasi, penyimpanan, pengamanan, dan kehancuran (atau
dalam beberapa kasus, pelestarian arsip) catatan. Catatan dokumen manajemen melibatkan:
1. Perencanaan kebutuhan informasi dari sebuah organisasi
2. Mengidentifikasi kebutuhan informasi rahasia
3. Membuat, menyetujui, dan menegakkan kebijakan dan praktek tentang catatan, termasuk
organisasi mereka dan pengeluaran
4. Mengembangkan rencana penyimpanan catatan, yang mencakup jangka pendek dan jangka
panjang catatan fisik dan informasi digital
5. Mengidentifikasi, mengelompokkan, dan menyimpan catatan
6. Koordinasi akses ke catatan internal dan di luar organisasi, menyeimbangkan persyaratan
kerahasiaan bisnis, data pribadi, dan akses publik.
7. Pelaksana kebijakan retensi dari penjualan catatan yang tidak lagi diperlukan untuk alasan
operasional, sesuai dengan kebijakan organisasi, persyaratan hukum, dan peraturan lain ini
mungkin melibatkan penghapusan atau pelestarian arsip permanen.
.
16.2 Process Modeling for Internal Auditors
Model proses adalah suatu bentuk peta/bagan yang dapat membantu auditor internal untuk
mengendalikan proses melalui serangkaian akivitas pengamatan. Dengan ini maka internal auditor bias

77
mendapatkan informasi yang mereka butuhkan dengan lebih jelas dan detail. Berikut adalah langkah-
langkah yang dilakukan oleh auditor internal :
Understanding the Process Modeling Hierarchy
Disini internal auditor harus memahami bagaimana satu proses dengan proses yang lain saling
berhubungan. Beberapa proses kunci yang membantu internal auditor untuk berkomunikasi lebih baik
kepada lainnya,
 Sistem
 Proses
 Aktivitas
 Pelanggan eksternal
 Pelanggan internal

Describing and Documenting Key Process

Deskripsi proses disiapkan oleh auditor internal,dimana harus menjadi bagian dari kertas kerja
audit untuk ditinjau sebagai penjelasan dalam bagian selanjutnya. Tujuan mereka adalah untuk
menggambarkan aliran input dan output antara kegiatan proses. Audit internal menggembangkan
pendekatan 78elative78na konsisten untuk diagram aliran prosesnya. Dua pendekatan yang paling mudah
digunakan dan dipahami adalah :
1. Input/output process flowcharts
Pendekatan ini baik digunakan untuk objek yang berhubungan dengan objek fisik. Fokusnya
adalah pada objek pasif yang sedang dikonsumsi, diproduksi atau diubah oleh aktivitas proses.
2. Work-flow description process flowcharts
Pendekatan ini menekankan pada urutan kegiatan daripada aktivitas yang tidak bekerja.

Process Modeling and the Internal Audit

Model proses adalah alat yang penting bagi auditor internal yang digunakan baik untuk mengkaji
proses perusahaan yang ada maupun untuk menyarankan bagian mana yang membutuhkan perbaikan.

16.3 Internal Audit Workpapers

Workpaper merupakan bukti audit untuk mendeskripsikan hasil dari internal audit. Bukti audit
yang didokumentasikan pada kertas kerja auditor, seharusnya cukup untuk mendukung asersi audit dan
kesimpulannya. Fungsi utama dari kertas kerja auditor mencakup :
1. Dasar untuk merencanakan audit
2. Pencatatan dari kinerja audit
3. Penggunaan selama audit

78
 4. Deskripsi situasi yang diperhatikan
5. Mendukung kesimpulan audit spesifik
6. Sumber referensi
7. Penilaian staf
8. Koordinasi audit

a. Workpaper standard
Internal auditor harus mencatat informasi relevan untuk mendukung kesimpulan dan hasil
perikatan. Standard kinerja internal audit harus mencakup area-area seperti:
a. Relevansi untuk audit objektif
b. Penyingkatan (condensation) dari detail
c. Kejelasan dari presentasi
d. Kecermatan kertas kerja
e. Tindakan dalam item terbuka
f. Standard bentuknya, yang mencakup :
 Preparation of headings
 Enterprise
 Neatness and legibility
 Cross-indexing
b. Workpapers formats
Exhibit 16.5 menunjukkan kertas kerja yang dipersiapkan secara manual dari audit operasional
atas observasi persediaan fisik.
c. Workpaper document organization
Untuk kebanyakan internal audit, kertas kerja dapat dipisahkan dalam beberapa area audit:
1. File permanen
Beberapa data mungkin mencakup :
 Keseluruhan chart audit atas unit audit
 Chart dari akun dan 79elativ dari kebijakan utama dan prosedur
 Laporan keuangan mengenai entitas potensial yang berguna untuk data analitis
 Salinan dari laporan audit terakhir, program audit yang digunakan
 Informasi tentang audit unit
 Informasi logistic untuk membantu auditor selanjutnya
2. File administrative
Workpaper 79elative79nal79e files mungkin tidak dibutuhkan untuk audit kecil.

79
 3. File prosedur audit
 Listings of completed audit procedures
 Completed questionnaries
 Description of operations procedures
 Review activities
 Analysis and schedules pertaining to financial statements
 Enterprise documents
 Finding points sheet, supervisor notes, or draft of reports
 Audit bulk files
d. Workpaper preparation techniques
Dalam mempersiapkan workpapers, melibatkan drafting audit comment dan membuat skedul
untuk mendeskripsikan kerja audit dan mendukung kesimpulannya. Aspek penting adalah meyakinkan
atau memastikan bahwa semua member dari staff internal audit memahami tujuan dan kritikal dari audit
workpapers. Mempersiapkan secara manual maupun menggunakan sistem computer-based, audit
workpaper harus memiliki indexing dan standar notasi yang akan menjadikan review menjadi mudah dan
80elative80nal audit lainnya.
(I) Workpaper indexing and cross-referencing
Cross-references dan notasi membuat auditor atau reviewer mengambil referensi signifikan dan
menelusuri kembali original citation-nya atau sumbernya. Index number pada workpaper, sama
seperti volume dan nomor halaman dalam published book.
(II) Tick Marks
Tick marks merupakan form manual auditor atau notasi menggunakan pensil. Auditor dapat
mengembangkan particular mark untuk mengindikasikan given value dalam skedul keuangan
cross-foots ke other related values dan tick mark lain untuk mengindikasikan pada trial balance.
(III) References to external audit sources
Internal auditor kadang mencatat informasi yang diperoleh dari sumber luar. Penting untuk
mencatat sumber seperti komentar langsung pada workpaper. Auditor butuh referensi hukum dan
regulasi untuk mendukung kerja auditnya.
(IV) Workpaper Rough Notes
Saat interview, internal auditor membuat very rough notes, penulis personal form of shorthand
readable only by the author. Auditor harus menulis atau memasukkan ulang rough notes ini ke
komentar workpaper. Karena ada alasan untuk review lagi, original note sheets harus termasuk
dalam workpaper, terletak di belakang workpaper manual binder atau di bagian file.

80
e. Workpaper Review Processes
Bergantung pada ukuran staf audit dan kepentingan 81elative dari given audit, mungkin ada
multiple review atas workpaper, satu melalui in-charge auditor, dan lainnya melalui senior member dari
manajemen internal audit. Beberapa internal audit function menyiapkan memorandum atau workpaper
review checklist untuk dokumen dan perluasan reviewnya. Poin dari review ini atau pertanyaan may
simply highlight electrical errors, seperti missing cross-references. Pertanyaan ulang harus kembali
diajukan, dan reviewer harus mengambil tanggung jawab untuk memastikan bahwa open questions telah
diatasi. Proses review workpaper memastikan bahwa semua report findings memiliki dukungan melalui
bukti audit sebagai dokumentasi dalam workpaper.

16.4 Internal Audit Records Management

Kebutuhan yang penting untuk praktik manajemen dokumen untuk internal audit function dalam
lingkungan hari ini dalam auditor laptops dan wireless network :
Document standards & review processes
Internal audit butuh membuat standar untuk software yang digunakan, laptop computer
vonfiguration,dokumen umum dan template standards. Tujuannya agar semua menggunakan equipment
yang sama dengan format dan standar. Proses formal dan aman harus diset dalam tiap skedul audit.
Pada kesimpulan audit, material workpaper dapat didownload ke system pusat server department audit.

Backup, security, & continuity

Untuk personal emails, internal auditor dapat menggunakan salah satu small portable services.
Pengamanan yang dibuat dan pengendalian password harus diinstal, seperti jika system dicuri, kontennya
tidak bisa dengan mudah diakses. Prosedurnya juga membuat file internal audit untuk di backed up dan
didownload ke sistem server internal audit pada regular basis
Hardware & software resource management
Dengan relatively efficient dan lower – cost resources yang tersedia, tidak ada alas an kenapa
internal audit function tidak punya system server terdedikasi untuk tujuan internal audit
CAATT Repository
Setiap usaha yang dibuat grup dan organize sumau CAATT – related materials dengan catatan
workpaper internal audit
Audit reports, risk management, & internal audit administration
Internal audit butuh persiapan dan distribusi a alarge body of material, ternasuk laporan audit,
risk management analysis, budgets, dan komunikasi dengan audit komite. Dokumen 7 tahun

81
menggunakan rule should appaly ke catatan administrative internal audit, dan ditempatkan dalam folder
aman dalam sisten server departemen audit.
16.5 Pentingnya Mendokumentasikan Internal Audit
Dokumentasi yang cukup itu dibutuhkan untuk menampilkan keseluruhan proses internal audit.
Chapter ini menekankan pada pentingnya kertas kerja audit untuk aktivitas internal audit sebaik proses
untu k menampilkan deskripsi dari aktivitas perusahaan. Kemampuan untuk mempersiapkan deskriptif
dan efektivias kertas kerja sebagai kunci dari internal CBOk yang diminta. Dalam hal ini semua auditor
internal dari CA sampai staff audit, harus menyesuaikan diri dengan banyak peralatan TI yang disediakan
untuk mendeskripsikan dan mendokumentasikan proses internal audit.

82
 Chapter 17
PELAPORAN HASIL AUDIT INTERNAL

Sebuah laporan audit merupakan dokumen formal di mana internal auditor merangkum
pekerjaannya dengan melaporkan observasi dan rekomendasi. Laporan audit merupakan produk akhir
yang paling penting dari kegiatan audit internal bagi pengguna, baik di dalam dan di luar perusahaan.
Laporan Audit memberikan bukti tentang karakter 83egular83tor83 kegiatan audit internal dan
memungkinkan orang lain untuk mengevaluasi kontribusi ini. Laporan audit yang efektif, harus didukung
oleh audit lapangan kualitas tinggi, seperti dibahas dalam Bab 9, tetapi audit lapangan yang sama dapat
dibatalkan oleh laporan yang ditulis dengan buruk atau tidak siap. Penyusunan laporan yang jelas dan
efektif harus menjadi perhatian utama bagi auditor internal di semua tingkatan, dari CAE untuk
mengaudit anggota tim staf.
Pelaporan audit internal yang bagus adalah lebih dari sekedar laporan persiapan dan penampilan.
Laporan-laporan audit harus mencerminkan filosofi dasar dari pendekatan total audit internal suatu
perusahaan, termasuk tujuan dasar dari review, mendukung strategi dan kebijakan utama, prosedur yang
mencakup pekerjaan audit, dan kinerja 83egular83tor83 dari staf audit. Sementara laporan audit adalah
sarana utama komunikasi, auditor internal akan kurang efektif jika komunikasi mereka dengan
perusahaan terbatas hanya untuk laporan yang dipublikasikan. Komunikasi juga harus dilakukan melalui
wawancara selama penelitian lapangan, menutup pertemuan ketika temuan audit yang pertama kali
disajikan, pertemuan dengan manajemen senior dan komite audit untuk memberitahukan mereka tentang
hasil audit, dan kontak lainnya di seluruh perusahaan. Semua anggota dari perusahaan audit internal harus
memiliki komunikator efektif baik dalam kata-kata lisan dan tulisan. Bab ini membahas tujuan dan gaya
penyajian laporan audit internal, termasuk berbagai format dan metode tersebut menyajikan hasil
pekerjaan audit kepada manajemen dan lainnya di perusahaan. Laporan audit merupakan komponen
utama komunikasi audit internal.

17.1 Tujuan Dan Jenis Laporan Audit Internal

Laporan audit internal memiliki tujuan dasar untuk menggambarkan audit yang direncanakan dan
dijadwalkan dan menyampaikan hasil audit itu. Secara alamiah, laporan audit internal umumnya kritis
dan cenderung untuk menekankan hal-hal seperti mengidentifikasi kelemahan pengendalian internal.
Sementara itu tepat untuk melaporkan bahwa audit internal mereview beberapa daerah dan tidak
menemukan masalah, jika departemen audit atau sejumlah individu secara konsisten tidak menemukan
masalah dalam sebagian besar audit yang dijadwalkan, mungkin perlu meninjau pendekatan penilaian

83
risiko audit internal atau memeriksa kembali aktivitasnya. Apakah dokumen tertulis resmi diedarkan
kepada manajemen tingkat senior dan dewan atau presentasi lisan informal di akhir audit lapangan, semua
laporan internal audit harus selalu memiliki empat tujuan dasar dan komponen, yaitu:

1. Tujuan, waktu, dan ruang lingkup review

Laporan audit harus mengikhtisarkan high-level objectives atas review, dimana review dilakukan,
dan high-level scope audit internal

2. Deskripsi atas temuan

Berdasarkan kondisi yang diamati dan ditemukan selama review, laporan audit harus menjelaskan
hasil audit. Seringkali bagian ini adalah di mana laporan itu menjelaskan apa, jika ada yang salah
dengan kondisi yang ditemukan, serta mengapa itu salah. Istilah yang salah di sini termasuk
kelemahan pengendalian internal, pelanggaran prosedur perusahaan, atau salah satu dari berbagai
kekhawatiran lainnya audit internal.

3. Saran untuk perbaikan

Laporan audit harus mencakup rekomendasi, berdasarkan temuan, untuk memperbaiki kondisi dan
penyebabnya. Tujuan dari saran ini laporan meliputi laporan tentang perbaikan kondisi diamati serta
rekomendasi untuk meningkatkan operasi.

4. Dokumentasi atas perencanaan dan klarifikasi atas pandangan auditee

Merupakan bagia dimana auditee dapat secara formal menanggapi temuan-temuan audit internal
dan menyatakan rencana untuk tindakan perbaikan.

Audit internal harus berusaha untuk membantu manajemen untuk melakukan pekerjaan yang
lebih efektif, memahami bahwa untuk mengidentifikasi pengendalian internal dan merekomendasikan
solusi yang berguna, maka dia harus bekerja sama secara penuh dan menjalin hubungan yang lebih erat
dengan manajemen.

17.2 Menerbitkan Laporan Audit

Meskipun laporan audit telah didiskusikan hampir sebagai satu konsep, mereka dapat mengambil
berbagai format yang berbeda dan gaya, mulai dari dokumen berbasis Web untuk laporan hardcopy
kertas. Dalam format apapun, sebuah laporan audit merupakan dokumen laporan resmi yang berisi

84
kepentingan dan rekomendasi audit internal, berikut empat tujuan dibahas sebelumnya. Dalam beberapa
tahun terakhir, manajemen kadang ditempatkan pembatasan atau kendala pada audit internal yang
terbatas dari menyiapkan laporan audit yang efektif. Sebagai contoh, beberapa manajer senior, di masa
lalu dan hari-hari dari dokumen kertas, mungkin telah menyatakan bahwa semua laporan audit harus satu
halaman atau kurang dalam ukuran. Jenis permintaan kadang-kadang terjadi karena fungsi audit internal
menuliskan pada halaman dan halaman temuan laporan audit yang mungkin tampak signifikan kepada
auditor internal tetapi tidak kepada manajemen senior.
Pentingnya pelaporan audit telah berubah setelah Sox. Dalam sidang kongres yang mengarah ke
tindakan, kritik diarahkan pada komite audit yang kadang-kadang hanya menerima laporan diringkas
tetapi tidak menerima tingkat detail mengenai temuan audit. Dengan Sox, anggota komite audit dan
manajemen senior untuk menerima salinan lengkap dari semua laporan audit. Sementara itu adalah hak
mereka untuk meminta laporan diringkas juga, mereka masih bertanggung jawab untuk menerima dan
memahami semua temuan audit yang dilaporkan. Temuan kontrol internal harus jelas diuraikan dalam
laporan audit internal. Bagian ini membahas laporan audit formal diterbitkan serta mekanisme alternatif
untuk pelaporan audit internal.

(a) Pendekatan untuk Menerbitkan Laporan Audit

Laporan audit merangkum review atas pengendalian internal yang mungkin disajikan
secara berbeda dari laporan pengendalian kelangsungan bisnis atau salah satu prosedur investigasi
kecurangan. Apapun subyek audit internal harus selalu memenuhi format umum, dimulai dengan
halaman sampul, deskripsi atas pekerjaan yang dilakukan, serta temuan-temuan dan rekomendasi-
rekomendasi audit internal. Laporan audit juga harus dimulai dengan halaman pendahuluan.
Halaman pendahuluan harus mengandung elemen-elemen berikut:

 Judul laporan dan tujuan review

Laporan singkat, judul yang pasti memberitahukan pembaca apa yang terkandung dalam
laporan audit dan juga berguna untuk berbagai laporan ringkas.
 Melaporkan pihak yang dituju dan enerima 85egular
Laporan audit harus selalu ditujukan kepada salah satu personal tingkat senior yang
bertanggung jawab atas temuan laporan. Penerima 85egular termasuk manajer
perusahaan, anggota manajemen senior, dan personil lain yang terkait, seperti rekan.
Dalam audit eksternal
 Ruang lingkup audit dan tanggal pekerjaan lapangan

85
 Umumnya meliputi pernyataan tujuan audit yang merupakan informasi singkat atas ruang
lingkup audit secara singkat dan tanggal perkiraan pekerjaan lapangan audit.
 Lokasi yang dikunjungi dan waktu audit
Halaman sampul laporan audit harus menyatakan secara jelas kapan pekerjaan lapangan
audit dilaksanakan dan juga menyebutkan lokasi yang dikunjungi.
 Prosedur audit yang dilaksanakan
Informasi ini berguna jika audit internal telah melaksanakan beberapa prosedur pengujian
khusus guna menentukan opini. Misalnya internal mungkin menyebutkna penggunaan
sampling statistic.
 Opini auditor berdasarkan hasil review
Laporan audit internal harus selalu memberikan penilaian yang adil atas kecukupan
pngendalian secara keseluruhan atau masalah lain dalam area yang diriview.

Laporan audit internal seringkali mengikuti satu dari banyak pendekatan, antara lain jenis
perusahaan, gaya manajemen keseluruhan, dan ketrampilan staf audit internal. Audit internal
ingin mengkomunikasikan apa yang dilakukan, ditemukan, dan yang harus diperbaiki. Elemen
kunci dari laporan audit internal haruslah temuan audit dan rekomendasi.
Pendekatan alternative untuk mengembangkan dan menerbitkan laporan audit meliputi:

 Laporan audit dengan lingkup “ensiklopedi”

Beberapa laporan audit internal berusaha untuk menyajikan informasi tentang area
aktivitas yang diriview. Tujuannya untuk menyajikan sumber referensi yang dalam untuk
pembaca laporan. Informasinya dapat berupa historical nature atau situasi sekarang, yang
dapat meliputi praktik dan hasil operasional atau untuk memutuskan informasi keuangan.
 Deskripsi prosedur audit yang dilaksanakan
Laporan audit menyediakan banyak informasi tentang prosedur audit yang dilakukan.
Langkah-langkah audit dideskripsikan dalam rincian, seperti ruang lingkup verifikasi dan
pengujian. Kadang kala laporan audit menyatakan kembali hal-hal yang terkandung dalam
standar audit dan amnual prosedur.
 Penjelasan rinci tentang temua audit
Laporan audit harus memberikan informasi yang cukup dan dibutuhkan tentang temuan
audit dan membiarkan pembaca untuk memahami isu rinci yang terkait.
 Highly summarized report

86
 Beberapa departemen audit internal menerbitkan laporan yang menyebutkan bahwa audit
internal telah merEview beberapa area topic dan umumnya tidak menemukan
pengecualian pengendalian.
 Berfokus pada hal yang signifikan
Format laporan audit yang umum, dan biasanya yang terbaik, merupakan laporan yang
berfokus hanya pada hal-hal yang signifikan yang berhubungan secara potensial dan
kelemahan pengendalian internal, kebijakan, pendekatan operasional, peggunaan sumber
daya, kinerja karyawan, dan hasil yang dicapai atau mungkin untuk dicapai. Keuntungan
berfokus pada hal-hal yang signifikan adalah manajer senior bisa mendapatkan informasi
yang dibutuhkannya tanpa melewati rincian yang berlebihan.

(b) Elemen dari temuan laporan audit

Auditor internal diarahkan kepada proyek yang mungkin menemukan exception atau
kelemahan audit internal di beberapa area untuk direview. Exception yang direview seprti halnya
observasi audit internal merupakan subjek temuan audit. Auditor akan menemukan jumlah dan
variasi exeption yang besar di hampir keseluruhan review. Beberapa akan secara relative menjadi
penting dan sedangkan beberapa akan menjadi tidak penting (minor).
Namun, tidak terlalu penting menyantumkan hal minor didalam laporan yang nantinya
diserahkan kepada komite audit dan senior manajemen melalui laporan audit formal kecuali hal
tersebut merepresentasikan trend. Kemudian audit internal perlu mempertimbangkan item-item
melalui temuan yang disimpulkan dan mencakup keseluruhan kondisi.
Dalam menyimpulkan fieldwork audit internal harus meyakinkan dirinya sendiri bahwa
informasi yang cukup untuk mengembangkan temuan audit, dan serta bagaimana tersebut
disajikan telah dimiliki. Setelah itu perlunya diskusi informal dengan 87egul manajemen melalui
presentasi formal laporan audit.
Laporan audit disajikan dengan mengikuti format yang memungkinkan pembacanya
untuk memahami isu audit dengan mudah. Apapun sifat atau temuan audit, pembacanya harus
dapat menangkap temuan audit dan memutuskan dengan cepat apa yang salah dan apa yang perlu
dibenarkan. Temuan audit yang tersusun dengan buruk membuat pembacanya mempertanyakan
apakah masalah yang terjadi dan mengapa harus dipertimbangkan. Sedangkan laporan audit yang
baik harus berisi :
 Pernyataan Kondisi. Kalimat pertama dalam laporan temuan harus menyimpulkan hasil dari
review audit internal atas area yang diperhatikan. Hal ini dapat memberikan perbandingan

87
 mengenai apakah hal tersebut dan apakah yang seharusnya. Tujuannya adalah untuk member
gambaran kepada perhatian pembacanya. Ex :
“Peralatan produksi telah dijual pada bargain rate dan tidak mengikuti kebijakan disposisi
asset tetap”
“WIP inventory divisi ABC tidak benar dinilai berdasarkan GAAP”
 Apakah yang ditemukan?. Temuan harus mendiskusikan antara prosedur dan hasil dari
prosedur tersebut. Bergantung kompleksitasnya, temuan dapat disimpulkan melebihi satu
kalimat atau dapat berupa diskusi ekstensif menjelaskan prosedur audit. Ex :
“Berdasarkan sampel laporan beban employee yang diisi untuk kuarter ke empat 20XX, agen
penyewaan mobil yang telah dipilih oleh perusahaan, tidak digunakan selama 65% laporan
beban direview”.
 Kriteria audit internal dalam menyajikan temuan. Temuan audit harus memiliki criteria,
atau pernyataan mengenai apa yang seharusnya digunakan dalam memutuskan pernyataan
kondisi. Dalam mengaudit efektifitas dari beberapa prosedur, mungkin tidak ada target atau
pengukuran yang dipaparkan sebelumnya yang digunakan sebagai indikaator dan standard.
Audit internal harus mempertimbangkan :
o Criteria Of Extremes
Kinerja yang jelas tidak memadai atau yang mudah terlihat, akan relative mudah untuk
diukur. Namun, ketika kinerja bergerak mendekati rata-rata, akan menjadi sulit untuk
diputuskan. Meskipun seringkali terlalu ekstrim atau mengacau, hal tersebut dapat
menyebabkan audit internal menyatakan situasi yang diobservasi “hampr buruk
seperti….”
o Criteria Of Comparable
Perbandingan dapat digunakan antara operasi atau aktivitas yang hampir sama. Namun,
tidak bagus untuk menyatakan secara spesifik bahwa departemen A X% lebih buruk
daripada departemen B, laporan tersebut sebaiknya membandingkan kondisi yang
ditemukan berdasarkan rata-rata atau tipenya di dalam perusahaan.
o Criteria Of Element
Dalam beberapa kasus auditor internal menyatakan dengan tidak tepat criteria kinerja
dengan jangka luas tertentu yang memungkinkan untuk mengevaluasi kondisi yang
dilaporkan. Tipe criteria yang samar ini sebagai contoh menyatakan “seluruh manajer
harus membuat keputusan yang baik”. Yang spesifik.
o Criteria Of Expertise

88
 Dalam beberapa situasi, audit internal mungkin menemukan bahwa berguna untuk
mengandalkan ahli lain untuk mengevaluasi aktivitas.
 Efek temuan yang dilaporan. Audit internal harus selalu mempertimbangkan seberapa
pentingnya, ktika menentukan apakah suatu item disertakan dalam laporan audit. Oleh karena
itu audit internal harus menimbang materialitas – apabila temuan tidak signifikan, maka tidak
89egular89 temuan sama sekali.
 Penyebab atau alasan penyimpangan audit. Mengapa penting bagi manajemen ketika
membaca laporan audit?. Alasan adanya penyimpangan dari ketentuan, standar, atau
kebijakan harus dijelaskan dengan singkat dan sebaik mungkin.
 Rekomendasi audit internal. Laporan temuan audit harus berisi rekomendasi sebagai
tindakan perbaikan yang tepat. Kesimpulan temuan audit seperti apa yang harus diselesaikan.

Apabila beberapa fakta yang dilaprkan dalam temuan audit tidak benar, tidak masalah
bagaimana dekatnya dengan kebenarannya, auditee sering kali menghadapi tantangan
kredibilitas keseluruhat laporan audit. Setiap salah saji yang ada dapat membuat laporan audit
dipertanyakan. Rekomendasi tersebut harus mempertimbangkan cost dan benefit atas
berbagai alternative rekomendasi yang ada. Rekomendasi ini juga harus menjadi tindakan
perbaikan yang tepat dan cepat.

(c) Pedoman Penyajian Laporan Audit yang Seimbang

Untuk mengembangkan keseimbangan, auditor internal harus mengurutkan secara

menyeluruh data positive maupun negative yang bervariasi yang diperoleh. Untuk
mengembangkan keseimbangan laporan audit lebih baik lagi yaitu :
 Menyediakan laporan audit dengan prespektif. Perspektif selalu digunakan ketika mendaftar
efek moneter temuan seperti halnya nilai seluruh akun selama review. Kesalahan $1000 akan
menjadi besar apabila merupakan bagian dari akun $100.000, namun akan menjadi kecil
apabila merupakan bagian dari akun $10 milyar.
 Laporan pencapaian auditee. Pencapaian auditee harus diungkapkan dalam ringkasan laporan
ketika kesimpiulan audit mungkin mempengaruhi signifikansinya dan temuann ketika rincian
pengungkapan pencapaian diinginkan dan penting.
 Memperlihatkan rencana tindakan. Situasi dimana auditee telah mengambil, atau telah
membuat rencana untuk mengambil, tindakan perbaikan sebelum melengkapi audit, sehingga
laporan audit harus mengungkapkannya. Langkah lain yang diambil auditee dengan mencoba

89
 untuk memperbaiki kekurangan yang dilaporkan, mungkin tidak begitu jelas namun demikian
harus dipertimbangkan sebagai tindakan positif yang dilaporkan.
 Laporan keadaan mitigasi. Keadaan mitigasi secara umum terdiri dari factor yang berkaitan
dengan masalah atau kondisi yang telah didiskusikan dalam laporan audit selama manajemen
tidak memiliki atau memiliki pengendalian yang kecil. Semenjak factor ini mengurangi
tanggung jawab manajemen atas suatu kondisi, maka harus dilaporkan sebagai bagian dari
penyebab.
 Tanggapan audit sebagai bagian dari laporan audit. Tanggapan audit atas temuan mengandung
informasi yang menyediakan keseimbangan laporan audit. Apabila persetujuan tidak dicapai
atas temuan dan rekomendasi, auditee harus memberikan kesempatan untuk menjelaskan
dasar dari hal yang tidak terjadi.
 Meningkatkan kualitas laporan audit tonal. Kecuali yang layak, laporan audit harus
menghindarkan kata-kata yang mendindikasikan bahwa auditee “gagal untuk mencapai”,
“tidak menjalankan” atau “tidak sesuai”. Pernyataan negative seperti “ pengendalian yang
tidak memadai pada pengendalian kas” dapat dirubah dengan menggunakan ide laporan audit
positif dan konstruksi yang tepat seperti “pengendalian kas memerlukan perbaikan”.

(d) Format Alternatif Laporan Audit

Semakin berkembangnya teknologi, hasil audit dapat dilaporkan dalam format yang
beragam. Format laporan audit yang familiar dan sering kali paling bagus untuk menyajikan
pekerjaan audit adalah berbasis text. Beberapa 90egular90tor yang kurang formal dan lebih
ringkas dimana audit internal dapat melaporkan hasil dari pekerjaannya antara lain :
 Laporan Lisan. Dalam beberapa situasi, audit internal mungkin ingin untuk melaporkan hasil
dari pekerjaan dan rekomendasinya secara lisan. Gaya pelaporan ini harus berlangsung
setidaknya secara interim, ketika tim audit internal yang bertugas melaporkan hasil dari
pekerjaannya diakhir konferensi penutup fieldwork. Di kasus lain, laporan lisan mungkin
merupakan hasil dari tindakan perbaikan yang diperlukan secara mendadak, dan presentasi
lisan akan menjadi pembuka laporan tertulis.
 Memo pelaporan informal atau interim. Dalam situasi dimana mungkin untuk menyarankan
manajemen perkembangan signifikan selama audit, setidaknya sebelum laporan regular
diterbitkan, audit internal mungkin saja perlu untuk menyiapkan laporan tertulis interim.
Laporan ini mengenai masalah signifikan khusus yang memerlukan tindakan perbaikan
dengan segera, atau laporan tersebut bertipe laporan perkembangan.

90
  Laporan audt dengan tipe questionnaire. Tipe laporan ini, merupakan tingkasan ineterim yang
berguna bagi laporan audit formal atau melayani sebagai lampiran untuk dokumen laporan
formal. Format ini akan bekerja dengan baik apabila scope review audit sesuai dengan hal-
hal procedural yang cukup spesifik, dan seringkali pada level operasi yang cukup rendah.
 Laporan audit deskriptif regular. Dalam banyak tugas audit, pekerjaan tersebut harus
diselesaikan dengan persiapan laporan audit deskriptif regular. Bentuk dan isinya akan
beragamantara tugas individual audit dan departemen audit internal.
 Ringkasan dan laporan temuan audit yang sugnifikan. Fungsi audit internal akan menerbitkan
laporan yang meringkas keseluruhan laporan individual yang diterbitkanteuan signifikan, dan
berbagai isinya, secara tahunan .

17.3 Siklus Pelaporan audit Internal

Informasi dan statistic area yang akan diaudit dapat diperoleh selama survey dan akan disertakan
dalam kertas kerja. Hal ini dilakukan untuk memastikan bahwa informasi yang dibutuhkan telah
diperoleh di awal audit, dan hail ini akan mencegah adanya penundaan dalam proses penulisan laporan
final. Tujuan dan scope dari review, ditentukan ketika memulai audit.
Ketika temuan audit akan dikembangkan dan diselesaikan, mereka dapat dimasukan pada laporan
yang tepat, bersama dengan komentar pendahuluan auditee. Proses pelaporan audit akan dimulai dengan
mengidentifikasi temuan, draft laporan untuk mendiskusikan temuan tersebut dan rekomendasi yang
berkaitan, mendiskusikan isu audit yang telah diidentifikasi dengan manajemen beserta penyajian
presentasi draft laporan, penyelesaian tanggapan manajemen atas yemuan audit, dan publikasi laporan
audit formal yang mencakup seluruh area yang direview.

a) Draft laporan audit

Auditor internal harus mempersiapkan draft laporan usulan temuannya dan rekomendasi beserta
dengan tanggapan manajemen. Draft tersebut kemudian akan dikirimkan kepada manajer yang
bertanggung jawab langsung atas area yang diaudit. Orang ini yang nantinya akan member
tanggapan dan mengikhtisarkan tindakan perbaikan yang harus dilaksanakan. Audit internal akan
mengkombinasikan tanggapan auditee dengan laporan asli pada header halaman dan draft temuan
dan rekomundasi untuk menghasilkan laporan audit akhir.
Pondasi utama dalam mengesahkan adalah pekerjaan audit yang dilaksanakan oleh staf audit
internal yang perlu untuk ditambah review dan konfirmasi personel auditee. Keuntungan dari
pengesahan in ada dua :

91
 1. Menyajikan cross check akurasi, kelengkapan, dan kualitas pekrjaan audit.
2. Membantu untuk mendorong hubungan partenship dengan 92egul manajemen yang
memiliki semangat kooperatif dan komitmen untuk bekerja dengan solusi yang memadai.
Pengesahan harus dilakukan dalam tahapreview, satu hal yang paling utama yang memperngaruhi
adalah pesentasi draft laporan kepada manajemen audite. Strategi waktu pengiriman draft report
adalah :
 At the exit conference. Audit internal secara umum menemukan kesusahan untuk
mengirimkan draft laporan audit yang lengkap pada akhir fieldwork exit conference.
Banyak audit terlalu kompleks dan mungkin terdapat banyak pertanyaan final atau
klarifikasi atau perubahan yang diperlukan untuk menyetujui draft laporan audit dikirim
pada saat exit conference. Sebelum keberangkatan tiem audit field. Tim audit telah
mendiskusikanperhatiannya dengan 92egul manajemen dalam exit conference formal dan
kemudiang menyiapkan draft laporan, disertai komentar tambahan atau klarifikasi yang
mungkin timbul selama konferensi. Hal ini ,erupakan pendekatan yang lebih realistis dari
pada yang sebelumnya. Tekanan dalam menyelesaikan pekerjaan audit dapat
menyebabkan tim audit mengambil jalan pintas sesuai keinginannya untuk menyelesaikan
perikatan ini. Setelah menyelesaikan fieldwork. Pada situasi ini tim audit melaksanakan
exit conferencen
 Namun kembali ke perusahaan induk untuk membuat draft audit report selama beberapa
hari atai 7 minggu. Ini akan berjalan sangat baik. Dimana mereka memiliki kesempatan
untuk mereview field dan membuat penyesuaian dengan tepat untuk draf laporan audit,.
Exit atau closing conference harus melibatkan anggota dari tim audit dan 92egul manajemen
yang bertanggung jawab atas area yang direview. Dalam konferensi ini, temuan utama dan
rejomendasi yang diusulkan akan direview, dan persetujuan harus dicapai antara sudit dan
92egul manajemen dan untuk menjamin persetujuan tersebut lebih jauh lagi atas temuan audit
dan rekomendasi. Konferensi penutup ini akan memberikan audit internal lesempatan utama
untuk mengkonfirmasi kekuatan hasil audit dan untuk membuat modifikasi yang dibutuhkan
laporan audit sebagai pembenaran.

b) Laporan Audit: Follow-Up dan Summary

Setelah manajemen telah menyampaikan tanggapan laporan audit, audit internal harus
menggabungkan tanggapan dengan draft temuan dan rekomendasi untuk melepaskan laporan
akhir audit. Laporan ini ditujukan untuk manajemen sekurang-kurangnya satu tingkat atas
manajemen auditee, dengan tembusan kepada komite audit dan lainnya sesuai petugas dari
perusahaan.

92
 Setelah laporan audit akhir ini telah diterbitkan, audit internal harus menjadwalkan tindak
lanjut penelaahan untuk memastikan bahwa tindakan yang diperlukan berdasarkan audit itu
sebenarnya diambil. Audit internal harus memainkan hanya terbatas, peran spesifik setelah
laporan audit telah dirilis, seperti membuat sendiri yang tersedia untuk menanggapi pertanyaan-
pertanyaan, dan meninjau kembali situasi pada saat audit dijadwalkan berikutnya di daerah
tersebut. Banyak perusahaan telah mengadopsi tipe menengah pendekatan dimana koordinasi
rekomendasi audit laporan tindak lanjut ditempatkan di kantor lain-biasanya dalam fungsi
pengawas atau beberapa lebih netral administratif layanan grup. Tindakan perbaikan kemudian
diawali dengan garis bertanggung jawab atau manajer staf, tetapi tanggapan dapat dilakukan
terhadap kelompok koordinasi. Jika ada yang tidak semestinya.penundaan dalam berurusan
dengan rekomendasi, kantor koordinasi dapat mengeluarkan tindak lanjut laporan status. Dalam
pendekatan ini, salinan dari tanggapan ini juga dapat diberikan kepada audit internal untuk
informasi.
Audit internal memiliki tanggung jawab untuk menghasilkan laporan audit yang dapat
dibaca, dimengerti,dan persuasif. Tujuannya adalah untuk mengeluarkan laporan bahwa akan
perintah perhatian manajer yang memiliki tanggung jawab untuk berbagai operasional kegiatan
dan untuk mendorong mereka untuk mengambil tindakan koreksi yang tepat. Tujuannya
keduanya adalah untuk laporan audit yang akan membangun rasa hormat terhadap upaya audit
internal. Audit internal menerima hasil akhir dalam pengetahuannya tentang tindakan yang
diambil oleh auditee berdasarkan rekomendasi laporan audit internal. Kombinasi internal audit
keterampilan teknis dan kemampuan untuk berkomunikasi hasilnya untuk orang-orang yang
terbaik akan memastikan penerimaan dan dukungan aktif adalah elemen dari baik pelaporan audit.
Pentingnya bagian menggarisbawahi kerja audit internal kebutuhan untuk memberikan laporan
audit perhatian. Ini berarti bahwa harus CAE aktif terlibat dalam proses laporan audit, dan semua
tingkat staf audit internal harus berpikir dalam hal kebutuhan laporan akhir.

c) Audit Laporan dan Retensi Workpaper

Laporan formal audit internal dan workpapers pendukungnya merupakan dokumen
penting mendukung kegiatan audit internal. Prosedur harus dilaksanakan untuk menyimpan
catatan untuk setiap pemeriksaan yang dilakukan sebagai bagian dari catatan enterprise-wide
reguler prosedur penyimpanan. Sedangkan penyimpanan catatan-catatan ini sekali diperlakukan
lebih informal sebagai keputusan internal audit upaya terbaik fungsi. Aturan Sox mengharuskan
semua audit yang terkait dengan catatan harus dipertahankan untuk jangka waktu tujuh tahun.
Meskipun aturan ini ditujukan auditor eksternal, mereka berlaku untuk audit internal juga.

93
 Laporan audit internal dan workpapers pembantu dapat mendukung bahan dalam tindakan
litigasi atau bahkan pemerintah yang sah. Suatu perusahaan mungkin diperlukan untuk
menghasilkan catatan kerja internal audit untuk membuktikan, di pengadilan hukum, apa yang
dilakukannya atau tidak lakukan di beberapa daerah. Juga, perintah pengadilan mungkin
mengharuskan perusahaan mengungkapkan catatan-catatan pendukung beberapa masalah.
Catatan tujuh tahun Sox’s retensi aturan mengatakan bahwa perusahaan harus berhati-hati untuk
melestarikan dan mengatur semua pendukung catatan yang meliputi banyak daerah. Laporan
audit internal dan workpapers pendukung catatan penting perusahaan yang memiliki aturan-
aturan retensi rekaman yang sama.

17.4 Efektif Komunikasi Internal Audit Peluang

Komunikasi efektif baik secara orang-ke-orang dan dengan lebih besar kelompok, adalah
komponen kunci sukses audit internal. Auditor internal harus memiliki pemahaman yang baik tentang
masalah yang terkait dengan komunikasi efektif dan cara mengatasinya dengan mereka. Situasi terus
timbul dalam internal fungsi audit ketika individu perlu berkomunikasi satu sama lain. Ini termasuk
memberikan instruksi lisan kepada staf auditor, membahas masalah operasional selama pertemuan keluar
audit, konseling bawahan, mewawancarai calon karyawan, atau melakukan review kinerja staf. Semua
situasi ini melibatkan hubungan pribadi yang berbeda tetapi terdiri dari aliran dua arah terus pesan.
Auditor internal harus memahami proses ini untuk mengidentifikasi jenis masalah yang dapat mendistorsi
atau benar-benar mencegah komunikasi yang efektif. Masalah ini mempengaruhi semua langkah dalam
proses komunikasi dan mencakup:
 Tidak memberikan pertimbangan yang tepat untuk hubungan kekuatan pesan pengirim dan penerima.
Komunikasi dengan supervisor garis sering berbeda dari yang dengan seorang senior.
 Mengabaikan stres emosional sementara oleh baik pengirim atau penerima. Pertemuan keluar audit
sering berubah menjadi sebuah situasi yang penuh dengan konflik dan stres kecuali komunikator
internal audit membutuhkan perawatan untuk mempertimbangkan potensi masalah emosional.
 Gagal untuk benar mengevaluasi kapasitas penerima untuk menerima dan memahami pesan. Jika
audit internal bertemu dengan masalah kontrol parah di bidang teknis dalam proses pekerjaannya,
isu-isu tersebut harus dikomunikasikan benar.
 Penggunaan kata-kata yang dapat memiliki beberapa arti atau dapat menyampaikan tidak disengaja
makna. Kami telah membahas masalah ini ketika menyiapkan laporan audit, tetapi ini adalah semua
yang lebih penting dalam komunikasi verbal.

94
 Tidak semestinya tergesa-gesa dalam transmisi pesan yang melemahkan kejelasan dan atau
kredibilitas. Pesan sering harus dikomunikasikan secara perlahan sehingga semua pihak akan
mengerti.
 Persepsi bahwa pengirim keinginan untuk memenuhi kebutuhan pribadi, dengan demikian
menyebabkan emosional resistensi dan blok. Sering kali orang lain melihat auditor internal orang
memiliki agenda pribadi. Lainnya cepat menyadari hal ini, dan komunikasi bisa menjadi tersumbat.
 Kegagalan untuk membangun fondasi yang dibutuhkan untuk pesan inti dan terkait buruk waktu.
Keprihatinan audit internal tidak efektif dikomunikasikan ketika mereka hanya dibuang di pangkuan
auditee.
 Kurangnya kejelasan atau keyakinan karena keengganan untuk menyebabkan penerima
ketidakpuasan. Sedangkan auditor internal harus membangun sebuah kasus untuk menggambarkan
kekhawatiran meyakinkan, auditor tidak boleh berbasa-basi untuk menghindari menggambarkan
situasi masalah tetapi harus selalu jelas mengkomunikasikan keprihatinan kontrol.
 Dampak tindakan nonverbal, seperti nada suara, ekspresi wajah, dan cara komunikasi. Sebagai
contoh, di beberapa bagian dunia, bersila dengan telapak kaki menunjuk ke pendengar dapat dilihat
sebagai penghinaan ekstrim.
 Tidak memberikan pertimbangan kepada persepsi dan perasaan terkait dengan penerima. Auditor
harus berusaha untuk memahami bagaimana pesan akan diterima dan diterjemahkan oleh penerima
mereka.

Kedua belah pihak dalam komunikasi-terutama utama penggerak-belajar dari pertanyaan dan
komentar yang dibuat oleh penerima dalam menanggapi serangkaian pesan. Ini disebut feedback. Bagian
dari komunikasi dua arah yang efektif adalah untuk mendorong umpan balik sehingga auditor internal
memiliki dasar yang terbaik untuk menentukan apakah manajerial tujuan tercapai. Pendekatan yang
berbeda mungkin diperlukan untuk mendorong dan memanfaatkan umpan balik yang baik. Sebuah
komponen mendengarkan terkait-adalah penting dalam rangka pemanfaatan umpan balik yang lebih baik
dan untuk menunjukkan minat pada orang lain pandangan. Jika tidak, hasil seperti pesan bisa untuk
menciptakan emosional respon yang secara signifikan penerimaan blok penerima dan pemahaman
tentang dimaksudkan pengirim pesan.
Berbagai kebutuhan orang berhubungan alternatif untuk kompetisi, konflik, dan kerjasama.
Secara tradisional, konflik telah dilihat sebagai merusak dan tidak diinginkan. Namun, bila dikelola
dengan benar, konflik dapat berguna dalam mencapai organisasi kesejahteraan. Auditor internal perlu
belajar untuk memanfaatkan konflik ke titik di mana itu konstruktif tetapi untuk mengontrol ketika itu
mengancam untuk keluar dari tangan. Internal tanggung jawab audit tak terhindarkan menghasilkan

95
situasi yang menciptakan kompetisi dan potensi konflik. Manajemen kemudian memiliki tantangan untuk
mengeksploitasi manfaat kompetisi dan konflik yang sehat tapi untuk mengontrol proses untuk
menghindari ekses. Selama review mereka, auditor sering menemukan diri mereka dalam konflik dengan
berbagai elemen dari perusahaan. Auditor dapat menyebabkan auditee kehilangan tingkat berdiri
kompetitif dalam usaha mereka, dan auditee mungkin tidak setuju dengan internal audit hanya pada dasar
itu. Dalam jalannya review, konflik sering terjadi, dan auditor efektif harus menggunakan konflik ini
untuk berkomunikasi dengan manajemen dan meyakinkan untuk mengambil tepat tindakan. Namun,
auditor internal yang efektif perlu memahami bagaimana mengendalikan konflik.
Dalam perusahaan yang khas, ada kebutuhan terus benar keseimbangan stabilitas dan perubahan.
Manajemen mencari stabilitas dengan mengembangkan kebijakan dan prosedur dimana operasi standar
untuk meningkatkan kontrol internal dan untuk memastikan penanganan terbaik berulang sejenis
peristiwa. Namun, kondisi yang berubah panggilan kebijakan diubah dan prosedur. Mencari
keseimbangan yang tepat antara stabilitas dan perubahan diperlukan adalah sulit, karena faktor yang
terlibat biasanya sulit untuk menganalisis dan mengukur. Salah satu kendala untuk mengubah adalah
bahwa perusahaan sering membuat kebijakan dan prosedur, dan kebijakan tersebut cenderung menjadi
bias yang menguntungkan mereka, sehingga membuat mereka tidak menyadari dan tidak responsif
terhadap kebutuhan untuk berubah. Audit internal merasa kesulitan ketika merekomendasikan kebijakan
atau perubahan prosedural melalui audit laporan. Selain itu, orang biasanya tidak ingin menerima
perubahan bahkan ketika kebutuhan untuk itu cukup jelas. Pada tingkat tertinggi, perlunya perubahan
mungkin melibatkan strategi baru, bisnis baru usaha, perubahan produk, atau kebijakan pendukung baru.
Perubahan terkait mungkin melibatkan struktur organisasi baru, relokasi tanaman, produksi baru proses,
atau perubahan pada orang, tapi auditor internal sering tidak membuat rekomendasi untuk perubahan
pada tingkat itu.
Ketika membuat rekomendasi mereka, auditor internal harus memahami bagaimana perusahaan
akan menghadapi perubahan. Bagaimana audit internal mencapai diperlukan perubahan dengan cara yang
terbaik akan melayani kesejahteraan yang lebih tinggi tingkat perusahaan? Dalam semua kasus, sifat dan
ruang lingkup tindakan yang diperlukan tergantung pada pentingnya tertentu direkomendasikan berubah.
Karena individu menempatkan prioritas tinggi pada mereka kebebasan bertindak, pertimbangan manusia
yang sangat penting dalam desain dan pelaksanaan kontrol ini. Karena semua manajer bertanggung jawab
untuk internal kontrol dan pada saat yang sama tunduk kepada mereka, dampak yang direkomendasikan
kontrol perbaikan pada orang harus dipertimbangkan hati-hati. Mungkin tidak dalam tahap proses
manajemen adalah pemahaman dan pertimbangan orang begitu kritis.

96
17.5 Laporan Audit dan Memahami Masyarakat di Audit Internal

Diskusi ini tentang membuat laporan audit internal yang efektif berfokus pada kepentingan semua
auditor internal sehubungan dengan hubungan mereka dengan audit komite, manajemen senior, dan satu
sama lain. Sementara semua ini adalah kepentingan untuk auditor internal sebagai bagian dari kajian
mereka dan analisis pengendalian internal, juga harus menarik perhatian para CAE dan komite audit.
Beberapa unik dan masalah khusus menghadapi auditor internal dalam kegiatan mereka, termasuk
gambar masalah, karena auditor sering dianggap sebagai fokus berlebihan pada rinci kepatuhan atau
mengendalikan masalah dan dipandang oleh banyak orang sebagai ancaman. Seperti telah dibahas dalam
bab-bab sebelumnya, gambar ini mungkin telah diperoleh karena cara di mana auditor internal pernah
digunakan dalam perusahaan. Sampai batas tertentu, gambar juga dihasilkan karena beberapa hari ini
auditor internal tidak melakukan cukup melalui pekerjaan audit mereka dan cara untuk membangun
hubungan pribadi yang lebih baik gambar.
Sekarang auditor internal menghadapi beberapa masalah serius untuk merubah gambar ini.
Auditor Internal dibebankan dengan tanggung jawab pelindung tertentu yang cenderung membuat lain
dalam perusahaan melihat mereka sebagai antagonis atau petugas polisi. Internal audit peran total harus
pergi jauh melampaui peran sempit memberikan pelayanan pelindung. Sebaliknya, auditor internal harus
peduli dengan kesejahteraan total perusahaan di semua tingkat dan sehubungan dengan aktivitasnya.
Dalam semua, aspek komunikasi dan hubungan dengan orang-orang terus tantangan yang melibatkan
target untuk audit internal yang selalu bergerak maju. Keberhasilan audit internal dalam pertemuan
tantangan yang menyediakan salah satu peluang terbesar untuk melayani perusahaan dan untuk mencapai
kesejahteraan maksimum.

97
 CHAPTER 23
BOARD AUDIT COMMITTEE COMMUNICATIONS

Bab lain telah berbicara tentang bagaimana mengelola banyak proses audit internal atau
bagaimana untuk meningkatkan prosedur audit internal. Internal audit melaporkan kepada komite audit,
yang menyetujui kegiatan secara keseluruhan, perencanaan dan review hasil audit internal. Namun,
hubungan di sini adalah sedikit berbeda dari seorang supervisor. Komite Audit menjadi jauh lebih aktif
dalam pengawasan kegiatan audit internal sejak peluncuran Sarbanes-Oxley (Sox), tetapi biasanya
komite tidak secara fisik hadir sehari-hari. Audit chief executive (CAE) audit internal, sering menjadi
kontak utama dengan komite audit dan harus mendidik dan memberikan saran komite pada isu-isu audit
internal. Banyak komite audit memahami masalah pelaporan keuangan yang terkait dengan auditor
eksternal mereka tapi kadang-kadang melihat audit internal sebagai sumber yang tidak terpecaya.
Bab ini membahas tentang peranan dan tanggung jawab komite audit untuk audit internal. Kami
membahas, peran dalam menyetujui audit charter, menunjuk CAE, menyetujui rencana audit, dan
mereview hasil audit internal. Bab ini juga membahas jenis pelaporan bahwa audit internal harus
menyediakan komite audit untuk menyajikan hasil kerja mereka dan untuk menyoroti isu-isu yang
mungkin memerlukan tindakan lebih lanjut. Sox mengamanatkan tanggung jawab komite audit lainnya,
seperti peran dalam mengelola program pelanggaran whistleblower keuangan.
Di sini kita membahas bagaimana audit internal dapat membantu komite audit dalam inisiatif
tersebut. Komite audit memiliki tanggung jawab untuk mengatur arah keseluruhan untuk audit internal.
Sementara banyak anggota audit internal sering tidak mungkin memiliki kontak sehari-hari banyak
dengan anggota komite audit, semua orang di sana harus menyadari bahwa komite audit adalah sumber
terakhir untuk melaporkan hal yang memerlukan perhatian yang tidak biasa dan untuk mencari resolusi.
Semua auditor internal harus memiliki tubuh yang umum dari pengetahuan (CBOK) pemahaman tingkat
tinggi peran dan tanggung jawab komite audit di hari ini, perusahaan.

23.1 Peran Komite Audit

Komite Audit memberikan otorisasi yang luas ini untuk fungsi audit internal melalui dokumen
charter audit formal yang telah dibahas pada Bab 12. Sebuah komite audit juga menyetujui rencana
keseluruhan audit internal untuk melanjutkan kegiatan melalui periode berjalan dan seterusnya. Sebagai
salah satu komite beberapa operasi yang ditetapkan oleh dewan, komite audit memiliki peran unik
dibandingkan dengan komite dewan lainnya. Ini terdiri dari hanya direksi luar-memberikan kemerdekaan
dari manajemen perusahaan-dan harus terdiri dari direktur luar yang umumnya memahami, memonitor,
mengkoordinasi, dan menafsirkan pengendalian internal dan aktivitas keuangan yang terkait untuk

98
seluruh forum. Sebagaimana dibahas dalam Bab 4, salah satu anggota komite audit harus ditunjuk sebagai
ahli keuangan peraturan Sox. Dalam rangka memenuhi tanggung jawabnya kepada jajaran direksi,
kepada pemegang saham, dan untuk masyarakat, komite audit perlu untuk memulai dan mengelola fungsi
audit internal yang harus menjadi set independen dari mata dan telinga dalam perusahaan, memberikan
penilaian pengendalian internal dan hal-hal lain.
Komentar dalam bab ini didasarkan pada struktur perusahaan seperti satu dengan SEC.
Perusahaan non-publik lainnya akan mendapatkan keuntungan dari sebuah struktur komite audit juga.
Sebagai contoh, banyak yang non-profit atau perusahaan swasta yang cukup besar untuk memiliki papan
formal direksi dan fungsi audit internal. Meskipun tidak diamanatkan untuk melakukannya oleh Sox dan
aturan-aturan SEC, organisasi tersebut akan mendapatkan keuntungan dari komite audit hanya dewan
direktur independen. Auditor internal di perusahaan ini akan menguntungkan kedua fungsi audit internal
dan manajemen perusahaan secara keseluruhan dengan menyarankan jenis pendekatan.
Sedangkan auditor eksternal memiliki tanggung jawab utama untuk dewan suatu perusahaan
direktur untuk membuktikan keakuratan dan kewajaran laporan keuangan, audit internal memiliki peran
lebih besar dalam menilai pengendalian internal atas keandalan pelaporan keuangan, efektivitas dan
efisiensi operasi, dan perusahaan itu kepatuhan terhadap hukum dan peraturan yang berlaku. Dewan
direksi Perusahaan memiliki komite audit formal untuk beberapa waktu, dan audit internal selalu
memiliki hubungan pelaporan jangka panjang kepada dewan komite audit direksi. Namun, banyak yang
telah berubah sejak Sox pada pertengahan 2002.
Pada tahun pertama abad ini, masalah utama yang berevolusi dari runtuhnya Enron dan skandal
keuangan yang terkait adalah fakta bahwa komite audit tidak melakukan evaluasi yang cukup pada tata
kelola perusahaan independen. Sebagai contoh, pada tahun 1999 Blue Ribbon Komite Meningkatkan
Efektivitas Komite Audit Perusahaan dibentuk oleh NYSE, SEC, American Institut Akuntan Publik
(AICPA), dan lain-lain. Ia mengeluarkan serangkaian rekomendasi pada peningkatan kemandirian,
operasi, dan efektivitas komite audit. Bursa efek kemudian diadopsi standar baru direktur komite audit
independen sebagai daftar persyaratan untuk dilakukan secara bertahap selama 18 bulan berikutnya, dan
Audit Dewan Standar AICPA menaikkan standar untuk auditor eksternal sehubungan dengan komite
audit. Kegagalan keuangan berikutnya Enron dan lain-lain menunjukkan inisiatif ini tidak cukup.
Hasilnya adalah kerja legislatif yang menyebabkan Sox.
Hari ini, karena perjalanan Sox, komite audit telah memperluas tanggung jawab dan audit internal
memiliki tanggung jawab yang lebih besar untuk melayani terbaik komite audit. Walaupun komite audit
biasanya memiliki kontak teratur terutama dengan CAE, semua auditor internal harus memiliki
pemahaman tentang hubungan ini sangat penting. Kami membahas tanggung jawab komite audit tinggi

99
dan bagaimana audit internal yang lebih baik dapat bekerja dengan komite audit sesuai dengan peraturan
Sox.

23.2 Organisasi Komite Audit dan Charter

Sebuah komite audit merupakan komponen operasional dari dewan direksi dengan tanggung
jawab untuk kontrol internal dan pengawasan pelaporan keuangan. Karena itu tanggung jawab
pengawasan, anggota komite audit harus direktur independen dengan tidak ada hubungannya dengan
manajemen perusahaan. Komite audit dapat mengundang anggota pengurus atau orang lain untuk
menghadiri pertemuan komite dan bahkan untuk bergabung dalam pada musyawarah. Namun, setiap
tamu yang diundang tersebut di luar tidak dapat menjadi anggota suara penuh. Dewan direksi suatu
perusahaan merupakan badan resmi yang diberikan tanggung jawab untuk keseluruhan pemerintahan
bahwa perusahaan bagi investor pemiliknya atau pemberi pinjaman. Karena semua anggota dewan dapat
dipegang secara hukum bertanggung jawab melalui tindakan mereka atas setiap isu, dan dewan dan
komite yang membuat sebagian besar bisnis formal melalui resolusi, yang menjadi masalah catatan
perusahaan. Perusahaan dari berbagai komite dewan, termasuk komite audit, didirikan melalui resolusi
tersebut. Exhibit 23.1 adalah papan sampel resolusi untuk membentuk komite audit. Jenis resolusi
didokumentasikan dalam catatan dari papan tulis dan umumnya tidak direvisi kecuali beberapa kondisi
yang membutuhkan perubahan. Resolusi tersebut adalah contoh dari tata kelola perusahaan yang
menetapkan aturan dimana beberapa perusahaan beroperasi. Meskipun tidak dipublikasikan dalam
laporan tahunan dan sejenisnya, adanya resolusi dewan yang tepat menjadi masalah dalam hal regulasi
dan litigasi hanya ketika sebuah papan perlu mengandalkan pada resolusi mengizinkan.
Meskipun tidak merupakan persyaratan yang diperlukan, kebanyakan perusahaan fungsi audit
internal secara rutin beroperasi melalui sebuah piagam formal internal audit, dokumen (dibahas dalam
Bab 12) yang disetujui oleh komite audit untuk menjelaskan peran audit internal dan tanggung jawab.
Institute of Internal Auditor (IIA) telah memberikan beberapa panduan untuk menyusun piagam audit
internal, tetapi charter tersebut tidak mengikuti standar tertentu atau format. Mereka harus secara formal
negara, antara lain, bahwa audit internal memiliki akses penuh terhadap semua catatan dan fasilitas dalam
perusahaan. Charter audit internal mencakup kegiatan fungsi audit internal tetapi bukan kegiatan komite
audit dewan perusahaan. NYSE menyarankan diusulkan charter komite audit dewan pada bulan
Desember 1999, tetapi dengan ada persyaratan bahwa komite audit harus memiliki seperti piagam. Sox,
bagaimanapun, kini telah mengamanatkan bahwa setiap komite audit dewan harus mengembangkan
piagam audit sendiri resminya akan diterbitkan sebagai bagian dari laporan tahunan proxy.
Tujuan dari sebuah piagam komite audit dewan adalah untuk menetapkan komite audit
bertanggung jawab tentang:

100
  Identifikasi, penilaian, dan pengelolaan risiko keuangan dan ketidakpastian
 Terus menerus memperbaiki sistem keuangan
 Integritas laporan keuangan dan pengungkapan keuangan
 Kepatuhan terhadap persyaratan hukum dan peraturan
 Kualifikasi, kemandirian, dan kinerja auditor independen di luar
 Kemampuan, sumber daya, dan kinerja dari departemen audit internal
 Penuh dan terbuka komunikasi dengan dan antara akuntan independen, manajemen, auditor
internal, konsultan, karyawan, komite audit
Komite audit diperlukan sebelum jajaran direksi keluar dan mendapatkan otorisasi, melalui
dokumen piagam, untuk kegiatan komite audit dewan hanya sebagai CAE, mewakili fungsi audit internal
perusahaan itu, secara teratur pergi sebelum dewan komite audit. Sementara beberapa mungkin terlihat
pada kebutuhan piagam komite audit sebagai halaman tambahan untuk menambahkan bulk ke pernyataan
proxy sudah tebal, itu adalah komitmen formal oleh komite audit dewan untuk memastikan integritas
laporan keuangan dan mengawasi fungsi audit internal dan eksternal. Tidak ada format yang diperlukan
tunggal atau isi dokumen ini diamanatkan untuk piagam, namun NYSE telah menerbitkan sebuah piagam
model yang telah diadopsi oleh banyak perusahaan publik saat ini. Format bervariasi dari satu perusahaan
ke yang lain, tapi audit charter komite umumnya mencakup:
1. Tujuan dan kekuasaan komite audit
2. Komposisi komite audit
3. Jadwal pertemuan
4. Komite audit prosedur
5. Komite audit kegiatan utama
a. Tata kelola perusahaan
b. Pelaporan Publik
c. Akuntan independen
d. Audit dan akuntansi
e. Kegiatan Lainnya
6. Discretionary kegiatan
a. Akuntan independen
b. Audit internal
c. Akuntansi
d. Kontrol dan sistem
e. Pelaporan Publik
f. Kepatuhan tanggung jawab pengawasan

101
 g. Penilaian risiko
h. Tanggung jawab pengawasan keuangan
i. imbalan kerja rencana investasi tanggung jawab fidusia
7. Komite audit keterbatasan

Banyak komite audit charter berisi deskripsi dari kategori yang tercantum. Beberapa tampaknya
telah dikembangkan oleh perusahaan penasehat hukum dengan bahasa untuk menutupi setiap kontingensi
sehingga lebih jelas dan ringkas. Tidak setiap perusahaan seperti Microsoft dalam hal ukuran dan sumber
daya, tetapi semua perusahaan dengan pendaftaran SEC harus sesuai dengan aturan Sox. Entitas yang
lebih kecil tidak akan memiliki sumber daya atau perlu merilis piagam komite audit berbasis Web. Tapi
mereka tetap harus memiliki komite audit direktur independen, sebagaimana diamanatkan oleh Sox, serta
piagam komite audit. Ini adalah jenis dokumen resolusi dewan direksi yang akan menjadi bagian dari
arsip perusahaan.
Apakah lebih besar atau kecil, perusahaan masih harus memiliki kontrol internal yang efektif dan fungsi
audit internal. Ini terutama penting saat ini, sebagai sumber daya yang terbatas audit internal tidak bisa
lagi mengandalkan auditor eksternal untuk melakukan tugas-tugas mereka mungkin telah dilakukan di
masa lalu. CAE untuk itu perusahaan kecil harus meninjau ulang bahan-bahan yang dipublikasikan oleh
IIA, AICPA, atau Sistem Informasi Audit dan Control Association, dan bekerja dengan auditor internal
dari perusahaan-perusahaan kecil lain dalam masyarakat untuk mengembangkan ide-ide dan pendekatan.

EXHIBIT 23.2 Microsoft Corporation 2007 Piagam Komite Audit

Peran
Komite Audit Dewan Direksi membantu Dewan Direksi dalam memenuhi tanggung jawab untuk
pengawasan kualitas dan integritas dari audit, akuntansi, dan pelaporan kegiatan Perseroan, dan tugas
lain seperti diarahkan oleh Direksi. Tujuan komite adalah untuk mengawasi proses akuntansi dan
pelaporan keuangan Perusahaan, audit laporan keuangan Perseroan, kualifikasi masyarakat kantor
akuntan terlibat sebagai auditor independen Perseroan untuk mempersiapkan atau isu audit melaporkan
laporan keuangan Perusahaan dan pengendalian internal atas keuangan
pelaporan, dan kinerja fungsi audit internal dan independen Perusahaan auditor. Komite mereview dan
menilai aspek-aspek kualitatif pelaporan keuangan untuk pemegang saham, proses Perusahaan untuk
mengelola risiko bisnis dan keuangan, dan memenuhi persyaratan hukum yang signifikan, etika, dan
peraturan yang berlaku. Komite ini bertanggung jawab langsung atas penunjukan (tunduk pada ratifikasi
pemegang saham), kompensasi, retensi, dan pengawasan auditor independen

102
Keanggotaan
Keanggotaan Komite terdiri dari setidaknya tiga direktur, yang semuanya harus memenuhi persyaratan
independensi yang dibentuk oleh Dewan dan hukum yang berlaku, peraturan, dan persyaratan daftar.
Setiap anggota dalam penilaian Dewan Direksi memiliki kemampuan untuk membaca dan memahami
laporan keuangan yang mendasar dan dinyatakan memenuhi kecanggihan keuangan standar yang
ditetapkan oleh persyaratan dari Pasar Bursa NASDAQ, LLC. Setidaknya satu anggota Komite harus
dalam penilaian Dewan akan sebuah “komite audit ahli keuangan” seperti yang didefinisikan oleh aturan
dan peraturan Komisi Sekuritas dan Bursa. Dewan menunjuk anggota Komite dan ketua. Dewan dapat
menghapus setiap anggota dari Komite setiap saat dengan atau tanpa sebab.

Secara umum, tidak ada anggota Komite dapat melayani lebih dari tiga komite audit perusahaan publik
(termasuk Komite Audit Perseroan) pada waktu yang sama. Untuk tujuan ini, layanan pada komite audit
dan secara substansial anak perusahaan yang dimiliki dianggap sebagai layana pada komite audit tunggal.

Operasi
Komite bertemu sedikitnya enam kali dalam setahun. Pertemuan tambahan dapat terjadi sebagai Komite
atau kursi yang dianggap dianjurkan. Panitia akan menyebabkan disimpan memadai
risalah, dan akan melaporkan tindakan dan kegiatan pada triwulan berikutnya rapat Dewan. Anggota
Komite akan dilengkapi dengan salinan setiap menit pertemuan dan setiap tindakan yang diambil dengan
persetujuan bulat. Komite ini diatur oleh aturan yang sama tentang pertemuan (termasuk rapat melalui
telepon konferensi atau mirip peralatan komunikasi), tindakan tanpa rapat, pemberitahuan, surat
pernyataan pemberitahuan, dan kuorum dan persyaratan suara seperti yang berlaku kepada Dewan.
Komite ini berwenang dan diberdayakan untuk mengadopsi aturan prosedurnya sendiri tidak konsisten
dengan (a) ketentuan Piagam ini, (b) ada ketentuan dalam Anggaran Rumah Tangga Perusahaan, atau (c)
undang-undang negara bagian Washington.

Komunikasi
Auditor independen yang melapor langsung kepada Komite. Komite ini diharapkan memelihara
komunikasi bebas dan terbuka dengan auditor independen, auditor internal, dan manajemen. Komunikasi
ini akan mencakup sesi periodik eksekutif swasta dengan masing-masing pihak.

Pendidikan
Perusahaan bertanggung jawab untuk memberikan anggota baru dengan orientasi yang sesuai briefing
dan kesempatan pendidikan, dan Komite penuh dengan sumber daya pendidikan terkait dengan prinsip

103
akuntansi dan prosedur, topik akuntansi saat ini penting berkaitan dengan Perusahaan, dan hal-hal lain
yang mungkin diminta oleh Komite. Perusahaan akan membantu Komite dalam memelihara melek
finansial sesuai.

Kewenangan
Panitia akan memiliki sumber daya dan wewenang yang diperlukan untuk tugas debit dan
tanggung jawab. Komite memiliki wewenang tunggal untuk mempertahankan dan mengakhiri nasihat
luar atau ahli lain atau konsultan, yang dianggap tepat, termasuk otoritas tunggal untuk menyetujui
perusahaan ‘biaya dan persyaratan retensi lainnya. Perusahaan akan memberikan kepada Komite dengan
pendanaan yang tepat, sebagai Komite menentukan, untuk pembayaran kompensasi kepada auditor
independen Perseroan, di luar pengacara, dan penasehat lainnya yang dianggap biaya yang sesuai, dan
administrasi dari Komite yang diperlukan atau sesuai
dalam melaksanakan tugasnya. Dalam melaksanakan peran pengawasan, Komite diberdayakan untuk
menyelidiki setiap masalah yang perlu mendapat perhatian. Panitia akan memiliki akses ke
Perusahaan buku, catatan, fasilitas, dan personil. Setiap komunikasi antara Komite dan penasehat hukum
dalam rangka mendapatkan nasihat hukum akan dipertimbangkan komunikasi istimewa Perusahaan, dan
Komite akan mengambil semua langkah yang diperlukan untuk melestarikan sifat istimewa orang-orang
komunikasi. Komite dapat membentuk dan mendelegasikan wewenang untuk subkomite dan dapat
mendelegasikan kewenangan untuk satu atau lebih anggota yang ditunjuk komite.

Tanggung Jawab
Tanggung jawab khusus Komite dalam melaksanakan peran pengawasan yang dimaksud dalam
Komite Audit Tanggung Jawab Kalender. Kalender akan Tanggung Jawab diperbaharui setiap tahun
diperlukan untuk mencerminkan perubahan dalam persyaratan peraturan, berwibawa bimbingan, dan
praktek pengawasan berkembang. Yang paling baru-baru ini diperbarui Tanggung Jawab Kalender akan
dianggap sebagai addendum Piagam ini. Komite mengandalkan keahlian dan pengetahuan manajemen,
auditor internal, dan auditor independen dalam melaksanakan tanggung jawab pengawasannya.
Manajemen Perusahaan bertanggung jawab untuk menentukan laporan keuangan Perseroan adalah
lengkap, akurat, dan sesuai dengan prinsip akuntansi yang berlaku umum dan membangun memuaskan
pengendalian internal atas pelaporan keuangan. Auditor independen bertanggung jawab untuk mengaudit
laporan keuangan Perusahaan dan efektivitas Perusahaan pengendalian internal atas pelaporan keuangan.
Ini bukan tugas Komite untuk merencanakan atau melakukan audit, untuk menentukan bahwa laporan
keuangan secara lengkap dan akurat dan dalam sesuai dengan prinsip akuntansi yang berlaku umum,

104
untuk melakukan investigasi, atau memastikan kepatuhan terhadap hukum dan peraturan atau standar
Perusahaan bisnis perilaku, kode etik, kebijakan internal, prosedur, dan kontrol.

23.3 Komite Audit Keuangan dan Audit Internal Ahli

Sebuah kritik utama komite audit pada pra-Sox pada hari-hari setelah jatuhnya Enron bahwa
banyak anggota dewan yang menjabat sebagai komite audit tampaknya tidak memahami keuangan dan
masalah pengendalian internal. Orang-orang terpilih untuk dewan komite audit karena hubungan mereka
dengan senior, manajemen bisnis atau profesional latar belakang tapi mereka sering tidak memahami
kontrol keuangan atau internal yang kompleks isu seputar banyak perusahaan. Sox sekarang
mengharuskan bahwa setidaknya salah satu dari audit Komite direktur independen harus apa yang disebut
“ahli keuangan” dengan beberapa persyaratan yang cukup spesifik untuk peran itu, seperti diuraikan
dalam Bab 4 tinjauan Sox. Ini anggota dewan pakar keuangan bisa sangat baik menjadi terbaik atau
terdekat audit audit internal sekutu komite dan mungkin sangat baik menjadi titik awal untuk CAE untuk
mengikat erat audit internal untuk komite audit dewan. Hari ini khas audit anggota komite dan tentunya
para pakar keuangan tentu dalam yang baru dan menantang posisi dengan mandat hukum dan banyak
tekanan. Sox telah menyebabkan banyak perubahan tata kelola perusahaan, dewan direksi, dan komite
audit. Dalam banyak situasi, audit CAE dan internal mungkin thread unik dari kesinambungan tata kelola
perusahaan, dan audit internal dapat membantu komite audit di era baru ini melalui pendekatan tiga
langkah:

Langkah 1. Melalui laporan dan presentasi, memberikan ringkasan rinci arus audit internal proses untuk
penilaian risiko, perencanaan dan melakukan audit, dan pelaporan hasil melalui laporan audit.
Langkah 2. Bekerja dengan sumber daya manusia dan sumber daya lainnya, rencana ini kepada komite
audit untuk membantu meluncurkan etika Sox yang diperlukan dan program whistleblower seperti
dibahas dalam Bab 24.
Langkah 3. Mengembangkan rencana rinci untuk meninjau dan menilai pengendalian internal dalam
perusahaan. Ini adalah komponen kunci dari Sox, Bagian 404 pengendalian internal
penilaian persyaratan, seperti dibahas dalam Bab 4.

Langkah pertama di sini adalah bahwa audit internal harus melakukan upaya terkonsentrasi untuk
menjelaskan proses dan prosedur untuk komite audit, dewan secara keseluruhan, dan senior manajemen
dengan penekanan pada kebutuhan internal audit Sox. Setelah presentasi ini papan diluncurkan, harus
menjadi bagian dari tahunan proses audit perencanaan internal dengan perubahan yang sedang

105
berlangsung dilaporkan. Namun demikian, bahkan sebelum meluncurkan setiap penyajian tersebut, audit
internal harus melalui sendiri proses dan melakukan apa yang mungkin disebut pemeriksaan kesehatan
untuk menilai saat ini internal praktek audit. Pemeriksaan ini mungkin menunjuk ke daerah-daerah di
mana ada ruang yang sedang berlangsung untuk audit internal perbaikan. Bukti 23.3 adalah audit
kesehatan penilaian internal check survei internal yang dapat diperluas atau diubah tergantung pada
kondisi saat ini. Idenya di sini adalah bahwa audit internal harus pergi melalui tingkat tinggi organisasi
kesehatan penilaian diri, bertanya sendiri bagaimana ia lakukan di saat ini dan apa yang harus dilakukan
untuk meningkatkan, dan kemudian membuat perbaikan yang diperlukan. Ini juga di sepanjang garis dari
penilaian kontrol-diri, seperti dibahas dalam Bab 11.
Setelah audit internal melalui latihan seperti koreksi diri, audit proses dan kegiatan yang sedang
berlangsung harus disajikan kepada komite audit dan dewan secara keseluruhan dan manajemen.
Tujuannya adalah untuk memastikan bahwa semua pihak menyadari proses audit internal dan isu-isu
yang sedang berlangsung. Informasi tersebut harus disampaikan kepada anggota kunci manajemen
terlebih dahulu sebelum presentasi komite audit untuk memastikan pesan bahwa audit internal akan
dipahami dengan baik dan konsisten dengan inisiatif manajemen lainnya. Tergantung pada perusahaan
dan sejarah masa lalu, audit internal dapat menerima terlalu sedikit atau bahkan kredit terlalu banyak
untuk perannya dalam tata kelola perusahaan proses.

23.4 Tanggung jawab komite audit terhadap Audit internal

Dewan komisaris komite audit mempunyai satu tanggung jawab primer untuk fungsi audit
internal suatu perusahaan. Sesuai Sox, konsep ini lebih dari sekedar teori; audit internal melaporkan
kepada komite audit “secara tertulis” tetapi secara efektif dilaporkan kepada CFO ( chief financial officer)
atau beberapa petugas korporat senior.
Fungsi audit internal modern saat ini harus mempunyai suatu piagam, yang secara aktif
berhubungan dengan komite audit perusahaan. Piagam ini seringnya sangat
spesifik mengenai hubungan dengan audit internal dan secara tipikal memerlukan audit
komite ke:
 Review sumber-sumber daya, rencana, aktivitas, penempatan pegawai, dan struktur organisasi
audit internal. Area ini di diskusikan dalam Chapters 12 dan 13.
 Review pertemuan, kinerja, dan penggantian CAE.
 Review semua audit dan laporan yang disiapkan oleh audit internal bersama-sama dengan respon
manajemen. Laporan audit dan komunikasi di diskusikan dalam Chapter 17.

106
  Review dengan manajemen, CAE, dan akuntan independen ketercukupan dari pelaporan
keuangan dan sistem pengawasan intern. Review harus meliputi lingkup dan hasil program audit
internal serta kooperasi gangguan atau keterbatasan, bila ada, dikenakan oleh manajemen
terhadap perilaku program audit internal.

Poin ini adalah bagian dari hubungan antara audit internal dan komite auditnya untuk sekali
waktu, tetapi piagam komite audit diterbitkan dalam susunan yang formal. CAE harus bekerja berdekatan
dengan komite audit untuk memastikan hubungan komunikasi yang efektif sudah berlangsung, seperti
yang di diskusikan di poin ketiga. Beberapa departemen audit internal telah mengatur kebiasaan,
kelebihan waktu, dari penyediaan komite audit hanya dengan sebuah ringkasan dari audit internal
penemuan laporan atau baru saja menerbitkan laporan pada audit internal yang telah memutuskan
menemukan laporan audit yang signifikan. Sox meletakkan ini dalam suatu perspektif baru. Audit
internal seharusnya tidak hanya mengirimkan komite audit sesuatu yang sepertinya diperlukan untuk
dilihat.Mandat Sox dimana audit internal harus menyediakan komite audit dengan semua laporan audit
dan semua respon manajemen yang mendukung. Bahkan ketika audit internal membangitkan sejumlah
besar laporan audit, seperti untuk perusahaan ritel dengan audit tentang banyaknya unit lebih kecil yang
di simpan yang sering mempunyai sedikit penemuan signifikan, komite audit harus menerima informasi
yang rinci atas semua performa audit. Laporan Ringkasan bisa disediakan, tetapi laporan lengkap untuk
semua audit harus disediakan juga.
(a) Pertemuan Chief Audit Executive
Tipikal pelaporan CAE secara 107egular107tor107ve kepada manajemen perusahaan, tetapi
komite audit bertanggungjawab untuk perekrutan dan pembubaran audit internal ekselutif ini. Dewan
Komite Kompensasi bisa saja terlibat saat CAE dirancang sebagai pegawai dari perusahaan. Objektivitas
disini bukan untuk menolak hak manajemen perusahaan menyebutkan orang yang akan mengelola
departemen audit internal, yang melayani kebutuhan yang beragam dari manajemen perusahaan dan
komite audit. Keikutsertaan komite audit untuk memastikan independensi dari fungsi audit internal ketika
ada suatu kebutuhan berbicara mengenai pengidentifikasian isu dalam review dan penilaian control
internal dan aktivitas lainnya dari suatu perusahaan.
Keikutsertaan 107egula komite audit dalam pemilihan CAE bisa mengambil/menangani sejumlah
formulir tetapi secara tipikal mencakup review dari usul direktur yang diikuti dengan wawancara formal.
Manajemen Perusahaan—seringnya terutama
CFO—secara tipikal berkonsultasi dengan dewan komite audit mengenai kandidat potensial
CAE, mempersilahkan waktu untuk komite audit mereview dan memberikan komentar, serta

107
kadang-kadang mewawancarai, sebelum perubahan apapun dibuat. Di banyak contoh, perusahaan akan
berhadapan dengan kebutuhan untuk menyebut satu CAE baru karena orang yang sudah ada yang
berhenti atau dipromosikan. Manajemen dapat menyarankan promosi seseorang dari dalam perusahaan
atau dapat merekrut orang luar, tetapi komite audit akan mempunyai keputusan terakhir. Perjanjian
terhadap adekuasi dari kualifikasi untuk melayani kebutuhan dari manajemen dan dewan komisaris
adalah kondisi penting dari satu hubungan efektif yang sedang berjalan antara manajemen senior dan
komite audit.
Komite audit biasanya tidak terlibat dalam berbagai hal 108egular108tor108ve sehari-hari
mengenai CAE dan keseluruhan fungsi audit internal tetapi harus memastikan berjalannya kualitas fungsi
audit internal. Sebagai contoh, pejabat CAE harus melanjutkan untuk mempunyai peluang promosi atau
untuk mendapatkan tanggung-jawab lain sebagai bagian dari satu program pengembangan manajemen.
Dalam contoh lain, manajemen senior dapat menyatakan perasaan yang kuat bahwa CAE harus ditransfer
atau diakhiri oleh karena konsen manajemen yang kuat. Di situasi lainnya, komite audit harus mereview
usul tindakan personil dan menyediakan CAE dengan perekrutan yang adil atas isu yang terlibat. Komite
audit sendiri dapat merasakan bahwa CAE tidak melakukan pekerjaan yang cukup, baik dalam mentaati
permintaan komite audit atau dalam mengarahkan fungsi audit internal, atau keduanya. Dalam kasus
lain,dewan komite audit secara tipikal akan menyatakan konsen itu pada manajemen perusahaan dan
memulai proses untuk penggantian personil. Dalam kasus yang ekstrim dimana ada perselisihan paham
mengenai CAE, komite audit bisa merekrut konsultan eksternal untuk melakukan pekerjaan audit review
yang diinginkan oleh komite atau bisa mengarahkan manajemen, melalui dewan derivative, untuk
melakukan perubahan.
Keseluruhan isu di sini adalah bahwa komite audit mempunyai kemampuan merekrut atau
memecat CAE, tetapi harus sedang berjalan ditingkat kooperasi. Komite audit secara umum tidak berada
di tempat basis sehari-hari untuk menyediakan 108egular108t audit internal rinci dan harus memenuhi
persyaratan manajemen untuk beberapa dukungan rinci. CAE atau anggota apapun dari audit internal
tidak bisa mengabaikan begitu saja permintaan manajemen sesuai dengan klaim laporan beberapa orang
saja pada komite audit dan tidak bertanggungjawab pada manajemen lini perusahaan. Dengan cara yang
sama, manajemen perusahaan harus memastikan bahwa internal audit adalah bagian dari perusahaan,
bukan orang luar.

(b) Persetujuan Piagam Audit internal

108
Seperti yang di diskusikan dalam Chapter 12, piagam audit internal bertindak sebagai satu basis atau
otorisasi untuk setiap program audit internal efektif. Piagam adekuasi khususnya penting untuk
mendefinisikan peran dan tanggung-jawab audit internal serta tanggung jawab untuk melayani komite
audit dengan baik. Bahwa misi dari audit internal harus jelas menyediakan layanan pada komite audit
demikian pula pada manajemen senior. Piagam audit internal bukan saja dokumen yang luas tetapi umum
juga dokumen yang secara umum mendefinisikan tanggung-jawab dari audit internal dalam perusahaan,
menggambarkan standar yang diikuti, dan mendefinisikan hubungan antara komite audit dan audit
internal. Poin selanjutnya adalah pentingnya pengkhususan sebagaimana mengirimkan satu pesan khusus
pada manajemen senior dimana CAE bisa pergi ke satu pihak atasan—komite audit—kalau sekiranya
kontroversi atau isu pengawasan intern signifikan.
Komite audit bertanggungjawab untuk persetujuan piagam audit internal, seutuhnya, dewan
bertanggungjawab untuk menyetujui piagam komite audit. Kita mendiskusikan piagam audit internal di
sini karena inilah tanggung jawab komite audit, tetapi piagam audit internal juga melindungi detil yang
lebih besar/rinci dalam diskusi Chapter 12 tentang membuat piagam dan membangun satu fungsi audit
internal yang efektif. Siapakah bertanggungjawab untuk draft piagam audit internal ini? Teorinya komite
audit mungkin akan men-draft dokumen ini sebagai sebuah aktivitas dewan komite. Pada kenyataannya,
CAE biasanya memelopori dalam membuat draft piagam ini dan/atau akan menyarankan perbaikan
sesuai pada satu piagam yang sudah ada pada dewan komite audit.

Sementara itu piagam audit internal memberi hak pekerjaan yang dilakukan harus dilakukan,
anggota komite audit tidak boleh berada dalam suatu posisi untuk membuat persyaratan draft piagam
audit rinci. CAE secara tipikal bekerja berdekatan dengan dewan komite audit untuk membuat draft
persyaratan ini. Selain dari pada piagam, spesifikasi alami dan lingkup dari tanggung-jawab pelayananan
audit internal pada komite audit harus formal dan diuraikan. Tanggung-jawab ini bisa meliputi
109egular109 ditulisnya laporan status audit, pertemuan-pertemuan yang secara teratur dijadwalkan
dengan komite audit, dan keduanya, yaitu hak dan kewajiban akses langsung audit internal pada komite
audit.
Sementara itu pemahaman ini secara tipikal tidak memerlukan resolusi komite audit formal, kedua belah
pihak harus mempunyai satu pemahaman jelas tentang tanggung-jawab audit internal untuk menyajikan
laporan dan untuk mengikuti rapat komite audit. Penerimaan piagam audit internal dan perbekalan yang
berhubungan oleh ketertarikan semua pihak berarti bahwa audit internal bebas dari penghalang yang
sangat mungkin mencegahnya dari penyingkapan kebutuhan pada komite audit, bahkan kesensitivan
yang alami.

109
 Pernyataan piagam hubungan audit internal pada komite audit ini menjadi penting karena audit
internal juga mempunyai hubungan pekerjaan sehari-hari dengan manajemen perusahaan. Sementara itu
komite audit memilih CAE, anggota lain dari tim audit direkrut dan dibayar oleh perusahaan, bukan
komite audit independen. Manajemen Senior sering melupakan audit internal itu memiliki hubungan
pelaporan di dalam perusahaan. Manajemen Perusahaan kadang-kadang memberikan diskon untuk
kebutuhan ini untuk piagam audit internal atas alasan-alasan bahwa tidak batasan pada audit internal
independen. Meskipun demikian, piagam audit internal yang kuat, yang disetujui oleh komite audit,
adalah ketetapan penting corporate governance.

(c) Persetujuan Rencana dan Anggaran Audit internal

Idealnya, komite audit sudah mengembangkan keseluruhan pemahaman mengenai total
kebutuhan audit internaldari suatu perusahaan. Penilaian tingkat-tinggi yang mencakup berbagai Kendali
dan isu pelaporan keuangan khusus, mempersilahkan komite audit menentukan porsi audit atau
pengkajian resiko yang diperlukan untuk dilakukan baik oleh audit internal atau penyedia lain. Sebagai
bagian dari peran ini, komite audit bertanggungjawab untuk mereview dan menyetujui semua rencana
serta anggaran audit internal tingkat tinggi. Tanggung jawab ini konsisten dengan peran komite audit
sebagai 110egular110tor terakhir usaha audit secara keseluruhan. Manajemen Perusahaan dan CAE
mungkin mempunyai ide-ide milik mereka sendiri tentang apa diperlukan untuk dilakukan, tetapi
tindakan ini adalah satu tanggung jawab komite audit. Adalah penting bahwa pihak kunci bersama-sama
mempertimbangkan dan dengan penuh kewajaran merekonsiliasi, tetapi komite audit mempunyai kata
akhir di sini.
Review komite dari semua rencana audit internal itu sangat penting jika kebijakan-kebijakan
danrencana untuk masa depan harus ditentukan secara efektif. Tanggung-jawab baru audit karena
pengenalan tentang Sox telah mengubah peran yang sudah berjalan beberapa lama, dan semua pihak-
pihak berkepentingan harus memahami sifat alami keseluruhan rencana audit. Manajemen Perusahaan,
auditor internal, dan audit eksternal kemudian akan tahu apa yang harus diharapkan dari pemasok layanan
audit. Komite audit harus mengasumsikan peran koordinasi tingkat-tinggi. Walaupun ada keterbatasan
praktis hingga sebagaimana komite audit aktif bisa dilibatkan dalam proses perencanaan terperinci,
beberapa keterlibatan mendomenstrasikan suatu nilai yang tinggi. Secara tipikal, dewan komite audit
adalah orang yang paling aktif dalam merencanakan review ini, tetapi saat dia adalah subyek untuk
keterbatasan waktu. Audit internal harus menyiapkan suatu dokumen perencanaan tahunan menyeluruh
untuk komite yang memberikan rencana rinci untuk tahun yang akan datang sebaik rencana jangka
panjang. Format yang diusulkan untuk rencana ini didiskusikan di bab 6 dalam analisis risiko dan di
Chapter 12 dalam aktivitas pengorganisasian audit internal. Selain itu, audit internal harus menyiapkan

110
laporan ringkas dari aktivitas audit masa lampau dan taksiran kembali dari pemenuhan nya untuk
memberikan komite audit suatu pemahaman dari area signifikan dalam review masa lampau. Walaupun
audit internal harus melaporkan aktivitas kepada komite audit secara 111egular, laporan ringkasan
aktivitas masa lampau ini memberikan suatu ikhtisar area untuk penekanan audit dan gap acara penting
potensial dalam pemenuhan audit. Tampilan 23.4 adalah satu contoh dari satu tahun-rencana audit untuk
dipresentasikan kepada komite audit. CAE akan menyajikan jenis laporan kepada komite audit ini,
mencakup untuk masing-masing audit tertentu dan dengan detil pendukung yang cukup untuk menjawab
pertanyaan. Laporan ringkasan aktivitas masa lalu ialah penting untuk memperlihatkan jadwal area
dalam rencana tahun berjalan dan penyempurnaan rencana tersebut.
Di banyak perusahaan, rencana audit tahunan mengembangkan melalui dua proses, analisis risiko
internal dan diskusi dengan keduanya, yaitu manajemen senior serta komite audit. Manajemen dan
komite dapat menyarankan area untuk review potensial audit internal, dan audit internal harus
mengembangkan rencana di dalam batasan dari anggaran dan keterbatasan sumber daya. Jika komite
audit telah mengusulkan review beberapa area tetapi audit internal khusus tidak mampu untuk melakukan
audit yang telah direncanakan terhadap beberapa batasan yang diketahui, CAE harus dengan jelas
mengkomunikasikan kekurangan itu kepada komite audit.

(d) Review dan Tindakan Komite Audit atas Audit Finding yang Signifikan
Tanggung jawab penting komite audit adalah mereview dan mengambil tindakan atas audit
finding yang signifikan yang dilaporkan oleh auditor internal dan eksternal, manajemen, dan lain-lain.
Audit internal dan yang lain seharusnya tidak memfilter audit finding dan mengatakan kepada komite
audit apa yang dikatakan signifikan, kepentingan dan efisiensi dari kesuleruhannya akan dilayani lebih
baik oleh audit internal yang secara teratur melaporkan audit finding yang signifikan seperti halnya
keadaan dan disposisi temuan. Dalam memberi reaksi atas audit finding yang signfikan, membutuhkan
kombinasi atas pemahaman, kompetensi, dan kerjasama pihak-pihak utama yang berkepentingan seperti
audit internal, manajemen, auditor eksternal, dan komite audit sendiri. Kesejahteraan keseluruhan
perusahaan menjadi standar untuk menilai jasa audit internal, dan kepentingannya dengan manajemen
memiliki batas tertentu yang saling bertentangan.

23.5 Komite Audit dan Auditor Eksternalnya

Komite audit memiliki tanggung jawab utama untuk menyewa perusahaan audit eksternal,
menyetujui anggaran yang diusulkan dan rencana audit, serta menerbitkan laporan keuangan yang
diaudit. Firma akuntan public terutama tidak lagi memiliki divisi konsultasi, dan dilarang memberikan
jasa outsourcing audit internal kepada perusahaan yang nanti akan diaudit. Oleh karena itu, komite audit

111
harus lebih menyadari dan sensitive atas hal ini, dimana Sox mengharuskan komite audit
untukmenyetujui seluruh jasa audit eksternal, termasuk comfort letter, sama seperti halnya jasa nonaudit
dari auditor eksternl yang dilarang. Namun auditor kesternal masih diperbolehkan untuk menyediakan
jasa pajak , sama halnya dengan jasa pengecualian yang diminimalisir mereka dilarang untuk
memberikan jasa non audit secarakontemporer dengan audit laporan keuangan , jasa tersebut seperti :
 Pembukuan dan jasa lain yang berkaitan dengan pencatatan akuntansi atau laporan keuangan
klien yang diaudit
 Merancang dan mengimplementasikan teknologi informasi keuangan
 Jasa penaksiran dan penilaian, pendapat kewajaran atay kontribusi dalam berbagai pelaporan
 Jasa outsourcing audit internal
 Fungsi manajemen atau aktivitas pendukung sumberdaya manusia
 Broaker atau dealer, penasihat investasi, atau jasa investasi bank
 Jasa hukum dan jasa ali lainnya yang tidak berkaitan dengan audit
 Jasa lain yang tidak diijinkan oleh PCAOB.

Audit internal harus mempertimbangkan penawaran layanan yang tepat dan konsisten dengan audit
charternya.
23.6 Program Whistleblower dan Kode Etik
Sox menetapkan kepada komite audit untuk membangun prosedur dalam menerima,
penyimpanan, dan perwatan atas keluhan yang berkaitan dengan akuntansi, pengendalian internal
akuntansi, atau masalah auditing, termasuk prosedur untuk kerahasiaan yang diajukan oleh karyawan
atas kekhawatiran akuntansi dan permasalahan audit. Akibatnya akan menghadapi tantangan
dokumentasi karena banyak masalah yang harus dilaksanakan dengan cara yang rahasia. Audit internal
seharusnya menawarkan jasanya kepada komite audit untuk membangun prosedur dokumentasi dan
komunikasi dalam area dibawah ini :
 Dokumentasi pencatatan panggilan whistleblower. Sox mengamanatkan kepada komite audit
untuk membangun program whistleblower formal dimana karyawan dapat meningkatkan
perhatian berkaitan dengan masalah audit yang tidak tepat tanpa takun akan adanya pembalasan.
Biasanya perusahaan besar sudah memiliki fungsi etika, sehingga hanya perlu mengatasinya
dengan cara yang lebih aman lagi. Ketika perusahaan yang lebih kecil tidak memiliki
sumberdaya, audit internal harus menawarkan fasilitasnya dalam komunikasi, pencatatan
tanggal, waktu, dan nama pemanggil untuk penyelidikan dan disposisi wishtleblower.
 Disposisi permasalahan whistleblower. Dokumentasi harus dijaga untuk mecatat sifat dari
investigasi tindak lanjut dan disposisi yang terkait. Meskipun Sox mengamanatkan program

112
 whistleblower tidak memiliki program penghargaan tunai, dokumentasi lengkap yang mencakup
tindakan yang diambil serta setiap net saving harus dijaga.
 Kode Etik. Sox membuat komite audit bertanggung jawab untuk mengimplementasikan kode etik
perusahaan untuk CEO dan CFO. Komite audit harus merangkum seperangkat peraturan bagi
perilaku yang tepat dan membuat senior officernya menyatakan bahwa mereka telah membaca
dan memahami serta menyetujui untuk mematuhinya.

23.7. Peran Lain Komite Audit

Audit internal dapat menawarkan untuk bertindak sedikit sebagai sekretaris dari komite audit
dalam mendokumentasi dan menangani masalah tersebut. Untuk perusahaan besar, komite audit dapat
terdiri dari mungkin enam orang, sedangkan dalam sebuah perusahaan yang lebih kecil, biasanya terdiri
dari hanya dua orang. Direktur komite audit yang independen biasanya merupakan orang yang sibuk
yang mungkin melayani beberapa dewan dengan sedikit dukungan adminitrasi langsung. Audit internal
dapat memberikan bantuan yang penting. Berdasarkan Sox, komite audit memiliki peran penting dimana
memiliki salah satu posisi terbaik untuk mememberikan fasilitas. CAE memberikan skses terbuka kepada
komite aduit melalui presentasi pada pertemian rutin dan pertemuan rahasia satu demi satu. Dahulu,
pertemuan ini lebih formal dengan komunikasu sebenarnya yang terbatas, namun telah dirubah oleh Sox
oleh karena itu saat ini komite audit dan ahli keuangan yang dirancangnya memiliki seluruh tanggung
jawab baru audit internal adalah sumber daya yang baik untuk membantu anggota komite audit untuk
memenuhi tanggung jawab mereka terkait dengan Sox melalui komunikasi yang erat serta dengan
menawarkan tugas dokumentasi tertentu komite audit. Perluasan persyaratan jasa audit internal
merupakan suatu peluang dan tantangan, karena perubahan yang dilakukan Sox, auditor internal yang
modern harus menyadari perluasan penting komite audit.

113
 Chapter 24

Program Etika dan Whistleblower

Auditor internal selalu dipandang sebagai para pemimpin etis dalam perusahaan. Setiap kali ada
pertanyaan dari transaksi yang menimbulkan pertanyaan atau penipuan dalam operasi, misalnya,
tanggapan manajemen selalu memanggil internal audit untuk menyelidiki. Karena standar profesional
mereka yang kuat, didukung oleh kode etik profesional baik yang diakui, auditor internal harus menjadi
pemimpin yang etis dalam perusahaan.

Pengetahuan dan pemahaman tentang auditor internal, kode perilaku profesional, seperti yang
dibahas dalam Bab 8 mengenai standar audit internal profesional, adalah kunci badan audit internal
umum tentang kebutuhan pengetahuan (CBOK). Etika dan enterprise-wide kode etik memiliki peran
yang lebih besar pada saat ini. Selama bertahun-tahun, banyak perusahaan mengucapkan kata-kata
tentang komitmen mereka untuk etika tetapi tidak pernah ada tindak lanjutnya. Namun, dengan adanya
serangkaian skandal akuntansi utama AS pada 1980-an, peluncuran Komite of Sponsoring kerangka
Organisasi Internal Kontrol pada 1990-an, dan yang sekarang ini, Peraturan Sarbanes-Oxley (SOx), telah
ada penekanan hampir di seluruh dunia tentang pentingnya membangun lingkungan etis di seluruh
perusahaan.

Sementara audit internal memiliki peran yang terus-menerus, banyak dari inisiatif ini juga telah
diluncurkan oleh departemen lain, termasuk sumber daya manusia (SDM) dan badan hukum. Sekedar
mempromosikan lingkungan etika bagi semua stakeholder perusahaan, inisiatif seluruh perusahaan harus
menekankan pemangku kepentingan kode etik individu yang kuat, pengakuan nilai-nilai inti perusahaan,
dan program whistleblower. Saat ini karyawan dan pemangku kepentingan di semua tingkat didorong
untuk berpikir dan bertindak berbeda dari pada tahun terakhir. Program whistleblower adalah contoh di
sini. Seluruh konsep di balik program ini adalah bahwa setiap karyawan atau pihak lain yang mengamati
beberapa hal yang salah di lingkungan kerja dan independen “meniup peluit” atau melaporkan kepada
manajemen senior, tanpa adanya ketakutan akan tindakan balasan. Konsep seperti ini telah memiliki
standar di AS, banyak aturan hukum dan telah menjadi unsur SOx, seperti dibahas dalam Bab 4.
Meskipun belum tentu penerima yang ditunjuk dari laporan whistleblower, internal auditor perlu
memahami peran dan whistleblowing bagaimana kegiatan ini dapat disimpan dalam lingkungan kontrol
perusahaan.

Bab ini membahas kode etik, etika perusahaan, dan program whistleblower dari kedua
perusahaan-lebar dan perspektif audit internal. Internal auditor perlu memahami konsep ini dan
bagaimana mereka harus diterapkan untuk perusahaan secara keseluruhan. Selain itu, di beberapa

114
perusahaan yang lebih kecil dengan lebih terbatas sumber daya, audit internal dapat dipanggil untuk
memulai dan mengelola banyak jika tidak semua aspek suatu perusahaan, etika dan program
whistleblower. Pengetahuan tentang kode auditor internal perilaku merupakan kebutuhan CBOK dasar;
pemahaman keseluruhan kode etik, program whistleblower, dan etika perusahaan adalah penting untuk
total perusahaan dan harus area audit pengetahuan kunci internal juga.

Bab ini juga menjelaskan bagaimana membangun etika dan fungsi whistleblower yang konsisten
dengan SOx dan nilai kepada semua stakeholder perusahaan: karyawan, petugas, vendor, dan kontraktor.
Lebih dari tujuan SOx untuk mencegah kecurangan pelaporan keuangan, program etika yang efektif
adalah suatu pengelolaan yang penting dan kepatuhan alat untuk seluruh perusahaan.

Bab ini juga sempat terlihat di Hukuman Pedoman Organisasi, AS- wortel berbasis-dan-tongkat
pendekatan yudisial untuk meningkatkan kepatuhan perusahaan kuat program. Bab ini diakhiri dengan
panduan untuk melakukan operasional dan kepatuhan audit atas fungsi-fungsi ini.

24.1 Enterprise Etika, Kepatuhan, dan Tata Kelola

Kode etik adalah komponen utama dari standar profesional audit internal, dan auditor internal
banyak terlibat dengan meninjau dan membantu untuk meningkatkan etika perusahaan mereka. Hal ini
menjadi lebih lebih penting ketika SOx dimandatkan atau kode etik menandatangani laporan perilaku
dari pejabat senior dan menyerukan untuk program whistleblower diarahkan oleh komite audit.
Sebagaimana diuraikan pada Bab 4, mandat SOx bahwa komite audit perusahaan harus memiliki direktur
keuangan mereka (CFO) menandatangani pernyataan etika. Sementara ini tidak ada jaminan bahwa CFO
akan selalu mengikuti praktek-praktek bisnis yang etis, resiko pribadi dari denda besar atau bahkan
hukuman penjara. Namun, satu set kuat nilai-nilai pribadi seluruh perusahaan serta komitmen terus-
menerus atau keinginan untuk selalu melakukan hal yang benar sering kali bahkan lebih penting.
Sementara peraturan SOx yang terbatas pada pejabat eksekutif keuangan, perusahaan biasanya akan
menemukan nilai lebih dalam meluncurkan dan melaksanakan program seperti itu untuk seluruh
perusahaan dan stakeholder kunci. Beberapa kode etik dan aturan perilaku yang sangat spesifik dan
berhubungan hanya untuk petugas keuangan, namun, perusahaan akan menemukan nilai yang lebih besar
dalam memiliki satu set aturan berlaku untuk semua, dan audit internal mungkin ingin
mempertimbangkan dan menyarankan manajemen untuk bergerak ke arah itu.

Perusahaan dari semua ukuran dan bidang bisnis saat ini harus membentuk fungsi etika yang
efektif, termasuk pernyataan misi dan kode etik. Meskipun program etika perusahaan penting saat ini,
perusahaan tidak bisa mengklaim memiliki menerapkan program seperti ini dengan hanya menerbitkan
kode organisasi bisnis dan melakukannya bersama untuk seluruh karyawan untuk membacanya. Program
etika yang efektif memerlukan komitmen formal antara perusahaan dan karyawan dan agen untuk

115
melakukan hal yang benar. Banyak perusahaan saat ini telah memiliki unsur-unsur program etika di
tempat yang lainnya menganggap mereka memiliki etika karena praktek-praktek yang baik, bukan karena
masalah baru-baru ini. Semua, terlalu sering mereka mendirikan "etika program" berjumlah sedikit lebih
dari satu kode etik karyawan diberikan kepada karyawan baru pada hari pertama mereka pada pekerjaan
mungkin ditambah beberapa karyawan poster atau brosur. Karyawan baru diminta untuk membaca dan
menandatangani kode etik perusahaan itu sebagai bagian dari bahan menyelesaikan menyewa seperti
baru sebagai bentuk pemotongan pajak, rencana medis pilihan, dan pilihan karyawan lainnya. Terlalu
sering kode etik ditandatangani, mengajukan diri, dan dilupakan. Ini bukan merupakan program etika
yang efektif untuk perusahaan.

Program etika efektif untuk perusahaan dimulai dengan pemahaman risiko lingkungan dan
kemudian memerlukan kode etik yang efektif. Sementara penekanan mungkin sedikit berbeda pada
berbagai tingkatan, setiap orang harus menyadari dari perusahaan itu nilai dan misi secara keseluruhan.
Sebagai pihak yang alami tertarik pada baik, praktek bisnis yang etis, audit internal harus dalam posisi
kunci untuk membantu peluncuran sebuah perusahaan-wide etika berfungsi jika seseorang tidak ada atau
untuk membantu memperbaiki semua program saat ini. Hanya sebagai auditor internal harus memahami
bagaimana untuk mengevaluasi dan merekomendasikan kontrol akuntansi internal yang efektif, mereka
harus memiliki pemahaman dasar tentang unsur-unsur dari program etika organisasi yang efektif.

A) Langkah Pertama Etika: Mengembangkan Pernyataan Misi

Setiap perusahaan, tidak peduli apa ukuran, harus memiliki pernyataan misi formal untuk
menggambarkan tujuan dan nilai-nilai secara keseluruhan. Pernyataan misi harus menjadi petunjuk untuk
membiarkan karyawan, pelanggan, pemegang saham, dan pemangku kepentingan lainnya tahu apa
perusahaan singkatan dan apa tidak. Sekali sedikit lebih dari lelah yang terdengar slogan, pernyataan misi
perusahaan yang efektif telah menjadi sangat penting untuk mempromosikan etika organisasi yang kuat
dan tata kelola perusahaan yang baik. misi yang efektif dapat menjadi aset besar untuk suatu, perusahaan
yang memungkinkan untuk lebih mencapai tujuan organisasi dan tujuan.

Sebuah pernyataan misi perusahaan yang kuat merupakan elemen penting dalam etika dan
inisiatif tata kelola perusahaan. Meskipun kebanyakan perusahaan tidak akan menghadapi krisis seperti
apa Johnson & Johnson lakukan dengan Tylenol tercemar, hal semacam ini mungkin telah membantu
beberapa perusahaan untuk lebih menghindari skandal akuntansi yang menyebabkan SOx.

Bekerja dengan fungsi petugas etika dan manajemen senior, audit internal dapat membantu untuk
mengevaluasi pernyataan misi atau menulis ulang dan memulai yang baru. Jika karyawan atau pemangku
kepentingan lainnya tidak menyadari pernyataan misi perusahaan atau jika mereka melihatnya sebagai
sedikit lebih dari satu set kata-kata berarti, ada kebutuhan untuk meninjau kembali dan merevisi dokumen

116
itu. Sebuah pernyataan misi sering dibuat buruk lebih berbahaya daripada baik, membuat anggota sinis
dan tidak bahagia organisasi yang menolak perubahan. Jika perusahaan tidak memiliki pernyataan misi
atau nilai-nilai, audit internal harus merekomendasikan perakitan tim untuk mengembangkan sebuah
pernyataan yang mencerminkan nilai-nilai keseluruhan perusahaan dan tujuan.

Jika pernyataan yang ada disambut dengan sinisme selama survei etika, sekarang saatnya untuk
membuat ulang dan merevisinya. Namun, apapun yang direvisi harus dibuat dengan hati-hati. Jika hanya
diluncurkan dengan tidak ada persiapan, dapat dilihat dengan sinis bahkan lebih.

Sebuah pernyataan misi yang baik juga merupakan titik awal yang baik untuk pesan manajemen
senior. Sebuah pernyataan misi yang baik harus membuat pernyataan positif tentang perusahaan dan
menginspirasi para pemangku kepentingan perusahaan untuk memanfaatkan energi mereka, semangat,
dan komitmen untuk mencapai tujuan dan sasaran. Idenya adalah untuk menciptakan rasa tujuan dan arah
yang akan dibagi di seluruh perusahaan. Mungkin salah satu contoh terbaik dari pernyataan misi itu
diungkapkan oleh Presiden AS John F. Kennedy di awal 1960-an:

“This nation should dedicate itself to achieving the goal, before this decade is out, of landing a man
on the moon and returning him safely to Earth.”

“Bangsa ini harus mendedikasikan dirinya untuk mencapai tujuan, sebelum dekade ini keluar, dari
manusia mendarat di bulan dan mengembalikannya dengan selamat ke Bumi.”

Kata-kata sederhana menggambarkan misi dan visi yang jauh lebih baik daripada dokumen luas
yang berhalaman banyak.

Setelah perusahaan telah mengembangkan sebuah pernyataan misi baru atau telah merevisi yang
sudah ada, itu harus diterapkan di semua anggota perusahaan dengan tingkat yang baik publisitas.
Menggunakan pendekatan nada-at-the-top, manajer senior harus menjelaskan alasan untuk laporan misi
baru dan mengapa itu akan penting bagi perusahaan. Ini harus dipasang pada billboard fasilitas, dalam
laporan tahunan, dan tempat lain untuk mendorong semua pemangku kepentingan untuk membaca dan
menerimanya. Pernyataan misi, bagaimanapun, seharusnya tidak berdiri dengan sendirinya. Serangkaian
langkah kunci lainnya yang dibutuhkan untuk membangun etika yang efektif dan fungsi kepatuhan.

(B) Memahami Etika Lingkungan Risiko

Program etika yang efektif tidak dapat melindungi perusahaan dari risiko gempa bumi besar atau
beberapa peristiwa bencana besar lainnya, melainkan bisa, bagaimanapun, membantu untuk melindungi
dari berbagai risiko operasional dan bisnis lainnya. Sama seperti beberapa petugas akuntansi memutuskan
untuk melanggar aturan sebelum SOx, sikap yang dapat diterima untuk mengabaikan aturan etika bisa
menimbulkan risiko di banyak daerah lain. Para pekerja kantor yang salinan perusahaan perangkat lunak

117
atau catatan untuk digunakan pada komputer di rumah, pekerja pabrik yang melompati prosedur
pemeriksaan produk akhir untuk menghemat waktu, atau vendor yang sedikit kapal-kapal barang dari
dipesan karena "mereka tidak pernah memeriksa" pemberitahuan pengiriman semua contoh lentur aturan
dan meningkatkan risiko perusahaan. Jenis praktek sering berkembang karena kesenjangan yang
dirasakan antara manajemen senior dan staf. Karyawan yang secara teratur melihat manajer account
melebihi batas beban tanpa dampak segera mencoba membengkokkan aturan di daerah lain.

Audit internal dapat memimpin utama di sini dalam survei sikap karyawan dan praktek. sikap
Etika dan risiko dapat dinilai melalui baik review ditargetkan temuan dari audit masa lalu atau ulasan
khusus berdasarkan survei sikap karyawan dan stakeholder etika. Audit internal dapat menyelesaikan
pekerjaan ini etika survei melalui koordinasi dengan fungsi etika perusahaan, jika kelompok tersebut ada.
Sifat seperti fungsi etika yang dibahas dalam paragraf yang akan datang. Jika fungsi etika formal ada,
audit internal harus meninjau hasil setiap survei yang dilakukan di sana, membuat rencana untuk merevisi
atau memutakhirkan seperlunya. Sebuah survei etika merupakan cara yang sangat baik untuk memahami
sikap perusahaan dan merupakan bantuan untuk mendukung proses tata kelola perusahaan.

(i)Terkait Temuan Etika-Masa Lalu Dari Audit atau Audit Khusus

Jika audit internal telah menyelesaikan sejumlah besar audit operasional dan keuangan kepatuhan
terkait baru-baru ini, pemeriksaan ulang temuan laporan workpaper dan audit atau bahkan tanggapan
dapat memberikan wawasan tentang sikap etika secara keseluruhan. Temuan workpaper Konsisten
meliputi "kecil" pelanggaran mungkin menunjukkan tren keseluruhan dalam sikap etika. Sebuah contoh
di sini akan menjadi kegagalan berkelanjutan karyawan untuk mengikuti beberapa proses yang relatif
kecil atau prosedur, seperti mengamankan tanda tangan persetujuan kedua pada transaksi bernilai kecil,
meskipun kebijakan menyerukan untuk tanda tangan kedua, atau kegagalan untuk mendokumentasikan
aplikasi informasi teknologi baru , meskipun persyaratan sistem dokumentasi pembangunan. Tim audit
yang bertanggung jawab mungkin telah memutuskan hal itu "terlalu kecil" untuk disertakan dalam
ringkasan laporan audit final, tapi temuan tersebut sering menunjuk potensi masalah sikap etis. Bahkan
lebih buruk lagi, kadang-kadang jenis temuan yang dilaporkan dalam laporan audit hanya untuk menepis
dalam laporan tanggapan.

Beberapa yang sedang berlangsung "kecil" temuan tersebut tidak dapat menunjukkan pelanggaran
etika yang sedang berlangsung tetapi untuk daerah-daerah di mana aturan hanya perlu diubah. Namun,
auditor internal menelaah laporan audit masa lalu dan workpapers untuk masalah etika yang terbaik
mungkin bekerja dengan unit yang tepat dalam perusahaan untuk mendapatkan seperti prosedur aturan
yang tidak masuk akal berubah. audit internal mungkin juga mempertimbangkan meluncurkan audit
khusus untuk menilai sikap etis tersebut. Ini akan menjadi tinjauan kepatuhan yang kuat yang mencakup

118
beberapa daerah kunci di perusahaan atau review sangat terfokus dalam satu departemen atau kelompok.
Jenis internal audit memberikan penilaian secara keseluruhan sikap etis dalam perusahaan.

(ii) Surveys Etika Sikap Karyawan Dan Stakeholder

Dilakukan dengan benar, karyawan, pejabat, dan survei stakeholder dapat menjadi cara yang
sangat baik untuk menilai sikap etika perusahaan. Idenya adalah untuk mengumpulkan informasi
sebanyak mungkin tentang sikap etika dan praktek dari kelompok besar dalam perusahaan, seperti pekerja
pabrik (jika sesuai), staf kantor, manajer senior, vendor, dan lain-lain. Survei ini akan mencakup beberapa
pertanyaan umum, tetapi setiap kelompok juga akan menerima pertanyaan khusus ditujukan kepada
tanggung jawabnya. Kelompok perwira senior, misalnya, akan menerima set yang sama pertanyaan sikap
organisasi yang diberikan kepada semua tapi mendapatkan pertanyaan spesifik terkait SOx kontrol
internal.

Tidak pernah mudah untuk menyusun sebuah survei pengumpulan fakta yang menerima tingkat
respon yang tinggi, dan bantuan penggunaan khusus harus dipertimbangkan. Daripada serangkaian
pertanyaan membutuhkan hanya ya-atau-tidak ada tanggapan, survei harus terdiri dari banyak
"Pernahkah Anda. . . "Pertanyaan di mana orang-orang yang menyelesaikan survei ini dapat memberikan
jawaban selama atau sesingkat seperti yang mereka inginkan. Terbuka tanggapan membuat kompilasi
hasil yang lebih sulit, tetapi informasi menarik dan berharga bisa diperoleh.

Persyaratan kunci dari jenis survei adalah bahwa hal itu harus sebagai anonim mungkin. Survei
harus dikirim langsung ke rumah karyawan bersama dengan surat lamaran dari chief executive officer
(CEO) menjelaskan tujuan mereka dan tujuan. Kembali amplop, prestamped, diarahkan ke kotak pos
khusus harus dimasukkan. Tujuan utama di sini akan untuk survei sikap etika, namun, jika perusahaan
telah membentuk fungsi hotline whistleblower, sebagaimana akan dibahas, survei ini juga
memungkinkan masyarakat untuk melaporkan hal-hal tersebut. Meringkas hasil survei bisa menjadi
tantangan besar, terutama jika responden telah memberikan respon dalam bentuk-bebas. audit internal
atau petugas etika akan bertanggung jawab untuk menyiapkan laporan ringkasan dengan tujuan meninjau
hasil dengan komite audit dan manajemen senior.

Survei etika akan memungkinkan audit internal, tim etika kantor yang ditunjuk, atau orang lain
untuk mendapatkan pemahaman yang umum tentang etika lingkungan dalam perusahaan. Hal ini dapat
menjadi langkah pertama untuk meluncurkan fungsi etika formal atau upgrade dan meningkatkan yang
sudah ada. Survei ini juga akan menyediakan manajemen umum dengan beberapa wawasan ke dalam
suasana etika secara keseluruhan di perusahaan. Meskipun tidak disyaratkan SOx, informasi ini akan
meningkatkan praktek tata kelola perusahaan dengan menyorot area dimana perbaikan diperlukan.

(C) Merangkum Hasil Etika Survey: Apakah Kita Memiliki Masalah itu?

119
 Hasil survei sikap etika atau penilaian dari audit internal masa lalu dapat memberikan beberapa
jaminan bahwa hal-hal yang cukup bagus di seluruh perusahaan. Lebih sering, bagaimanapun, mereka
dapat menaikkan beberapa tanda-tanda meresahkan mulai dari penyimpangan kepatuhan kecil tapi terus
menerus, untuk vendor yang disurvei mengklaim taktik negosiasi berat tangan, kepada karyawan yang
menyatakan mereka telah diminta untuk membengkokkan aturan. Pertanyaan keras dengan hasil seperti
itu adalah apakah mereka mewakili pengecualian mengganggu atau ujung gunung es masalah etika yang
jauh lebih besar. Pada titik ini, audit internal dan petugas etika perusahaan seharusnya bertemu dengan
manajemen senior untuk mengembangkan beberapa langkah selanjutnya.

Seperti disebutkan, SOx berbicara tentang etika dan isu-isu whistleblower hanya dalam hal
pejabat keuangan senior dan penipuan keuangan potensial. A, kuat efektif program etika, bagaimanapun,
akan bermanfaat bagi seluruh perusahaan selain memberikan kepatuhan SOx. Jika perusahaan sudah
tidak memiliki program etika mapan, audit internal adalah area logis untuk membantu menetapkan jenis
program.

24.2 Kode Etik Enterprise

Sementara pernyataan misi adalah batu kunci untuk terus bersama-sama keseluruhan struktur tata
kelola perusahaan, kode etik perusahaan memberikan panduan yang mendukung bagi para stakeholder.
SOx frase menggunakan kode etik, kami menggunakan kode nama yang lebih tradisional perilaku. Kode-
kode ini telah berada di tempat di perusahaan besar selama bertahun-tahun. SOx mensyaratkan bahwa
semua pendaftar berkembang seperti kode untuk pejabat keuangan senior untuk mempromosikan
penanganan jujur dan etis dari setiap konflik kepentingan dan kepatuhan terhadap peraturan pemerintah
dan peraturan yang berlaku. Bahkan jika perusahaan tidak datang di bawah aturan SOx, ada banyak
manfaat untuk mengembangkan dan menerbitkan kode etik yang tepat. Kode SOx yang diamanatkan,
tetapi perusahaan-perusahaan dari berbagai ukuran bisa mendapatkan keuntungan dari kode yang
mencakup seluruh pemangku kepentingan.

Perusahaan efektif hari ini harus mengembangkan dan menegakkan kode etik yang berlaku
mencakup etika, bisnis, dan aturan hukum bagi seluruh pemangku kepentingan perusahaan: petugas
keuangan disorot dalam SOx, seluruh karyawan lainnya, dan pemangku kepentingan kelompok yang
lebih besar. Audit internal adalah tidak biasanya kelompok katalis untuk menyusun atau membuka seperti
kode etik, tetapi dapat menjadi peserta utama dalam kedua membantu untuk memulai kode dan kemudian
menentukan bahwa kode mempromosikan praktek bisnis yang etis di seluruh perusahaan.

(A) Kode Etik Isi: Pesan apa yang ada pada kode itu?

Kode etik harus menjadi mengatur, menghapus ambigu aturan yang menjelaskan apa yang
diharapkan dari semua pemangku kepentingan perusahaan, petugas, karyawan, kontraktor, vendor, dan

120
lain-lain. Kode harus didasarkan pada kedua nilai-nilai dan isu-isu hukum di sekitar perusahaan. Artinya,
sementara semua perusahaan dapat berharap untuk memiliki kode etik larangan terhadap diskriminasi
seksual dan rasial, kontraktor pertahanan dengan isu-isu terkait kontrak-banyak mungkin memiliki kode
etik yang agak berbeda dari operasi toko makanan cepat saji. Namun, kode harus berlaku untuk semua
anggota perusahaan dari tingkat yang paling senior seorang pegawai administrasi paruh waktu. Sebagai
contoh, kode etik aturan yang melarang pelaporan keuangan yang salah adalah sama apakah diarahkan
pada CFO untuk pelaporan keuangan yang tidak benar triwulanan atau bagian-timer untuk kartu waktu
yang salah atau penipuan mingguan.

Jika perusahaan sudah memiliki kode etik, audit internal mungkin ingin jadwal review dari waktu
ke waktu untuk kembali kode tersebut. Terlalu sering, kode yang lebih tua pada awalnya dirancang
sebagai aturan bagi karyawan tingkat bawah dengan sedikit perhatian bagi anggota yang lebih senior dari
perusahaan. Sebagaimana telah kita bahas, SOx pedoman tata kelola perusahaan dimaksudkan untuk
perwira senior, tetapi juga harus berlaku untuk semua pemangku kepentingan perusahaan. Bekerja
dengan anggota senior manajemen dan komite audit, audit internal dapat memeriksa kode etik yang ada
untuk menentukan apakah aturan masih layak era pasca-SOx.

Daerah ini topik ditemukan dalam kode stakeholder perusahaan khas perilaku. Kode sebenarnya harus
memiliki aturan tertentu dalam setiap bidang ini.
I. Pengantar
a. Tujuan kode etik ini: Suatu pernyataan umum tentang latar belakang
kode etik, menekankan tradisi perusahaan.
b. Standar etika komitmen perusahaan yang kuat: Sebuah penyajian kembali misi pernyataan
dan pesan pendukung dari chief executive officer
c. Dimana dapat mencari panduan: penjelasan mengenai hotline seketika
d. Ketidakpatuhan Pelaporan: Petunjuk whistleblower-cara untuk melaporkan
e. Tanggung jawab untuk mengakui kode: sebuah deskripsi kode pengakuan proses untuk
semua stakeholder
II. Fair Dealing Standards
a. Perusahaan menjual praktek: panduan untuk menangani dengan pelanggan
b. Perusahaan membeli praktek: pedoman dan kebijakan untuk menangani dengan vendor
III. Perilaku di tempat kerja
a. Equal Employment Opportunity Standar: sebuah pernyataan omitmen yang kuat
b. Tempat kerja dan kebijakan pelecehan seksual: sebuah pernyataan komitmen yang sama
kuat
c. Alkohol dan penyalah gunaan zat: sebuah pernyataan kebijakan di daerah ini

121
IV. Konflik Kepentingan
a. Pekerjaan sampingan: batasan kerja meneerima dari pesaing
b. Investasi personal: aturan mengenai menggunakan data perusahaan untuk membuat
keputusan investasi pribadi
c. Hadiah dan mafaat lainnya: aturan mengenai menerima suap dan hadiah yang tidak tepat
d. Mantan karyawan: aturan yang melarang memberikan bantuan kepada eks-karyawan
dalam bisnis
e. Anggota keluarga: aturan tentang memberikan bisnis kepada anggota keluarga,
menciptakan potensi konflik kepentingan, dan hubungan anggota keluarga karyawan
V. Enterprise Properti dan Records
a. Enterprise aset: Sebuah pernyataan yang kuat pada tanggung jawab karyawan untuk
melindungi aset.
b. Sistem komputer sumber daya: Suatu perluasan pernyataan aset perusahaan
mencerminkan semua aspek sumber daya sistem komputer.
c. Penggunaan nama perusahaan: Sebuah aturan bahwa nama perusahaan harus digunakan
hanya untuk transaksi normal bisnis.
d. Enterprise catatan: Sebuah peraturan mengenai tanggung jawab karyawan untuk integritas
catatan.
e. Informasi rahasia: Aturan tentang pentingnya menjaga semua perusahaan informasi
rahasia dan tidak mengungkapkan ke luar.
f. Karyawan privasi: Sebuah pernyataan yang kuat mengenai pentingnya menjaga karyawan
rahasia kepada orang luar dan bahkan karyawan lainnya informasi pribadi.
g. Enterprise Manfaat: Karyawan tidak harus mengambil keuntungan perusahaan yang
mereka tidak berhak.
VI. Mematuhi Hukum
a. Di dalam informasi dan insider trading: Sebuah aturan yang kuat yang melarang insider
trading atau dinyatakan mendapatkan manfaat dari informasi orang dalam.
b. Politik kontribusi dan kegiatan: Sebuah pernyataan yang kuat terhadap peraturan kegiatan
politik.
c. Penyuapan dan suap: Sebuah aturan perusahaan menggunakan suap atau menerima suap.
d. kesepakatan bisnis asing: Aturan mengenai berurusan dengan agen asing sesuai dengan
yang Korup Asing Practices Act.
e. keselamatan Tempat Kerja: Sebuah pernyataan tentang kebijakan perusahaan untuk
mematuhi aturan OSHA.

122
 f. Produk keamanan: Sebuah pernyataan tentang komitmen perusahaan untuk keamanan
produk.
g. Perlindungan lingkungan: Sebuah peraturan mengenai komitmen perusahaan untuk
mematuhi dengan undang-undang lingkungan yang berlaku.
Kata-kata ini adalah contoh dari nada dan gaya yang baik kode etik.
Ini menempatkan tanggung jawab pada penerima kode, mencoba untuk menjelaskan isu-
isu yang jelas cara, dan menyarankan diharapkan tanggapan dan tindakan.
Banyak perusahaan telah menemukan nilai dalam menambahkan serangkaian pertanyaan yang
sering diajukan (FAQ) ke kode bersama dengan jawaban yang disarankan. FAQs memungkinkan
pembaca untuk lebih memahami masalah, pertanyaan, dan aturan. Tim menyusun kode baru atau revisi
melakukan harus memastikan bahwa itu adalah jelas dan dipahami oleh semua. Ini bisa menjadi mengedit
nyata tantangan.
Kode etik untuk usaha yang berbeda terlihat berbeda dalam hal gaya, format,
dan ukuran. Beberapa kode adalah dokumen yang rumit; lainnya tulang sangat telanjang. Kode etik
perusahaan sudah tersedia melalui situs Web perusahaan atau etika atau departemen audit internal.
Disarankan bahwa tim merevisi suatu perusahaan perusahaan menghubungi kode dalam industri mereka
untuk memeriksa kode-kode mereka.
Perusahaan global menghadapi masalah lain ketika mengembangkan kode etik. Meskipun
korporasi mungkin berkantor pusat di Amerika Serikat, hal itu mungkin karena signifikan
operasi di seluruh dunia, di mana kunci manajer, karyawan, dan stakeholder lainnya
tidak menggunakan bahasa Inggris sebagai bahasa utama mereka. Meskipun biaya tambahan terjemahan,
perusahaan harus mempertimbangkan memproduksi versi kode di setidaknya bahasa utama digunakan
dalam operasi perusahaan. Jika ada beberapa lokasi dan jumlah hanya kecil
berbagai bahasa asing pemangku kepentingan, ringkasan dari kode etik utama dalam
masing-masing bahasa lokal mungkin cocok. Namun, mereka versi ringkasan
tentu harus menekankan bimbingan SOx penipuan yang sama keuangan yang terkandung dalam
utama kode etik.

(B) Komunikasi dengan Stakeholder dan Kepatuhan Menjamin

Suatu perusahaan kode etik yang harus menjadi dokumen hidup. Ini memiliki sedikit nilai jika telah
dikembangkan, diserahkan kepada seluruh stakeholder kebisingan banyak, dan
kemudian pada dasarnya mengajukan dan dilupakan. Jika dokumen merupakan kode yang baru atau
bahkan melakukan revisi besar, perusahaan harus melakukan upaya besar untuk memberikan melakukan
salinan kepada seluruh karyawan dan stakeholder. Mengingat kita saat ini aturan SOx, langkah pertama

123
yang baik akan hadir untuk secara resmi kode baru ke
perusahaan manajer top, khususnya petugas keuangan. Di masa lalu, kode kadang-kadang melakukan
penerimaan hanya menerima token dari kelompok perwira senior, yang merasa dokumen benar-benar
untuk staf, bukan mereka. Skandal keuangan yang menuju ke SOx disorot perbedaan ini. Baik Enron dan
WorldCom telah kode etik perusahaan yang memadai, tapi pejabat perusahaan mereka ternyata tidak
merasa aturan-aturan ini diterapkan kepada mereka.
Kelompok manajemen senior harus kemudian secara resmi mengakui bahwa mereka memiliki
membaca, memahami, dan akan mematuhi kode etik. Dengan tim manajemen
berdiri di belakang kode, perusahaan berikutnya harus menyajikan dan memberikan kode untuk
semua pemangku kepentingan perusahaan. Hal ini dapat dilakukan secara bertahap beberapa dengan
pengiriman ke lokal atau lebih fasilitas utama pertama diikuti oleh unit yang lebih kecil, lokasi asing, dan
lainnya stakeholder. Daripada hanya termasuk salinan kode dengan dokumen penggajian, perusahaan
harus melakukan upaya formal untuk menampilkan kode di cara yang akan mendapatkan perhatian
Kode etik baru dapat dikomunikasikan melalui video oleh CEO, Webcast, sesi pelatihan, atau
cara lain untuk menekankan pentingnya. Khusus metode komunikasi dapat digunakan untuk kelompok
lain, seperti vendor atau kontraktor, tetapi perusahaan harus bertujuan untuk mendapatkan semua
pemangku kepentingan untuk secara resmi mengakui bahwa mereka akan mematuhi kode etik. Hal ini
dapat dicapai dengan Internet atau telepon respon sistem, di mana setiap pihak perusahaan diminta untuk
menanggapi tiga pertanyaan:
1. Apakah Anda menerima dan membaca salinan kode etik? Jawaban Ya atau Tidak
2. Apakah Anda memahami isi kode etik? Jawaban Ya jika Anda memahami kode etik atau
Tidak jika Anda memiliki pertanyaan.
3. Apakah Anda setuju untuk tunduk oleh kebijakan dan pedoman dalam kode etik?
Jawaban Ya jika Anda setuju untuk mematuhi kode dan No jika Anda tidak.
Tanggapan harus dicatat pada database daftar nama karyawan dan
tanggal kajian mereka dan penerimaan atau nonacceptance. Setiap pertanyaan dari item
2 dapat ditangani melalui program whistleblower yang dijelaskan dalam Bagian 24.3.
Jika seseorang menolak untuk menerima kode karena pertanyaan, supervisor atau orang lain
harus mendiskusikan masalah tersebut dengan orang untuk mendapatkan resolusi akhirnya. Perusahaan
tersebut harus mengharapkan semua karyawan setuju untuk menerima dan mematuhi kode etik. Setelah
itu kode etik hanyalah peraturan kerja, dan kegagalan konsisten untuk
mematuhi aturan-aturan ini harus dapat dijadikan dasar bagi penghentian.
Persyaratan ini pengakuan kode mencegah karyawan dari mengatakan "Saya tidak tahu bahwa itu
aturan" ketika mereka melanggar atau melihat seseorang melanggar kode. Ini adalah ide yang baik untuk

124
pergi melalui proses kode penerimaan setiap tahun atau setidaknya setelah revisi. File
mendokumentasikan kode pengakuan ini harus ditahan secara aman.

(C) Kode Pelanggaran dan Tindakan Korektif

Kode perusahaan-macam melakukan menjabarkan satu set aturan untuk perilaku yang diharapkan
dalam perusahaan. Selain menerbitkan kode etik dan mendapatkan stakeholder
penerimaan, ada juga kebutuhan untuk mekanisme untuk melaporkan pelanggaran kode dan untuk
menyelidiki dan penanganan pelanggaran-pelanggaran tersebut.
Jika perusahaan menerbitkan kode etik yang kuat bersama dengan sebuah pesan dari CEO tentang
pentingnya praktek etika yang baik, semua stakeholder diharapkan untuk mengikuti aturan-aturan.
Namun, orang adalah orang-orang, dan akan selalu ada beberapa yang melanggar aturan atau berjalan di
tepi. Sebuah perusahaan perlu membentuk cara untuk memungkinkan karyawan atau orang luar untuk
melaporkan pelanggaran terhadap kode di sebuah cara aman dan cara rahasia. Sebagian besar bahwa
mekanisme pelaporan dapat ditangani melalui fasilitas whistleblower, seperti dibahas dalam Bagian 24.3.
Lainnya potensi pelanggaran harus ditangani pada tingkat yang berbeda. Pertimbangkan staf perempuan
karyawan dengan seorang pengawas laki-laki yang "petunjuk" yang nikmat seksual bersama dengan dia
adalah yang baik cara untuk maju dalam perusahaan. Larangan pelecehan seksual dalam kode melakukan
belum tentu berhenti pengawas, dan sering karyawan tidak dapat dengan mudah melaporkan situasi ini
ke tingkat satu manajer di atas supervisor.
Selain fasilitas whistleblower, perusahaan harus membentuk lainnya mekanisme pelaporan
pelanggaran kode potensi perilaku. Karena beberapa orang mungkin tidak ingin untuk memanggil fungsi
etika hotline, sebuah pos baik dipublikasikan office kotak alamat kadang-kadang sangat efektif.
Stakeholder dapat didorong untuk mengirim surat sedemikian kotak PO, anonim atau tidak, untuk
melaporkan pelanggaran etika. Berdasarkan tanggapan, fungsi etika, Sumber Daya Manusia (SDM), atau
lainnya yang sesuai fungsi dalam perusahaan harus menyelidiki masalah tersebut dan mengambil
tindakan yang diperlukan.
Sebuah kode etik menggambarkan serangkaian aturan untuk tindakan diharapkan dalam
perusahaan. Ketika aturan ini dilanggar, masalah ini harus diselidiki dan tindakan diambil secara
konsisten, tidak peduli apa peringkat para pemangku kepentingan perusahaan. Jika kode etik melarang
pembuatan salinan perangkat lunak perusahaan-dan harus- hukuman bagi seorang analis staf di kantor
penjualan jauh atau manajer senior di perusahaan markas harus sama. Dengan asumsi mereka berdua
membaca larangan dalam penerimaan kode dan diakui, hukuman untuk pelanggaran harus konsisten. Jika
tidak, aturan akan tampak hanya berlaku untuk beberapa.

125
 Sebagian besar pelanggaran kode etik dapat ditangani melalui perusahaan yang normal prosedur
HR, yang seharusnya telah membentuk proses dimana pelanggaran pertama mungkin mengakibatkan
konseling verbal atau percobaan dengan terminasi untuk pelanggaran berulang. Beberapa hal harus
dilaporkan kepada otoritas di luar. Sebuah pelanggaran SOx
peraturan, seperti pengaturan rekening baru-baru ini ditemukan tidak berdokumen lembar, akan
dilaporkan kepada Komisi Sekuritas dan Bursa (SEC); pencurian barang dari sebuah gudang akan
dilaporkan ke jaksa daerah. Ketika hal ini ditemukan dan dilaporkan kepada pihak berwenang di luar,
bergerak hal di luar perusahaan's kontrol. Tujuan keseluruhan di sini adalah bagi perusahaan untuk
memiliki beberapa proses di tempat untuk mendorong semua stakeholder untuk mengikuti praktek etika
yang baik, sebagaimana didefinisikan dalam kode etik, dan untuk menyediakan mekanisme yang
konsisten untuk melaporkan pelanggaran dan mengambil tindakan disiplin jika diperlukan.

(D) Menjaga Kode Etik Kini

Banyak aturan dasar perilaku etis yang baik dan aturan khusus perusahaan-banyak tidak akan berubah
dari tahun ke tahun. Misalnya, aturan yang menyatakan bahwa semua stakeholder memiliki tanggung
jawab untuk merawat aset perusahaan mereka, apakah properti, kas,
sumber daya komputer, atau orang lain, aturan tidak akan berubah dari waktu ke waktu. Usaha harus
review kode etik mereka dipublikasikan secara berkala, setidaknya sekali setiap dua tahun,
untuk membuat panduan tertentu masih berlaku dan arus. Tinjauan periodik mungkin termasuk kode
pernyataan mengenai kebutuhan keuangan yang akurat dan tepat waktu pelaporan di semua tingkatan
atau komitmen perusahaan untuk menghindari semua jenis keuangan penipuan. Perubahan kode etik
tidak boleh dianggap enteng. Setiap revisi harus pergi melalui pengumuman yang sama dan proses
peluncuran seperti yang dijelaskan untuk kode perkenalan. Kode direvisi harus diterbitkan untuk semua
pemangku kepentingan bersama dengan penjelasan tentang perubahan dan syarat untuk reacknowledge
penerimaan.
Sebuah kode etik dan revisi meminta penegasan kembali stakeholder dapat mahal, membutuhkan
sumber daya perusahaan khusus dari fungsi etika, HR, internal audit, dan lain-lain. Seiring dengan
pernyataan misi, perusahaan harus menjaga kode etik dan prinsip-prinsip yang mendukung di depan
semua pemangku kepentingan di setiap saat. Hal ini dapat dicapai melalui referensi konstan kode, seperti
dalam poster papan buletin di semua fasilitas, pertanyaan dan jawaban dalam instruktif publikasi, atau
segmen di kelas pelatihan karyawan. audit internal harus memainkan peran kunci dalam mempromosikan
kepatuhan kode dan pengawasan melalui review audit dan berkelanjutan kontak di seluruh perusahaan.
Auditor Internal harus sangat

126
menyadari kode perusahaan mereka perilaku dan menggunakannya sebagai dasar pelaporan
pelanggaran dan rekomendasi keputusan selama semua audit internal lainnya.

24.3 Whistleblower dan Fungsi Hotline

Fungsi whistleblower adalah fasilitas di mana seorang karyawan atau stakeholder yang
melihat beberapa bentuk kesalahan dapat independen dan anonim melaporkan bahwa tindakan untuk
perusahaan atau badan pengawas dengan tidak takut akan pembalasan. Whistleblower program sudah
ada selama beberapa tahun untuk mendukung federal AS kontraktor hukum, peraturan kesehatan dan
keselamatan, dan lain-lain. SOx, bagaimanapun, telah pindah aturan-aturan ini ke dalam kantor bisnis
semua perusahaan publik Amerika Serikat. Audit komite menetapkan prosedur whistleblower ini, tetapi
fungsi-fungsi lain, seperti departemen etika, HR, atau internal audit, benar-benar mengaturnya.
Banyak perusahaan yang telah membentuk fungsi etika juga memiliki hotline atau etika
pertanyaan serupa saluran telepon. Etika hotline ini dapat memberikan awal titik untuk fungsi
whistleblower SOx, tetapi mereka biasanya perlu penyesuaian atau finetuning. Terlalu sering,
melaporkan insiden yang tidak diselidiki dengan benar atau kerahasiaan tidak sekuat yang diperlukan.
Sebuah slip-up di sini dapat menyebabkan masalah utama untuk perusahaan jika stakeholder
whistleblowing merasa hal belum terselesaikan atau kerahasiaan individu telah diganggu. audit internal
seringkali dapat menjadi utama bantuan disini melalui review dari proses yang ada, rekomendasi yang
sesuai kontrol, dan memberikan bimbingan kepada komite audit.
Program whistleblower SOx-mandat anggota komite audit hadir dengan tantangan lain. Dewan
khas anggota direksi komite audit dapat sadar seperti fungsi perusahaan melalui presentasi masa lalu,
tetapi hampir pasti tidak akan menyadari proses yang diperlukan untuk mendirikan whistleblower efektif
program. kelompok audit internal dapat membantu wakil komite audit untuk menetapkan program
whistleblower yang efektif yang akan sesuai dengan SOx. Bagian ini membahas cara untuk mendirikan
program whistleblower yang efektif dan bagaimana audit internal dapat membantu untuk memulai atau
refresh fungsi.

(A) Aturan Federal Whistleblower

Dalam banyak hal, ketentuan whistleblower dirancang terutama untuk melindungi
karyawan yang berpikir bahwa mereka telah menemukan beberapa kesalahan daripada meningkatkan
perusahaan internal kontrol. Hampir setiap tindakan yang diambil terhadap personil whistleblower
karyawan, termasuk penurunan pangkat atau suspensi, secara potensial dapat dikenakan tindakan hukum

127
berdasarkan ketentuan ini. Meskipun ada belum banyak
whistleblower hal yang berkaitan dengan SOx pada saat ini, jika pengalaman dari yang lain undang-
undang whistleblower diterapkan di sini, kita bisa melihat lebih banyak secara berkelanjutan. Karyawan
atau stakeholder yang mendaftar keluhan whistleblower akan dilindungi sampai masalah teratasi. SOx
tidak berusaha untuk menghindari keluhan sembrono oleh mensyaratkan bahwa pengungkap harus
memiliki "masuk akal" keyakinan bahwa praktek
melaporkan merupakan pelanggaran.
Berdasarkan aturan-aturan ini SOx, itu adalah kejahatan bagi siapa pun "sadar, dengan maksud
untuk membalas, "untuk mengganggu kerja atau kehidupan setiap orang-a whistleblower-yang
menyediakan seorang petugas penegak hukum apapun informasi yang benar yang berkaitan dengan
komisi kemungkinan tindak pelanggaran SOx. Setiap whistleblower karyawan yang kemudian
menghadapi tindakan kerja yang merugikan berpotensi menjadi
"Dilindungi informan" saksi. Beberapa sumber hukum menekankan bahwa karyawan ini undang-undang
perlindungan yang luar biasa dan menggarisbawahi keseriusan SOx aturan ini.
SOx mengharuskan komite audit untuk membentuk suatu proses penerimaan dan pengobatan
pengaduan yang diterima mengenai akuntansi, kontrol akuntansi internal, atau audit hal-hal dan untuk
"penyerahan, rahasia anonim oleh karyawan" tentang akuntansi dipertanyakan atau masalah audit.
Stakeholders yang percaya mereka telah sah diberhentikan atau didiskriminasi, karena mereka
whistleblower tindakan, dapat mencari bantuan dengan mengajukan pengaduan, dalam waktu 90 hari
setelah tanggal pelanggaran, dengan DOL atau melalui melakukan tindakan distrik pengadilan federal.
Yang dirugikan biasanya kebutuhan untuk mengamankan bantuan hukum untuk mencari bantuan, tetapi
banyak hukum perusahaan akan bersemangat untuk terlibat. Proses ini bisa memakan waktu dan mahal
untuk perusahaan terdakwa. Para prosedural aturan di sini, termasuk beban pembuktian bagi majikan dan
karyawan, ikuti Udara 21 statute2 bagi karyawan maskapai penerbangan. Untuk misalnya, untuk menang
pada keluhan sebelum DOL, karyawan harus menunjukkan bahwa alasan diskriminatif adalah "faktor"
di personil yang tidak menguntungkan tindakan. Relief akan ditolak, namun, jika majikan menunjukkan
dengan "jelas dan bukti meyakinkan "bahwa itu akan mengambil tindakan personil yang sama di tidak
adanya aktivitas dilindungi.
Seorang karyawan yang berlaku sedemikian tindakan berhak untuk ganti rugi penuh
termasuk pemulihan, kembali membayar dengan bunga, dan kompensasi untuk litigasi biaya dan biaya
pengacara. Namun, jika DOL tidak mengeluarkan keputusan akhir dalam 180 hari pengajuan keluhan
whistleblower itu, masalah ini mungkin akan dipindahkan ke pengadilan distrik federal. Masalah rumit,
yang whistleblower dirugikan dapat mengambil tindakan terhadap berbagai bidang, mencari
perlindungan di bawah undang-undang federal dan negara bagian serta setiap perjanjian perundingan

128
bersama. Pengusaha yang terkena potensial "Ganda bahaya" untuk tindakan whistleblower dengan
kewajiban di bawah kedua SOx dan negara atau federal undang-undang tentang debit salah dan penyebab
serupa tindakan. Selain itu, whistleblower dirugikan dapat mencari ganti rugi melalui tindakan
pengadilan terpisah.
Berdasarkan pengalaman administrasi dan peradilan pada energi nuklir dan
industri penerbangan, undang-undang perlindungan whistleblower bisa menjadi perusahaan yang
potensial ranjau. Jika seorang karyawan memunculkan semacam kekhawatiran akuntansi atau audit
tentang suatu tindakan yang tidak benar atau ilegal, ia benar-benar dilindungi sampai masalah ini adalah
diselidiki dan diselesaikan. Akan ada banyak pengacara bersemangat untuk membantu whistleblower dan
ke file tindakan, terutama terhadap perusahaan-perusahaan besar dengan kantong dalam. Selain itu, tubuh
besar DOL dan preseden pengadilan ada untuk mendukung sanksi peraturan dan pribadi obat.
Berdasarkan lebih dari 20 tahun pengalaman dengan undang-undang perlindungan whistleblower,
sebuah dampak perusahaan harus berusaha untuk keseimbangan antara hak-hak karyawan untuk
meningkatkan keprihatinan pengungkap dan kemampuan perusahaan untuk mengelola tenaga kerja.
Sebuah lingkungan kerja yang positif sangat diperlukan di mana karyawan merasa bebas untuk
menyuarakan keprihatinan kepada manajemen ditambah dengan mekanisme yang efektif untuk
menangani keprihatinan apapun terangkat. Program etika terkait kuat dibahas sebelumnya dalam bab ini,
termasuk pernyataan misi dan kode etik, akan mendukung strategi ini.

(B) Peraturan Sox Whistleblower dan Audit Internal

Tujuan dari audit internal adalah untuk meninjau dan menemukan jenis akuntansi, masalah
pengendalian internal, dan audit ditentukan dalam SOx. Temuan audit internal ditinjau dengan
manajemen dan disajikan dalam sebuah laporan audit formal dimana manajemen
dapat menguraikan rencana untuk tindakan korektif. Namun, bagaimana jika audit internal
Tim menemukan sebuah akuntansi, pengendalian internal, atau bahan audit yang berada di luar
ruang lingkup audit saat ini dan tidak secara resmi dilaporkan dalam laporan audit? Bisa salah satu
anggota tim audit secara independen melaporkan hal tersebut di bawah whistleblower SOx
prosedur? Dapatkah auditor internal yang bertemu dengan akuntansi SOx dan internal
kontrol hal yang bukan merupakan bagian dari audit dijadwalkan pergi melalui pelapor
rute perlindungan untuk melaporkan hal itu? Bagaimana jika anggota tim audit internal belum
telah berkinerja baik dan pengakhiran ketakutan? Dapatkah yang menggali auditor berkinerja buruk
ditulis beberapa temuan yang potensial, mungkin dari workpapers masa lalu, dan laporan mereka di luar
departemen audit untuk memperoleh perlindungan whistleblower dan keamanan pekerjaan sampai Hal
ini diselesaikan?.

129
 Tim audit internal adalah jelas bagian dari pengelolaan, dan tanggung jawab pertama
auditor internal adalah melaporkan setiap hal-hal yang tidak patut atau ilegal ditemukan selama
pemeriksaan untuk manajemen audit internal untuk disposisi. anggota tim audit internal
tidak boleh mencoba untuk bekerja sebagai whistleblower independen sebagai bagian dari internal
mereka audit bekerja. audit internal harus mengembangkan kebijakan yang jelas menyatakan bahwa
setiap akuntansi SOx, hal pengendalian internal, atau audit ditemui selama perjalanan dari audit
dijadwalkan harus didokumentasikan dalam workpapers audit dan dikomunikasikan untuk manajemen
audit internal untuk resolusi. Kedua tim internal audit
dan pengelolaan fungsi diaudit harus memahami bahwa tujuan dari audit internal adalah untuk tidak
membiarkan lepas tim pelapor potensial dalam suatu departemen buku dan catatan. Semua barang yang
ilegal atau tidak layak harus diselidiki dan dilaporkan melalui proses audit internal yang normal.

(C) Meluncurkan Bantuan Perusahaan atau Fungsi Hotline

Banyak perusahaan memiliki fungsi membantu atau hotline, dikelola melalui etika departemen, HR,
atau penyedia independen, yang memungkinkan setiap karyawan atau stakeholder untuk memanggil
anonim dan baik mengajukan pertanyaan, melaporkan kekhawatiran, atau pukulan peluit pada beberapa
hal. Idenya adalah untuk memberikan fasilitas yang independen mana semua pihak bisa bertanya atau
melaporkan kesalahan yang mungkin di tingkat manapun. Hotline fungsi hukum tidak diperlukan, tetapi
memungkinkan karyawan atau pemangku kepentingan lainnya untuk mengajukan pertanyaan, untuk
melaporkan kesalahan yang mungkin, dan bahkan untuk mencari nasihat. Item dilaporkan dapat berkisar
dari tuduhan pencurian harta perusahaan, HR keluhan, atau mengganggu pertanyaan. Dalam kebanyakan
kasus, operator telepon akan mengambil semua informasi yang diperlukan, mengajukan pertanyaan bila
diperlukan, dan kemudian lulus kejadian ke otoritas yang sesuai untuk penyelidikan dan resolusi.
Operator hotline biasanya memberikan kejadian melaporkan sejumlah kasus sehingga pemanggil
kemudian dapat memeriksa pada resolusi.
Keberadaan sebuah hotline etika dan fasilitas whistleblower adalah nilai yang kecil kecuali jika
dikomunikasikan dan dijual kepada semua anggota perusahaan. Cara yang baik untuk memulai proses
ini adalah melalui kode etik pegawai, dibahas sebelumnya. Bahkan jika seperti hotline telah diluncurkan,
fakta bahwa line dapat digunakan untuk setiap pelapor potensi SOx perlu dikomunikasikan. Tujuannya
harus menyelidiki dan segera menyelesaikan semua panggilan-dan terutama panggilan whistleblower-
internal untuk menghindari peneliti luar dan pengacara.

24.4 Audit Fungsi Etika Perusahaan

130
 Tujuan dari audit internal etika dan fungsi whistleblower adalah untuk menilai apakah kelompok
etika adalah mengikuti prosedur yang baik pengendalian internal, memanfaatkan sumber daya yang
efektif, sesuai dengan prosedur kerahasiaan yang baik, dan mengikuti piagam departemennya otorisasi
fungsi etika. Etika dan fungsi whistleblower mungkin sedikit berbeda dari perusahaan ke perusahaan,
tetapi audit internal harus mendapatkan pemahaman yang rinci tentang bagaimana fungsi beroperasi dan
prosedur yang biasanya dilakukan. Sebagai fungsi etika perusahaan itu, internal audit harus berharap
untuk menemukan prosedur setidaknya sama baiknya dengan audit internal tentang sesuai dengan
bidang-bidang seperti kerahasiaan dokumen dan dengan kebijakan perusahaan pada biaya perjalanan.
Lain etika fungsi tanggung jawab dapat menunjukkan daerah-daerah dimana audit internal dapat
menyarankan perbaikan. Sebagai contoh, kode etik's departemen etik biasanya harus memiliki bentuk
pengakuan atau proses dimana karyawan menunjukkan bahwa mereka telah membaca dan memahami
kode. Sebuah etika fungsi mungkin tidak menetapkan prosedur yang tepat di sini untuk memastikan
bahwa semua yang baru direkrut karyawan melalui proses pengakuan kode. audit internal dapat menilai
proses ini dan merekomendasikan perbaikan apabila diperlukan.
Exhibit 24.4 menjelaskan prosedur audit internal untuk review suatu perusahaan
etika dan fungsi pengaduan. Karena hubungan, dekat berkelanjutan yang harus ada antara fungsi etika
dan audit internal, CAE harus mendiskusikan penelaahan direncanakan dengan direktur etika secara rinci
untuk menjelaskan alasan dan tujuan pemeriksaan. Privasi dan kerahasiaan dapat menjadi isu di jenis
review. Sebuah panggilan untuk hotline mungkin telah menunjuk beberapa bentuk potensial karyawan
penyimpangan atau wahyu whistleblower SOx, yang etika akan ingin untuk menjaga rahasia sampai
masalah ini diselesaikan. Meskipun audit internal yang sedang berlangsung paparan ke daerah sensitif
lain dan masalah dalam perusahaan, direktur dari fungsi etika mungkin enggan untuk memiliki auditor
internal review bahan-bahan tertentu.
CAE harus menunjukkan paparan sedang berlangsung audit internal untuk sensitif lainnya informasi dan
persyaratan yang mengikuti standar profesional yang sesuai.

Exhibit 24.4 Langkah-langkah Audit untuk Tinjauan Fungsi dan Etika dari Whistleblower
1. Laporan Misi Perusahaan
1.1. Review pernyataan misi perusahaan untuk menilai apakah secara aktif dikomunikasikan dan
menekankan pentingnya etika pemerintahan dan bisnis praktek.
1.2. Jika pernyataan misi tampaknya kurang atau membutuhkan pembaruan, membahas daerah
atau rencana untuk perbaikan dengan komite audit.
1.3. Bertemu dengan anggota manajemen yang sesuai untuk menilai program-program yang terus
menerus untuk mempromosikan pernyataan misi seluruh perusahaan.

131
2. Etika Fungsi Administrasi
2.1. Menentukan siapa yang memiliki tanggung jawab untuk mengelola program etika secara
keseluruhan di perusahaan. Bertemu dengan fungsi untuk menilai kegiatan yang sedang
berlangsung dan program.
2.2. Mengembangkan pemahaman dan dokumen fungsi etika, termasuk unit struktur dan
pelaporan hubungan.
2.3. fungsi etika's Review piagam dan dokumentasi proses lainnya kunci, dan menentukan bahwa
mereka konsisten dengan inisiatif perusahaan lainnya.
2.4. Tentukan apakah ada beberapa bentuk fungsi hotline di tempat, dan menilai nya span
kegiatan.
2.5. Menilai fungsi etika prosedur keamanan kantor untuk kecukupan catatan, file, dan keamanan
workstation.
2.6. Jika kontraktor luar yang digunakan untuk menyediakan etika atau layanan hotline, review
dan dokumen kontrak pengaturan.
3. Kode Etik Proses
3.1. Mendapatkan salinan kode etik saat ini.
3.1.1. Menentukan bahwa kode tersebut saat ini dan secara teratur diperbarui.
3.1.2. Diskusikan kode dengan sampel staf perusahaan untuk menentukan bahwa
memahami kode dokumen.
3.1.3. Diskusikan kode dengan manajer dipilih di semua tingkatan untuk menentukan apakah ada
kekhawatiran tentang isu-isu kode atau konten.
3.2. Menilai kecukupan proses untuk memperoleh pengakuan kode.
3.2.1. Pilih sampel karyawan dan menentukan bahwa mereka mengakui
penerimaan kode.
3.2.2. Menentukan bahwa semua petugas telah menerima kode.
3.2.3. Menilai kecukupan prosedur untuk setiap karyawan yang gagal / menolak kode
pengakuan.
3.2.4. Menilai kecukupan catatan pengakuan kode.
3.3. Menilai kecukupan proses untuk memperbarui kode etik seperti yang diperlukan.
3.4. Menilai proses untuk mendistribusikan kode untuk semua pemangku kepentingan
perusahaan, termasuk lokasi terpencil seperti asing, vendor, dan lain-lain.
4. Hotline / Proses whistleblower.

132
 4.1. Mengembangkan pemahaman umum proses whistleblower di tempat, dan
menentukan bahwa mereka menutupi komite audit persyaratan SOx.
4.2. Menilai kecukupan prosedur untuk mengkomunikasikan program whistleblower untuk
seluruh pemangku kepentingan.
4.3. Menilai kecukupan proses penebangan pesan whistleblower atau panggilan
diterima dan mendokumentasikan interaksi.
4.4. Review proses disposisi panggilan, dan memilih sampel panggilan terbaru
menentukan apakah proses muncul memadai.
4.5. Review keamanan secara keseluruhan proses di tempat, termasuk perlindungan dokumen
penting dan stakeholder whistleblower individu.
4.6. Bertemu dengan sumber daya manusia untuk menentukan bahwa prosedur yang memadai
tempat untuk melindungi / encapsulate setiap pelapor.
5. Komite Audit Tanggung Jawab. Bertemu dengan perwakilan komite audit
menentukan pengetahuan dan pemahaman tentang etika dan program whistleblower dalam
tempat.

Dengan asumsi hal ini dapat diselesaikan dengan tepat, tinjauan operasional
dari fungsi etika akan memberikan jaminan tambahan manajemen untuk integritas kontrol dalam fungsi
etika, komponen operasi di mana sebagian besar manajer memiliki eksposur sedikit atau pengalaman.

24.5 Meningkatkan Penerapan Tata Kelola Perusahaan

Sebuah program etika yang kuat, berdasarkan pernyataan misi berarti dan kode melakukan,
merupakan unsur kunci dalam setiap program secara keseluruhan tata kelola perusahaan di perusahaan.
skandal akuntansi yang mengarah ke SOx itu, dalam banyak hal, skandal di tingkat atas dari perusahaan,
baik yang disebabkan oleh petugas keuangan licik, CEO serakah, atau-jangan tanya-setiap perusahaan
akuntansi-pertanyaan publik. Eksekutif tim di perusahaan skandal akuntansi yang menetapkan aturan
mereka sendiri dengan sedikit pertimbangan diberikan ke seluruh perusahaan. Akibatnya, SOx terutama
difokuskan pada kelompok senior. Namun, kuat secara keseluruhan program etika akan meningkatkan
perusahaan praktek tata kelola perusahaan keseluruhan, bukan hanya orang-orang di eksekutif kantor.

Etika dan proses whistleblower dibahas dalam bab ini adalah penting baik untuk kepatuhan SOx
dan tata kelola perusahaan, tidak peduli apa ukuran organisasi. Auditor Internal harus menyadari praktek-
praktek sebagai bagian dari CBOK mereka dan harus memainkan peran kunci dalam membantu baik
untuk memulai dan meninjau proses ini.

133
134
 Chapter 25
DETEKSI DAN PREVENTIF KECURANGAN

Tergadang juga aktivitas yang perlu dipertanyakan bahkan akibat adanya kecurangan. Aktivitas
kecurangan dapat terjadi pada seluruh level di dalam perusahaan, pada pertengahan 2002, ketika Sox
berlaku, officer di dalam korporasi muncul sebagai pengacau utama yang menyebabkan banyaknya
kecurangan. CEO bekerjasama dengan CFO dapat melakukan kecurangan dengan memanipulasi laba
untuk meningkatkan keuntungan yang dilaporkan dan kompensasi bonus. Seorang manajer tingkat
menengah atau bahkan karyawan tingkat stafpun dapat melakukan tindakan kecurangan untuk
keuntungan pribadi ataupun frustasi kerja.
Auditor internal yang efektif perlu untuk mengenali potensi kecurangan di dalam praktek-praktek
bisnis sebagai bagian dari audit dan kemudian harus memberikan rekomendasi pengendalian dan
prosedur untuk membatasi peningkatan aktivitas kecurangan.
Bab ini akan menguraikan pedoman yang berisi kondisi umum yang akan dijumpai audit internal
ketika menghadapi kecurangan yang potensial setelah itu akan mendiskusikan langkah-langkah untuk
mengidentifikasi, menguji, dan proses kecurangan itu.

25.1. Understanding and Recognizing Fraud

Kecurangan adalah salah satu istilah yang sering digunakan banyak orang meskipun mereka tidak
sepenuhnya memahami apa yang dibicarakan. Langkah pertama yang penting bagi auditor internal disini
adalah memahami definisi yang sesuai dengan dictionary dan hukum mengenai apakah kecurangan itu.
Ketika kecurangan ditemukan di dalam perusahaan, audit internal sering kali menjadi sumber
pertama yang dipanggil untuk melakukan investigasi dalam menentukan besarnya kecurangan yang
dilaporkan. Dalam situasi lain, auditor internal menemukan kecurangan selama schedule audit dan
kemudian menginvestigasi dan melaporkan hal tersebut kepada konsulat perusahaan atau otoritas hukum
lainnya.
Bab ini juga mendiskusikan inisiatid IIA untuk mereview kecurangan dalam audit internal seperti
halnya prosedur untuk mendeteksi dan mencegah kecurangan system komputer. Dulunya kecurangan ada
diluar tanggung jawab auditor, namun saat ini mereka memiliki tanggung jawab yang meningkat untuk
mendeteksi kecurangan dalam review aktivitas yang dilkukannya dengan memberikan rekomendasi
pengendalian yang tepat untuk pertahanan atas adanya kecurangan dimasa yang akan datang.

135
25.2. Red Flags: Fraud Detection Signs for Internal Auditors

Auditor dan manajemen harus melihat indicator aktivitas kecuangan yang mungkin lebih dalam
lagi. Oleh karena itu mereka perlu untuk melihat yang dinamakan dengan red flag.
Beberapa tipe sinyal red flag yang dapat menunjukkan aktivitas kecurangan keuangan yang
potensial antara lain yaitu :
 Kurangnya kebijakan perusahaan dan standard prosedur operasi yang tertulis
 Berdasarkan interview dengan berbagai level, kurangnya kepatuhan dengan kebijakan
pengendalian internal organisasi
 Kelemahan kebijakan pengendalian internal, terutma dalam pembagian tugas
 Operasi yang tidak teratur di berbagai bidang seperti pembelian, penerimaan, gudang atau kantor
regional.
 Transaksi yang tidak tercatat atau catatan yang hilang
 Salinan atau bukti perubahan dokumen
 Tulisan tangan yang difotokopi atau dipertanyakan pada dokumen.
 Catatan penjualan dengan void atau kredit yang berlebihan
 Saldo bank tidak direkonsiliasi dengan dasar waktu atau terdapat stale item di dalam rekonsiliasi
bank
 Saldo buku besar pembantu yang diluar kondisi secara terus menerus
 Hubungan laporan keuangan yang tidak biasa
 Perbedaan antara perhitungan fisik inventory dan pencatatan perpetual yang tidak dijelaskan
secara berkelanjutan.
 Cek ditulis untuk kas dengan jumlah yang besar
 Tulisan tangan cek dalam lingkungan kumputer
 Transfer dana yang berkelanjutan atau tidak biasa anatar rekening bank perusahaan
 Transfer dana ke bank luar negeri
 Transaksi yang tidak konsisten dengan bisnis entitas
 Prosedur penyaringan karyawan baru yang buruk, termasuk tidak adanya latar belakang atau
referensi
 Keengganan manajemen untuk melaporkan kesalahan criminal
 Transfer 136lleg personal yang tidak biasa
 Officer atau karyawan dengan gaya hidup yang lebih dari kemampuannya
 Waktu liburan yang tidak digunakan

136
 Transaksi related party yang sering dan tidak biasa
 Karyawan yang memiliki hubungan erat dengan pemasok
 Karyawan yang memiliki hubungan erat satu sama lain di daerah dimana pemisahan tugas yang
dielakkan
 Penyalahgunaan akun beban seperti manajer yang tidak mengikuti peraturan yang telah dibuat
 Asset bisnis yang menghilang tanpa penjelasan.

Namun, auditor internal sering kali gagal mendeteksi kecurangan untuk alasan berikut :
 Keengganan untuk mencari kecurangan.
 Terlalu banyak kepercayaan kepada auditee.
 Penekanan yang tidak cukup pada isu kecurangan yang potensial dalam audit finding yang sering
menunjuk kepada red flag.
 Perhatian akan kecurangn menerima dukungan yang tidak tepat dari manajemen.
 Auditor terkadang gagal berfokus pada area dengan resiko tinggi.
Kecurangan dapat berarti banyak, namun disini lebih mengarah ke tindakan criminal.
Kebanyakan pemahamannya berdasarkan undang-undang federal kecurangan secara umum yang
berbunyi :
“Barangsiapa, dengan cara apapum di dalam yuridiksi setiap departemen atau agensi US,
secara sadar dan sengaja memalsukan, menyembunyikan, atau menutupi dengan trik, skema
atau peralatan, atau membuat segala kesalahan, fiktif, atau kecurangan dalam menulis atau
dokumentasi pernyataan atau entry yang mengandung kesalahan, fiktif, atau kecurangan,
harus didenda tidak lebih sari…. atau dipenjara tidak lebih dari…. atau keduanya”.
Auditor membutuhkan pemahaman mengenai mengapa orang-orang melakukan kecurangan.
Beberapa hal dibawah ini merupakan daftar beberapa tipe alasan untuk melakukan kecurangan yang
antara lain yaitu :

 Seorang karyawan memiliki kebutuhan uang yang mendesak.

 Frustasi pekerjaan, sehingga karyawan berpikiran bahwa perusahaan mereka tidak peduli pada
mereka, dan mereka merasa bebas untuk melakukan tindakan yang tidak benar.
 Semua orang memiliki sikap tersebut, salam situasi ini sangat umum dalam lingkungan bertipa
small retail dimana karyawan berpikir orang lain yang mencuri.
 Tantangan untuk mengalahkan system, yang kemungkinan terdapat hacker dalam lingkungan
system terotomatisnya.

137
  Kelemahan pengendalian internal membuat kecurangan menjadi mudah, hal ini merupakan
memotivasi dasar banyaknya penipuan karena dengan lemahnya pengendalian membuat
kecurangan tidak akan terdeteksi.
 Rendahnya kemungkinan terdeteksi.
 Rendahnya kemungkinan untuk dituntut
 Manajemen puncak yang tidak terlalu perduli
 Rendahnya kesetiaan atau rasa memiliki organisasi. Saat ini pemilik operasi bisnis mungkin
kontinen dan lapisan bisnisnya jauh sehingga tidak terlalu peduli dalam perkembangan.
 Ekspektasi anggaran atau target keuangan yang tidak masuk akal.
 Kurangnya kompensasi persaingan dan buruknya kesempatan promosi.

Hal tersebut diatas merupakan seluruh alasan dimna pengendalian internal ditempatkan dan
kecurangan dilakukan hanya oleh satu orang saja. Deteksi kecurangan akan lebih sulit dideteksi ketika
terdapat kolusi diantara banyak orang.
Ketika beberapa orang melakukan kecurangan bersama-saman, akan selalu ada kemungkinan
seseorang pangkatnya akan diputuskan. Kecurangan yang melibatkan senior manajemen akan sulit
untuk terdeteksi, sedangkan yang terjadi di level perusahaan yang lebih rendah akan lebih mudah
untuk terdeteksi dengan investigasi auditor internal yang tepat.

25.3 Public Accounting’s Role in Fraud Detection

Tanggung jawab auditor eksternal dalam mendeteksi kecurangan laporan keuangan sedang
berlangsung namun menghadapi berbagai isu pertentangan selama beberapa tahun. SAS oertama
AICPA No.1 beberapa tahun yang lalu menyatakan :
“Auditor tidak memiliki tanggung jawab untuk merencanakan dan melaksanakan audit
untuk memperoleh keyakinan yang memadahi ata adanya salah saji, baik disebabkan oleh
error atau kecurangan yang tidak material dengan laporan keuangan yang dideteksi”.
Meskipun selama periode munculnya kecurangan keuangan yang mengarah pada Treadway
Commission Report on Fraudulent Financial Reporting pada tahun 1987, standard audit AICPA
tetap tidak mengharuskan auditor internal bertanggung jawab atas deteksi kecurangan.
Kemudian tanggung jawab ini dinyatakan kembali dalam SAS No.82 yang berisi “Auditor
memiliki tanggung jawab untuk merencanakan dan melaksanakan audit untuk memperoleh

138
keyakinan yang memadai mengenai apakah laporan keuangan bebas dari salah saji material, baik
disebabkan oleh error atau kecurangan.”
Berdasarkan Sox dan PCAOB yang baru, pada desember 2002, AICPA menerbitkan SAS
No, 99 mengenai tanggung jawab auditor untuk mendeteksi kecurangan pelaporan keuangan. SAS
Np. 99 ini, merupakan perubahan utama tanggung jawab auditor eksternal, dimana mereka harus
mengambil sikap skeptisme 139llegal139onal (keraguan) terhadap kemungkinan adanya
kecurangan.
Karakteristik terjadinya kecurangan yang timbul dari penyalahgunaan asset dan pelaporan
keuangan. Factor resiko yang terkait dengan salah saji penyalahgunaan asset yaitu :
1) Insentif/Tekanan
a) Kewajiban keuangan personal dapat menciptakan tekanan bagi manajemen atau
karyawan yang memiliki akses ke kas atau asset lain yang rentan terhadap pencurian
atau penyalahgunaan
b) Hubungan yang merugikan antara perusahaan dan karyawan dengan akses ke kas atau
asset lain yang rentan atas penucurian memotivasi karyawan tersebut untuk
menyalahgunakan asset. Hubungan tersebut seperti :
 Mengetahui atau mengantisipasi PHK karyawan dimasa depan
 Actual atau mengantisipasi perubahan kompensasi atau imbalan karyawan
 Promosi, kompensasi, atau reward lain yang tidak konsisten dengan yang
diharapkan.
2) Opportunity (Adanya Kesempatan)
a) Karakteristik atau keadaan tertentu yang dapat meningkatkan kerentanan
penyalahgunaan asset. Kesempatan penyalahgunaan asset akan meningkat ketika :
 Besarnya jumlah kas yang ada ditangan atau yang diproses.
 Inventory dengan ukuran yang kecil, jumlah yang banyak, atau yang
memiliki permintaan besar.
 Asset yang mudah dikonversi
 Asset tetap dengan ukuran yang kecil, berharga, atau yang kurang jarang
diamati oleh pemilik.

b) Pengendalian internal yang tidak memadai atas asset dapat meningkatkan kerentanan
penyalahgunaan asset. Penyalahgunaan asset ini meningkat ketika :
 Terdapat pemisahan tugas atau pemerikasaan independen yang tidak memadai

139
  Pengawasan manajemen yang tidak memadai atas tanggung jawab karyawan
terhadapp asset
 Penyaringan karyawa yang memiliki akses ke asset yang kurang memadai
 Pencatatan yang tidak memadai terhadap asset
 System otorisasi dan persetujuan transaksi yang kurang memadai
 Kurangnya rekonsiliasi asset yang lengkap dan tepat waktu
 Kurangnya dokumentasi transaksi yang sesuai dan tepat waktu.
 Kurangnya liburan untuk karyawan yang melaksanakan fungsi pengendalian
kunci
 Pemahaman teknologi informasi oleh manajemen yang tidak memadai, yang
memungkinkan karyawan teknologi informasi melakukan penyalahgunaan
 Pengendalian akses ke pencatatan terotomatis yang kurang memadai, termasuk
pengendalian atas review events log system computer.

Pada perubahan SAS No.99 mengakui bahwa manajemen sering kali dalam posisi
mengesampingkan pengendalian untuk melakukan kecurangan laporan keuangan.dalam standard
tersebut menyatakan bahwa penekanan utama auditor eksternal dalam mendeteksi kecurangan
adalah prosedur untuk melaksanakan periktan audit. Untuk membebankan standard audit deteksi
kecurangan bagi anggotanya, AICPA memberikan langkah-langkah yang kuat untuk membawa
auditor eksternal dengan cepat kearah situasi yang mendorong adanya kecurangan baik dengan
material pendidikan maupun studi kasus yang dapat ditemui di dalam web pagenya.

25.4 IIA Standards for Detecting and Investigating Fraud

Auditor internal banyak menghadapi kecurangan potensial dalam review yang telah
dijadwalkannya. Mereka lebih banyak terlibat dalam review transaksi yang lebih rinci daripada
auditor eksternal dan selain itu mereka dapat melihat dokumen atau transaksi yang dipertanyakan
lebih sering lagi. Apabila manajemen merasa terdapat kecurangan yang potensial di dalam
perusahaan, langkah pertama yang hamper sering dilakukan adalah menghubungi auditor internal
yang memiliki beberapa hubungan dan komunikasi dengan departemen hokum perusahaan.
Standard professional praktek audit internal oleh IIA, menyatakan bahwa kecurangan
mencakup pandangan secara umum. Auditor internal harus memikirkan hal yang terjadi sebagai
kemungkinan kesalahan dan harus melihat setiap bukti atas aktivitas yang tidak tepat atau 140llegal
di dalam audit.

140
 Mengakui bahwa mungkin sulit untuk mendeteksi kecurangan, standard IIA 2004 1210.A2
yang direvisi menyatakan bahwa : “auditor internal harus memiliki pengetahuan yang cukup untuk
mengidentifikasi indicator kecurangan tetapi tidak diharapkan untuk memiliki ahli yang memiliki
tanggung jawab utama dalam mendeteksi dan menginvestigasi kecurangan”.
Dalam melaksanakan tanggung jawab ini, auditor internal harus menentukan misalnya,
apakah :
 Lingkungan organisasi mendorong kesadaran pengendalian dan sasaran serta tujuan
realistis perusahaan telah ditentukan
 Kebijakan tertulis yang ada menjelaskan aktivitas yang dilarang dan tindakan yang
diperlukan ketika pelanggaran ditemukan.
 Kebijakan otoriasi yang tepat untuk transaksi telah dibangun dan dikembangkan
 Kebijakan, praktek, prosedur, laporan dan mekanisme lain dikembangkan untuk memonitor
aktivitas dan menjaga asset terutama pada area yang beresiko tinggi.
 Sumber komunikasi memberikan informasi yang cukup dan dapat dipercayakepada
manajemen
 Rekomendasi perlu dibuat untuk pembentukan dan peningkatan pengendalian biaya efektif
untuk mencegah kecurangan.

25.5 Fraud Investigations for Internal Auditors

Selain membantu dalam membangun dan mereview pengendalian untuk mencegah dan
mendeteksi kecuranga, auditor internal seringkali terlibat dalam investigasi kecurangan. Ketika
menghadapi informasi yang berpotensi kecurangan, langkah awal auditor internal adalah
mengkonsultasikan dengan penasehat perusahaan. Dalam setiap review yang berhubungan dengan
kecurangan, auditor harus memiliki Tujuan utama yaitu :
1) Membutikan kerugian. Review investigasi audit internal harus mengumpulkan material
yang relevan sebanyak yang diperlukan untuk menentukan ukuran keseluruhan dan ruang
lingkup kerugian
2) Menetapkan niat dan tanggung jawab. Langkah yang berkaitan dengan siapa yang
melakukannya. Sebisa mungkin, auditor internal harus berusaha untuk mengidentifikasi
seluruh pihak yang bertanggung jawab atas kerugian tersebut dan apabila ada keadaan
khusus atau berbeda yang dikaitkan dengan aksi kecurangan.

141
 3) Membuktikan metode investigasi audit yang digunakan. Tim investigasi perlu untuk
membuktikan bahwa kesimpulan kecurangan yang terkait berdasarkan rincian, proses
investigasi dari langkah-ke langkah.

25.6 Information Technology Fraud Prevention Processes

Teknologi Informasi (TI) aau teknologi yang berkaitan dengan kecurangan mencakup
berbagai masalah dan kekhawatiran. Karena system dan proses TI mendukung banyak area dan
melintasi banyak garis di dalam perusahaan, kita berfikir kecurangan yang berkaitan dengan TI
terjadi di berbagai dimensi dari yang kecil hingga aktivitas kecurangan yang signifikan, yang antara
lain :
 Masalah akses internet. Perusahaan sering membuat panduan dan pengendalian untuk
membatasi penggunaan internet, namun web begitu meluas yang sulit untuk memishkan
pribadi dari penggunaan bisnis. Peraturan tersebut sering kali dilanggar oleh karyawan dan
sering kali dilewati dengan menggunakan perangkat lunak yang memungkinkan mereka
untuk berkeliling dalam system firewall.
 Penggunaan personal sumberdaya TI yang tidak tepat. Perusahaan harus menetapkan aturan
yang menyatajan bahwa tidak boleh ada file atau program pribadi di dalam work supplied
systems.
 Penggunaan software yang illegal. Karyawan kadang-kadang mencoba untuk mencuri /
download salinan software perusahaan atau memasang perangkat software sendiri pada
sumber daya komputer perusahaan. Dengan demikian, mereka melanggar aturan perusahaan
dan sering kali karyawan mereka membuat perusahaan melanggar perjanjian lisensi software
dan juga memungkinkan system perusahaan terinfeksi virus.
 Keamanan komputer dan kecurangan konfidensial. Karyawan dapat melanggar perlindungan
password dan mendapatkan akses yang tidak layak ke system komputer dan file.
 Informasi pencurian melalui perangkat USB. Saat ini perangkat penyimpanan yang
berukuran kecil dapat dipasang pada system komputer dan digunakan untuk mendownload
beberapa gigabyte informasi.
 Pencurian informasi atau kecurangan penyalahgunaan komputer. Ini adalah salah satu hal
yang tidak benar untuk mengakses system komputer dengan melanggar pengendalian
password dan untuk melihat, memodifikasi, atau menyalin data atau files dengan tidak tepat
yang dapat menyebabkan terjadinya computer crime.

142
  Penggelapan atau transfer dana elektronik tanpa otorisasi. Mencuri uang atau sumber daya
lain melalui transaksi yang tidak tepat atau tidak terotoriasi merupakan penyebab yang
masalah kecurangan system dan jaringan TI yang signifikan.
Hal diatas merupakan hal yang dianggap kecil untuk pelanggaran TI. Namun, auditor tidak
perlu mereview bagian ini, karena ada daerah yang memiliki resiko lebih tinggi yang menghabiskan
waktu dan sumberdaya yang terbatas.

25.7 Fraud Detection and the Internal Auditor

Akibat adanya skandal keuangan yang menimbulkan terbentuknya Sox, AICPA dan auditor
eksternal memiliki tugas utama untuk mendeteksi lebih baik aktivitas kecurangan dalam audit
laporan keuangan. Auditor internal juga perlu untuk lebih banyak mempertimbangkan kecurangan
dalam pekerjaannya. Seseuai dengan SAS No.99, auditor internal seringkali terlibat dalam
pekerjaan investigasi kecurangan. Auditor internal harus memiliki pemahaman CBOK mengenai
red flag yang menindikasikan kemungkinan kecurangan sama halnya dengan prosedur review yang
termasuk dalam investigasi kecurangan dalam semua audit internal.

143
 CHAPTER 27
PROFESSIONAL CERTIFICATIONS : CIA, CISA, and MORE

Sertifikasi profesional banyak dipandang sangat bermanfaat, tetapi yang lain tampaknya tidak
melihatnya begitu berharga. misalnya, dan tidak untuk memilih pada industri, industri asuransi diisi
dengan berbagai jenis dan tingkat sertifikasi. Pembeli potensial dari asuransi jiwa misalnya dapat
menghadapi orang penjualan dengan aliran inisial sertifikasi setelah nama pada kartu bussines. Apakah
sertifikasi inisial tersebut mempunyai pengaruh terhadap perilaku konsumen dalam memutuskan untuk
membeli asuransi kepada seorang sales asuransi atau sales asuransi lainnya?. Bagi banyak orang
jawabannya mungkin tidak. Sertifikasi inisial tersebut mungkin akan membantu memberitahu konsumen
apakah tenaga penjualan asuransi tersebut berpengalaman atau tidak.
Auditor internal juga memiliki kebutuhan untuk sertifikasi profesional yang kuat dan terorganisir.
Banyak telah bergabung profesi dengan tidak ada persyaratan sertifikasi spesifik di luar gelar sarjana
kuliah yang mereka ambil. Yang lain mencapai derajat akuntansi dan disiapkan untuk ujian sertifikasi
akuntan publik. Manajemen pernah berasumsi bahwa potensi calon auditor internal harus memiliki CPA
untuk menjadi memenuhi syarat sebagai auditor internal, tapi seiring berjalannya waktu banyak
menyadari bahwa profesi auditor internal membutuhkan orang-orang dengan kualifikasi lebih dari
sekedar CPA. Keadaan berubah atas desakan dari Institut Internal Auditor (IIA) professional. Dan
hasilnya adalah adalah sertifikasi auditor internal bersertifikat (CIA). Sekarang di luar atau terpisah dari
CIA, seorang internal auditor dapat menjadi auditor sistem informasi yang bersertifikat (CISA), pemerika
fraud bersertifikat (CFE), atau banyak lagi dari sertifikasi. Beberapa dari sertifikasi ini mungkin sangat
berharga bagi beberapa auditor internal yang khas. Bab ini mendiskusikan sertifikasi professional yang
paling penting untuk auditor internal modern. khususnya, bab ini seperti di CIA dan CISA sertifikasi,
termasuk kualifikasi dan persyaratan pemeriksaan.

27.1 Certified Internal Auditor Responsibilities and Requirements

Didukung oleh IIA, sertifikai CIA merupakan satu-satunya sertifikasi yang diterima di seluruh
dunia untuk bidang internal audit dan mengandug standar-standar mayoritas yang diperlukan oleh
seorang internal auditor dalam menjalankan pekerjaannya. Ujian CIA pertama kali diadakan pada agustus
1974 dengan 654 peserta dan ada lebih 50000 orang yang mengikuti sampai sekarang. Ujian CIA
memakan waktu 11 jam dan terdiri dari 4 bagian yaitu :
1. Peraturan auditor internal dalam pemerintahan, resiko dan kontrol
2. Tingkah laku auditor internal dalam pertemuan dengan klien
3. Analisis bisnis dan teknologi informasi.

144
 4. Keahlian bisnis manajemen.

Dengan mengajukan diri menjadi peserta ujian CIA, berarti seseorang itu setuju untuk menerima
segala kondisi dari program itu termasuk keseluruhan persyaratan, ujian dan penerimaan kode etik CIA,
pendidikan berkelanjutan profeional (CPE) dan banyak kondisi lainnya yang disyratkan oleh departemen
sertifikasi.
Untuk mengajukan diri menjadi peserta ujian CIA, peserta harus merupakan sarjana atau setara
dengan sarjana seperti sarjana akuntansi dari institusi yang terakreditasi. Para kandidat peserta CIA harus
menunjukan moral yang tinggi dan karakter professional dan harus mengumpulkan sebuah referensi
karakter kepada CIA. Sebagai tambahan internal auditor harus memenuhi syarat mempunyai pengalaman
sebagai internal audit dalam 24 bulan atau pengalaman lainnya yang sama dalam bidang audit, eksternal
audit, internal control. Untuk lulusan dari S2 disyaratkan mempunyai pengalaman kerja minimal 1 tahun.
Pengalaman kerja harus diverifikasi oleh CIA atau supervisor dari calon peserta ujian CIA itu sendiri.

(a) The IIA Examinations

(b) Maintaining Your CIA Certification

Auditor internal tidak harus menjadi anggota IIA untuk mengambil ujian CIA. Semua CIAS,
anggotadanbukananggota IIA, harus setuju untuk mematuhi StandarInternasional IIA untuk Praktek
Profesional Audit Internal serta kode etik IIA.
Setelahsertifikasi, CIAsdiperlukanuntuk mempertahankanpengetahuan danketerampilan dan untuk
tetap mengikuti perbaikan dan perkembangan dalam standar audit internal, prosedur, dan teknik.
Pelatihan CIAs harus menyelesaikan dan melaporkan CPE 80 jam CPE kredit setiap dua tahun.CIA harus
melaporkan kegiatan mereka CPE keyang IIA pertanggal waktu diterbitkan.Mereka yang gagal
memenuhi persyaratan ini dengan batas waktu pelaporan akan ditempatkan dalam status tidak aktif dan
tidakdapat menggunakan penunjukan mereka.
CIA adalah sertifikasi di seluruh dunia dan berbeda dengan BPA, sertifikasi AS,
atau versi nasional berbagai sertifikasi akuntan. CIA adalah satu-satunyadiakui secara
internasionalsebutan bagiauditor internal. PemeriksaanCIAditawarkan dalam bahasa Inggris, Perancis,
Spanyol, Cina Mandarin, Ceko,Jerman,Ibrani,Italia, Jepang, dan Portugis, antara lain.Di masa lalu,

145
kandidatharushadiruntuk mengujisitus untukproctored sit-down
examinations,saatiniCIAditawarkanmelalui rantaiseluruh duniaberbasis
komputersituspengujian(CBT).Calonharus memenuhipersyaratan pendaftaran, menerima
sebuahsituspengujian"tiket," dankemudian mengaturuntuk mengunjungisebuah
situspengujianberwenang.

27.2 BEYOND the CIA : Beberapa sertifikasi CIA

Sesuai tambahan pada CIA , The IIA’s board of regents menawarkan beberapa pemeriksaan dan
sertifikasi klasifikasi professional yakni CCSA ,CGAP, dan CFSA. Inilah beberapa saringan dari 125
pertanyaan pilihan ganda yang terdahulu masing – masing 3 jam 15 menit.Ketiga sertifikasi klasifikasi
professional ini dapat digunakan pada pergantian untuk bagian IV dari pemeriksaan regular dari
CIA.Masing-masing bagian ini kemudian di lanjutkan dengan beberapa CBT testing facility sebagai
pemeriksaan CIA

(a) CCSA REQUIREMENTS

Bab 11 menjelaskan proses penilaian kontrol diri IIA. Tes CCSA menguji pemahaman kandidat
mengenai pentingnya fundamental CSA, proses, dan topik-topik terkait seperti risiko, kontrol, dan
tujuan bisnis. Tes tersebut untuk menguji pengetahuan mereka tentang proses CSA di enam daerah
domain yang luas:
 domain 1 CSA fundamental
 domain 2 CSA program integrasi
 domain 3 elemen-elemen dari proses CSA
 domain 4 tujuan bisnis / kinerja organisasi
 domain 5 identifikasi risiko dan penilaian
 domain 6 kontrol teori dan aplikasi
Masing-masing wilayah pengujian membutuhkan domain kandidat CCSA untuk menunjukkan
proses pengetahuan CSA dengan lebih detail daripada yang disajikan dalam teks bab 11 ini. CCSA sendiri
akan memberikan seorang praktisi tingkat keahlian di bidang ini, tetapi harus dikombinasikan dengan
yang lain sertifikasi, seperti CIA. Penyelesaian pemeriksaan CCSA juga dapat berfungsi sebagai
pengganti alternatif untuk bagian IV pemeriksaan reguler CIA.

(b) CGAP REQUIREMENTS

146
(c). CFSA REQUIREMENTS
CFSA adalah sertifikasi khusus lainnya yang dikeluarkan oleh IIA dan disesuaikan untuk
membuktikan kompetensi dan profesionalisme internal auditor dalam bidang perbankan, asuransi, dan
layanan sekuritas keuangan. Ujian CFSA mencakup area sebagai berikut :
Domain 1 : Layanan Pengauditan Keuangan
Domain 2 : Perbankan
Domain 3 : Asuransi
Domain 4 : Sekuritas
Pengetahuan khusus yang diminta oleh masing-masing domain sangat berbeda. Karena spesialisasi
aturan dan praktiknya antarnegara, ujian CFSA hanya terbatas di Amerika Serikat dan Kanada.
(d) Importance of the CIA Specialty Certification Examinations
Sementara pemeriksaan CIA yang sangat penting bagi auditor internal sebagai tingkat profesional
dan manajer meninjau mandat auditor internal mereka, mungkin ada nilai profesional yang terbatas untuk
sertifikasi khusus untuk auditor internal IIA. Sebagai contoh, CFSA adalah sebutan baru yang tidak
diakui secara luas, dan auditor internal mengklaim kredensial tersebut tidak mungkin terkesan terlalu
banyak orang saat ini.
Namun, mencapai CFSA atau penunjukan CCSA dapat menjadi penting bagi auditor internal yang
bekerja di daerah-daerah khusus. Untuk auditor internal bekerja di lingkungan pemerintah di tingkat
manapun, misalnya, CIA bersama dengan GAAP bisa sangat berharga.
Pemeriksaan CIA keseluruhan harus menjadi ujian penting dan pengukuran untuk semua auditor
internal. Pengetahuan tentang bidang topik CIA, juga merupakan set yang sangat baik persyaratan CBOK
untuk auditor internal. Semua auditor internal harus mempertimbangkan pencapaian CIA sebagai tujuan
profesional prima.

27.3 Persyaratan Certified Information System Auditor (CISA)

Seperti disebutkan, ISACA didirikan oleh auditor internasional yang merasa IIA tidak memberikan
perhatian yang cukup untuk masalah sistem teknologi dan informasi (IS) atau teknologi informasi (TI).
Selama bertahun-tahun, kedua kelompok profesional telah beroperasi dalam cara yang agak paralel, dan
ISACA memiliki ujian sertifikasi yang mirip tapi lebih fokus pada TI daripada CIA IIA, pengujian CISA,
dan gelar profesional. Pengujian CISA ini terbuka untuk semua individu yang memiliki minat dan
keterampilan dalam IS audit, kontrol, dan keamanan.
Selain melalui pengujian CISA, seorang calon harus memiliki minimal lima tahun sistem informasi
profesional audit, kontrol, atau keamanan yang berhubungan dengan pengalaman kerja. Maksimum satu
tahun dari pengalaman sistem informasi atau satu tahun pengalaman audit keuangan atau operasional

147
dapat diganti untuk salah satu dari lima tahun dari system informasi audit, kontrol, atau pengalaman
keamanan.
Pengujian CISA memiliki pendidikan yang sama, pengalaman, dan persyaratan pendidikan
berkelanjutan seperti untuk pengujian CIA dibahas sebelumnya. Ini adalah teknis yang cukup tingkat
pengujian, dan meskipun seorang calon mungkin telah mencapai sertifikasi CIA, CISA membutuhkan
pengetahuan teknis dalam serangkaian bidang yang luas.
Gelar CISA telah diterima secara global standar pencapaian dalam audit sistem informasi, kontrol,
atau bidang keamanan sejak tahun 1978 dan telah diakui oleh banyak pemerintah dan kelompok bisnis
besar di seluruh dunia.

27.4 Certified Information Security Manager Certification

Tawaran kedua oleh ISACA dan secara relatif sertifikasi baru dan ujiannya, yaitu Certified
Information Security Manager Certification (CISM). Program ini diresmikan pada 2004. Dasar adanya
sertifikasi CISM adalah kelanjutan profesionalisme bagi yang sudah memiliki tingkat pengalaman yang
tinggi dalam keamanan IS. Program CISM sangat mirip dengan ujian CISSP.
Ujian CISM dilaksanakan dua kali dalam satu tahun dan berhubungan dengan lima informasi area
keamanan manajemen. Ujian ini menggambarkan suatu pekerjaan yang membutuhkan informasi
keamanan manajer, sebagai validasi oleh pemimpin industri terkemuka, subyek yang ahli dalam
menangani masalah, dan praktisi industri.
Saat ini, CISM adalah test yang baru dan sertifikat dengan track record yang sedikit. Karena CISM
didukung oleh organisasi ISACA yang sangat kuat dan dapat diyakinkan, kita dapat berharap CISM dapat
berkembang dalam status dan diakui. Menyiapkan dan mendudukkan beberapa ujian keahlian adalah
latihan pembelajaran terbaik untuk beberapa professional, internal auditor dapat menunggu untuk
melihat bagaimana perkembangan pengakuan CISM sebelum mengambil ujian ini.

27.5 certified fraud examiner

Perhatian terkait kecurangan dan investigasinya telah meningkat kepentingannya. The Association
of Certified Fraud Examiners (ACFE) merupakan organisasi profesional yang sangat terlibat dalam
masalah terkait kecurangan dalam auditor internal. Organisasi ini memiliki sertifikasi profesional sendiri
bernama Certified Fraud Examiner (CFE). Mendapatkan gelar CFE merupakan indikator keunggulan
dalam profesi yang antifraud. Anggota CFE dapat mencalonkan dirinya untuk menjadi pimpinan dalam
komunitas antifraud.
Penilaian CFE terdiri dari empat area :
1. Criminology dan Etika

148
2. Transaksi keuangan
3. Legal Elements of Fraud
4. Penilaian dan Investigasi kecurangan

27.6 CISSP Information Syatems Security Professional Certification

Sebuah organisasi profesional mengetahui sebagai Internal Information Systems Security
Certification Consortiumatau (ISC)2 yang bertanggung jawab untuk salah satu lebih menantang dan lebih
baik yang diakui audit internal terkait sertifikasi profesional dan pemeriksaan, bahwa dari Sistem
Informasi Certified Professional Keamanan (CISSP). Ujian CISSP erat disupervisi, materi pelatihan
ditinjau dan disetujui oleh (ISC) 2, dan kualitas keseluruhan pemeriksaan tinggi. Orang dengan sertifikasi
CISSP hampir pasti memiliki pengetahuan yang tinggi IS keamanan.

27.7 ASQ Internal Audit Certifications

ASQ mensponsori jaringan luas pengujian dan sertifikasi untuk semua aspek operasi, termasuk
ujian dan sertifikasi Certified Quality Auditor (CQA). CQA adalah seorang professional yang memahami
standard dan prinsip-prinsip dari audit manajemen kualitas dan tehnik dalam menguji, membuat
pertanyaan, mengevaluasi, dan melaporkan untuk memutuskan kesesuaian kualitas sistem dan defisiensi.
CQA menganalisis seluruh elemen dari kualitas sistem dan memberikan penilaian terhadap derajat
ketaatannya untuk kriteria manajemen industri dan evaluasi kualitas dan sistem pengendalian. Perbedaan
antara auditor internal reguler dengan CQA terletak pada grup penjaminan kualitas dan menghabiskan
lebih banyak waktu pada review orientasi proses yang bersaing dengan review keuangan dan operasional
IIA internal auditor. CQA juga sering bekerja pada area produksi dan melakukan lebih banyak review
daripada level CIA internal auditor.
Meskipun banyak auditor ASQ juga merupakan member IIA, mereka juga sering melaksanakan
professional CQA certification. Untuk mencapai sertifikasi auditor berkualitas, para kandidat harus
melewati 5 jam, ujian soal multiple choiceyang mengukur pemahaman dari profesi audit
berkualitas.Batas minimum professional CQA auditor berkualitas, yaitu CQA auditor berkualitas harus:
 Memiliki pengetahuan untuk menunjukkan tipe yang berbeda dari tujuan, secara etis
menggunakan dan menginterpretasi standard yang berlaku.
 Mampu mengembangkan dan mengkomunikasikan rencana audit dalam lingkup yang dapat
didefinisikan yaitu identifikasi standard yang berlaku, para personal yang diperlukan, dokumen
dan alat-alat yang diperlukan, dan agenda audit.

149
 Mampu menjalankan rencana audit, termasuk membuka pertemuan, melaksanakan audit, dan
menutup pertemuan menggunakan tehnik audit yang diterima dan diverifikasi,
mendokumentasikan, dan mengkomunikasikan penemuan-penemuan sebagai hasil dari audit.
 Mampu secara objektif menyajikan hasil audit yang sesuai standard dan mengevaluasi
keeffektivan hasil dan aktivitas koreksi yang sesuai etika dan seiring waktu.
 Mengetahui dan mampu mengaplikasikan tehnik dan tool dasar auditing, seperti flowcharting,
variasi konsep, tehnik observasi, dan tehnik pengujian fisik. CQA juga harus mendemonstrasikan
pengetahuan mengenai alat pengendalian kualitas, statistik deskriptif, dan teori sampling.

150
 Chapter 28
INTERNAL AUDITOR SEBAGAI KONSULTAN PERUSAHAAN

Suatu peran internal auditor sebagai konsultan bisnis kadang-kadang sedikit ambigu. Sampai saat
ini, Institute of Internal Auditor (IIA) International Standards for the Professional Practice of Internal
Auditing (Standar Internasional Praktik Profesional Audit Internal), seperti yang dijelaskan dalam Bab 8,
melarang auditor internal dari bertindak sebagai konsultan bisnis. Gagasan sudah bahwa auditor internal
berada di sana untuk meninjau dan menilai pengendalian internal dan kemudian untuk membuat
rekomendasi untuk perbaikan kontrol dan tindakan korektif melalui laporan audit internal. Berpikir
kemudian adalah bahwa konsultasi internal audit tindakan yang mungkin menciptakan konflik
kepentingan. Standar ini tidak ada konsultasi-tidak diikuti terlalu dekat; auditor internal yang sering
bertindak seperti konsultan sebagai bagian dari mereka manajemen berorientasi review. Penulis
mengingat hari sebelumnya sebagai suatu informasi teknologi (IT) auditor internal. Dengan lima tahun
ditambah mengembangkan dan merancang TI aplikasi dan pemahaman yang kuat tentang proses
pengembangan sistem, itu sulit untuk tidak bertindak sebagai seorang konsultan. Banyak auditor internal
lainnya semua tapi diabaikan konsultasi larangan ketika membuat rekomendasi audit internal.
Larangan konsultasi audit internal menjadi lebih kuat pada hari-hari awal Sarbanes-Oxley Act
(Sox). Sementara undang-undang Sox awal hampir tidak disebutkan internal audit, banyak orang merasa
bahwa audit internal akan melanggar aturan ini tidak ada konsultasi- jika itu membantu manajemen untuk
menginstal efektif Bagian 404 proses pengendalian internal. Aturan sejak berubah, bagaimanapun, dan
baru sekarang IIA standar tegas izin auditor internal untuk bertindak sebagai konsultan manajemen dalam
tertentu yang ditunjuk dan ditentukan review audit. Banyak standar IIA sekarang dipisahkan menjadi
berbeda membuktikan (yaitu, audit) dan konsultasi bagian bimbingan.
Bab ini membahas potensi peran audit internal sebagai konsultan internal untuk keseluruhan
perusahaan auditor. Kami membahas konsultasi standar IIA dan bagaimana layanan konsultasi internal
audit dapat cocok dan antarmuka dengan sebaliknya normal kegiatan audit internal. Selain itu, kami
melihat bagaimana audit internal dapat memberikan konsultasi internal untuk perusahaan dengan cara
yang tidak bertentangan normal audit membuktikan fungsi.
Menjabat sebagai konsultan perusahaan adalah peran yang diperluas dan penting bagi banyak
internal auditor. Konsultasi internal mungkin tidak sesuai dengan semua fungsi audit internal. Dalam
beberapa kasus, industri, keprihatinan komite audit, atau bahkan ukuran internal fungsi audit dapat
membatasi rencana untuk menawarkan layanan konsultasi internal. Mana pengaturan ini tampaknya
bekerja, bagaimanapun, audit internal biasanya memiliki bagian dalam pengetahuan dan pengalaman
menjadi konsultan internal penting dan berkuasa. Semua auditor internal harus memiliki tubuh yang

151
umum (CBOK) tingkat pengetahuan tentang perbedaan antara audit internal membuktikan tanggung
jawab dan menjabat sebagai konsultan internal. Selain itu, ketika auditor internal memilih untuk
bertindak sebagai konsultan perusahaan, mereka harus memiliki tingkat CBOK baik pemahaman
konsultasi praktik terbaik.

28.1 Standar Audit Internal sebagai Konsultan Enterprise

Seperti yang disebutkan di seluruh buku ini, tujuan dari audit internal adalah untuk membantu
manajemen dengan analisis menyediakan, informasi, dan rekomendasi untuk peningkatan kontrol dan
operasi. Kontrol internal dapat dievaluasi untuk:
- Kepatuhan terhadap kebijakan dan prosedur, peraturan, dan peraturan
- Keandalan dan integritas informasi keuangan dan operasional
- Efektivitas dan efisiensi operasi
- Pengamanan aset
Standar IIA sekarang secara khusus menjelaskan audit internal baik sebagai pembuktian dan
kegiatan konsultasi. Mereka memungkinkan auditor internal untuk memberikan jasa konsultasi berkaitan
dengan operasi yang merupakan tanggung jawab mereka sebelumnya, dengan ketentuan bahwa mereka
mengungkapkan penurunan potensial untuk kemerdekaan mereka atau obyektivitas terkait untuk jasa
konsultasi yang diusulkan sebelum menerima engagement. Standar IIA menetapkan konsultasi audit
internal sebagai penasehat dan terkait dengan audit layanan klien kegiatan, sifat dan ruang lingkup yang
disepakati dengan klien dan yang dimaksudkan untuk menambah nilai dan meningkatkan tata kelola
perusahaan, manajemen risiko, dan mengontrol proses tanpa auditor internal dengan asumsi tanggung
jawab manajemen. Contohnya termasuk nasihat, saran, fasilitasi, dan pelatihan.
Sering ada kesenjangan yang besar antara membuktikan tingkat audit internal dan apa yang
diperlukan untuk menjadi konsultan yang efektif. Dalam laporan internal audit, auditor internal mungkin
merekomendasikan perubahan, tetapi mereka tidak dapat memastikan bahwa perubahan terjadi. Internal
auditor hanya sering melakukan audit pembuktian, membuat rekomendasi mengenai berbagai tingkat,
dan kemudian bekerja sama untuk membuat hasil yang lebih baik.
Menjabat sebagai konsultan internal, auditor internal dapat diadakan untuk standar yang lebih
tinggi kinerja dan akuntabilitas. Dalam situasi ini, mereka harus bertindak sebagai tujuan dan kritis
“orang luar” di dalam perusahaan mereka sendiri, memberikan fakta-fakta keras dan berita buruk di luar
temuan laporan audit, termasuk isu-isu bahwa manajemen kadang-kadang tidak mau mendengar. Selain
itu, mereka harus siap untuk memberikan kebenaran manajemen di luar kesalahan saja, kelalaian, dan
kelemahan pengendalian internal. Mereka juga perlu untuk menjadi baik di percakapan konsultasi yang

152
berhubungan dengan off-the-record, yang kadang-kadang lebih penting daripada laporan audit tertulis.
Internal auditor yang menguasai prinsip-prinsip konsultasi internal yang efektif dapat menggunakan
metode terkait dan teknik untuk menggali lebih dalam dan menyampaikan kebenaran.
Menjabat sebagai perusahaan konsultan sering tempat auditor internal yang agak berbeda peran
dari audit internal normal membuktikan penugasan, di mana audit internal penggunaannya audit tujuan
perencanaan dan pengukuran risiko untuk merencanakan dan jadwal audit. Walaupun manajemen
biasanya memiliki beberapa fleksibilitas dalam menunda atau menjadwal ulang review yang
direncanakan, audit internal memiliki wewenang dan tanggung jawab untuk jadwal itu. Selain itu, audit
internal pada umumnya dapat menentukan ruang lingkup sendiri, jadwal waktu, dan tugas tim audit.
Penjadwalan audit internal biasanya beroperasi pada kolaborasi dasar, dan manajemen lokal dapat
menegosiasikan kunjungan audit atau bahkan banding kepada manajemen senior dan akhirnya komite
audit jika mereka berkeberatan dengan terencana mengunjungi audit internal, audit internal umumnya
memiliki tanggung jawab untuk melancarkan audit internal review.
Tanggung jawab untuk memulai dan untuk penjadwalan tugas konsultan adalah sering sangat
berbeda. Manajemen melibatkan auditor internal untuk datang dan membantu sebagai konsultan di
beberapa daerah. Tujuan tugas, waktu, ditugaskan tim, ruang lingkup pekerjaan yang harus dilakukan,
dan hampir segala sesuatu yang lain tidak dikenakan audit internal rencana tetapi untuk negosiasi dengan
kelompok manajemen meminta. Dalam beberapa hal, pada saat pemeriksaan internal yang bertindak
sebagai konsultan perusahaan, manajemen berusaha keluar dan terlibat dengan audit internal yang sama
dengan kontrak dengan sebuah perusahaan luar yang menawarkan jasa konsultan. Sebuah proyek
konsultasi diluncurkan melalui keterlibatan formal surat, seperti dibahas dalam Bagian 28.4 dan juga
ditunjukkan dalam Lampiran 7.3, dan proyek seringkali hasil dengan cara, informal hampir kolaboratif.
Di luar itu lelucon lama oleh beberapa skeptis manajemen-“Halo, saya dari audit internal, dan aku di sini
untuk membantu Anda “-auditor internal yang bertindak sebagai konsultan perusahaan benar-benar telah
membawa dalam karena manajemen telah meminta bantuan konsultasi.
Ada juga beberapa perbedaan penting lainnya antara operasi audit internal sebagai konsultan
internal dan penggunaan manajemen dari luar, independen perusahaan konsultan. Mungkin perbedaan
terkuat adalah bahwa jika manajemen memutuskan bahwa tidak menyetujui dari konsultan eksternal,
dapat memecat mereka. Hal-hal yang tidak mudah bila menggunakan sumber daya audit konsultasi
internal. Walaupun manajemen dapat mengakhiri keterlibatan konsultasi internal audit, tim audit yang
sama masih merupakan bagian dari keseluruhan perusahaan. Di sisi sangat positif, bagaimanapun,
internal auditor bertindak sebagai internal konsultan lebih memahami sistem organisasi, budaya,
masalah, dan lebar berbagai hal lainnya. Seorang konsultan eksternal sering tidak punya mendalam
pengetahuan.

153
 Standar audit internal konsultasi sekarang jelas mendefinisikan internal audit potensi berperan
sebagai konsultan internal. Namun, beberapa anggota manajemen senior atau komite audit mungkin tidak
menyadari bahwa standar audit internal sekarang memungkinkan seperti formal kegiatan konsultasi
internal. Fungsi audit internal perlu merencanakan dan secara resmi memulai kegiatan internal konsultasi.
Tentu saja, audit internal pertama-tama harus membahas pengaturan, pertama dengan komite audit.
Kepala eksekutif audit harus menjelaskan bagaimana hal ini, komponen baru diperluas jasa audit internal
untuk manajemen dapat membawa nilai bagi perusahaan. Tentu saja, audit internal tidak boleh
melupakan bahwa tanggung jawab utama adalah untuk mengkaji kecukupan dan efektivitas internal
kontrol dalam perusahaan. Audit internal membuktikan peran sangat signifikan.

28.2 Launching Kemampuan Internal Konsultasi Audit Internal

Sebelum terlibat dalam kegiatan konsultasi in-house yang sedang berlangsung, audit internal
perlu mendapat persetujuan dari komite audit dan untuk sepenuhnya menunjukkan kepada manajemen
bahwa ia memiliki kemampuan dan tujuan cukup untuk bertindak sebagai konsultan perusahaan. Fakta
bahwa standar audit internal sekarang memungkinkan keterlibatan konsultan audit internal tidak berarti
bahwa setiap fungsi audit internal harus melakukannya. Jumlah lainnya peluang audit internal mungkin
membatasi kemampuan internal audit untuk melakukan kegiatan konsultasi apapun di luar audit normal
membuktikan review. Selain itu, seperti yang dibahas, beberapa anggota manajemen tidak mungkin
sepenuhnya memahami peran potensial audit internal sebagai konsultan internal, memikirkan hal itu
hanya dalam membuktikan peran.
Jika fungsi audit internal ingin mulai menawarkan konsultasi internal, harus mengembangkan
strategi konsultasi dan peran serta kemampuan mereka melalui piagam audit. Namun, karena masa lalu
IIA standar melarang auditor internal dari bertindak sebagai konsultan, peran ini diperluas potensi
internal audit mungkin tidak dipahami dengan baik. Departemen audit internal itu sendiri perlu
mengembangkan strategi untuk kegiatan konsultasi internal yang tidak bertentangan dengan misi
utamanya, review pengendalian internal, dan yang membawa nilai perusahaan secara keseluruhan.
Beberapa wilayah yang perlu dipertimbangkan ketika mengembangkan praktek konsultasi internal
meliputi:
 Apa jenis konsultasi audit internal akan dipertimbangkan? Audit internal mungkin memiliki
keahlian untuk melakukan review internal kontrol di daerah khusus banyak tetapi tidak memiliki
keahlian konsultasi yang diperlukan di daerah tersebut. Apakah itu membantu dengan proses baru
transaksi keuangan, meningkatkan IT pengendalian aplikasi, atau bahkan hanya dokumentasi
umum, audit internal harus secara jelas memahami dan mendefinisikan apa yang mereka bisa dan
tidak bisa melakukannya dengan baik.

154
  Bagaimana sumber daya dibagi antara audit internal terkait membuktikan dan konsultasi internal?
Audit internal perlu mengurus ekstrim bahwa hal itu tidak dipandang sebagai auditor dan
konsultan satu hari berikutnya. Dalam sebuah perusahaan audit yang lebih besar, hal ini dapat
dicapai dengan membuat bagian yang terpisah konsultasi internal dalam fungsi audit internal
secara keseluruhan. Jika tidak, perawatan harus diberikan untuk memisahkan dua fungsi yang
berbeda.
 Penganggaran dan akuntansi untuk biaya jasa konsultasi audit internal. Meskipun perusahaan
konsultan eksternal atau independen biasanya tagihan jasa mereka di tingkat yang cukup besar,
internal audit membuktikan layanan sering disampaikan, gratis, untuk usaha mereka, dengan
biaya yang ditutupi dari anggaran keuangan terpusat. Internal konsultan mungkin harus dilihat
sebagai fungsi nilai tambah, mirip dengan cara bagaimana perusahaan menetapkan biaya
anggaran internal pada grafik atau jasa komputer waktu. Mekanisme pengisian dan penagihan
harus ditetapkan untuk setiap kegiatan konsultasi seperti internal.
 Perencanaan dan penjadwalan kegiatan audit konsultasi internal. Terpisah namun perencanaan
yang berbeda dan penjadwalan alat harus ditetapkan untuk semua kegiatan konsultasi internal.
Banyak prosedur yang sama untuk merencanakan dan melaksanakan audit internal yang dibahas
dalam Bab 7 sampai 11 berlaku di sini. Namun, kegiatan audit internal konsultasi harus disimpan
terpisah dari reguler bahan audit internal.
 Pelaporan hasil dan komunikasi dengan manajemen dan komite audit. Konsultasi kegiatan harus
melalui proses pelaporan berkala mirip dengan format dasar laporan audit internal yang dibahas
dalam Bab 17. Namun, laporan konsultasi tidak mengandung temuan laporan audit yang sama,
rekomendasi, dan respon yang diharapkan ditemukan di normal laporan audit internal. Selain itu,
sering laporan konsultasi tidak harus rinci, tingkat tinggi ringkasan diterima.
 Menjual program audit konsultasi internal. Jika audit internal akan memberikan jasa konsultasi
kepada perusahaan secara keseluruhan, ia harus menjual dan mempromosikan kegiatan ini.
Meskipun kami tidak menyarankan makan siang kekuatan untuk mempromosikan program, audit
internal harus mengembangkan sebuah katalog jasa informal untuk menjelaskan konsultasi
dengan kemampuan dan persembahan.

28.3 Memastikan suatu Pemisahan Audit dan Konsultasi Tugas

Kantor akuntan publik menyajikan contoh kebutuhan yang memadai untuk pemisahan tanggung
jawab antara auditor internal yang bertindak sebagai konsultan internal dan melakukan audit
membuktikan mereka bekerja. Sebelum 1970-an, American Institute Akuntan Publik Kantor Akuntan
dipisahkan publik antara auditor BPA dan profesional menyediakan jasa konsultasi. Sebuah perusahaan

155
akuntan publik kemudian akan memiliki semacam garis titik-titik di kantor, memisahkan laporan
keuangan auditor yang bersertifikat dari spesialis, seperti konsultan IT. Selama bertahun-tahun,
bagaimanapun, ini garis titik-titik tumbuh fuzzier sebagai konsultan ahli, terutama mereka dengan
kemampuan IT, harus terlibat langsung dalam membantu untuk menyelesaikan audit perusahaan IT-
terikat berat. Demikian pula, yang kuat BPA auditor keuangan menjadi sangat terlibat dalam membantu
dengan khusus proyek konsultan keuangan.
Pemisahan tugas menjadi hampir transparan sebelum jatuhnya Enron dan perjalanan Sox pada
abad kedua puluh satu dini. Salah satu kerusakan pengendalian internal disorot dalam audiensi legislatif
Sox adalah bahwa perusahaan akuntan publik sering sangat menyarankan bahwa salah satu konsultan IT
yang mengunjungi klien audit keuangan untuk menginstal aplikasi keuangan baru; kantor akuntan publik
akan mengirim perusahaan auditor CPA kembali untuk meninjau pengendalian internal atas bahwa
aplikasi yang sama. Menariknya, auditor keuangan biasanya tidak menemukan banyak masalah
pengendalian internal dalam aplikasi konsultan mereka sendiri baru saja diinstal. Sox telah dilarang ini
potensi konflik-dari pendekatan-bunga, dan praktik akuntansi konsultasi publik sekarang pindah sebagai
perusahaan konsultan independen.
Inti dari contoh ini adalah untuk menunjukkan bahwa pemisahan-pembatasan-tugas antara audit
dan konsultasi dapat mengurai dari waktu ke waktu. Perawatan harus dibayar untuk memisahkan peran
auditor internal yang bertindak sebagai konsultan dari mereka melakukan audit membuktikan fungsi.
Parafrase standar konsultasi audit internal yang dirangkum dalam Bab 8 (lihat Bagian 8.2 (b), 2201),
maka sangat penting bahwa auditor internal membangun pemahaman dengan klien keterlibatan
konsultasi tentang tujuan, ruang lingkup, tanggung jawab masing-masing, dan harapan klien yang lain.
Untuk signifikan Pertunangan konsultasi internal audit, pemahaman ini harus didokumentasikan.

28.4 Praktik Konsultasi Terbaik

Konsultan adalah individu yang memberikan nasihat dan bantuan kepada klien dalam suatu tugas
yang spesifik. Peran konsultan sedikit berbeda dengan auditor internal. Auditor internal memulai dengan
mempersiapkan outlining area audit program untuk mereview atau menetapkan standard. Konsultan
membuat struktur review kepatuhan berdasarkan dengan standard-standard yang ada, mendiskusikan
masalah-masalah dengan manajemen dan mengembangkan solusi secara lebih kolaboratif.
Untuk menjadi konsultan internal yang efektif, auditor internal perlu untuk melakukan perubahan
dan perlu untuk mengembangkan pendekatan baru. Langkah-langkah tindakan kunci untuk auditor
internal yang berperan sebagai konsultan internal antara lain :

a) Langkah Pertama : Melaksanakan Tugas Konsultasi

Oportunitas konsultasi internal datang kepada audit internal karena tiga alasan yang antara lain :

156
 i. Konsultasi dalam membantu mengimplementasikan rekomendasi laporan audit internal
setelah menyelesaikan review internal.
Berdasarkan arahan standar audit internal dan komite audit, mengharuskan manajemen
auditee harus menanggapi temuan laporan audit dengan rencana tindakan perbaikan dalam waktu
dekat. Dalam beberapa kasus, temuan audit menekankan kebutuhan untuk beberapa bentuk
tindakan perbaikan di dalam manajemen, dimana mungkin memiliki sumber keahlian yang
terbatas untuk mengimplementasikan adanya perbaikan yang disarankan.
Audit internal yang bertindak sebagai konsultan mungkin memiliki sumberdaya yang
tepat untuk mengimplementasikan rekomendasi laporan audit. Hal ini terjadi ketika rekomendasi
audit internal mencakup area perbaikan dokumentasi, memperbaiki prosedur pengendalian
internal atau pelatihan staf di area yang berkaitan dengan pengendalian internal. Jika management
auditee mengindikasikan bahwa mereka tidak memiliki sumber daya yang cukup untuk
mengiplementasikan rekomendasi dari audit internal, maka jasa konsultasi audit internal akan
diperlukan. Selain itu apabia menggunakan konsultan dari luar mungkin akan lebih mahal dan
penggunaan aktunya lebih lama. Ada beberapa area berbahaya untuk pekerjaan konsultasi yaitu :
1) Rekomendasi audit internal tidak boleh dikerjakan oleh audit internal itu sendiri sehingga
membangun oportunitas konsultasi.
2) Harus ada independensi antara internal audit yang membuat rekomendasi dengan konsultan
internal yang membantu menajemen untuk mengimplementasikan rekomendsi tersebut.

ii. Kebutuhan konsultasi lain dalam perusahaan

Sering ada banyak daerah dalam suatu perusahaan di mana keterampilan audit internal
dapat memenuhi kebutuhan dan menawarkan bantuan, serta keahlian. Auditor internal sering
memiliki keterampilan yang luas untuk membantu menginstal perbaikan 157rofess internal bukan
sebagai auditor internal tetapi sebagai konsultan manajemen.
iii. Manajemen konsultasi memerlukan bantuan konsultasi audit internal
Internal auditor memiliki keahlian dan pengetahuan yang luas. Di luar tugas audit internal
berbasis risiko, audit internal seringkali dapat menyediakan bantuan di dalam area lain yang lebih
luas, seperti membantu membangun penegendalian internal yang efektif untuk aplikasi IT baru
atau membantu menyampaikan hotline fungsi etika.
Proyek audit internal ini bergantung pada kebutuhan manajemen, sumberdaya audit
internal yang tersedia, dan persetujuan komite audit. Konsultan audit internal harus memperoleh
pemahaman mengenai kebutuhan dan ketentuan dari proyek yang telah didiskusikan dengan grup
manajemen.

157
 Proses awalnya, mengharuskan audit internal untuk memperoleh informasi lebih banyak
mengenai kemungkinan tugas tersebut untuk mengetahui ukuran dari suatu masalah. Apabila
seluruh hal telah cocok, audit internal harus membuat aktivitas konsultasi internalnya menjadi
formal dengan adanya surat perikatan konsultasi.

b) Surat Perikatan Konsultasi

Otoritas atau pemimpin dari tim konsultasi internal audit internal harus membuat surat
formal mengenai pemahaman yang menggambarkan proyek konsultasi internal. Karena ini
merupakan pemahaman internal perusahaan, sehingga tidal memiliki dasar hukum yang sama
dengan yang dibuat oleh konsultan dari luar perusahaan. Surat perikatan ini, menjelaskan tujuan
yang akan dicapai konsultan audit internal, siapa yang akan melakukan pekerjaan tersebut, waktu
dan durasinya, dan outcome yang diharapkan dari proyek kon sulatsi ini.
Engagement letter yang disetujui akan menjadi dasar untuk proyek konsultasi internal
audit. Proyek konsultasi internal harus terorganisir dan dilacak dengan cara yang sama sebagai
audit internal normal. Perbedaan utamanya adalah bahwa subyek proyek konsultasi adalah
permintaan dan prioritas manajemen intern perusahaan.

c) Proses konsultasi: Pendefinisian “As Is” dan “To Be”

Konsultasi proyek adalah hampir selalu berbeda dari audit internal, dimana auditor
memulai dengan suatu program audit atau sekumpulan standar. Dalam sautu konsultasi proyek,
local manajemen secara tipikal mempunyai suatu ide bahwa beberapa area dari operasi adalah
salah atau dapat dilakukan lebihefektif atau efisien. Dengan konsep yang meluas, auditor internal
sebagai konsultan diperlukan untuk meneliti materi dan mengembangkan suatu pernyataan
masalah yang potensial untuk memulai latihan konsultasi.
Walaupun banyak pendekatan berbeda yang dapat digunakan, analisa sebab dan akibat
adalah pendekatan yang bermanfaat untuk meneliti status saat ini dari beberapa area
permasalahan. Seorang konsultan menampilkan suatu pernyataan masalah umum dan kemudian
me-review informasi, menanyakan pertanyaan, dan mengamati lingkungan masalah untuk
memecahkan masalah hingga bagian yang lebih kecil. Sebagai contoh, jika ada satu masalah
potensial mengenai pelatihan, konsultan mungkin dapat mempertimbangkan apakah tanggung-
jawab pelatihan secara formal ditetapkan, jika secara umum butuh untuk diidentifikasi, dan jika
personil yang sesuai sedang membawa ke proses pelatihan.
Asumsikan bahwa konsultan auditor internal meminta untuk mengidentifikasikan
permasalahan layanan pelanggan dalam satu operasi unit usaha. Konsultan menetapakan

158
 permasalahan utama ialah sehubungan dengan kurangnya pelatihan, masalah perancangan sistem
teknologi informasi pendukung, masalah pengawasan dokumen, dan kesulitan input pelanggan.
Isu Ini mengidentifikasikan mungkin dapat terorganisir ke dalam satu diagram sebab akibat,
seperti terlihat dalam tampilan 28.3. Suatu ide harus mengidentifikasikan kontribusi potensial
masalah secara grafis dengan cara menyarankan sebab utama. Konsultan kemudian dapat
menggunakan diagram untuk mendiskusikan masalah dan yang menyebabkan masalah dengan
manajemen untuk memperoleh beberapa perjanjian umum terhadap masalah saat ini.
Seringkali jenis masalah potensial tingkat-tinggi menyebabkan hasil analisa secara
berurutan “Sudahkah memikirkan . . . ?” pertanyaan yang mengirim balik konsultan untuk analisa
lebih lanjut. Bagaimanapun, seperti kebanyakan analisa menunjuk konsultan 159rofess satu
rekomendasi.

d) Menerapkan Rekomendasi Konsultasi

Konsultan harus berpikir rekomendasi mereka keluar cukup baik, mempertimbangkan
dengan seksama biaya dan kesesuaian. Kebanyakan rekomendasi ialah dibuat setelah lebih
banyak diskusi konsultatif dibandingkan terhadap audit internal. Perbedaannya mungkin saja
bahwa suatu auditor internal melakukan suatu review pada satu draft audit dengan manajemen
untuk mendiskusikan satu rekomendasi isu disekitarnya. Auditor internal kemudian
mengeluarkan laporan audit dan mengharapkan respon manajemen mengenai rencana tindakan
korektif.
Seorang konsultan dalam membuat suatu rekomendasi sering menghadapi suatu situasi
sulit. Jika manajemen sepakat terhadap rekomendasi tersebut, manajemen sering menugaskan
kepada konsultan yang sama untuk mengambil peran aktif dalam memimpin implementasi
mereka. Sebagian besar auditor internal telah menemui situasi dimana manajemen tidak
melakukan apa-apa sehubungan dengan rekomendasi auditor eksternal; sebagai konsultan,
auditor internal harus membantu memelopori peran dalam menerapkan tindakan rekomendasi
apapun. Hal ini adalah satu perbedaan signifikan dari banyak aktivitas atestasi audit internal.

e) Mendokumentasikan dan Melengkapi perikatan konsultasi

Bab 16 dan 17 mendiskusikan dokumentasi hasil audit internal melalui kertas kerja formal
dan menggambarkan dalam satu laporan audit formal. Berkonsultasi proyek mempunyai
persyaratan serupa tetapi yang agak berbeda. Di banyak contoh, konsultan internal auditor
mungkin sudah menerapkan sekumpulan prosedur operasi. Sebuah bagian utama dari proyek
konsultasi terdiri dari prosedur-prosedur dimana personil operasi dapat mengambil dan

159
 menggunakannya berkelanjutan. Dalam kasus lain, konsultasi proyek harus didokumentasikan
dalam satu cara dimana manajemen bisa melanjutkan dengan mendokumentasikan hasil dan
fungsi atestasi audit internal akan mampu untuk menerima secara penuh pekerjaan konsultasi ini
jika mereka mengaudit pengendalian internal nya.
Mungkin lebih jika dibandingkan untuk suatu proyek audit internal tradisional, dengan
perikatan konsultasi, perhatian lebih harus berikan terhadap jam dan biaya yang dibutuhkan.
Disana akan sering menjadi biaya silang langsung, dan manajemen dapat mengharapkan untuk
melihat akuntansi rinci catatan yang mendukung permintaan biaya. Untuk suatu proyek audit
internal normal, pihak yang diaudit dapat menerima komunikasi bahwa suatu audit akan
diselesaikan setelah tiga minggu. Ketika auditor internal menyelesaikan dalam waktu empat atau
lima minggu, manajemen pihak yang diaudit dapat ingin tahu kenapa waktu pengerjaanya panjang
tetapi tidak ada permintaan biaya langsung untuk memperluas waktu.
Dalam konsultasi proyek audit internal, manajemen sering meminta untuk menyerap biaya
pekerjaan. Ekspansi dari suatu proyek dari sekitar tiga minggu ke lima minggu yang 160rofes
akan menghasilkan permintaan biaya silang ke buku besar pihak yang diaudit, dan di sana harus
terdapat dokumentasi terperinci untuk mendukung aktivitas ini. Selain itu, untuk mendukung
pemisahan tugas antara konsultasi audit internal dan aktivitas atestasi, hubungan konsultasi
proyek harus diselesaikan dalam satu cara bahwa mereka selalu terpisah dari review atestasi audit
internal.

28.5 Perluasan Jasa Internal Audit kepada Manajemen

Konsultasi merepresentasikan suatu perluasan dan layanan potensial penting audit internal kepada
manajemen. Audit internal harus menawarkan jasa konsultasi internal di luar dari
Atestasi audit 160rofess. Dalam rangka untuk melakukannya, hal ini harus menyajikan perusahaan
dengan suatu piagam yang direvisi dan menggambarkan pernyataan rinci kemampuan konsultasi serta
tawaran. Perhatiannya pada harus membayar untuk mendukung independensi dari dua fungsi ini di dalam
audit internal. Walaupun seorang 160rofessional audit internal mungkin sedang mengerjakan satu proyek
atestasi dan di dalam konsultasi proyek di waktu lain, aktivitas ini harus terpisahkan dan independen,
kenyataan keduanya dan dalam persepsi lain.
Dengan terorganisir dengan baik, suatu audit internal konsultasi proyek akan menyediakan
sumber daya kepada manajemen dalam satu cara yang tidak lagi berbeda dari atestasi review audit
internal tradisional dengan laporan audit internal mereka yang memusatkan terhadap penemuan dan
merekomendasikan tindakan. Bagaimanapun, jika suatu fungsi audit internal ingin menyediakan
konsultasi internal sebagai suatu tawaran tambahan, pekerjaan ini harus seprofesional pekerjaan atestasi

160
internal audit. Selain dari pada itu, kepedulian besar harus berikan kepada pengorganisasian aktivitas
konsultasi audit internal sehingga tidak dirasa oleh lainnya sebagai pelayanan sendiri. Oleh karena itu,
penemuan atestasi audit internal tidak akan menerangkan sebagai pekerjaan promosi untuk meningkatkan
konsultasi proyek.
Auditor internal harus juga mempunyai suatu pemahaman CBOK tentang standar hubungan
konsultasi serta proses konsultasi. Sekalipun fungsi audit internal dipilih untuk tidak terlibat dalam
konsultasi internal di luar pekerjaan atestasi normal, semua auditor internal harus memahami peran dan
tempat konsultasi di keseluruhan proses audit internal.

161