Perbedaan Audit Internal dan Eksternal

Audit Internal

Pengertian audit internal adalah suatu penilaian atas keyakinan, independen, obyektif dan
aktivitas konsultasi yang dirancang untuk menambah nilai dan untuk meningkatkan operasi
organisasi

Pengertian audit external adalah sebuah audit yang dilakukan oleh badan eksternal
(independent) yang memenuhi syarat-syarat. 

Tujuan pemeriksaan audit internal adalah untuk membantu manajemen dalam melaksanakan
tanggung jawabnya dengan memberikan analisis, penilaian, saran dan komentar mengenai
kegiatan yang diperiksanya. Sedangkan tujuan pemeriksaan audit eksternal adalah untuk
dapat memberikan pendapat mengenai kewajaran laporan keuangan yang telah disusun oleh
manajemen perusahaan.

Audit Internal dilakukan oleh internal auditor yang merupakan orang dalam perusahaan,
sedangkan audit eksternal dilakukan oleh eksternal auditor yang merupakan orang luar
perusahaan. Namun pihak luar perusahaan menganggap internal auditor tidak independen,
sedangkan eksternal auditor adalah pihak yang independen.

Pelaksanaan audit internal berpedoman pada Internal Auditing Standards yang ditentukan
Institute of Internal Auditors, sedangkan pelaksanaan audit eksternal berpedoman pada
Standar Profesional Akuntan Publik yang ditetapkan Institut Akuntan Publik Indonesia.

Pemeriksaan audit internal dilakukan lebih rinci dan memakan waktu sepanjang tahun,
karena internal auditor punya waktu yang lebih banyak di perusahaannya. Sedangkan
pemeriksaan audit eksternal dilakukan secara sampling, karena waktu terbatas dan audit fee
akan terlalu tinggi jika pemeriksaan dilakukan secara rinci.

Laporan internal auditor tidak berisi opini mengenai kewajaran laporan keuangan, tetapi
berupa temuan pemeriksaan mengenai penyimpangan dan kecurangan yang ditemukan,
kelemahan, pengendalian intern, beserta saran-saran perbaikannya. Sedangkan laporan
eksternal auditor berisi opini mengenai kewajaran laporan keuangan, selain itu berupa
management letter, yang berisi pemberitahuan kepada manajemen mengenai kelemahan dan
pengendalian intern beserta saran perbaikan.

Committee of Sponsoring Organizations of the Treadway Commission, atau

disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985.
Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan
penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian
tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan
kriteria internal yang dapat digunakan perusahaan untuk menilai sistem
pengendalian mereka.

Komponen pengendalian intern menurut  COSO adalah :

1.     Lingkungan pengendalian (control environment). Faktor-faktor lingkungan

pengendalian mencakup integritas, nilai etis, dan kompetensi dari orang dan entitas, filosofi
manajemen dan gaya operasi, cara manajemen memberikan otoritas dan tanggung jawab
serta mengorganisasikan dan mengembangkan orangnya, perhatian dan pengarahan yang
 diberikan oleh board. Pada umumnya, aktivitas pengendalian dibagi menjadi lima jenis
berikut ini:

1.     Pemisahan tugas yang memadai.

2.     Otorisasi yang sesuai atas transaksi dan aktivitas.

3.     Dokumen dan catatan yang memadai.

4.     Pengendalain fisik atas aktiva dan catatan.

5.     Pemeriksaan kinerja secara independen

2.     Penaksiran risiko (risk assessment). Mekanisme yang ditetapkan untuk

mengindentifikasi, menganalisis, dan mengelola risiko-risiko yang berkaitan dengan
berbagai aktivitas di mana organisasi beroperasi.

3.     Aktivitas pengendalian (control activities). Pelaksanaan dari kebijakan-kebijakan dan

prosedur-prosedur yang ditetapkan oleh manajemen untuk membantu memastikan bahwa
tujuan dapat tercapai.

4.     Informasi dan komunikasi (informasi and communication).Sistem informasi dan

komunikasi yang relevan dengan tujuan pelaporan keuangan, terdiri dari metode-metode
dan catatan-catatan yang diciptakan untuk mengidentifikasi, mengumpulkan, menganalisis,
mangklasifikasi, mencatat, dan melaporkan transaksi-transaksi entitas, dan juga kejadian-
kejadian serta kondisi-kondisi dan untuk memelihara akuntabilitas dari aktiva-aktiva dan
kewajiban-kewajiban yang berhubungan. Sedangkan komunikasi melibatkan penyediaan
suatu pemahaman yang jelas mengenai peran dan tanggung jawab individu berkenaan
dengan pengendalian internal atas laporan keuangan. 

5.     Pemantauan (monitoring). Sistem pengendalian internal perlu dipantau, proses ini

bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas
pemantauan yang terus-menerus, evaluasi yang terpisah atau kombinasi dari
keduanya. contoh prosedur monitoring sistem internal kontrol yang dapat dilakukan
misalnya:

1. Evaluasi dan pengujian kontrol (testing of controls) oleh bagian internal audit secara berkala

2. Membuat program continuous monitoring dalam sistem informasi

3. Melakukan pengawasan dan review atas kontrol yang ada (misalnyareconciliation review)

4.  Evaluasi atas efektivitas “the tone at the top”

5.  Diskusi antara komite audit dengan auditor internal dan eksternal

6.  Review quality assurance atas departemen internal audit

Pengembangan COSO Tahun 2004

Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated
Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen
dalam Enterprise Risk Management, yaitu:

1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari

sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang
dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen
risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya
tersebut berjalan.
2. Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih
dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi
mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen
memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta
mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang
mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara
risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan
strategi atau tujuan manajemen.
4. Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan
kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan
pengelolaan risiko.
5. Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar,
menerima, mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang
terjadi masih sesuai dengan toleransi dan risk appetite.
6. Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang
ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan
dengan efektif.
7. Informasi dan Komunikasi (Information and Communication), Informasi yang
relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi
dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen
yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.
Mengapa pengendalian intern perlu dipahami dan sangat penting bagi auditor?
COSO mengungkapkan konsep dimana semua orang dalam organisasi yaitu Manajemen,
Dewan direksi, Komite Audit, dan Personel lainnya bertanggung jawab terhadap
pengendalian internal, karena semua orang memiliki peran dalam pengendalian internal.
Audit internal yaitu pengauditan yang dilakukan oleh auditor didalam perusahaan. Auditor
internal ini bertanggung jawab utk menilai sistem yg dijalankan perusahaan dan memberi
laporan kpd manajemen utk  usulan perbaikan.

Auditor internal bertugas untuk membantu manajemen perusahaan tempat dimana ia

bekerja

Fokus utama COSO dalam Pengendalian Intern

COSO menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder
(pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis
entitas.

Evaluasi keefektifan Pengendalian Internal

Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun
keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu
tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat
pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan
bahwa Pengendalian Internal telah berjalan efektif.

Bagaimana pelaporan masalah Pengendalian Internal

COSO menjelaskan bagaimana manajemen memperoleh dan mengolah informasi jika
terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang
mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan
langsungnya, namun jika informasinya sensitif maka perlu adanya jalur khusus
penyampaian informasi.

Selain model COSO ada pula pengendalian internal model CoCo

Pengendalian model CoCo 

The Canadian Institute of Chartered Accountants Criteria of Control Committee (CoCo)
menyusun model pengedalian intern yang mirip dengan COSO tetapi mempunyai
perbedaan. Perbedaannya terdapat pada CoCo memfokkuskan pada empat pertanyaan
utama yakni:
1. Apakah perusahaan/institusi mempunyai tujuan yang benar ?
2. Apakah perusahaan tersebut mempunyai aktivitas pengendalian yang memadai?
3. Apakah perusahaan tersebut mempunyai kapabilitas, komitmen dan lingkungan yang
tepat?
4. Apakah perusahaan tersebut melakukan monitoring, pembelajaran dan mengadaptasi?

CoCo mempunyai empat komponen untuk menjawab keempat pertanyaan tersebut

yaknipurpose, commitment, capability dan monitoring dan learning. Keempat
komponen tersebut merupakan siklus yang sangat mudah dipahami. CoCo membangun
landasan COSO dengan mengidentifikasi komponen-Komponen yang sama tetapi CoCo
melebihi COSO dalam melihat apakah suatu organisasi mempunyai tujuan dan aktivitas
pengendalian yang tepat. Juga, CoCo menekankan pada komitmen dan kapabilitas sebagai
bagian yang penting dalam proses pembelajaran suatu organisasi untuk meyakinkan
apakah lingkungan pengendalian mendukung perbaikan yang terus menerus dan pada saat
yang saman mencegah risiko atas ketidaktercapaian tujuan organisasi. Seperti juga COSO,
model CoCo dapat diaplikasikan pada bentuk organisasi apapun, pada setiap level tingkatan
yang dapat memungkinkan adanya respon secara umum atas SPI menyeluruh. Kriteria yang
digunakan dalam CoCo adalah sebagai berikut :

Purpose 

1. Tujuan harus dinyatakan dan dikomunikasikan kepada seluruh stakeholder

2. Risiko signifikan baik dari dalam maupun luar organisasi yang terkait dengan pencapaian
tujuan harus                 diidentifikasikan dengan nilai
3. Kebijakan yang didesain untuk mendukung pencapaian tujuan organisasi dan
pengelolaan risik harus dibuat,      dikomunikasikan dan dipraktekan sehingga pegawai
mengerti apa yang diharapkan dan kebebasan yang            diperlukan untuk bertindak.
4. Perencanaan untuk menuntun pencapaian tujuan organisasi harus disusun dan
dikomunikasikan.
5. Tujuan dan perencanaan terkait harus mencantumkan target dan indicator kinerja.

Commitmen 
1. Nilai-nilai etika termasuk integritas harus dibuat secara formal, dikomukasikan kepada
seluruh stakeholder     dalam organisasi.
2. Kebijakan dan praktek managemen SDM harus konsisten dengan etika dan nilai-nilai dan
pencapaian tujuan.
3. Wewenang, tanggungjawab dan tanggungjelasan harus secara jelas didefinisikan dan
konsisten dengan tujuan oerganiasi sehingga keputusan-keputusan dan pelaku-pelaku
diperagakan dengan benar oleh pegawai.
4. Atmosfir kepercayaan yang tinggi harus dipelihara dan didukung oleh informasi yang
mengalir antara pegawai dan kinerja mereka dalam mendukung pencapaian tujuan
oeganisasi.

Capability 
1. Pegawai harus memiliki pengetahuan, keahlian dan peralatan yang cukup untuk
mendukung pencapaian tujuan organisasi.
2. Proses komunikasikan harus mendukung nilai dan pencapaian organisasi atas tujuan
yang telah ditetapkan.
3. Informasi yang cukup dan relevan harus diidentifikasi dan dikomunikasikan pada saat
yang tept sehingga pegawai dapat menjalankan tugasnya dengan baik.
4. Tujuan dan aktivitas dari bagian yang berbeda dalam suatu organisasi harus
dikoordinasikan.
5. Aktivitas pengendalian harus didesain sebagai kesatuan yang menyeluruh dari suatu
organisasi dengan mempertimbangkan tujuan, risiko dan hubungan terkait antar komponen
pengendalian.

Monitoring and Learning

1. Lingkungan internal dan eksternal harus diminitor untuk memperoleh informasi sehingga
tujan dan pengendalian organisasi tetap mutakhir.
2. Kinerja harus dimonitor dibandingkan dengan target dan indikator yang telah ditetapkan.
3. Asumsi yang digunakan dalam penentuan tujuan dan sistem harus secara periodik dikaji
ulang.
4. Informasi yang dibutuhkan harus dikaji terus menerus sesuai dengan adanya perubahan
tujuan atau adanya pelaporan yang menunjukan penyimpangan.
5. Prosedur tindaklanjut harus disusun dan dilakukan untuk menjamin bahwa perubahan dan
kegiatan yang tepat dilakukan.
6. Managemen secara periodik menilai efektifitas pengendalian dan kemudian
mengkomunikasikan yang tepat dilakukan.