CHAPTER 2 INDO TRANS

PROFESIONAL AUDIT INTERNAL TERUS MENEMUKAN area di mana mereka diharapkan memperoleh
pengetahuan pribadi dan profesional untuk membantu mereka dalam melakukan audit internal. Bidang
pengetahuan ini berasal dari perkembangan industri, perubahan standar yang diperkenalkan oleh
Institute of Internal Auditor (IIA) atau lainnya, perubahan teknologi seperti penggunaan layanan Internet
Web baru, atau hanya ide bagus yang dikembangkan dari auditor internal lain melalui IIA "Progress
through Sharing Motto. Beberapa dari pengetahuan ini berasal dari pembelajaran lebih lanjut tentang
persyaratan regulasi khusus industri; Ide lain hanyalah cara yang baik untuk membuat audit internal
lebih efektif dan efisien. Intinya, bagaimanapun, adalah bahwa auditor internal di semua tingkatan
diharapkan memiliki pengetahuan dalam berbagai bidang, beberapa unik untuk suatu perusahaan atau
area produk dan yang lainnya mencakup praktik umum audit internal. Ada banyak kebutuhan bidang
pengetahuan, dan auditor internal baru mungkin bertanya, "Apa yang perlu saya ketahui untuk menjadi
auditor internal yang berpengalaman, berkualitas, dan diakui dengan baik?"

Seiring waktu, auditor internal yang berpengalaman telah memberikan jawaban yang berbeda untuk
pertanyaan ini. Victor Brink dalam edisi pertama buku ini memperkenalkan berbagai bidang
pengetahuan audit internal, tetapi itu sebelum zaman sistem dan proses teknologi informasi (TI),
Internet, dan perubahan besar-besaran dalam bisnis dunia selama 60‐ ditambah tahun. Penulis lain telah
mencoba untuk mendefinisikan persyaratan pengetahuan auditor internal, dan penulis ini tentunya
mencoba menjelaskan banyak bidang pengetahuan audit internal di edisi buku ini sebelumnya. Namun,
hingga edisi ketujuh kami, tidak ada persyaratan pengetahuan audit internal minimal yang diakui.
Artinya, belum ada badan pengetahuan umum (CBOK) yang diterbitkan untuk profesional audit internal.

Kurangnya CBOK untuk praktik profesional audit internal diakui oleh William G. Bishop III, CIA (Auditor
Internal Bersertifikat), yang menjabat sebagai presiden IIA dari tahun 1992 hingga kematiannya pada
tahun 2004. Setelah kematian Bishop, IIA menyadari kebutuhan CBOK untuk profesinya dan mengontrak
tim peneliti untuk mensurvei praktik yang mungkin mendefinisikan CBOK untuk audit internal. Hasil
upaya mereka hingga saat ini akan dibahas nanti dalam bab ini.

Mengingat latar belakang sejarah buku ini dan upaya berkelanjutan untuk menggambarkan semua aspek
profesi audit internal, "A Common Body of Knowledge" adalah subjudul dan tema utama untuk edisi
sebelumnya, ketujuh, dan bahkan lebih untuk edisi ini. Bab-bab berikut menjelaskan persyaratan
pengetahuan umum utama untuk auditor internal modern saat ini — beberapa di antaranya adalah area
di mana auditor internal harus memiliki pengetahuan dan pemahaman yang kuat. Lainnya adalah area di
mana auditor internal harus mengembangkan kesadaran umum yang baik. Contoh dari yang pertama
adalah Bab 9 tentang standar profesional audit internal. Itu adalah bidang pengetahuan internal yang
harus dimiliki. Topik lain, seperti Bab 32 tentang Six Sigma dan apa yang disebut teknik lean, mencakup
area di mana auditor internal harus memiliki kesadaran umum yang baik. Secara keseluruhan,
bagaimanapun, bab-bab berikut mendefinisikan suatu badan pengetahuan umum audit internal.
2.1 APA ITU CBOK? PENGALAMAN DARI LAINNYA

PROFESI

Istilah dan akronim bisnis dan profesional sering kali digunakan dan digunakan kembali begitu sering
sehingga terkadang kita kehilangan arti sebenarnya. Frase tubuh umum pengetahuan termasuk dalam
kategori itu. CBOK untuk profesi apa pun menentukan tingkat kemahiran minimum yang diperlukan
untuk kinerja efektif dalam profesi itu. Daripada mewujudkan semua domain pengetahuan yang
mungkin diperlukan oleh seorang praktisi, seperti auditor internal, agar dapat dipandang sebagai pakar
dalam profesi tersebut, CBOK berfokus pada pengetahuan minimal yang dibutuhkan oleh setiap
profesional dalam disiplin tersebut agar dapat bekerja secara efektif.

Pencarian Web untuk "CBOK" di Google atau mesin pencari lainnya memberikan referensi ke beberapa
organisasi profesional yang telah mengembangkan atau mencoba mengembangkan CBOK mereka
sendiri. Misalnya, Asosiasi Profesional Manajemen Proses Bisnis Internasional (ABPMP;
www.abpmp.org), sebuah organisasi profesional yang relatif kecil dengan akar di Uni Eropa, telah merilis
CBOK-nya sendiri dan menerbitkan beberapa buku panduan yang menjelaskan pendekatannya.

Bank Administration Institute (BAI; www.bai.org) juga telah merilis CBOK untuk para profesional risiko
industri perbankan. Dengan manajemen risiko sebagai bidang pengetahuan penting perbankan, BAI
merasa bahwa CBOK diperlukan untuk mendefinisikan kebutuhan dan harapan pengetahuan bagi para
profesional perbankan yang mengkhususkan diri di bidang itu. Pengetahuan dan pemahaman tentang
bidang yang dijelaskan dalam CBOK ini telah meningkatkan kredibilitas profesional beberapa
profesional. Namun, kadang-kadang pengembangan CBOK dimulai sebagai ide bagus yang gagal karena
kurangnya dana atau minat. Institute for the Certifi cation of Computer Professionals (ICCP) 1 yang
pernah terkemuka telah mencoba mengembangkan CBOK berorientasi IT-nya sendiri, tetapi proses TI
dan area pengetahuan bergerak lebih cepat daripada yang dapat didokumentasikan dan dijelaskan oleh
grup mana pun. Tidak pernah benar-benar diluncurkan sepenuhnya, ICCP CBOK hanyalah sebuah
catatan kaki sejarah di Web saat ini.

Organisasi profesional lain telah menambahkan akhiran "BOK" ke dalam serangkaian praktik yang umum
untuk profesi mereka. Misalnya, Project Management Institute (PMI) telah menerbitkan seperangkat
persyaratan pengetahuan untuk manajer proyek, Badan Pengetahuan Manajemen Proyek (PMBOK). 2
Banyak organisasi profesional khusus telah mencoba menangkap semua istilah atau konsep yang harus
diketahui oleh seorang profesional yang beroperasi di bidang itu. Bahkan Departemen Keamanan Dalam
Negeri A.S. telah mengembangkan standar keamanan siber berbasis TI yang mereka sebut Badan
Pengetahuan Penting (EBK).
Format dan isi dari berbagai dokumen BOK yang diterbitkan ini bervariasi. Beberapa di antaranya tidak
lebih dari garis besar yang cukup umum, sementara yang lain adalah deskripsi yang sangat rinci tentang
bidang pengetahuan khusus di mana seorang profesional diharapkan memiliki beberapa keterampilan
atau untuk beroperasi. PMBOK PMI adalah contoh yang baik tentang apa yang diharapkan seorang
profesional dalam ringkasan pengetahuan. Panduan ini memecah semua elemen dari proses
manajemen proyek, menjelaskan masukan, alat, dan teknik, dan kemudian keluaran untuk setiap
elemen. Elemen-elemen tersebut kemudian dihubungkan dengan aktivitas lain dalam proses
manajemen proyek. Pengetahuan atau pemahaman adalah keterampilan audit internal yang penting,
baik dalam merencanakan rencana audit internal yang komprehensif sepanjang tahun atau menguraikan
persyaratan dan tugas untuk audit tertentu. Bab 16 tentang memahami referensi manajemen proyek
PMI PMBOK ini sebagai bagian dari area persyaratan CBOK audit internal.

Tidak ada jenis CBOK yang diterbitkan dapat berdiri sendiri, tidak peduli seberapa rinci deskripsinya.
Untuk auditor internal, CBOK akan mencakup berbagai macam audit internal - bidang praktik khusus,
pemahaman tentang praktik manajemen umum, dan beberapa bidang pengetahuan aplikasi umum.
Persyaratan ini harus dipertimbangkan atau ditautkan, seperti yang ditunjukkan pada Tampilan 2.1.
Konsep ini harus dipertimbangkan untuk semua badan pengetahuan yang diterbitkan.

2.2 APA YANG PERLU DIKETAHUI oleh AUDITOR INTERNAL?

Edisi pertama Victor Brink dari buku ini, jauh di tahun 1940-an, sangat memperluas profesi audit internal
dan menguraikan banyak bidang di mana profesi baru yang berkembang ini dapat membantu
perusahaan dan masyarakat. Karena praktik bisnis dan teknologi telah berubah selama bertahun-tahun,
Brink, dalam beberapa edisi awalnya yang pertama, dan tentu saja penulis saat ini di edisi berikutnya,
mencoba untuk memperkenalkan area yang lebih baru dan berkembang yang penting bagi auditor
internal saat ini.

Bab-bab berikut telah menggabungkan hal-hal ini ke dalam area yang harus diketahui auditor internal
dan area lain di mana setidaknya harus ada pemahaman umum yang baik sebagai CBOK audit internal.
Kami menyoroti area topik ini dalam kata pengantar buku ini dan akan menjelaskannya secara lebih rinci
di bab-bab selanjutnya. Apakah setiap auditor internal perlu memiliki pemahaman rinci tentang semua
topik yang dirangkum dalam kata pengantar? Kami akan membantah jawaban tidak, tetapi kami merasa
auditor internal harus mengembangkan pemahaman umum pada dasarnya semua masalah dan topik
yang kami diskusikan. Beberapa di antaranya mungkin terspesialisasi, tetapi auditor internal harus
memiliki setidaknya kesadaran tentang mereka. Semua auditor internal, dan terutama auditor internal
baru, harus terbiasa dengan materi seperti kerangka kerja pengendalian internal Committee of
Sponsoring Organisations (COSO), dibahas dalam Bab 3, serta pembahasan Bab 8 tentang perencanaan
dan pelaksanaan audit internal dan Bab 9 tentang standar audit internal IIA. Bab lain mungkin hanya
menunjukkan area di mana auditor internal dapat memperoleh beberapa informasi pendukung. Namun,
auditor internal dapat menggunakan materi ini untuk mendapatkan pemahaman yang lebih baik tentang
kedalaman dan luasnya audit internal modern.

Auditor internal yang lebih berpengalaman akan berspesialisasi di beberapa bidang serta mendapatkan
lebih banyak pengetahuan khusus industri. Baik perusahaan yang memproduksi peralatan industri berat
atau menyediakan layanan keuangan, auditor internal yang berpengalaman harus mengembangkan
keterampilan dan pengetahuan di bidang-bidang tertentu tersebut. Ini bisa berasal dari membaca
publikasi khusus industri, menghadiri pameran dagang, atau hanya mendengarkan, mendengarkan, dan
lebih banyak lagi mendengarkan. Setelah memperoleh pengetahuan khusus industri tersebut, auditor
internal harus dapat menggunakan sebagian dari pengetahuan ini untuk digabungkan dengan prinsip-
prinsip audit internal, sebagaimana yang sesuai, yang akan dibahas di bab-bab selanjutnya.

Tujuan buku ini adalah agar auditor internal di semua tingkatan memperoleh pemahaman — meskipun
terkadang hanya pemahaman yang sangat umum tentang beberapa dari banyak bidang topik yang
memengaruhi profesi audit internal. Ketika menghadapi topik seperti masalah pengendalian internal
ITIL®, auditor internal harus dapat membuka indeks buku ini dan menemukan beberapa informasi
umum tentang ITIL®, seperti yang dibahas dalam Bab 19, serta beberapa terkait ITIL® masalah audit
internal.

2.3 SEBUAH CBOK AUDIT INTERNAL

Bidang audit internal sangat luas, dan buku ini mencakup bidang pengetahuan apa yang paling penting
bagi auditor internal modern saat ini. Ini mencakup kedua topik di mana penting bahwa auditor internal
modern saat ini memiliki pemahaman dan pengetahuan yang kuat untuk digunakan dan diterapkan
dalam kegiatan audit internal dan area lain di mana auditor internal harus memiliki pengetahuan umum.
Area CBOK ini berasal dari perkembangan industri, perubahan standar yang diperkenalkan oleh Institute
of Internal Auditor (IIA) atau lainnya, perkembangan teknologi seperti masalah audit seputar
penggunaan nirkabel dan komputasi awan, dan praktik terkenal lainnya yang dikembangkan dari auditor
internal di seluruh dunia melalui motto "Kemajuan Melalui Berbagi" IIA. Beberapa dari pengetahuan
audit internal ini berasal dari pemahaman tentang persyaratan regulasi khusus industri serta ide-ide
bagus untuk membuat audit internal lebih efektif dan efisien. Intinya, bagaimanapun, adalah bahwa
auditor internal di semua tingkatan harus memiliki pengetahuan dalam berbagai bidang, beberapa unik
untuk suatu perusahaan atau area produk, dan yang lain mencakup praktik umum audit internal. Ada
banyak kebutuhan bidang pengetahuan, dan auditor internal baru mungkin bertanya, "Apa yang perlu
saya ketahui untuk menjadi auditor internal yang berpengalaman, berkualitas, dan diakui dengan baik?"

Penulis ini pertama kali mengenal profesi ini dengan mendaftar di kursus kuliah malam tahun 1975
tentang audit internal di Minneapolis yang diajarkan oleh Leon Radde, saat bekerja sebagai analis sistem
TI untuk produsen komputer Sperry UNIVAC. Radde, yang kemudian menjadi ketua dewan IIA,
menggunakan buku Larry Sawyer4 untuk memperkenalkan topik tersebut kepadanya, dan penulis ini
menggunakan pengetahuan audit internal tersebut untuk bergabung dengan tim yang meluncurkan
praktik audit TI di seluruh dunia pertama kali untuk Sperry. Seperti yang diperlihatkan biografi penulis,
dia kemudian menerima posisi audit internal dengan tanggung jawab yang semakin meningkat, menjadi
penulis sendiri, dan kemudian bertemu dengan Victor Brink untuk menulis edisi sebelumnya dari buku
ini. Dia juga telah menjadi anggota aktif IIA selama bertahun-tahun, melayani dalam posisi
kepemimpinan bab IIA dan berbicara di konferensi.

Dengan pengalaman yang luas dan berkelanjutan dalam banyak aspek audit internal, edisi ini dan edisi
ketujuh telah menyusun berbagai panduan dan informasi audit internal untuk mengembangkan CBOK
audit internal ini.

Persyaratan CBOK: Pentingnya Pengendalian Internal

Empat bab di Bagian Dua buku ini memperkenalkan beberapa praktik umum yang merupakan
persyaratan pengetahuan penting bagi setiap auditor internal. Bab 3 membahas bagaimana perusahaan
dan auditor internal mereka berjalan selama bertahun-tahun tanpa pemahaman yang jelas dan
konsisten tentang makna dan konsep pengendalian internal. Definisi ini diselesaikan dan diklarifikasi,
namun, melalui kerangka kerja pengendalian internal Committee of Sponsoring Organisations (COSO),
deskripsi atau model tiga dimensi tentang bagaimana suatu perusahaan harus mengatur dan
memikirkan pengendalian internalnya. Awalnya diluncurkan sebagai deskripsi praktik terbaik tentang
pengendalian internal yang baik, kerangka kerja pengendalian internal COSO telah menjadi yang
pertama di A.S. dan sekarang menjadi standar dunia untuk mendefinisikan dan menetapkan
pengendalian internal yang baik. Baik beroperasi di lingkungan industri, sebagai auditor internal spesialis
TI, atau di sektor nirlaba atau pemerintah, setiap auditor internal harus memiliki pemahaman CBOK
tentang kerangka pengendalian internal COSO.

Kerangka kerja pengendalian internal COSO direvisi dan diperbarui pada tahun 2014, dengan kebutuhan
akan penekanan yang lebih besar pada manajemen penipuan dan pemahaman risiko serta struktur
organisasi perusahaan di seluruh dunia yang berkembang. COSO sekarang didukung oleh 17 prinsip
pengendalian internal, persyaratan pengetahuan audit internal utama. Kerangka COSO yang direvisi dan
prinsip-prinsip pendukungnya diperkenalkan di Bab 3 dan 4.

Pada awal abad ini, serangkaian kecurangan akuntansi utama dan kegagalan bisnis di Amerika Serikat
dan tempat lain menjadi seruan yang jelas untuk audit eksternal dan reformasi tata kelola perusahaan.
Hasilnya adalah Sarbanes ‐ Oxley Act (SOx) di Amerika Serikat, yang dibahas di Bab 5. SOx
mendefinisikan aturan wajib dan standar pelaporan untuk banyak perusahaan, besar dan kecil, di
Amerika Serikat dan di seluruh dunia. Meskipun undang-undang SOx sangat luas dan memiliki peraturan
dan aturan di beberapa area yang mungkin kurang menarik bagi sebagian besar auditor internal,
pengetahuan dan pemahaman tentang prosedur tinjauan pengendalian internal SOx harus menjadi
persyaratan CBOK untuk semua auditor internal yang bekerja setidaknya dengan perusahaan publik.
Selain itu, semua auditor internal harus memiliki pemahaman CBOK umum tentang pengendalian
internal SOx dan aturan tata kelola perusahaannya.

Bab 6 memperkenalkan kerangka kerja pengendalian internal yang sangat penting lainnya, tujuan
pengendalian untuk TI, atau COBIT. Kerangka kerja pengendalian internal dengan asal-usul yang terkait
dengan spesialis audit TI, COBIT penting bagi semua auditor internal karena sistem dan proses TI
tersebar luas di semua aspek hampir setiap perusahaan saat ini. Baik spesialis operasional, keuangan,
atau TI, semua auditor internal harus memiliki setidaknya pemahaman CBOK tingkat tinggi tentang
kerangka kerja COBIT dan bagaimana hal itu dapat diterapkan pada aktivitas audit internal mereka.

Bagian Dua diakhiri dengan deskripsi kerangka kerja COSO Enterprise Risk Management (COSOERM),
model untuk membantu memahami dan menjelaskan manajemen risiko perusahaan. Pemahaman dasar
tentang konsep dan prinsip manajemen risiko penting bagi auditor internal saat ini, sebagai penunjang
untuk menilai berbagai bidang untuk mereview dan membuat keputusan audit internal lainnya. Setiap
auditor internal harus memiliki pemahaman CBOK tingkat tinggi tentang COSO ERM seperti yang dibahas
dalam Bab 7.

Persyaratan CBOK: Perencanaan dan Pelaksanaan Audit Internal

Memiliki pengetahuan dan pemahaman yang baik tentang pengendalian internal COSO membantu
auditor internal untuk memahami prinsip-prinsip dasar yang penting, tetapi auditor internal
membutuhkan pengetahuan tentang bagaimana merencanakan dan melakukan audit internal. Enam
bab di Bagian Tiga mencakup beberapa informasi latar belakang CBOK ini, dimulai dengan Bab 8 tentang
pelaksanaan audit internal yang efektif. Kemampuan untuk merencanakan dan melaksanakan audit
internal individu adalah persyaratan CBOK utama.

Pemahaman yang sangat kuat tentang Standar Internasional IIA untuk Praktik Profesional Audit Internal
adalah persyaratan CBOK audit internal yang sangat penting. Ini adalah aturan, yang dirangkum dalam
Bab 9, yang menguraikan bagaimana auditor internal harus meluncurkan, melakukan, dan mengelola
tinjauan apa pun, baik dalam penugasan audit yang membuktikan atau saat menjabat sebagai konsultan
internal. Ini adalah perintah berbaris audit internal, dan pengetahuan serta pemahaman yang baik
tentangnya merupakan persyaratan penting CBOK.

Meskipun rincian teknisnya dapat menjadi tantangan bagi beberapa auditor internal, semua harus
memiliki pemahaman tingkat tinggi CBOK tentang pengujian audit internal dan prosedur evaluasi,
termasuk pengambilan sampel audit statistik dan nonstatistik, seperti yang dibahas dalam Bab 10.
Auditor internal harus tahu bagaimana caranya dengan tepat melihat bukti audit, menarik dan
menelaah sampel yang sesuai dari bukti tersebut, dan kemudian membuat keputusan audit dan
rekomendasi dari sampel tersebut.

Auditor internal modern saat ini tidak harus selalu melakukan tinjauan sebagai kunjungan terjadwal satu
kali, tetapi harus memanfaatkan proses otomatis yang dipasang di banyak perusahaan dan membangun
proses audit berkelanjutan jika sesuai, pengetahuan dan kesadaran CBOK perlu dibahas dalam Bab 11.
Internal auditor harus melaksanakan tinjauan mereka menggunakan apa yang disebut program audit,
langkah-langkah terdokumentasi yang mencakup prosedur audit yang harus diikuti. Auditor internal di
semua tingkatan harus memahami bagaimana membangun dan menggunakan program audit, sebagai
panduan untuk membangun tinjauan audit internal yang konsisten.

Bab 12 mencakup area penting lainnya di mana auditor internal harus melakukan audit sendiri dan
untuk menilai bagaimana kelompok sebaya melakukan fungsi audit internal yang serupa. Disebut
penilaian diri kontrol dan benchmarking, ini adalah bidang pengetahuan CBOK, dan auditor internal
harus memiliki pemahaman CBOK yang baik tentang mereka.

Persyaratan CBOK: Mengatur dan Mengelola Aktivitas Audit Internal

Bagian Keempat mencakup area CBOK penting tentang pengelolaan dan pelaksanaan audit individu
serta keterampilan audit internal individu lainnya. Misalnya, Bab 14 membahas piagam audit, otorisasi
resmi komite audit perusahaan dari fungsi audit internal. Bab 15 membahas beberapa kompetensi
efektivitas audit internal. Keduanya adalah area CBOK yang penting untuk audit internal yang efektif.

Manajemen proyek disajikan dan dibahas dalam Bab 16. Setiap proyek audit internal harus
direncanakan dan diatur dengan cara yang terstruktur dengan baik, konsisten, dan bab ini memberikan
gambaran umum tentang pemahaman manajemen proyek — persyaratan pengetahuan umum CBOK.

Bab 17 mencakup area CBOK auditor internal yang penting, mendokumentasikan hasil audit melalui
kertas kerja. Meskipun proses dan teknik terperinci dapat berbeda dari satu fungsi audit internal ke
fungsi audit lainnya, semua auditor internal harus memiliki pengetahuan dan pemahaman tentang
bagaimana mengembangkan kertas kerja yang efektif untuk menggambarkan aktivitas audit individual.

Meskipun formatnya dapat bervariasi dari satu fungsi audit internal ke fungsi lainnya, kemampuan
untuk melaporkan hasil audit internal secara efektif merupakan persyaratan utama CBOK. Meskipun
sebagian besar upaya dalam mengembangkan dan menyampaikan laporan audit internal formal sering
kali didelegasikan kepada anggota yang lebih senior dalam tim audit internal, semua auditor internal
harus memiliki pemahaman CBOK yang kuat tentang tujuan dan peran pelapor audit internal
perusahaan mereka.

Persyaratan CBOK: Dampak Teknologi Informasi pada Audit Internal

Karena proses TI sangat penting untuk semua area operasi bisnis saat ini, enam bab dari Bagian Lima
menjelaskan beberapa area CBOK yang sangat penting. Bab 19 membahas pelaksanaan tinjauan kontrol
umum TI serta praktik terbaik Perpustakaan Infrastruktur Teknologi Informasi (ITIL®) untuk memahami
dan menginstal prosedur kontrol infrastruktur TI. Ini adalah area CBOK di mana setiap auditor internal
harus memiliki pemahaman umum yang baik.

Perubahan teknologi dan perangkat genggam dan nirkabel adalah hal yang umum saat ini baik untuk
aplikasi perusahaan maupun sebagai alat auditor internal. Bab 20 memperkenalkan masalah
pengendalian internal dalam lingkungan audit internal ini. Bab 21 memperkenalkan dua masalah kontrol
internal lain yang lebih baru, penting, dan terus berkembang — yang kami sebut data besar dan
manajemen konten perusahaan. Selama bertahun-tahun, auditor internal telah merekomendasikan agar
aplikasi TI memiliki cadangan yang sesuai. Karena sistem dan aplikasi menghasilkan begitu banyak data
saat ini, auditor internal perlu memahami manajemen proses ini dengan cara yang terkontrol dengan
baik.

Meskipun pengendalian umum yang mencakup keseluruhan fungsi TI itu penting, pengendalian internal
yang mencakup aplikasi TI tertentu setidaknya sama pentingnya. Untuk hampir semua auditor internal,
pemahaman CBOK tentang konsep kontrol TI ini sangat penting, karena banyak aplikasi TI dan tanggung
jawab pengendalian internalnya telah berpindah dari fungsi TI terpusat tradisional ke kontrol yang
dikelola pengguna secara individu. Auditor internal harus memiliki pemahaman CBOK yang baik tentang
pengendalian aplikasi TI seperti yang dibahas dalam Bab 22.

Dengan ketergantungan berat kami pada aplikasi dan proses TI serta penggunaan Internet, aplikasi
jaringan, dan sumber daya TI, aplikasi yang sama ini menghadapi banyak ancaman keamanan dan
privasi. Bab 23 membahas keamanan siber dan kontrol privasi TI. Meskipun masalah keamanan TI sering
kali merupakan area yang sangat khusus dan kompleks, auditor internal harus mencoba untuk
mendapatkan pemahaman CBOK tingkat tinggi secara keseluruhan tentang masalah kontrol internal
keamanan siber.

Bab terakhir di Bagian Lima, Bab 24, membahas perencanaan kesinambungan bisnis dan pemulihan
bencana, area di mana teknologi telah membuatnya jauh lebih mudah daripada tahun-tahun
sebelumnya bagi perusahaan untuk menyimpan data yang disimpan TI untuk memulihkan operasi
setelah beberapa kejadian tak terduga. Meskipun area ini dulunya adalah wilayah auditor spesialis TI,
setiap auditor internal saat ini harus memiliki pemahaman umum CBOK tentang perencanaan
kontinuitas dan operasi pemulihan.

Persyaratan CBOK: Audit Internal dan Tata Kelola Perusahaan

Peristiwa seperti berlakunya SOx, semakin meningkatnya pengakuan akan pentingnya penipuan tingkat
perusahaan, dan undang-undang baru lainnya telah membuat banyak aspek dunia bisnis semakin
kompleks dan telah menambah kebutuhan CBOK auditor internal. Empat bab di Bagian Enam membahas
beberapa area di mana auditor internal harus mengembangkan pemahaman CBOK. Bab 25 meninjau
komunikasi audit internal dan hubungan dengan komite audit dewan direksi. Meskipun ini merupakan
persyaratan penting, terutama untuk CAE, semua anggota fungsi audit internal harus memiliki
pemahaman CBOK umum tentang peran komite audit dalam operasi audit internal, dan terutama peran
tersebut dalam perusahaan spesifik mereka sendiri. Dalam pengertian yang sama, Bab 26 membahas
etika dan program whistleblower, inisiatif penting di banyak perusahaan. Sekali lagi, ini adalah area di
mana auditor internal perlu mengembangkan pemahaman CBOK yang baik tentang program yang efektif
dan mengapa program tersebut penting bagi audit internal.

Memahami deteksi kecurangan dasar dan pengendalian pencegahan, seperti yang diperkenalkan dalam
Bab 27, harus menjadi persyaratan CBOK dasar untuk semua auditor internal. Ini adalah area di mana
dalam beberapa tahun terakhir auditor internal tidak diharapkan memiliki keterampilan untuk mencari
kecurangan. Sementara auditor internal yang khas saat ini mungkin bukan penyidik penipuan tingkat
Sherlock Holmes, semua auditor internal harus mendapatkan tingkat pemahaman CBOK yang baik
tentang tanda bahaya yang menunjukkan kemungkinan penipuan dan prosedur tinjauan investigasi
penipuan audit internal umum.

Bab 28 mencakup pentingnya masalah tata kelola, pelaporan, dan kepatuhan (GRC) secara keseluruhan
dalam lingkungan audit internal dan pengendalian internal saat ini. Bab ini mengulas pentingnya
masalah GRC secara umum bagi auditor internal modern, dan melihat beberapa undang-undang AS —
HIPAA dan Gramm ‐ Leach ‐ Bliley Act — yang memiliki beberapa persyaratan kepatuhan tingkat
perusahaan yang kuat. Sementara auditor internal yang berbasis di A.S. harus mendapatkan
pemahaman umum CBOK tentang ini dan peraturan kepatuhan terkait, auditor internal di seluruh dunia
harus selalu mengembangkan pemahaman CBOK yang serupa tentang aturan yang mengatur kepatuhan
di negara dan lokasi mereka sendiri.

Persyaratan CBOK: Sertifikasi Profesional Auditor Internal

Meskipun ini jelas bukan merupakan persyaratan CBOK auditor internal, semua auditor internal harus
mengetahui sertifikasi profesional audit internal yang lebih penting dan diakui dengan baik. Bab 29
meninjau persyaratan untuk beberapa di antaranya — sertifikasi CIA dan CISA — dan membahas
beberapa sertifikasi terkait lainnya juga.

Bab 30 membahas peran auditor internal sebagai konsultan bisnis perusahaan internal. Praktik yang
dilarang oleh standar audit internal hingga beberapa tahun terakhir, melayani sebagai konsultan internal
dapat menjadi peran penting bagi audit internal dan organisasi perusahaannya dalam banyak situasi.
Auditor internal harus memiliki pemahaman CBOK umum yang baik tentang standar audit internal untuk
melayani sebagai konsultan perusahaan.

Persyaratan CBOK: Konvergensi Profesional Audit Internal

Bagian terakhir dari diskusi persyaratan CBOK kami memperkenalkan kebutuhan auditor internal untuk
memiliki pemahaman yang lebih baik tentang beberapa masalah audit internal yang melampaui audit
internal yang hanya terkait dengan IIA dan standarnya. Misalnya, Bab 31 memperkenalkan bidang audit
internal yang berkualitas. Ini adalah prosedur audit internal yang ditentukan dan dijelaskan di Amerika
Serikat oleh American Society for Quality (ASQ). Semua auditor internal harus mengembangkan
setidaknya pemahaman CBOK tentang standar dan prosedur audit internal kualitas ASQ.

Terkait dengan prosedur audit kualitas ASQ, Bab 32 membahas dua metodologi proses efisiensi kualitas:
teknik lean dan Six Sigma. Keduanya merupakan pendekatan peningkatan proses pengendalian internal
yang berharga yang akan paling sering ditemui oleh auditor internal di toko atau lantai produksi. Namun,
auditor internal yang bekerja dalam proses atau lingkungan sistem manufaktur harus memiliki
kesadaran CBOK umum atau pemahaman tentang metodologi penting ini.

Bab 33 memperkenalkan standar internasional Organisasi Internasional untuk Standardisasi (ISO),

dengan penekanan pada kualitas dan standar manajemen TI. Standar ini dan upaya kepatuhan untuk
memenuhinya telah dilakukan di seluruh dunia selama beberapa tahun. Mereka semakin banyak muncul
di lingkungan A.S., dan auditor internal yang telah bekerja di lingkungan standar IIA selama bertahun-
tahun harus mendapatkan pemahaman CBOK yang lebih baik tentang standar ISO ini dan konsep
pendukungnya.

Bab 33 juga secara singkat memperkenalkan beberapa standar akuntansi dan audit di seluruh dunia.
Secara khusus, apa yang disebut standar akuntansi internasional telah disukai hampir di semua tempat
di dunia, dengan pengecualian di Amerika Serikat, di mana apa yang disebut prinsip akuntansi yang
diterima secara umum (GAAP) digunakan. Meski belum resmi, Amerika Serikat kini perlahan bergerak
dari GAAP ke standar internasional. Meskipun hal ini tidak berdampak besar pada prosedur audit
internal, semua auditor internal harus mendapatkan pemahaman CBOK tentang implikasi dari
perubahan ini.
2.4 UPAYA LAIN: CBOK YAYASAN PENELITIAN IIA

Bab 1 menyoroti asal mula audit internal dan membahas bagaimana profesi telah berkembang dari salah
satu dukungan akuntansi dan pemeriksaan akurasi matematika menjadi spesialis evaluasi pengendalian
internal saat ini. Profesi ini telah berkembang pesat. Mengikuti Standar Internasional IIA untuk Praktik
Profesional Audit Internal, yang dijelaskan dalam Bab 9, auditor internal saat ini bekerja di perusahaan,
lembaga nirlaba, dan pemerintah di seluruh dunia. Mereka bekerja di semua ukuran perusahaan, di
semua area industri, dan dalam banyak kondisi berbeda.

Melampaui standar IIA dan beberapa persyaratan hukum untuk tinjauan audit internal, belum banyak
aturan yang didefinisikan tentang pedoman benar dan salah untuk praktik audit internal. Namun,
selama bertahun-tahun, profesional audit internal telah menyatakan kebutuhan untuk lebih
memformalkan berbagai hal dan mengembangkan CBOK audit internal. Meskipun ada beberapa upaya
terbatas untuk mengembangkan badan pengetahuan semacam itu, IIA Research Foundation (IIARF)
mengontrak sebuah kelompok konsultan pada tahun 2007 untuk mengembangkan CBOK semacam itu
untuk profesi audit internal. Ini terjadi pada waktu yang hampir bersamaan kami mengembangkan CBOK
kami untuk edisi sebelumnya yang ketujuh dari buku ini. CBOK IIARF 2007 yang asli didasarkan pada
survei email dan disebut Ringkasan Global Badan Pengetahuan Umum.

Tujuan yang dinyatakan dari survei yang dipimpin konsultan IIA ini adalah untuk menangkap dan
menggambarkan keadaan praktik profesional audit internal di seluruh dunia, termasuk:

■ Pengetahuan dan keterampilan yang dimiliki auditor internal

■ Tingkat keterampilan dan organisasi yang digunakan untuk praktik pekerjaan audit internal

■ Tugas aktual yang dilakukan oleh auditor internal

■ Struktur organisasi audit internal

■ Jenis industri yang mempraktikkan audit internal

■ Lingkungan peraturan di berbagai negara

CBOK IIARF memiliki tujuan yang dinyatakan untuk mendokumentasikan peran nilai tambah unik dari
audit internal di perusahaan di seluruh dunia. Ini berusaha untuk lebih mendefinisikan profesi audit
internal dan memastikan bahwa itu tetap menjadi "kontribusi yang dinamis dan relevan untuk
perusahaan." IIA telah menyatakan bahwa pihaknya berencana untuk menggunakan hasil studi CBOK
yang tidak terlalu terdefinisi dengan baik untuk meningkatkan standar, prosedur, dan penawaran
lainnya di tahun-tahun mendatang di berbagai bidang termasuk sertifikasi dan pemeriksaan audit
internal yang direvisi, standar yang direvisi, dan publikasi audit internal lainnya. Namun, hingga publikasi
2015 ini, organisasi tersebut pada dasarnya tidak melakukan apa pun untuk menjaga konsep ini tetap
hidup.

Namun, tujuan CBOK 2007 IIARF bukanlah seperangkat standar tingkat tinggi untuk melakukan audit
internal, seperti pendekatan yang digunakan dalam PMBOK PMI, yang dibahas lebih lanjut di Bab 16,
atau praktik terbaik Perpustakaan Infrastruktur Teknologi Informasi (ITIL®) yang dapat ditemukan di Bab
19. Itu tidak mencakup area internal

auditor harus memiliki pengetahuan yang baik serta orang lain di mana mereka harus memiliki
kesadaran, seperti yang akan disajikan dalam bab-bab ini. Sebaliknya, IIARF berusaha untuk memperoleh
pengetahuan yang lebih baik tentang tugas dan aktivitas auditor internal saat ini di berbagai unit cabang
IIA di seluruh dunia dan individu yang beroperasi sebagai kepala fungsi audit internal, termasuk kepala
eksekutif audit, manajer audit, senior / supervisor audit internal, anggota staf, dan orang lain yang
berafiliasi dengan audit internal.

Meskipun disebut CBOK, pendekatan IIARF tidak mendefinisikan atau merekomendasikan praktik terbaik
pengetahuan umum audit internal tetapi didasarkan pada tanggapan auditor internal terhadap
kuesioner. Kontraktor mengembangkan formulir survei terperinci yang dikirim ke sekitar 9.000 fungsi
audit internal individu di seluruh dunia. Hasil yang dirangkum memberikan gambaran tentang apa yang
dilakukan oleh departemen audit internal — yang oleh dokumen IIARF CBOK disebut Kegiatan Audit
Internal (IAA) —dilakukan sebagai bagian dari pekerjaan mereka. Secara signifikan, tidak ada pemisahan
antara IAA yang ditetapkan oleh IIARF CBOK di negara-negara yang lebih besar, seperti Amerika Serikat
dan Inggris Raya, dan mereka yang berada di fungsi audit internal negara kecil.

Survei CBOK IIARF 2007 dikumpulkan serupa dengan survei tipe konsumen di mana peserta diminta
untuk menjawab pertanyaan berdasarkan skor mulai dari 1 hingga 5 untuk setiap pertanyaan. Artinya,
jawaban 5 berarti responden sangat setuju dengan pertanyaan survei, 4 berarti mereka agak setuju, dan
1 menunjukkan sangat tidak setuju. Hasilnya diterbitkan sebagai nilai rata-rata tunggal dari berbagai
tanggapan 1 hingga 5 tetapi tanpa nilai deviasi standar untuk menunjukkan varian atau rentang
tanggapan tersebut. Misalnya, studi CBOK IIRF meminta tanggapan atas pernyataan "Aktivitas audit
internal Anda membawa pendekatan sistematis untuk mengevaluasi efektivitas pengendalian internal."
Sebuah 2.374 CAE yang dilaporkan menanggapi pertanyaan ini, dengan nilai rata-rata 4,35. Apakah ini
berarti bahwa beberapa fungsi audit internal tidak mengikuti pendekatan sistematis dalam
peninjauannya atas pengendalian internal, dan apakah tanggapan tersebut berarti ini merupakan
rancangan atau kegagalan? Jika benar, ini akan menjadi hasil yang mengganggu.

Masalah dengan hasil yang dilaporkan ini adalah kami tidak memiliki informasi lebih lanjut untuk
mendukung jenis tanggapan atau varians dalam skor yang dilaporkan. Sementara CAE untuk fungsi audit
internal yang efektif diharapkan menanggapi pertanyaan tersebut dengan skor 5, CBOK yang diterbitkan
menimbulkan pertanyaan mengapa sebagian CAE melaporkan bahwa fungsi audit internal mereka tidak
memiliki "sangat setuju ”Skor 5 sebagai tanggapan atas pertanyaan tentang mengevaluasi pengendalian
internal. Apakah karena bagian tertentu dari fungsi audit internal tidak terlalu efektif, atau karena
kecenderungan alami — penulis ini adalah salah satunya — untuk tidak menilai skor survei semacam itu
pada total nilai tertinggi atau terendah? Dari sudut pandang kami, ini adalah masalah dengan banyak
tanggapan yang dilaporkan IIARF CBOK yang sekarang sudah usang. Dari CAE hingga anggota staf audit,
hampir semuanya dilaporkan dengan skor agak lebih besar dari 4.0 tetapi kurang dari 5.0. Tiga
pernyataan evaluasi CBOK IIARF diberi peringkat di bawah 4.0 tetapi di atas 3.5:

1. Aktivitas audit internal Anda menggunakan pendekatan sistematis untuk mengevaluasi efektivitas
proses tata kelola.

2. Cara aktivitas audit internal Anda menambah nilai pada proses tata kelola adalah melalui akses
langsung ke komite audit.

3. Kepatuhan terhadap Standar Internasional IIA untuk Praktik Profesional Audit Internal merupakan
faktor kunci bagi aktivitas audit internal Anda untuk menambah nilai pada proses tata kelola.

Dengan semua tingkat responden melaporkan skor yang relatif rendah untuk ketiga pertanyaan ini,
tampaknya ada beberapa masalah manajemen audit internal di sini. Tentu saja, tanggapan decoding
untuk jenis pernyataan ini selalu bermasalah. Untuk pernyataan kedua dalam daftar, apakah ini
mengatakan bahwa sejumlah besar responden CBOK

tidak merasa aktivitas audit internal mereka menambah nilai pada aktivitas tata kelola perusahaan
mereka, bahwa mereka tidak memiliki akses yang memadai ke komite audit mereka, atau keduanya?
Seseorang hampir merasa bahwa tidak ada seorang pun di IIARF yang membaca studi konsultan CBOK
mereka dan mengajukan beberapa pertanyaan sulit sebelum dipublikasikan. Ada banyak hal di sini yang
bertentangan dengan panduan IIA CBOK yang dibahas dalam bab-bab berikut.

Kajian IIARF CBOK diisi dengan beberapa hasil survei menarik yang menunjukkan apa yang dilakukan
fungsi audit internal di seluruh dunia. Jika tidak ada yang lain, jenis informasi ini akan memungkinkan
CAE untuk menilai apakah fungsi audit internalnya menjalankan aktivitas yang sejalan dengan fungsi
audit internal lainnya di seluruh dunia. Kami telah mengekstrak hasil dari dua hasil tabel CBOK yang
diterbitkan, tetapi pembaca yang tertarik harus menghubungi IIARF untuk menerima salinan hasil IIRF
CBOK ini.

Sebagai contoh dari materi yang dilaporkan CBOK IIARF, Tampilan 2.2 menunjukkan penggunaan audit
internal relatif, yang diberi peringkat secara keseluruhan dan berdasarkan tingkat auditor internal, untuk
serangkaian alat dan teknik audit internal yang umum. CBOK memilih 15 alat dan teknik audit internal
dan memeringkatnya berdasarkan pemanfaatannya. Alat dan teknik penting ini juga menjadi dasar bagi
banyak bab kami selanjutnya. Tidak disangka, Internet dan proses email terkait kemudian ditemukan
sebagai alat dan teknik audit internal yang paling penting. IIA sangat menekankan proses manajemen
kualitas selama beberapa tahun terakhir dan membangunnya ke dalam standar mereka, dan Bab 31
membahas pentingnya prosedur audit internal jaminan kualitas.

Sebagai contoh lain dari bahan CBOK IIARF lama, Tampilan 2.3 berisi serangkaian pernyataan survei yang
ditujukan kepada CAE dan manajer audit internal yang menanyakan apakah pernyataan tersebut saat ini
diterapkan pada fungsi audit internal mereka, apakah mereka akan menginstal praktik tersebut di masa
mendatang, atau jika itu tidak berlaku atau tidak direncanakan. Sementara pertanyaan-pertanyaan
survei tertentu pasti tidak akan berlaku untuk beberapa organisasi nirlaba dan audit internal lainnya,
banyak dari hasil di sini mengejutkan. Misalnya, untuk pernyataan "Organisasi telah menerapkan
kerangka pengendalian internal," hanya sekitar 70% manajer audit internal menjawab bahwa mereka
memiliki proses evaluasi pengendalian internal yang sedang berjalan, dengan sebagian besar yang lain
berencana untuk melakukan sesuatu dalam tiga tahun ke depan. Dengan standar IIA yang menyerukan
agar aktivitas tersebut dilakukan sebagai bagian dari fungsi audit internal yang efektif dan patuh,
tampaknya lebih banyak pekerjaan yang dibutuhkan. Bab 3 sampai 6 membahas pentingnya
pengendalian internal dan kerangka kerja untuk menetapkan dan mengukurnya. Di luar tabel yang
diekstraksi di sini, CBOK IIARF 2007 diisi dengan pengamatan lain yang mungkin mengganggu. Pada saat
penerbitan ini, PII telah menghapus semua referensi ke CBOK 2007-nya, seolah-olah hal itu tidak pernah
terjadi. Mungkin, ini bagus untuk profesinya. Pembaca yang tertarik harus meninjau studi baru CBOK
IIARF yang direncanakan (belum dirilis pada saat publikasi ini).

Meskipun tidak dirangkum secara langsung dalam tabel-tabel ini, beberapa tanggapan CBOK IIARF
secara profesional mengganggu pada beberapa tingkatan. Sebagai contoh, hanya 82% dari seluruh
responden IIARF CBOK yang menyatakan bahwa mereka menggunakan standar IIA secara keseluruhan
atau sebagian. Ini adalah aturan dasar untuk audit internal, dan orang benar-benar bertanya-tanya
tentang hampir 20% yang mengatakan mereka tidak menggunakan standar ini, bahkan sebagian.
Pentingnya standar IIA akan dibahas di Bab 9, di mana kami berpendapat bahwa pengetahuan tentang
standar IIA penting untuk mendorong dan mengembangkan audit internal.

IIA telah menyatakan bahwa mereka berencana untuk memperbarui studi CBOK IIARF setiap tiga tahun
dan juga menyatakan rencana untuk merilis produk dan penawaran lain untuk meningkatkan dan
membangun IIARF CBOK. Namun, tidak banyak yang terjadi setelah rencana tersebut, IIA dikontrak
untuk studi survei CBOK baru pada tahun 2014, dan kuesioner dikirim ke anggota IIA untuk menanyakan
pendapat praktik CBOK mereka. Pada saat penerbitan ini, IIARF baru belum dirilis dan, seperti
disebutkan sebelumnya, IIARF telah menghapus studinya tahun 2007 dari perpustakaan terbitannya,
seolah-olah tidak pernah ada.

Survei IIARF CBOK tahun 2007 tidak pernah menjadi studi pengetahuan umum sebagaimana organisasi
profesional lain mendefinisikan konsep atau cara kami mendefinisikannya dalam buku ini. CBOK IIARF
bukanlah panduan untuk praktik terbaik auditor internal. Alih-alih, ini menjelaskan berbagai aktivitas
audit internal dan bagaimana aktivitas tersebut kemudian dipraktikkan. Untuk CAE serta komite audit
dan manajemen yang bertanggung jawab atas audit internal dalam suatu perusahaan, CBOK IIARF 2007
yang asli ini harus dipandang sebagai sesuatu yang mengingatkan tentang bagaimana kinerja masing-
masing kelompok audit internal dalam hubungannya dengan hasil survei dan dengan standar IIA. Secara
umum, CBOK IIARF menunjukkan banyak area di mana fungsi audit internal harus ditingkatkan.

2.5 AREA PENGETAHUAN AUDIT INTERNAL PENTING

Apakah setiap auditor internal perlu memiliki pemahaman yang terperinci tentang semua topik yang
dirangkum dalam kata pengantar buku ini? Kami akan membantah jawaban tidak, tetapi kami merasa
bahwa setiap auditor internal harus mengembangkan pemahaman umum pada dasarnya semua
masalah dan topik yang dibahas dalam buku ini. Beberapa di antaranya mungkin terspesialisasi, tetapi
auditor internal harus memiliki setidaknya kesadaran. Untuk semua auditor internal, dan terutama
auditor internal baru, bahan-bahan seperti kerangka kerja pengendalian internal Committee of
Sponsoring Organization (COSO), yang dibahas di Bab 3, sangat penting, serta pembahasan Bab 7
tentang perencanaan dan pelaksanaan audit internal dan Bab 9 tentang standar audit internal IIA. Topik
bab lainnya mungkin hanya menunjukkan area di mana auditor internal dapat memperoleh beberapa
informasi pendukung. Namun, auditor internal baru yang sama dapat menggunakan materi ini untuk
mendapatkan pemahaman yang lebih baik tentang kedalaman dan luasnya audit internal modern.

Bidang dan profesi audit internal sangat luas, dan buku ini hanya mencoba untuk mencakup apa yang
kami rasa mungkin merupakan beberapa bidang pengetahuan terpenting bagi auditor internal modern
saat ini. Bab-bab selanjutnya mendefinisikan CBOK untuk auditor internal modern saat ini.