“STANDAR PROFESI INTERNAL AUDIT DAN SERTIFIKAT PROFESI
INTERNAL AUDIT”
A. Internal Auditing Professional Practice Standards
Audit internal yang dilakukan dengan menggunakan serangkaian standar yang diakui merupakan pendekatan utama untuk memenuhi harapan manajemen tersebut. Sebagai perusahaan profesional audit internal terkemuka dan terkemuka di dunia, IIA, melalui Dewan Standar Audit Internal, mengembangkan dan mengeluarkan standar yang menentukan praktik dasar audit internal. Standar IIA dirancang untuk: - Gambarkan prinsip-prinsip dasar untuk praktik audit internal - Menyediakan kerangka kerja untuk melakukan dan mempromosikan berbagai aktivitas audit internal yang memiliki nilai tambah - Tetapkan dasar untuk pengukuran kinerja audit internal - Mendorong proses dan operasi organisasi yang lebih baik 1) Latar Belakang Standar IIA Standar 1978, dokumen yang paling otoritatif disebut Pernyataan Tanggung Jawab Audit Internal, yang awalnya dikeluarkan oleh IIA pada tahun 1947 dan kemudian direvisi selama bertahun-tahun hingga standar saat ini. Penulis edisi pertama buku ini, Victor Brink, memainkan peran utama dalam pengembangan standar IIA pertama. Kata pengantar untuk standar IIA 1978 menggambarkannya sebagai "kriteria yang digunakan untuk mengevaluasi dan mengukur operasi departemen audit internal". Kata pengantar ini selanjutnya menyatakan: "Kepatuhan terhadap konsep yang diucapkan oleh Standar sangat penting sebelum tanggung jawab auditor internal dapat dipenuhi." Standar tersebut dikembangkan oleh Komite Standar Profesional IIA berdasarkan keahlian profesionalnya serta komentar yang diterima dari anggota IIA dan pihak lain yang berkepentingan. Karena kelompok peserta yang beragam yang mengembangkan standar sebelumnya ini, bahasa akhir mereka sering kali memiliki beberapa tumpang tindih, kompromi, dan ketidaklengkapan. Akibatnya, standar dan pedoman individu masih dapat tunduk pada interpretasi yang berbeda-beda. 2) Standar IIA Saat Ini: Apa yang Berubah Standar IIA diperbarui secara berkala untuk mencerminkan kebutuhan saat ini baik oleh bisnis maupun praktisi audit internal. Misalnya, pada tahun 2007, karena beberapa kekhawatiran profesional yang diungkapkan tentang siapa yang mereview auditor internal, standar direvisi untuk menambahkan Standar Atribut 1312 tentang Penilaian Eksternal: Penilaian eksternal harus dilakukan setidaknya sekali setiap lima tahun oleh peninjau independen yang berkualifikasi atau tim peninjau dari luar organisasi. Kebutuhan potensial untuk penilaian eksternal yang lebih sering serta kualifikasi dan independensi peninjau eksternal atau tim peninjau, termasuk potensi konflik kepentingan, harus didiskusikan oleh CAE [kepala eksekutif audit] dengan Dewan. Diskusi semacam itu juga harus mempertimbangkan ukuran, kompleksitas dan industri organisasi dalam kaitannya dengan pengalaman peninjau atau tim peninjau. 3) Standar Audit Internal Baru 2009 Pada Januari 2008, IIA merilis versi draf standar IIA yang direvisi. Draf perubahan ini telah melalui periode draf eksposur dan dirilis pada Januari 2009. Perubahan tersebut signifikan karena mereka merevisi semua persyaratan standar dari kata-kata yang menyatakan bahwa auditor internal harus menjadi keharusan internal. Misalnya dan dengan perubahan yang ditekankan dalam huruf miring tebal, Standar 1100 yang lebih lama tentang independensi dan objektivitas auditor internal menyatakan, "Aktivitas audit internal harus independen, dan auditor internal harus objektif dalam melakukan pekerjaan mereka." Hanya perubahan satu kata tetapi sangat penting, revisi baru menyatakan, “Aktivitas audit internal harus independen, dan auditor internal harus objektif dalam melakukan pekerjaannya.” Perubahan yang diusulkan menjadi signifikan ketika CAE ditanya oleh komite audit apakah mereka mematuhi standar audit internal. Saat buku ini dicetak, standar baru ini baru saja dirilis secara resmi. Perubahan dalam persyaratan standar IIA dari seharusnya menjadi harus mungkin salah satu perubahan paling signifikan dalam praktik audit internal sejak didirikan oleh Victor Brink. Meskipun beberapa orang mungkin berpendapat bahwa harus dan harus berarti tentang hal yang sama, ada persyaratan kepatuhan yang diharapkan untuk auditor internal B. ISI STANDAR IIA Standar IIA baru yang diterbitkan tetapi untuk menjelaskan kontennya dan bagaimana standar tersebut berubah atau berkembang selama beberapa tahun terakhir. Semua auditor internal harus mendapatkan salinan standar ini dari IIA dan mengembangkan pemahaman yang baik tentangnya. Pengetahuan tentang standar adalah persyaratan CBOK untuk semua auditor internal, dan situs Web IIA adalah sumber resmi untuk standar audit internal ini. 1) Standar Atribut Audit Internal Standar atribut membahas aktivitas perusahaan dan individu yang melakukan aktivitas audit internal. Dinomori dari nomor paragraf 1000 hingga 13000, mereka mencakup area luas yang menentukan atribut auditor internal modern saat ini. a. 1000 — Tujuan, Kewenangan, dan Tanggung Jawab. Aktivitas audit internal harus ditetapkan secara formal dalam piagam audit internal, konsisten dengan standar, dan disetujui oleh dewan direksi. b. 1100 — Independensi dan Objektivitas. Kegiatan audit internal harus independen, dan auditor internal harus objektif dalam melaksanakan pekerjaannya. c. 1110 — Independensi Organisasi. Meskipun standar IIA tidak menentukan bahwa audit internal harus melapor kepada komite audit, hubungan pelaporan harus bebas dari campur tangan apa pun dalam menentukan ruang lingkup audit internal, pelaksanaan pekerjaan, dan mengkomunikasikan hasil. d. 1120 — Objektivitas Individu. Ini benar-benar mengulangi prinsip dasar audit internal: Auditor internal harus memiliki sikap yang tidak memihak, tidak memihak dan menghindari konflik kepentingan. e. 1130 — Kerusakan terhadap Independensi atau Objektivitas. Jika independensi atau objektivitas audit internal dipengaruhi oleh fakta atau penampilannya, rincian penurunan tersebut harus diungkapkan sebagai bagian dari pekerjaan audit. Ada beberapa standar atribut jaminan dan konsultasi di sini, tetapi salah satu yang merangkum standar ini: - 1130.A1 & 2 — Auditor internal harus menahan diri dari menilai operasi tertentu yang sebelumnya menjadi tanggung jawab mereka. - 1130.C1 & 2 — Auditor internal dapat memberikan layanan konsultasi yang berkaitan dengan operasi yang menjadi tanggung jawab mereka sebelumnya. f. 1200 — Kecakapan dan Kecermatan Profesional. Penugasan harus dilakukan dengan keahlian dan kehati-hatian yang profesional. Ada usulan standar implementasi baru yang penting di sini: - 1210.A1— CAE harus memperoleh nasihat dan bantuan yang kompeten jika staf audit internal kurang memiliki pengetahuan, keterampilan, atau kompetensi lain yang diperlukan untuk melaksanakan semua atau sebagian dari penugasan. - 1210.A2— Auditor internal harus memiliki pengetahuan yang cukup untuk mengidentifikasi indikator kecurangan dan cara pengelolaannya oleh organisasi tetapi tidak diharapkan memiliki keahlian seseorang yang tanggung jawab utamanya adalah mendeteksi dan menyelidiki kecurangan. - 1210.A3— Auditor internal harus memiliki pengetahuan yang cukup tentang risiko teknologi informasi utama dan mengendalikan teknik audit berbasis teknologi yang tersedia untuk melaksanakan pekerjaan yang ditugaskan kepada mereka. g. 1220 — Kecermatan Profesional. Auditor internal harus menerapkan perhatian dan keterampilan yang diharapkan dari auditor internal yang cukup bijaksana dan kompeten. Perawatan profesional yang tepat tidak berarti kesempurnaan. - 1220.A2 — Dalam melaksanakan kehati-hatian yang profesional, auditor internal harus mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis data lainnya. - 1220.A3— Auditor internal harus waspada terhadap risiko signifikan yang mungkin memengaruhi tujuan, operasi, atau sumber daya. h. 1300 — Program Penjaminan dan Peningkatan Kualitas. CAE harus mengembangkan dan memelihara program asurans dan peningkatan kualitas yang mencakup semua aspek kegiatan audit internal dan terus memantau efektivitasnya. i. 1311 — Penilaian Internal. Manajemen audit internal harus memiliki proses penilaian internal yang mencakup pemantauan berkelanjutan atas kinerja aktivitas audit internal dan tinjauan berkala yang dilakukan melalui penilaian sendiri atau oleh orang lain dalam perusahaan dengan pengetahuan yang memadai tentang praktik audit internal. j. 1312 — Penilaian Eksternal. Seperti dibahas sebelumnya, penilaian eksternal harus dilakukan setidaknya sekali setiap lima tahun oleh peninjau atau tim peninjau independen yang berkualifikasi dari luar organisasi. 2) Standar Kinerja Audit Internal Ada enam standar kinerja, yang diuraikan berikutnya, bersama dengan standar bawah dan implementasi yang berlaku untuk audit kepatuhan, investigasi penipuan, atau proyek penilaian mandiri kontrol. Kami meringkas standar di sini untuk tujuan menjelaskan proses audit internal; profesional yang berminat harus menghubungi IIA untuk mendapatkan standar dalam format yang diunduh atau dicetak di komputer. - 2000 — Mengelola Aktivitas Audit Internal. CAE harus secara efektif mengelola aktivitas audit internal untuk memastikannya menambah nilai bagi perusahaan. - 2010 — Perencanaan. CAE harus menetapkan rencana berbasis risiko yang konsisten dengan kerangka kerja manajemen risiko perusahaan untuk menentukan prioritas kegiatan audit internal. - 2020 — Komunikasi dan Persetujuan. CAE harus mengkomunikasikan rencana aktivitas audit internal dan persyaratan sumber daya, termasuk perubahan sementara yang signifikan, kepada manajemen senior dan dewan untuk ditinjau dan disetujui. - 2030 — Manajemen Sumber Daya. CAE harus memastikan bahwa sumber daya audit internal sesuai, memadai, dan digunakan secara efektif untuk mencapai rencana yang disetujui. - 2040 — Kebijakan dan Prosedur. CAE harus menetapkan kebijakan dan prosedur untuk memandu aktivitas audit internal yang sesuai dengan ukuran dan struktur aktivitas audit internal serta kompleksitas pekerjaannya. - 2050 — Koordinasi. CAE harus berbagi informasi dan mengoordinasikan kegiatan dengan penyedia layanan jaminan dan konsultasi internal dan eksternal lainnya untuk memastikan cakupan yang tepat dan meminimalkan duplikasi upaya. - 2060 — Melaporkan kepada Manajemen Senior dan Dewan. CAE harus melaporkan secara berkala kepada manajemen senior dan dewan tentang kinerja audit internal relatif terhadap rencananya. - 2100 — Sifat Pekerjaan. Dengan kata yang kuat, standar IIA menyatakan bahwa aktivitas audit internal harus mengevaluasi dan berkontribusi pada peningkatan tata kelola, manajemen risiko, dan proses pengendalian dengan menggunakan pendekatan yang sistematis dan disiplin. - 2110 — Tata Kelola. Aktivitas audit internal harus menilai dan membuat rekomendasi yang sesuai untuk meningkatkan proses tata kelola. - 2120 — Manajemen Risiko. Audit internal harus membantu perusahaan dengan mengidentifikasi dan mengevaluasi eksposur yang signifikan terhadap risiko dan berkontribusi pada peningkatan sistem manajemen dan pengendalian risiko. - 2200 — Perencanaan Keterlibatan. Auditor internal harus mengembangkan dan mencatat rencana untuk setiap penugasan, termasuk ruang lingkup, tujuan, waktu, dan alokasi sumber daya. - 2201 — Pertimbangan Perencanaan. - 2210 — Tujuan Harus Ditetapkan untuk Setiap Pengikatan. Auditor internal harus melakukan penilaian awal atas risiko yang relevan dengan aktivitas yang sedang ditinjau, dan tujuan penugasan harus mencerminkan hasil penilaian ini. - 2220 — Cakupan Penugasan. Cakupan yang ditetapkan harus cukup untuk memenuhi tujuan penugasan dan harus mencakup pertimbangan sistem, catatan, personel, dan properti fisik yang relevan, termasuk yang berada di bawah kendali pihak ketiga. - 2230 — Alokasi Sumber Daya Keterlibatan. Auditor internal harus menentukan sumber daya yang tepat yang diperlukan untuk mencapai tujuan perikatan audit. - 2240 — Program Kerja Penugasan. Auditor internal harus mengembangkan dan mendokumentasikan program kerja yang mencapai tujuan penugasan. - 2300 — Melakukan Pengikatan. Auditor internal harus mengidentifikasi, menganalisis, mengevaluasi, dan mencatat informasi yang cukup untuk mencapai tujuan perikatan audit dan harus mendasarkan kesimpulan dan hasil penugasan pada analisis dan evaluasi yang tepat. - 2310 — Mengidentifikasi Informasi. Auditor internal harus mengidentifikasi informasi yang cukup, andal, relevan, dan berguna untuk mencapai tujuan penugasan. - 2320 — Analisis dan Evaluasi. Auditor internal harus mendasarkan kesimpulan dan hasil penugasan pada analisis dan evaluasi yang tepat. - 2330 — Mendokumentasikan Informasi. CAE harus mengontrol akses ke catatan penugasan dan harus mendapatkan persetujuan dari manajemen senior dan / atau penasihat hukum sebelum merilis catatan tersebut kepada pihak eksternal, jika sesuai. - 2340 — Supervisi Penugasan. Keterlibatan harus diawasi dengan benar untuk memastikan tujuan tercapai, kualitas terjamin, dan staf dikembangkan. - 2400 dan 2410 — Mengkomunikasikan Hasil. Auditor internal harus mengkomunikasikan hasil penugasan mereka yang menggambarkan tujuan dan ruang lingkup audit serta kesimpulan, rekomendasi, rencana tindakan, dan opini dan atau kesimpulan auditor internal secara keseluruhan. - 2420 — Kualitas Komunikasi. Komunikasi harus akurat, obyektif, jelas, ringkas, konstruktif, lengkap, dan tepat waktu. - 2421 — Kesalahan dan Penghilangan. Jika komunikasi akhir mengandung kesalahan atau kelalaian yang signifikan, CAE harus mengkomunikasikan informasi yang dikoreksi kepada semua pihak yang menerima komunikasi asli. - 2430 — Penggunaan "Dilakukan sesuai dengan Standar Internasional untuk Praktik Profesional Audit Internal." Intern auditor didorong untuk melaporkan bahwa penugasan mereka "dilakukan sesuai dengan Standar Internasional untuk Praktik Profesional Audit Internal." - 2431 — Pengungkapan Penugasan atas Ketidakpatuhan terhadap Standar IIA. Ketika ketidakpatuhan terhadap standar berdampak pada keterlibatan tertentu. - 2440 — Menyebarkan Hasil. CAE bertanggung jawab untuk mengkomunikasikan hasil audit akhir kepada pihak-pihak yang dapat memastikan bahwa hasil tersebut diberikan pertimbangan yang tepat. - 2500 — Memantau Kemajuan. CAE harus menetapkan dan memelihara sistem untuk memantau disposisi hasil yang dikomunikasikan kepada manajemen serta proses tindak lanjut untuk memantau dan memastikan bahwa tindakan manajemen telah diterapkan secara efektif atau bahwa manajemen senior telah menerima risiko tidak mengambil tindakan. - 2600 — Resolusi Penerimaan Risiko oleh Manajemen. Jika CAE yakin bahwa manajemen senior telah menerima tingkat risiko residual yang mungkin tidak dapat diterima oleh perusahaan, CAE harus mendiskusikan masalah tersebut dengan manajemen senior. Standar IIA saat ini menunjukkan peningkatan yang signifikan dibandingkan standar yang lebih lama dan sangat panjang yang diterapkan selama tahun 1990-an. Standar tersebut diakhiri dengan glosarium istilah untuk lebih mendefinisikan peran dan tanggung jawab auditor internal. Berbagai istilah glosarium diperkenalkan pada bab-bab berikutnya tetapi salah satu yang penting bagi auditor internal adalah definisi independensi. C. Kode Etik: IIA dan ISACA Kode etik IIA menggantikan versi 1988 sebelumnya yang memiliki 11 artikel spesifik yang mendefinisikan praktik yang disukai; versi itu, pada gilirannya, menggantikan versi 1968. Versi 2000 saat ini, dengan penekanan pada integritas, objektivitas, kerahasiaan, dan kompetensi, jauh lebih mudah untuk dipahami dan dikenali daripada artikel yang agak rinci dalam versi sebelumnya. Sebagai catatan kecil, versi 1988 menggunakan istilah Anggota dan CIA di setiap artikelnya. Kode saat ini hanya mengatakan Auditor Internal, mungkin istilah yang lebih baik. Setiap orang yang melakukan jasa audit internal, baik anggota IIA atau bukan, harus mengikuti kode etik ini. ISACA, serta cabang penelitian afiliasinya, IT Governance Institute, adalah perusahaan audit profesional yang mewakili atau berbicara terutama untuk auditor TI. ISACA awalnya dikenal sebagai EDP Auditor's Association, sebuah grup profesional yang didirikan pada tahun 1969 oleh sekelompok auditor internal yang merasa IIA tidak memberikan perhatian yang cukup pada sistem komputer dan kontrol internal terkait teknologi. Kami hampir lupa bahwa EDP adalah singkatan dari pemrosesan data elektronik, istilah yang hampir kuno, dan sekarang kami memiliki ISACA. Itu masih memimpin IIA pada masalah terkait teknologi. D. Tanggung Jawab dan Persyaratan Auditor Internal Bersertifikat Disponsori oleh IIA, penunjukan CIA adalah satu-satunya sertifikasi yang diterima secara global untuk auditor internal dan merupakan standar utama yang digunakan individu untuk menunjukkan kompetensi dan profesionalisme mereka dalam audit internal. Pemeriksaan CIA pertama kali ditawarkan pada Agustus 1974 kepada 654 kandidat, dan ada sekitar 50.000 CIA hingga saat ini. Dikelola oleh Dewan Bupati IIA, CIA adalah ujian 11 jam yang ditawarkan di seluruh dunia melalui layanan pengujian berbasis komputer. Ini terdiri dari empat bagian: - Bagian I. Peran Aktivitas Audit Internal dalam Tata Kelola, Risiko, dan Pengendalian - Bagian II. Melakukan Penugasan Audit Internal - Bagian III. Analisis Bisnis dan Teknologi Informasi - Bagian IV. Keterampilan Manajemen Bisnis Dengan melamar menjadi kandidat CIA, seseorang setuju untuk menerima ketentuan program termasuk persyaratan kelayakan, kerahasiaan ujian, penerimaan kode etik CIA, melanjutkan pendidikan profesional (CPE), dan ketentuan lain yang diberlakukan oleh Dewan Bupati. atau Departemen Sertifikasi nya. 1) Pemeriksaan CIA Seperti yang ditunjukkan pada pameran, kandidat dapat diuji untuk kemahiran (P) atau kesadaran (A) mereka di bidang subjek tertentu. Kesadaran berarti bahwa kandidat harus memiliki pengetahuan umum tentang isu-isu dalam suatu bidang topik; Kemahiran mengatakan kandidat harus memiliki pemahaman dan pengetahuan yang kuat tentang bagaimana menerapkan mata pelajaran itu. 2) Mempertahankan Sertifikasi CIA Anda Semua CIA, anggota IIA dan nonanggota, harus memahami dan setuju untuk mematuhi Standar Internasional IIA untuk Praktik Profesional Audit Internal serta kode etik IIA. Standar IIA ini direvisi pada tahun 2009 dari praktik terbaik auditor internal, di mana pedoman tersebut mengatakan bahwa auditor internal "harus" menjadi persyaratan standar audit internal baru yang penting yang menetapkan bahwa auditor internal "harus". Setelah sertifikasi, CIA diwajibkan untuk mempertahankan pengetahuan dan keterampilan mereka serta mengikuti peningkatan dan perkembangan dalam standar, prosedur, dan teknik audit internal. Praktisi CIA harus menyelesaikan dan melaporkan 80 jam CPE kredit CPE setiap dua tahun. CIA harus melaporkan aktivitas CPE mereka ke IIA sesuai tenggat waktu yang dipublikasikan. Mereka yang gagal memenuhi persyaratan ini sebelum batas waktu pelaporan akan ditempatkan dalam status tidak aktif dan tidak boleh menggunakan penunjukan mereka. E. Di luar CIA: Sertifikasi IIA Lainnya Selain CIA, Dewan Bupati IIA menawarkan beberapa ujian dan sertifikat sertifikasi profesional lainnya: Certification in Control Self-Assessment (CCSA), Certified Government Auditing Professional (CGAP), dan Certified Financial Services Auditor (CFSA). 1) Persyaratan CCSA Ujian CCSA menguji pemahaman kandidat tentang dasar-dasar CSA yang penting, proses, dan topik terkait seperti risiko, kontrol, dan tujuan bisnis. Sebagai sarana untuk mempromosikan dan mendorong kegiatan terkait CSA, IIA telah menetapkan sertifikasi profesional CCSA ini. Berbeda dengan persyaratan pengalaman dan ketelitian keseluruhan dari pemeriksaan CIA, CCSA adalah pemeriksaan tunggal selama 3 jam, 125 pertanyaan yang menguji kandidat untuk mengetahui pengetahuan mereka tentang proses CSA di enam area domain yang luas: - Domain 1. Dasar-dasar CSA (5–10 persen) - Domain 2. Integrasi Program CSA (15-25 persen) - Domain 3. Elemen Proses CSA (15-25 persen) - Domain 4. Tujuan Bisnis / Kinerja Organisasi (10–15 persen) - Domain 5. Identifikasi dan Penilaian Risiko (15-20 persen) - Domain 6. Teori dan Penerapan Kontrol (20-25 persen) 2) Persyaratan CGAP Pencapaian CGAP memungkinkan kandidat untuk menunjukkan ini keterampilan audit pemerintah. CGAP adalah sertifikasi khusus yang dirancang untuk dan oleh praktisi audit pemerintah. Ujian ini hanya tersedia di Amerika Serikat untuk saat ini. Ini menguji pemahaman kandidat tentang praktik audit pemerintah, metodologi, dan lingkungan serta standar terkait dan model kontrol / risiko. Persyaratan CGAP serupa dengan CIA dan CCSA yang baru saja dijelaskan. Kandidat untuk ujian 3 jam dan 15 menit ini harus memiliki dua tahun pengalaman mengaudit di lingkungan pemerintah (federal, negara bagian / provinsi, lokal, daerah kuasi-pemerintah, otoritas / perusahaan mahkota). Pengalaman kerja harus diverifikasi oleh CGAP, CIA, CCSA, CFSA, atau supervisor kandidat. Ujian CGAP dan perkiraan konsentrasi pertanyaan mencakup domain berikut: - Domain 1. Standar dan Model Kontrol / Risiko (5–10 persen) - Domain 2. Praktik Audit Pemerintah (35–45 persen) - Domain 3. Metodologi dan Keterampilan Audit Pemerintah (20-25 persen) - Domain 4. Lingkungan Pemeriksaan Pemerintah (25–35 persen) 3) Persyaratan CFSA CFSA adalah sertifikasi khusus IIA lainnya dan disesuaikan untuk menunjukkan kompetensi dan profesionalisme auditor internal individu di bidang perbankan, asuransi, dan layanan keuangan sekuritas. Kandidat dapat memilih salah satu dari disiplin ilmu ini saat mengikuti ujian, terlepas dari bidang pekerjaan mereka saat ini. Ujian ini hanya tersedia di Amerika Serikat dan Kanada untuk saat ini. Pemeriksaan mencakup area domain berikut: - Domain 1. Audit Jasa Keuangan (25-35 persen) - Domain 2. Perbankan (25-35 persen) - Domain 3. Asuransi (25–35 persen) - Domain 4. Sekuritas (10-20 persen) 4) Pentingnya Ujian Sertifikasi Khusus CIA Sementara pemeriksaan CIA dan penunjukan profesionalnya sangat penting bagi auditor internal sebagai profesional dan bagi manajer yang meninjau kredensial auditor internal mereka, mungkin ada nilai profesional yang terbatas untuk sertifikasi khusus IIA ini bagi banyak auditor internal. Namun, mencapai penunjukan CFSA atau CCSA dapat menjadi penting bagi auditor internal yang bekerja di area khusus tersebut. Mereka juga dapat menyelesaikan Bagian IV dari pemeriksaan CIA dengan mengambil salah satu ujian khusus ini. Untuk auditor internal yang bekerja di lingkungan pemerintah di tingkat mana pun, misalnya, CIA bersama dengan CGAP bisa jadi sangat berharga. F. Persyaratan Auditor Sistem Informasi Bersertifikat (CISA) Seperti yang telah disebutkan, ISACA didirikan oleh auditor internal yang merasa IIA kurang memperhatikan masalah teknologi dan sistem informasi (IS) atau teknologi informasi [TI]. Selama bertahun-tahun, kedua kelompok profesional ini telah beroperasi dengan cara yang agak paralel, dan ISACA memiliki ujian sertifikasi yang serupa tetapi lebih berfokus pada TI daripada CIA IIA, ujian CISA, dan penunjukan profesional. Ujian CISA terbuka untuk semua individu yang memiliki minat dan keterampilan dalam audit, kontrol, dan keamanan IS. Ujian ini berdurasi empat jam dan terdiri dari 200 soal pilihan ganda. Tes ini ditawarkan setiap tahun pada bulan Juni dan Desember di banyak lokasi di seluruh dunia. Selain lulus ujian CISA, seorang kandidat harus memiliki minimal lima tahun pengalaman kerja profesional terkait audit, kontrol, atau keamanan IS. Maksimal satu tahun pengalaman SI atau satu tahun pengalaman audit keuangan atau operasional dapat menggantikan salah satu dari lima tahun pengalaman audit, kontrol, atau keamanan SI. Ujian CISA memiliki pendidikan, pengalaman, dan persyaratan pendidikan berkelanjutan yang serupa dengan ujian CIA yang telah dibahas sebelumnya. Ini adalah tingkat ujian yang cukup teknis, dan meskipun seorang kandidat mungkin telah memperoleh sertifikasi CIA, CISA memerlukan pengetahuan teknis dalam serangkaian bidang yang luas. G. Sertifikasi Manajer Keamanan Informasi Bersertifikat Basis CISM bersertifikat didirikan dengan mengabaikan para profesional yang sudah memiliki tingkat pengalaman keamanan IS yang kuat. Program CISM sangat mirip dengan ujian CISSP. Ujian CISM ditawarkan dua kali per tahun dan mencakup lima bidang manajemen keamanan informasi. Ujian ini mencakup pekerjaan yang dilakukan oleh manajer keamanan informasi, yang divalidasi oleh pemimpin industri terkemuka, ahli materi pelajaran, dan praktisi industri. Area ini dan perkiraan persentase pertanyaan tes yang dialokasikan untuk masing-masing adalah: - Tata Kelola Keamanan Informasi (23 persen) - Manajemen Risiko Informasi (22 persen) - Pengembangan Program Keamanan Informasi (17 persen) - Manajemen Program Keamanan Informasi (24 persen) - Manajemen Insiden dan Respon (14 persen) CISM adalah tes dan sertifikasi baru dengan sedikit rekam jejak saat ini. Karena didukung oleh organisasi ISACA yang sangat kuat dan kredibel, kami berharap dapat melihatnya tumbuh dalam hal status dan pengakuan. Namun, ujian dan sertifikasi ini seringkali membutuhkan waktu untuk menjadi sangat dikenal di kalangan manajer dan profesional. Sementara mempersiapkan dan mengikuti ujian profesional adalah latihan pembelajaran yang sangat baik untuk setiap profesional, auditor internal mungkin ingin menunggu untuk melihat seberapa luas pengakuan CISM sebelum mengikuti ujian ini. H. Penguji Penipuan Bersertifikat Association of Certified Fraud Examiners (ACFE) adalah organisasi profesional yang sangat terlibat dalam isu-isu terkait kecurangan bagi auditor internal. Organisasi ini memiliki ujian dan sertifikasi profesionalnya sendiri, Certified Fraud Examiner (CFE). Mendapatkan penunjukan CFE dianggap sebagai indikator keunggulan dalam profesi antipenipuan. Anggota CFE dapat memposisikan diri mereka sebagai pemimpin dalam komunitas antipenipuan. Ujian CFE didasarkan pada empat bidang luas: - Kriminologi dan Etika - Transaksi keuangan - Elemen Hukum Penipuan - Pemeriksaan dan Investigasi Penipuan I. Sertifikasi Audit Internal ASQ ASQ mensponsori berbagai macam ujian dan sertifikasi untuk semua aspek operasinya, termasuk ujian dan sertifikasi Certified Quality Auditor (CQA). CQA adalah seorang profesional yang memahami standar dan prinsip audit manajemen mutu dan teknik pemeriksaan, pertanyaan, evaluasi, dan pelaporan untuk menentukan kecukupan dan kekurangan sistem mutu. CQA menganalisis semua elemen sistem mutu dan menilai tingkat kepatuhannya terhadap kriteria manajemen industri serta sistem evaluasi dan kendali mutu. Perbedaan antara auditor internal reguler dan CQA adalah bahwa yang terakhir sering bekerja dalam kelompok jaminan kualitas dan menghabiskan lebih banyak waktu untuk tinjauan berorientasi proses dibandingkan dengan tinjauan keuangan dan operasional auditor internal IIA. Auditor CQA sering bekerja di area produksi dan melakukan lebih banyak ulasan langsung daripada auditor internal tingkat CIA. Persyaratan CQA serupa dengan auditor internal berorientasi IIA, tetapi CQA menggunakan pendekatan dan terminologi yang berbeda. Misalnya, daftar terakhir menyebutkan "ketidaksesuaian yang diverifikasi dengan standar yang diaudit" dan "konsep variasi". Ini adalah istilah ASQ khusus, meskipun banyak konsep lain kembali ke proses audit internal standar IIA. Ujian CQA didasarkan pada Badan Pengetahuan ASQ, serangkaian luas bidang pengetahuan utama dan praktik untuk CQA. Dokumen badan pengetahuan ini dikelola oleh organisasi profesional ASQ. Auditor bersertifikasi CSQ memiliki persyaratan profesional dan pendidikan berkelanjutan yang serupa dengan CIA. Jika tidak ada yang lain, aturan ASQ mungkin lebih ketat daripada IIA dan memerlukan sertifikasi ulang semua CSQ setiap tiga tahun. Profesional yang belum menyelesaikan persyaratan pendidikan berkelanjutan yang diwajibkan harus mengikuti kembali ujian CSQ untuk mendapatkan kembali sertifikasi mereka. J. Sertifikasi Auditor Internal Lainnya Sertifikasi tergantung pada kebutuhan auditor dan minat. Persyaratan untuk semua sertifikasi serupa, biasanya terdiri dari persyaratan khusus untuk mengikuti ujian, lulus, dan menerima penunjukan "Bersertifikat", diikuti dengan persyaratan pendidikan berkelanjutan untuk menjaga sertifikasi tetap terkini. Sertifikasi profesional adalah cara yang baik bagi auditor internal untuk menunjukkan bahwa mereka memiliki beberapa keterampilan profesional yang unik dan penting. Sertifikasi profesional itu penting. Pengetahuan yang diperoleh melalui perolehan sertifikat memungkinkan auditor internal untuk bekerja lebih efisien dan efektif dalam melayani manajemen. Sertifikasi dan khususnya CIA penting bagi semua auditor internal. Semua auditor internal harus berusaha untuk mendapatkan sertifikasi sebagai CIA dan / atau CISA. Auditor internal individu harus menggunakan pemeriksaan sertifikasi ini sebagai ukuran profesionalisme mereka sendiri. Ini adalah indikator penting dari pengetahuan, minat, dan kemampuan seseorang. Baik di dalam fungsi audit internal organisasi atau di luarnya, sertifikasi adalah ukuran pengetahuan dan minat seseorang dalam profesinya.