TUGAS RINGKASAN MATERI KULIAH (RMK)

PENGAUDITAN KEPATUHAN DAN PENGENDALIAN INTERNAL

MATERI 2
CH 32, CH 33, DAN CH 34

NAMA ANGGOTA:
CELIA MAKKIYATUL BERLINNA 464849
SELVIN MANUPUTTY 464885
OKTA AMELIANA SIPAYUNG 464872

MAGISTER AKUNTANSI
FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS GADJAH MADA
2021
 CH 32
SIX SIGMA AND LEAN TECHNIQUES FPR INTERNAL AUDIT
Pendekatan peningkatan kualitas secara keseluruhan yang disebut Six Sigma pertama kali
didasarkan pada teknik jaminan kualitas Jepang yang dikembangkan pada tahun 1970-an dan
sekarang telah berhasil digunakan di Amerika Serikat dan di seluruh dunia untuk mengurangi
kesalahan dan meningkatkan efisiensi dalam semua aspek operasi perusahaan. Six Sigma
berakar pada prosedur pengendalian kualitas statistik tetapi sekarang dipandang lebih sebagai
pendekatan perbaikan proses. Bab ini akan memberikan kesan yang tinggi-tingkat pengenalan
konsep Six Sigma dan bagaimana mereka harus diterapkan dalam banyak aspek operasi
perusahaan. Kami akan memberikan gambaran umum tentang Six Sigma serta beberapa dari
apa yang disebut pendekatan Lean untuk mengimplementasikannya. Lean adalah istilah yang
semakin banyak digunakan dalam prosedur bisnis saat ini. Ini adalah pendekatan yang
membutuhkan dokumen yang komprehensif tetapi sangat berorientasi dan memecah hal-hal
menjadi minimal yang esensial. Sebuah konsep yang berguna di banyak area operasi, teknik
Lean sangat berharga untuk memahami aspek penting dari operasi Six Sigma.
32.1 SIX SIGMA BACKGROUND AND CONCEPTS
Sebagian besar auditor internal akan mengenali sigma sebagai salah satu huruf dalam alfabet
bahasa Yunani. Sebagai huruf besar Yunani, sigma muncul sebagai, dan dalam matematika
simbol ini biasanya mengacu pada jumlah rangkaian angka yang mengikutinya. Motorola
dengan antusias menerapkan standar kualitas Six Sigma ini selama produksi dan operasi
lainnya. Itu menjadi pemimpin yang diakui dalam operasi kualitas, dan perusahaan menerima
Penghargaan Kualitas Nasional Malcolm Baldrige pemerintah AS pada tahun 1988. Banyak
perusahaan besar lainnya, seperti GE dan Allied Signal, kemudian menganut konsep Six
Sigma sebagai pendekatan untuk meningkatkan layanan dan produktivitas pelanggan. Six
Sigma menerima banyak pers dan perhatian lainnya selama hari-hari ketika Motorola tampil
sebagai pemimpin kualitas. Meskipun Six Sigma berawal sebagai konsep jaminan kualitas
statistik, kepentingan sebenarnya adalah penggunaannya sebagai program untuk
meningkatkan kualitas proses secara keseluruhan, baik dalam produk atau layanan
manufaktur. Inisiatif Six Sigma yang efektif diimplementasikan melalui upaya tim kecil
menggunakan apa yang dikenal sebagai Define‐Measure‐Analyze‐Improve‐Control, atau
DMAIC, yang modelnya adalah:
- Menetapkan tujuan untuk aktivitas perbaikan.
- Mengukur kegiatan yang mencakup sistem yang ada.
- Menganalisa kebutuhan untuk mengidentifikasi cara-cara untuk menghilangkan
kesenjangan antara kinerja sistem saat ini dan tujuan yang diinginkan.
- Memperbaiki inisiatif sistem.
- Kontrol sistem baru atau yang direvisi.
Perbaikan proses Six Sigma tidak datang dari pihak luar seperti auditor atau konsultan
internal yang mengunjungi operasi dan kemudian membuat saran tentative untuk
meningkatkan proses. Sebaliknya, tim spesialis terlatih di area operasi meninjau operasi dan
menerapkan perbaikan proses di seluruh area itu. Ada peluang di sini untuk auditor internal
pada tiga tingkatan. Pertama, ketika audit internal menemukan proses Six Sigma saat
meninjau beberapa area operasi perusahaan, audit internal, dalam pelayanannya untuk
tujuan manajemen, mungkin mempertimbangkan tinjauan efektivitas program Six Sigma
yang ada sebagai bagian dari audit internalnya di daerah. Sebagai peluang kedua, auditor
internal mungkin ingin mempertimbangkan untuk merekomendasikan proses Six Sigma
sebagai bagian dari tinjauan mereka atas pengendalian internal di beberapa area. Area ketiga
yang kami sarankan adalah bahwa auditor internal harus mempertimbangkan penggunaan
proses Six Sigma untuk meningkatkan operasi audit internal mereka sendiri.
32.2 MELAKSANAKAN ENAM SIGMA
Six Sigma adalah pendekatan untuk membuat perusahaan secara keseluruhan lebih
menguntungkan dan efisien dan panggilan bagi perusahaan untuk menetapkan beberapa
tujuan yang sangat pasti yang akan mulai memberikan manfaat setelah diterapkan. Bagan
32.1 menguraikan jenis tujuan penyebaran dan proses yang mungkin berusaha dicapai oleh
perusahaan dengan mengadopsi program Six Sigma.

32.3 SIX SIGMA LEADERSHIP ROLES AND RESPONSIBILITIES

Implementasi Six Sigma yang efektif di perusahaan membutuhkan kepemimpinan yang
ditunjuk dan tim karyawan yang kuat dan terlatih yang meluncurkan proyek Six Sigma di
samping tanggung jawab pekerjaan normal mereka sendiri. Tim kepemimpinan perusahaan
yang meluncurkan dan mengelola Six Sigma harus mencakup:
- Six Sigma executive council. Atasan-kelompok tingkat manajer senior di seluruh
perusahaan harus dibentuk untuk mengelola inisiatif Six Sigma. Kelompok ini
menyarankan dan menyetujui tinggi-mempengaruhi proyek Six Sigma, melacak
kemajuan, meninjau keefektifan program, dan umumnya memberikan pesan
komunikasi di seluruh perusahaan. Meskipun analoginya sama sekali tidak lengkap,
dewan eksekutif Six Sigma mengambil semacam peran komite audit untuk inisiatif
Six Sigma.
 - Six Sigma director. Orang ini mengarahkan dan mengelola semua upaya Six Sigma.
Direktur adalah manajer program Six Sigma untuk beberapa proyek Six Sigma dan
memimpin upaya penerapan secara keseluruhan. Direktur memimpin dan
mengevaluasi keseluruhan inisiatif dan mengkomunikasikan kemajuannya kepada
pelanggan, pemasok, dan perusahaan.
- Master Black Belt. Certified Six Sigma Black Belts (CSSBBs) adalah orang-orang
yang telah menunjukkan pengetahuan dan keahlian yang terbukti dalam
mengimplementasikan Six Sigma. Ini melibatkan pengetahuan "buku teks" tentang
materi pelajaran (metodologi, alat, prinsip, dan topik terkait seperti kepemimpinan
dan manajemen perubahan), serta nyata dunia, penerapan metodologi dan alat yang
berhasil di lebih dari satu proyek Six Sigma. Seseorang dapat menjadi CSSBB dalam
berbagai cara: dari organisasi profesional, seperti American Society for Quality, dari
beberapa perusahaan konsultan, atau dari perusahaan aktif Six Sigma
- Six Sigma Black Belts. Black Belts memimpin upaya peningkatan proses secara
keseluruhan dan bertanggung jawab langsung untuk proyek-proyek Six Sigma kunci
tertentu. Black Belts sering melayani organisasi mereka untuk tugas yang berlangsung
selama satu atau dua tahun, kemudian kembali ke tugas pekerjaan biasa mereka.
- Green Belts. Para profesional ini memiliki pemahaman dasar tentang proses Six
Sigma dan berfungsi sebagai bagian asisten waktu untuk perusahaan mereka sambil
mempertahankan tanggung jawab pekerjaan normal. Mereka mengerjakan proyek Six
Sigma tetapi pada level yang lebih junior daripada Black Belts.
- Six Sigma improvement teams. Mengikuti kepemimpinan Black and Green Belts,
banyak orang lain yang mungkin ditugaskan untuk proyek Six Sigma-dasar waktu.
Bergantung pada sifat proyek Six Sigma, mungkin ada kebutuhan untuk pengumpulan
data terperinci, pengujian proses, atau persiapan dokumentasi untuk mencapai hasil
Six Sigma.
Seluruh konsep di sini adalah bahwa tim sabuk Six Sigma yang ditunjuk harus mempelajari
area operasi untuk mengidentifikasi proses atau area layanan dengan tujuan untuk
menghilangkan kesalahan atau pemborosan untuk membawa operasi ke standar Six Sigma
kurang dari 3,4 cacat per juta peluang. Ini adalah standar yang sangat ketat. Auditor internal
yang terbiasa meninjau dokumen untuk pelanggaran pengendalian internal tetapi kadang-
kadang memberikan pelanggaran kecil mungkin menemukan aturan Six Sigma cukup ketat.
Hampir tidak ada toleransi untuk kesalahan atau pengecualian jenis apa pun di bawah aturan
Six Sigma. Bahkan ketika suatu perusahaan belum secara resmi mengadopsi program Six
Sigma secara keseluruhan.
32.4 LAUNCHING AN ENTERPRISE SIX SIGMA PROJECT
Keberhasilan Six Sigma dimulai melalui penerapan banyak upaya kecil untuk melakukan
perbaikan. Mirip dengan auditor internal yang melakukan tinjauan untuk meningkatkan
pengendalian internal, tim Six Sigma akan melihat hampir semua proses dan memilih
sejumlah kecil proses penting sebagai kandidat untuk menemukan peluang perbaikan.
Perbedaan penting adalah bahwa audit internal umumnya dimulai dengan pendekatan tingkat
tinggi — seperti rencana untuk meninjau pengendalian internal di beberapa unit operasi. Tim
Six Sigma biasanya akan mengembangkan diagram alur yang terperinci mencakup operasi
besar dan kecil dan kemudian akan menanyakan pertanyaan berikut untuk lebih memahami
proses kandidat Six Sigma:
- Untuk pemangku kepentingan manakah proses tersebut pada dasarnya ada?
- Nilai apa yang dibuat oleh proses atau keluaran apa yang dihasilkan?
 - Siapa pemilik proses?
- Siapa atau bidang pendukung apa yang memberikan masukan untuk proses tersebut?
- Apa masukan untuk proses tersebut?
- Sumber daya apa — orang, TI, atau lainnya — yang digunakan proses ini?
- Apakah ada subproses dengan titik awal dan akhir yang berbeda-beda?
- Langkah-langkah apa dalam proses tersebut yang menciptakan nilai?
Proyek Six Sigma mengikuti langkah DMAIC dari Menetapkan-Mengukur-Menganalisa-
Memperbaiki-Kontrol. Prosedur proyek Six Sigma DMAIC merupakan proses berulang
berdasarkan tujuan perbaikan konstan. Langkah pertama dalam mendefinisikan proyek
sangatlah penting. Tujuan proyek, potensi tingkat pengembalian investasi, dan harapan
seperti tingkat kepuasan pelanggan atau karyawan harus ditentukan. Langkah-langkah
mengukur, menganalisis, dan mengambil langkah-langkah untuk meningkatkan proses
mengikuti. Langkah-langkah pengendalian terakhir meminta tim proyek untuk melaksanakan
dan melembagakan perbaikan proses yang direkomendasikan dan diinstal.
32.5 LEAN SIX SIGMA
Perbedaan utama antara kedua konsep ini adalah bahwa Six Sigma menekankan pada
kualitas, sedangkan manufaktur Lean menekankan pada kecepatan produksi. Seiring waktu,
program-program ini telah digabungkan dalam konsep yang disebut Lean Six Sigma. Proses
pemikiran utama dalam Lean adalah mengidentifikasi "pemborosan" atau "tidak-nilai-
menambahkan aktivitas” dari perspektif pelanggan dan kemudian menentukan bagaimana

cara menghilangkannya secara efektif. Penentuan nilai adalah konsep kunci di balik produksi
atau manufaktur Lean. Nilai didefinisikan sebagai item atau fitur yang bersedia dibayar oleh
pelanggan. Semua aspek lain dari proses tersebut dianggap pemborosan. Lean Six Sigma juga
menekankan peningkatan dalam aliran nilai proses secara keseluruhan dan penghapusan
pemborosan. Tampilan 32.5 berisi beberapa contoh pemborosan proses, beberapa area yang
coba dikurangi oleh teknik Lean Six Sigma dan yang akan dilihat oleh banyak auditor
internal sebagai area potensial untuk perbaikan.

32.6 AUDITING SIX SIGMA PROCESSES

 Meskipun manfaat dari program Six Sigma harus kuat, masalah dapat berkembang karena
beberapa masalah berikut:
- Manajemen proyek terbatas.
Six Sigma membutuhkan
dengan baik pikir proyek-
proyek dengan tujuan yang baik
dan perencanaan yang rinci. Ini
kadang-kadang bisa terlewatkan
ketika tim Six Sigma
mengerjakan proyek ini
bersama dengan tugas kerja
reguler mereka.
- Kontrol anggaran yang
buruk. Kegembiraan
meluncurkan upaya Six Sigma
dapat membuat hampir terbuka
lingkungan buku cek di mana
tidak ada perhatian yang
diberikan pada biaya karena ini
adalah "Six Sigma." Proyek
terkadang kekurangan kontrol
manajemen proyek yang kuat.
- Dokumentasi pendukung
terbatas. Konsep seperti Lean
mendorong para profesional
untuk memangkas dokumen
yang mendukung hasil Six
Sigma, dan persyaratan di sini
sangat berbeda dari materi
pendukung auditor internal.
Namun demikian, harus selalu
ada beberapa tingkat dokumentasi untuk menguatkan hasil Six Sigma.
- Kegagalan untuk mengkoordinasikan upaya Six Sigma. Akan selalu ada risiko
bahwa beberapa tim Six Sigma beroperasi hampir saling silang-tujuan di antara
mereka sendiri dan dalam operasi perusahaan normal. Seringkali ada kebutuhan untuk
beberapa manajemen program multiproyek.
Ketika merencanakan untuk menjadwalkan peninjauan upaya Six Sigma, audit internal akan
sering menemukan bahwa bahaya memasuki ladang ranjau. Audit internal perlu
menunjukkan tujuan keseluruhannya untuk meninjau pengendalian internal dan
kemampuannya untuk menilai kualitas keseluruhan dari program semacam itu. Upaya Six
Sigma sering dilakukan terutama di lantai pabrik, sementara audit internal mungkin lebih
berorientasi pada kantor pusat perusahaan. Audit internal perlu menjembatani kesenjangan
itu. Tampilan 32.6 berisi beberapa prosedur audit internal untuk meninjau program Six
Sigma perusahaan.
32.7 SIX SIGMA IN INTERNAL AUDIT OPERATIONS
Jaminan kualitas yang efektif dapat ditingkatkan dengan membangun program seperti Six
Sigma memantau kinerja dengan lebih baik, mengurangi pengecualian, dan meningkatkan
kualitas operasi audit internal secara keseluruhan. Karena hampir setiap audit internal yang
dijadwalkan akan berbeda, banyak dari prinsip Six Sigma yang dibahas dalam bab ini tidak
akan berlaku untuk operasi audit internal biasa. Namun, konsep dasar Six Sigma dari
kegiatan pemantauan ketat dan menghilangkan kesalahan dan pengecualian sangat penting.
Tindakan ini akan meningkatkan kualitas keseluruhan kegiatan audit internal dan akan
membantu orang lain di perusahaan menyadari bahwa audit internal mengikuti prinsip Six
Sigma. Six Sigma, dan khususnya Lean Six Sigma, telah menjadi inisiatif utama di banyak
perusahaan di seluruh dunia selama beberapa tahun. Meskipun mereka mungkin tidak
memiliki tingkat pengetahuan Sabuk Hitam atau Hijau, auditor internal harus
mengembangkan pemahaman CBOK umum yang luas tentang prinsip-prinsip Six Sigma.
Dengan cara ini, mereka dapat menunjukkan pengetahuan dan pemahaman tentang konsep
penting ini dalam banyak aktivitas audit internal mereka.
 Chapter 33
ISO DAN STANDAR AUDITOR INTERNAL SELURUH DUNIA
Bab ini, bagaimanapun, terutama akan melihat standar pengendalian internal keuangan
dari perspektif internasional dan akan memberikan gambaran tentang apa yang oleh dunia
berbahasa Inggris disebut Standar Audit Internasional, seperangkat pedoman yang berlaku di
seluruh dunia. Banyak profesional telah melihat kata-kata "ISO Terdaftar" di brosur dan
materi iklan lainnya. Sementara Amerika Serikat sering mendorong standarnya di seluruh
dunia, Organisasi Internasional untuk Standardisasi (dikenal sebagai ISO; www.iso.org)
bertanggung jawab mengeluarkan standar dan pedoman di banyak bidang bisnis dan
teknologi. Bab ini akan membahas beberapa standar ISO yang penting bagi auditor internal.
Pemahaman dasar pengetahuan umum (CBOK) tentang standar ISO penting bagi auditor
internal di seluruh dunia. Kepatuhan ISO penting untuk ekonomi global saat ini, dan audit
internal dapat membantu memastikan kepatuhan ISO yang efektif. Bab ini memperkenalkan
beberapa standar ISO yang penting untuk auditor internal, proses pendaftaran ISO, dan audit
kualitas ISO.

33.1 LATAR BELAKANG STANDAR ISO

Pada tahun-tahun setelah Perang Dunia II, Amerika Serikat muncul sebagai pemimpin
ekonomi dan politik di seluruh dunia. Karena dominasi ini, banyak orang di Amerika Serikat
mengabaikan standar praktik terbaik komersial yang dikembangkan dan digunakan di tempat
lain dalam ekonomi kita yang terhubung secara global. Standar praktik terbaik internasional
ini merupakan upaya kolaboratif yang memperhitungkan berbagai kebutuhan dan persyaratan
nasional. Sumber dari banyak standar ini adalah ISO, badan internasional yang berbasis di
Jenewa, Swiss, yang telah mengeluarkan standar yang diakui dengan baik yang mencakup
berbagai bidang, mulai dari spesifikasi untuk ulir sekrup mesin pengikat pada mesin mobil,
hingga ketebalan. dari kartu kredit pribadi, hingga standar kualitas teknologi informasi (TI).
Standar ini telah dikembangkan selama bertahun-tahun untuk mencakup banyak bidang yang
penting bagi tata kelola dan kualitas perusahaan.
Eksekutif perusahaan senior harus memiliki pemahaman tentang peran setiap standar
ISO yang sesuai dalam bisnis mereka. Pertama-tama kita akan melihat standar internasional
yang disebut ISO 9000. Meskipun tidak berfokus pada masalah tata kelola TI secara khusus,
prinsip-prinsip yang diuraikan dalam standar ini telah mendorong banyak perusahaan di
seluruh dunia, dasar untuk membangun dan terus menerapkan praktik kualitas dalam proses
manufaktur dan proses bisnis lainnya.
Perusahaan kemudian dapat mengambil langkah-langkah yang diperlukan untuk
mematuhi standar, tetapi untuk mengesahkan kepatuhan mereka harus kontrak dengan auditor
luar bersertifikat, dengan keterampilan dalam standar tersebut, untuk membuktikan
kepatuhan mereka. Kepatuhan dengan standar ISO 9000 memungkinkan perusahaan di
seluruh dunia untuk merancang operasi mereka sesuai dengan standar tunggal yang konsisten
dan kemudian menegaskan bahwa mereka memiliki sistem manajemen mutu sesuai dengan
standar internasional. Standar ISO diterbitkan dan dikendalikan oleh organisasi ISO di
Jenewa mengikuti aturan hak cipta yang ketat. Ini bukanlah jenis materi yang dapat diunduh
melalui pencarian Web biasa; mereka harus dibeli. Banyak dari standar ISO sebenarnya
hanyalah garis besar praktik yang sangat rinci yang harus diikuti.
 Standar ISO berisi lebih banyak konten dan detail daripada kerangka kerja kontrol
internal COSO atau praktik terbaik yang direkomendasikan ITIL®, ISO mewakili ukuran
kinerja untuk suatu perusahaan dan rekan-rekannya. Ini adalah standar global yang akan
memungkinkan perusahaan untuk bertahan dan memenuhi syarat untuk beroperasi sesuai
dengan standar internasional yang konsisten.
Merupakan satu hal bagi perusahaan untuk membaca standar ISO dan mengubah
prosesnya untuk mengikutinya; mereka harus menunjukkan kepada orang lain, seperti
pelanggan dan mitra dagang, bahwa mereka mengikuti standar. Untuk membuktikan
kepatuhan mereka terhadap standar ISO, perusahaan harus membuat kontrak dengan peninjau
luar yang berwenang untuk menilai kepatuhan perusahaan terhadap standar tersebut.
Sertifikasi ISO ini adalah proses yang agak mirip dengan audit eksternal atas catatan
keuangan yang dilakukan oleh akuntan publik bersertifikat (CPA). Audit laporan keuangan di
Amerika Serikat memerlukan auditor eksternal CPA berlisensi untuk menilai apakah laporan
keuangan perusahaan "dinyatakan secara wajar", mengikuti kontrol internal yang baik dan
standar akuntansi yang diakui.
Proses sertifikasi ISO juga mirip dengan audit keuangan A.S. yang dipimpin CPA yang
didasarkan pada kepatuhan dengan standar audit yang diterima secara umum (GAAS) yang
dilakukan oleh kantor akuntan publik besar. Auditor luar ISO yang memenuhi syarat dapat
mengidentifikasi area untuk tindakan korektif dan menerbitkan laporan kepada manajemen
serupa dengan proses audit internal. Setelah rekomendasi auditor ISO dikoreksi, peninjau luar
akan menyatakan bahwa perusahaan mematuhi standar tersebut. Setelah disertifikasi,
perusahaan dapat mengiklankan ke dunia luar bahwa mereka memiliki proses efektif yang
memenuhi standar ISO tertentu.

33.2 IKHTISAR STANDAR ISO

Meskipun hampir semua perusahaan publik diharapkan memiliki laporan keuangan yang
diaudit, aturannya tidak sama mengenai kepatuhan dengan standar ISO. Dalam kebanyakan
kasus, kepatuhan terhadap standar ISO bersifat sukarela tetapi seringkali tetap penting. Kami
telah mengutip standar ISO yang mencakup ketebalan dan ukuran kartu kredit pribadi sebagai
contoh. Perusahaan yang membuat kartu atau pembaca kartu yang tidak memenuhi standar
tersebut akan segera gagal di pasar.
Auditor internal harus mempelajari lebih lanjut tentang status kepatuhan standar ISO
yang berlaku dalam perusahaan mereka atau area aktivitas audit internal. Tidak ada satu
standar ISO yang sebanding dengan kerangka kerja pengendalian internal COSO, tetapi
beberapa standar penting yang mencakup area yang mendukung kerangka COSO. Bagian
berikut menguraikan beberapa area ISO di mana kepatuhan dengan standar itu akan sangat
mendukung kepatuhan terhadap kerangka COSO.
Sistem Manajemen Mutu ISO 9001
ISO 9000 tentang sistem manajemen mutu adalah salah satu standar ISO sebelumnya.
Standar internasional ini pertama kali mendapat perhatian paling besar di negara-negara
Eropa yang baru pulih. Standar kualitas ISO 9000 menjadi faktor yang semakin penting untuk
mengukur dan menilai kualitas produk di seluruh dunia.
ISO 9000 bukan hanya satu dokumen standar tetapi keluarga standar untuk sistem
manajemen mutu. Dikelola oleh ISO, standar ini mencakup persyaratan untuk hal-hal seperti:
  Memantau proses untuk memastikannya efektif
 Menyimpan catatan yang memadai
 Memeriksa keluaran untuk kerusakan, dengan tindakan korektif yang sesuai
jika diperlukan
 Secara teratur meninjau proses individu dan sistem mutu untuk efektivitas
 Memfasilitasi peningkatan berkelanjutan
Setiap item daftar mengacu pada proses, bukan tindakan spesifik. Setiap perusahaan,
dalam lingkup dunia, yang berpegang pada standar tersebut menyatakan bahwa ia memiliki
sistem kualitas yang efektif. Sebuah perusahaan atau organisasi yang telah diaudit dan
disertifikasi secara independen agar sesuai dengan ISO 9001, misalnya, dapat secara terbuka
menyatakan bahwa itu adalah "bersertifikat ISO 9001" atau "terdaftar ISO 9001". Sertifikasi
ke standar ISO 9000 tidak menjamin kepatuhan (dan karenanya kualitas) produk dan layanan
akhir; sebaliknya, ini menyatakan bahwa bisnis yang konsisten dan proses produksi sedang
diterapkan.
Sertifikasi aktual dicapai melalui tinjauan oleh auditor ISO terdaftar yang bersertifikat
untuk standar ISO tertentu. Proses ini mirip dengan peninjauan CPA dan audit tersertifikasi
atas laporan keuangan perusahaan atau audit internal khusus yang secara khusus diminta oleh
komite audit. Diatur oleh organisasi standar nasional mereka, auditor ISO diberi wewenang
untuk mendaftarkan kepatuhan perusahaan dengan standar ISO yang unik.
ISO 9000, serta standar ISO lainnya, memberlakukan persyaratan dokumentasi yang
berat pada perusahaan dan tentu saja lebih dari yang diharapkan di bawah kerangka
pengendalian internal COSO. Harus ada proses yang berkelanjutan untuk menjaga agar
dokumentasi tersebut tetap mutakhir dari waktu ke waktu. Di tahun-tahun sebelumnya,
banyak perusahaan melakukan upaya satu kali untuk membuat dokumentasi dan kemudian
tidak pernah memperbaruinya. Kurangnya dokumentasi ini sering kali menjadi temuan
laporan audit kecil yang hanya menghasilkan sedikit tindakan korektif yang pasti. Kepatuhan
ISO 9000 meningkatkan persyaratan dokumentasi untuk proses kualitas ke tingkat yang
benar-benar baru. Peninjau luar harus menyatakan bahwa perusahaan dan dokumentasi
pendukungnya telah sesuai untuk menunjukkan kepada dunia luar bahwa perusahaan tersebut
mengikuti standar ISO. Untuk memperjelas, ISO 9000 bukan hanya satu standar tetapi benar-
benar serangkaian standar dan pedoman yang "dapat disertifikasi":
 ISO 9001: Standar bersertifikat yang berhubungan dengan desain
 ISO 9002: Standar bersertifikat yang berhubungan dengan manufaktur
 ISO 9003: Standar bersertifikat yang berhubungan dengan manufaktur dan
perakitan
 ISO 9004: Pedoman yang menjelaskan sistem kualitas
ISO 9000 adalah seperangkat standar untuk sistem kualitas yang didorong oleh
peningkatan berkelanjutan, tidak peduli apakah itu komponen yang diproduksi atau proses
layanan. Penting bagi semua jenis perusahaan untuk menegaskan kepada manajemen internal
mereka sendiri dan kepada dunia luar bahwa mereka mewakili perusahaan yang berfokus
pada kualitas. Kepatuhan dengan ISO 9000 tidak berarti kepatuhan dengan kontrol internal
COSO, dan sebaliknya. Namun demikian, perusahaan di semua tingkatan harus
mempertimbangkan untuk mengadopsi proses ISO 9000.
Standar Keamanan TI ISO: ISO 27002
 ISO 27002 adalah standar keamanan terkait TI yang dirancang untuk membantu setiap
perusahaan yang perlu membuat program manajemen keamanan informasi yang
komprehensif atau meningkatkan praktik keamanan informasinya saat ini. ISO 27002 adalah
standar tentang keamanan informasi dan informasi dalam pengertian umum dan menyeluruh
dan serupa dengan komponen Informasi dan Komunikasi dari pengendalian internal COSO.
Karena informasi tersebut dapat ada dalam berbagai bentuk, standar mengambil pendekatan
yang sangat luas dan mencakup berbagai standar keamanan yang mencakup keamanan
mengenai:
 File elektronik data dan perangkat lunak
 Semua format dokumen kertas, termasuk bahan cetakan, catatan tulisan
tangan, dan bahkan foto
 Rekaman video dan audio
 Percakapan telepon serta email, faks, video, dan bentuk pesan lainny
Konsepnya di sini adalah bahwa semua bentuk informasi memiliki nilai dan perlu
dilindungi seperti aset perusahaan lainnya. Banyak perusahaan saat ini bahkan tidak
mempertimbangkan standar keamanan di banyak bidang luas lainnya ini, tetapi standar ISO
menyarankan agar standar tersebut dicakup jika sesuai. Selain itu, infrastruktur yang
mendukung informasi tersebut, termasuk jaringan, sistem, dan fungsi, juga harus dilindungi
dari berbagai macam ancaman termasuk mulai dari human error dan kegagalan peralatan
hingga pencurian, penipuan, vandalisme, sabotase, kebakaran, banjir, dan lain-lain. bahkan
terorisme. Mirip dengan semua standar ISO lainnya, standar yang diterbitkan ini tidak benar-
benar menentukan apa yang secara khusus diperlukan tetapi menguraikan area di mana
terdapat persyaratan untuk standar terkait keamanan.
Sebagai langkah pertama untuk menerapkan ISO 27002, perusahaan harus
mengidentifikasi kebutuhan dan persyaratan keamanan informasinya sendiri. Hal ini
memerlukan pelaksanaan penilaian risiko keamanan informasi sesuai dengan proses
Manajemen Risiko Perusahaan COSO. Penilaian tersebut harus berfokus pada identifikasi
ancaman dan kerentanan keamanan utama serta penilaian tentang seberapa besar
kemungkinan masing-masing akan menyebabkan insiden keamanan. Proses ini akan
membantu untuk menunjukkan dengan tepat kebutuhan dan persyaratan keamanan informasi
unik perusahaan.
Langkah selanjutnya adalah perusahaan harus mengidentifikasi dan memahami semua
persyaratan hukum, undang-undang, peraturan, dan kontrak yang harus dimiliki organisasi,
mitra dagang, kontraktor, dan penyedia layanannya. terpenuhi. Ini memerlukan pemahaman
dan identifikasi kebutuhan dan persyaratan keamanan informasi hukum unik perusahaan.
ISO 27002 adalah standar internasional yang dimaksudkan untuk setiap perusahaan yang
menggunakan sistem TI internal atau eksternal, memiliki data rahasia, bergantung pada TI
untuk menjalankan aktivitas bisnisnya, atau hanya ingin mengadopsi tingkat keamanan yang
lebih tinggi dengan mematuhi standar. ISO 27002 merupakan tanda kepercayaan pada
keamanan keseluruhan perusahaan, dengan cara yang sama bahwa ISO 9000 telah menjadi
jaminan kualitas.
Persyaratan Teknik Keamanan TI: ISO 27001
Meskipun ISO 27002 mencakup kontrol keamanan, ISO 27001 adalah apa yang
didefinisikan oleh ISO sebagai "spesifikasi" untuk apa yang oleh ISO disebut Sistem
Manajemen Keamanan Informasi (ISMS). Artinya, standar ini dirancang untuk mengukur,
memantau, dan mengontrol manajemen keamanan dari perspektif top-down. Standar ini pada
dasarnya menjelaskan bagaimana menerapkan ISO 27002 dan mendefinisikan
implementasinya sebagai proses enam bagian sebagai berikut:
1. Tentukan kebijakan keamanan. Komponen fundamental dari setiap standar adalah
kebutuhan akan pernyataan kebijakan formal yang disetujui oleh manajemen senior.
Semua aspek kepatuhan lainnya dari standar akan diukur terhadap pernyataan
kebijakan ini.
2. Tentukan ruang lingkup SMKI. ISO 27002 mendefinisikan keamanan dalam istilah
yang agak luas yang mungkin tidak sesuai atau dibutuhkan untuk semua perusahaan.
Setelah menetapkan kebijakan keamanan tingkat tinggi, perusahaan perlu menentukan
ruang lingkup SMKI yang akan diterapkan.
3. Lakukan penilaian risiko. Perusahaan harus mengidentifikasi metodologi penilaian
risiko yang sesuai dengan lingkungan SMKI dan kemudian mengembangkan kriteria
untuk menerima risiko dan untuk menentukan apa yang merupakan tingkat risiko
yang dapat diterima.
4. Kelola risikonya. Ini adalah proses utama yang mencakup identifikasi risiko formal,
analisis risiko, dan opsi untuk penanganan risiko tersebut. Yang terakhir dapat
mencakup penerapan kontrol penghindaran risiko yang tepat, menerima risiko,
mengambil langkah lain untuk menghindarinya, atau mentransfer risiko ke pihak lain
seperti perusahaan asuransi atau pemasok.
5. Pilih tujuan pengendalian dan pengendalian yang akan diterapkan. Ini adalah proses
pengendalian internal tentang lingkungan pengendalian internal COSO. Untuk setiap
tujuan pengendalian yang ditetapkan, perusahaan harus menetapkan prosedur
pengendalian internal yang sesuai.
6. Siapkan pernyataan penerapan. Ini adalah dokumentasi formal yang diperlukan untuk
menyelesaikan proses dokumentasi SMKI. Dokumentasi tersebut cocok dengan tujuan
pengendalian dengan prosedur untuk mengelola dan menerapkan SMKI. Dari
perspektif audit internal, langkah ini mendekati laporan audit akhir.
Analisis risiko dan kebijakan keamanan sangat penting untuk standar ISO ini. Meskipun
pengaturan praktik-praktik ini bukanlah hal yang biasa dibuktikan oleh audit internal,
manajemen internal dapat memberikan bantuan yang kuat kepada manajemen perusahaan
dengan menawarkan untuk melayani sebagai konsultan internal dan membantu dalam
melaksanakan prosedur penilaian risiko yang memadai.

Manajemen Kualitas Layanan: ISO 2000

ISO 2000 tentang manajemen kualitas layanan memperkenalkan beberapa dari
konvergensi standar yang sangat dibutuhkan ini. Ini adalah standar internasional untuk
manajemen layanan TI, dan ini memperkenalkan banyak praktik terbaik manajemen layanan
ITIL®. ISO 2000 terdiri dari:
- Bagian I tentang penerapan manajemen layanan. Bagian I dari standar ini
menetapkan kebutuhan untuk serangkaian proses terdokumentasi manajemen
layanan, seperti menentukan persyaratan untuk menerapkan sistem manajemen
tersebut, persyaratan layanan baru atau yang diubah, dan hubungan yang
terdokumentasi, kontrol, resolusi, dan proses rilis.
- Bagian II yang menjelaskan praktik terbaik untuk manajemen layanan.
ISO 2000 menghimbau suatu perusahaan untuk mengadopsi dan disertifikasi bahwa
mereka telah mengadopsi praktik terbaik ITIL®. ISO 2000 adalah standar global untuk
manajemen layanan TI dan sepenuhnya kompatibel dengan dan mendukung kerangka kerja
ITIL®.

33.3 ISO 38500 STANDAR TATA KELOLA TI

ISO 38500 adalah kerangka kerja lain untuk membantu mendukung praktik tata kelola TI
yang efektif untuk perusahaan. Bagian ini akan memberikan penjelasan tentang ISO 38500
dan bagaimana hal itu dapat membantu auditor internal lebih memahami pentingnya praktik
tata kelola TI yang efektif.
Tujuan ISO 38500
Standar ini memberikan kerangka prinsip untuk auditor internal dan manajer senior
untuk digunakan saat mengevaluasi, mengarahkan, dan memantau penggunaan TI di
perusahaan mereka. Hal ini akan membantu peninjau untuk memahami dan memenuhi
kewajiban hukum, peraturan, dan etika terkait penggunaan TI oleh perusahaan mereka.
Kerangka kerja tersebut terdiri dari definisi, prinsip, dan model tata kelola dengan tujuan:
 Memberikan jaminan kepada semua pemangku kepentingan perusahaan bahwa
mereka dapat memiliki keyakinan terhadap tata kelola TI organisasi mereka
 Menginformasikan dan membimbing manajer senior dalam mengatur penggunaan
TI di organisasi mereka
 Memberikan dasar untuk evaluasi obyektif tata kelola perusahaan TI
ISO 38500 juga dimaksudkan untuk memandu mereka yang terlibat dalam merancang
dan mengimplementasikan sistem manajemen senior pada kebijakan dan proses yang efektif
yang mendukung tata kelola TI. Standar ini berlaku untuk tata kelola manajemen TI dan
proses keputusan yang dikendalikan oleh spesialis TI dalam organisasi, oleh penyedia
layanan eksternal, atau oleh unit bisnis perusahaan lainnya. Tujuan standar adalah untuk
memberikan panduan kepada profesional TI yang menasihati, menginformasikan, atau
membantu eksekutif senior
Kerangka ISO 38500 dan Tata Kelola TI
Standar tersebut menetapkan enam prinsip tata kelola TI yang baik yang dapat diterapkan
ke sebagian besar perusahaan. Standar tersebut tidak disusun dalam bentuk serangkaian
tujuan pengendalian audit internal tetapi menguraikan prinsip-prinsip penting untuk fungsi TI
yang terkelola dengan baik.
 Prinsip 1: Tanggung jawab. Individu dan kelompok dalam perusahaan harus
memahami dan menerima tanggung jawab mereka sehubungan dengan penyediaan
dan permintaan untuk layanan dan sumber daya TI. Mereka yang memiliki tanggung
jawab atas tindakan juga memiliki kewenangan untuk melakukan tindakan tersebut.
 Prinsip 2: Strategi. Strategi bisnis perusahaan harus mempertimbangkan kapabilitas TI
saat ini dan di masa depan; rencana strategis untuk TI ini harus memenuhi kebutuhan
strategi bisnis perusahaan saat ini dan yang sedang berlangsung.
 Prinsip 3: Akuisisi. Akuisisi komponen atau sumber daya TI harus dilakukan untuk
alasan yang valid, berdasarkan analisis yang sesuai dan berkelanjutan, dengan
pengambilan keputusan yang jelas dan transparan. Harus ada keseimbangan yang
tepat antara manfaat, peluang, biaya, dan risiko, baik dalam jangka pendek maupun
jangka panjang.
  Prinsip 4: Kinerja. Fungsi TI perusahaan harus diatur untuk tujuan mendukung
perusahaan, menyediakan layanan, tingkat layanan, dan kualitas layanan yang
diperlukan untuk memenuhi persyaratan bisnis perusahaan saat ini dan di masa depan.
 Prinsip 5: Kesesuaian. TI harus mematuhi semua undang-undang dan peraturan wajib,
dengan kebijakan dan praktik yang didefinisikan dengan jelas, diterapkan, dan
ditegakkan.
 Prinsip 6: Perilaku manusia. Kebijakan, praktik, dan keputusan TI harus menunjukkan
rasa hormat terhadap perilaku manusia, termasuk kebutuhan saat ini dan yang terus
berkembang dari semua orang dalam proses tersebut.
Selain prinsip-prinsip dasar ini, standar memberikan model tata kelola TI, seperti yang
ditunjukkan pada Tampilan 33.3.

Proses tata kelola TI secara keseluruhan dijelaskan dalam segitiga tengah pameran.
Model tersebut menunjukkan tekanan bisnis dan kebutuhan bisnis yang memengaruhi proses
tata kelola TI. Proses tata kelola kemudian berada di atas keseluruhan proses TI di mana
berbagai proposal dari dalam TI memengaruhi proses tata kelola TI. Selain itu, proses tata
kelola TI memberikan rencana dan kebijakan untuk TI, dan fungsi TI secara keseluruhan
memberikan informasi kinerja dan kesesuaian dengan tata kelola TI. Di dalam segitiga tata
kelola TI di Exhibit 33.3, ada tiga fungsi proses bernama Evaluate, Monitor, dan Direct.
Standar ISO memberikan definisi untuk masing-masing ini.
Manajer senior TI harus memeriksa dan membuat penilaian tentang penggunaan semua
sumber daya TI saat ini dan di masa depan, termasuk strategi, proposal, dan pengaturan
pasokan (baik internal, eksternal, atau keduanya). Dalam mengevaluasi penggunaan TI,
manajemen harus mempertimbangkan tekanan eksternal atau internal yang bekerja pada
bisnis, seperti perubahan teknologi, tren ekonomi atau sosial, dan pengaruh politik.
Jika perusahaan telah mengambil langkah-langkah untuk mematuhi ISO 38500, audit
internal harus menentukan bahwa evaluasi ini berlangsung terus menerus, seiring dengan
perubahan tekanan. Mereka juga harus mempertimbangkan kebutuhan bisnis saat ini dan
masa depan — tujuan organisasi saat ini dan masa depan yang harus mereka capai, seperti
mempertahankan keunggulan kompetitif, serta tujuan spesifik dari strategi dan proposal yang
mereka evaluasi.
 Mengikuti pedoman ISO 38500, manajemen senior harus menetapkan tanggung jawab
dan mengarahkan persiapan serta implementasi rencana dan kebijakan tata kelola TI.
Rencana harus menentukan arah investasi baik dalam proyek dan operasi TI. Kebijakan ini
harus menetapkan perilaku yang baik dalam penggunaan TI oleh perusahaan. Manajemen TI
harus memastikan bahwa transisi semua jenis proyek pengembangan dan implementasi dalam
transfer ke status operasional direncanakan dan dikelola dengan baik, dengan
mempertimbangkan dampak pada praktik bisnis dan operasional serta sistem dan
infrastruktur TI yang ada.
Panduan ISO 38500 meminta manajemen TI senior untuk mendorong budaya tata kelola
TI yang baik dengan meminta manajer untuk memberikan informasi yang tepat waktu, untuk
mematuhi arahan, dan untuk menyesuaikan dengan enam prinsip tata kelola yang baik yang
telah direferensikan sebelumnya. Auditor internal, dalam tinjauan mereka terhadap
pengendalian internal TI, harus memantau, melalui sistem pengukuran yang tepat, kinerja TI
secara keseluruhan. Mereka harus meyakinkan diri sendiri bahwa kinerja ini sesuai dengan
rencana, terutama yang berkaitan dengan tujuan bisnis. Audit internal juga harus memastikan
bahwa TI sesuai dengan kewajiban eksternal peraturan, legislatif, dan kontrak serta dengan
praktik kerja internal.
Banyak standar ISO yang berlaku, dan ISO 38500, dapat membantu dan memperkuat tata
kelola TI perusahaan secara keseluruhan.
33.4 STANDAR ISO DAN KERANGKA PENGENDALIAN INTERNAL COSO
Meskipun banyak eksekutif senior dan bahkan auditor internal mereka tidak terlalu dekat
dengan standar ISO di masa lalu, kami berharap hal ini berubah. COBIT, menjadi lebih
selaras dengan ISO 27002, dan kita dapat melihat auditor internal semakin terlibat dengan
standar kualitas ISO. Jika sesuai, auditor internal harus mencoba untuk memasukkan standar
ISO yang sesuai dalam audit pengendalian internal TI mereka.
Konsep di balik standar kualitas dan keamanan ISO mirip dengan kerangka kerja
pengendalian internal COSO. Perbedaan besar adalah bahwa standar ISO menguraikan
ekspektasi yang signifikan. Artinya, di bawah ISO perusahaan harus memiliki proses
pengendalian internal tertentu, seperti dokumentasi yang diuji untuk beberapa proses, dan
auditor ISO eksternal yang meninjau area tersebut akan menguji dan memastikan bahwa
standar ISO tersebut ada dan efektif. COSO hanya menguraikan beberapa persyaratan umum,
seperti kebutuhan untuk proses penilaian risiko, tetapi tidak ada persyaratan selain COSO
yang lebih baik dalam menentukan persyaratan yang diperlukan untuk mencapai kepatuhan
pengendalian internal COSO.
Tujuan dari bab ini adalah untuk memperkenalkan beberapa standar ISO yang mirip
dengan persyaratan pengendalian internal COSO dan memperkenalkan beberapa perbedaan
antara COSO dan ISO. Auditor internal harus mengetahui standar ISO dan harus bekerja
untuk merekomendasikan kepatuhan di area yang sesuai, tetapi harus memfokuskan
pengendalian internal perusahaan pada kerangka COSO.
33.5 STANDAR AUDIT INTERNAL DAN AUDIT INTERNASIONAL
Standar akuntansi dan audit telah ditetapkan selama bertahun-tahun pada basis negara
per negara oleh dewan profesional atau pemerintah serta oleh badan pengaturan standar
internasional. Masing-masing negara mungkin secara penuh atau hanya menerima standar
internasional ini. Akuntansi dan standar audit internasional menggunakan rangkaian inisial
yang sama yang sering kali membingungkan. Ada Standar Internasional tentang Auditing
(ISA), serta Standar Akuntansi Internasional (IAS). Standar audit ISA ditetapkan oleh
International Federation of Accountants (IFAC) melalui International Auditing and
Assurance Standards Board (IAASB), yang menerbitkan ISA ini serta Pernyataan Praktik
Audit Internasional (IAPS). Untuk memperumit gambaran, ada juga Organisasi Internasional
Lembaga Audit Tertinggi (INTOSAI), yang Komite Standar Auditingnya berkontribusi pada
pekerjaan IAASB.
ISA memiliki daftar panjang standar audit, cukup konsisten dengan dokumen SAS AS
sebelum PCAOB. Pencarian Web akan memberikan salinan dari masing-masing standar ini.
Misalnya, ISA No. 610 adalah standar untuk mempertimbangkan pekerjaan auditor internal
yang diterbitkan dalam lebih dari 20 bahasa, termasuk Prancis, Jerman, Rusia, dan Spanyol.
Lebih dari 70 negara telah mengindikasikan bahwa mereka telah mengadopsi IAS atau
merasa tidak ada perbedaan yang signifikan antara standar mereka dan standar internasional
ISA. Dalam banyak kasus, ISA mengikuti praktik AS. Auditor internal pada umumnya saat
ini tidak perlu memiliki pemahaman terperinci tentang standar audit internasional ini.
Namun, saat kita bekerja di lingkungan yang lebih global, mereka akan menjadi semakin
penting.
Untuk mengutip lebih banyak akronim, Dewan Standar Akuntansi Internasional (IASB)
menerbitkan standar akuntansi dalam serangkaian pernyataan yang disebut Standar Pelaporan
Keuangan Internasional (IFRS). Pernyataan tersebut terus disebut "Standar Akuntansi
Internasional" (IAS). Untuk tingkat tertentu mereka memberikan dasar atau dasar untuk
semua negara di seluruh dunia, dan khususnya untuk negara berkembang yang tidak memiliki
standar akuntansi yang ditetapkan. Sebagian besar negara maju telah menetapkan standar
akuntansi yang umumnya mengikuti standar A.S., Inggris, Jerman, Swiss, atau Prancis.
Standar IAS secara historis tidak konsisten dengan standar negara per negara. Auditor yang
melakukan pekerjaan di negara berkembang yang tidak memiliki standar akuntansi yang kuat
harus melihat materi IAS untuk membentuk dasar untuk standar akuntansi yang sesuai.
Untuk auditor internal, standar IIA, adalah standar internasional dan berlaku untuk audit
internal di negara mana pun. Auditor internal mungkin menghadapi standar akuntansi yang
berbeda atau bahkan standar audit laporan keuangan lokal yang berbeda, tetapi standar
profesional IIA secara keseluruhan harus selalu diikuti. Mengenai standar akuntansi dan audit
ini, kita hampir pasti berharap bahwa standar tersebut akan menggantikan standar negara per
negara, dengan pengecualian Amerika Serikat dalam peran kepemimpinan internasionalnya.
Tujuan dari bab ini adalah untuk memperkenalkan auditor internal pada beberapa standar
ISO yang lebih signifikan yang berdampak pada pekerjaan audit internal mereka serta untuk
secara singkat memperkenalkan standar audit dan akuntansi internasional. Pemahaman
tentang kedua area ini penting bagi semua auditor internal, tidak peduli negara tempat tinggal
mereka, karena kita semakin sering menjumpai jaringan bisnis dan perdagangan di seluruh
dunia dan seiring kita menjadi lebih terhubung melalui Web dan sumber daya lainnya.
Meskipun mungkin bukan persyaratan pengetahuan saat ini, pemahaman umum CBOK yang
baik tentang standar ISO yang sesuai serta status yang berkembang dari standar akuntansi dan
audit internasional harus menjadi prioritas bagi semua auditor internal.
 CHAPTER 34
CBOK UNTUK MODERN INTERNAL AUDITOR
34.1 Bagian Satu: Dasar- dasar Persyaratan Audit Internal CBOK
Bab 1 dan 2 di Bagian Satu membahas latar belakang dan asal-usul profesi audit
internal, serta memberikan pengenalan dan diskusi tentang perlunya untuk audit
internal CBOK. Bab 2 memberikan latar belakang tentang asal-usul dan kebutuhan
untuk audit internal CBOK. Karena berbagai industri dan area geografis di mana
auditor internal beroperasi dalam mengevaluasi kontrol internal dan membantu
manajemen, dapat ada banyak variasi dalam mode dan gaya operasi mereka.
34.2 Bagian Dua: Pentingnya Persyaratan CBOK Internal Kontrol

Bab 3 membahas berapa banyak perusahaan dan auditor internal mereka selama
bertahun-tahun tanpa pemahaman yang jelas dan konsisten tentang makna dan konsep
kontrol internal. Bab 3 menjelaskan kerangka kerja COSO yang direvisi, persyaratan
CBOK auditor internal utama. Apakah operating di lingkungan industri, sebagai
auditor internal spesialis TI, atau di sektor profit atau pemerintah, setiap auditor
internal harus memiliki pemahaman CBOK tentang kerangka kerja kontrol internal
COSO yang baru direvisi. Bab 4 telah memperkenalkan 17 prinsip pengendalian
internal, langkah-langkah utama untuk memahami dan mengevaluasi kontrol internal.
Prinsip-prinsip COSO. Bab 5 membahas mengenai Sarbanes-Oxley Act (SOx)di
Amerika Serikat sebagai akibat dari terjadinya penipuan akuntansi besar dan
kegagalan bisnis di AS. Bab 6 memperkenalkan kerangka kerja kontrol internal lain
yang sangat penting, tujuan kontrol untuk IT (COBIT). Pemahaman tentang COBIT,
kerangka kerja kontrol internal dengan asal-usul tied kepada spesialis audit TI,
penting bagi semua auditor internal karena sistem dan proses TI sangat meresap di
semua aspek hampir setiap perusahaan saat ini. Bagian Dua berakhir dengan Bab 7,
pada kerangka kerja MANAJEMEN Risiko Perusahaan COSO (COSO ERM), model
untuk membantu memahami risiko tidak hanya dalam satu audit internal, tetapi
keseluruhan perusahaan.
34.3 Bagian Ketiga: Merencanakan dan Melakukan Persyaratan Audit Internal
CBOK
Bab 8 juga membahas pentingnya membangun dan menggunakan program audit,
prosedur langkah demi langkah yang harus digunakan auditor internal untuk
melakukan tinjauan saat ini serta potensi ulasan di masa depan di bidang topik yang
sama. Bab 9 menjelaskan aturan yang menguraikan bagaimana auditor internal harus
meluncurkan, melakukan, dan mengelola ulasan apa pun, baik dalam audit
membuktikan keterlibatan atau saat menjabat sebagai konsultan internal. Ini adalah
perintah berbaris audit internal, pengetahuandan pemahaman yang baik tentang
mereka adalah persyaratan CBOK yang kuat. Bab 10 menjelaskan tentang Pengujian,
menilai, dan mengevaluasi bukti audit. Bab 11 menjelaskan tentang audit
berkelanjutan dimana auditor internal harus mempunyai pengetahuan umum yang baik
tentang audit berkelanjutan karena dapat membangun jenis control dan monitor ke
dalam sistem TI. Bab 12 mencakup area penting lain di mana auditor internal harus
 memiliki pengetahuan dan kemampuan untuk melakukan audit mandiri dan untuk
menilai bagaimana kelompok sebaya lainnya berkinerja dalam fungsi audit internal
yang sama. Bab 13 menjelaskan konsep audit universe, area di mana semua auditor
internal should memiliki pemahaman CBOK umum yang baik.

34.4 Bagian Empat: Pengorganisasian dan Pengelolaan Kegiatan Audit Internal

Persyaratan CBOK
Bagian Empat mencakup area CBOK penting tentang bagaimana fungsi audit internal
harus mengelola dan melakukan audit internal, serta beberapa keterampilan audit
internal individu. Bab 14 membahas piagam audit, otorisasi resmi komite audit
perusahaan dari fungsi audit internal. Bab 15 melanjutkan untuk membahas beberapa
kompetensi audit internal utama, jenis atribut yang harus dilakukan auditor internal
agar efektif. Secara khusus, bab ini menggambarkan pentingnya pemahaman dan
menjadikan manajemen risiko sebagai faktor yang perlu dipertimbangkan dalam
keterlibatan audit internal apa pun. Bab 16 memberikan gambaran umum tentang
pemahaman manajemen proyek—persyaratan CBOK. Berfokus pada audito internal
individu, membahas langkah-langkah umum CBOK yang diperlukan untuk
merencanakan dan melakukan audit internal individu, menggunakan contoh hipotetis.
Bab 17 mencakup area CBOK auditor internal penting lainnya: mendokumentasikan
hasil audit melalui workpaper. Bagian ini diakhiri dengan Bab 18 tentang developing
dan menerbitkan laporan audit internal yang efektif.
34.5 Bagian Lima: Dampak IT Terhadap Persyaratan CBOK Audit Internal
Bab 19 membahas melakukan kontrol umum TI serta praktik terbaik Perpustakaan
Infrastruktur Teknologi Informasi (ITIL) untuk memahami dan menginstal prosedur
kontrol infrastruktur TI. Ini adalah area CBOK di mana setiap auditor internal harus
memiliki pemahaman umum. Bab 20 membahas keamanan siber dan kontrol privasi
IT. Meskipun masalah keamanan IT seringkali merupakan area yang sangat istimewa
dan kompleks, auditor internal harus mencoba untuk mendapatkan pemahaman
CBOK tingkat tinggi secara keseluruhan tentang masalah pengendalian internal
keamanan siber. Bab 21 memperkenalkan pada area baru ini, apa yang kita sebut big
data. Banyak sistem TI perusahaan tumbuh pada tingkat besar, dan perusahaan,
pelanggan mereka, dan seringkali regulator semakin membutuhkan bahwa catatan TI
besar dan historis dipertahankan. Bab 22 membahas prosedur audit internal untuk
meninjau kontrol manajemen aplikasi IT serta kontrol internal manajemen perangkat
lunak. Meskipun ada banyak pendekatan dan teknik potensial di sini, internal auditors
harus memiliki pemahaman umum CBOK tentang kontrol aplikasi IT dasar serta
penggunaan generator laporan dan alat kueri lainnya yang berpotensi membuat
tinjauan aplikasi audit internal lebih efisien dan produktif. Bab 23 membahas kontrol
internal keamanan siber serta persyaratan kepatuhan untuk beberapa undang-undang
privasi penting. Bab terakhir di Bagian Lima, Bab 24 , membahas perencanaan
kelangsungan bisnis dan pemulihan bencana. Ini adalah area di mana teknologi telah
membuatnya jauh lebih mudah daripada tahun-tahun sebelumnya bagi perusahaan
 untuk menyimpan data yang disimpan IT untuk memulihkan operasi setelah peristiwa
yang tidak terduga.

34.6 Bagian Enam: Audit Internal dan Tata Kelola Perusahaan Persyaratan CBOK
Bagian Enam melihat pentingnya GRC—tata kelola, risiko, dan kepatuhan—masalah
dan area terkait di mana auditor internal harus mengembangkan pemahaman umum
CBOK. Bab 25 membahas komunikasi audit internal dan hubungan dengan direksi
komite audit. Meskipun ini adalah persyaratan penting, terutama untuk CAE, semua
anggota fungsi audit internal harus memiliki pemahaman CBOK umum tentang peran
komite audit perusahaan mereka dalam operasi audit internal, dan khususnya peran
itu dalam perusahaan spesifik mereka sendiri. Bab 26 membahas etika perusahaan
dan program whistleblower, inisiatif penting di banyak perusahaan. Bab 27 membahas
bahwa auditor internal memahami kontrol deteksi dan pencegahan penipuan dasar,
harus menjadi persyaratan CBOK untuk semua auditor internal. Bab 28
memperkenalkan pentingnya program GRC yang efektif di sebuah perusahaan.
Sementara konsep tata kelola, penilaian risiko, dan kepatuhan terhadap aturan dan
peraturan perusahaan adalah elemen essential dari semua kegiatan audit internal,
auditor internal di seluruh dunia harus mengembangkan pemahaman CBOK tentang
proses dan aturan yang mengatur kepatuhan di perusahaan mereka sendiri serta di
negara dan lokasi terkait.

34.7 Bagian Tujuh: Persyaratan CBOK Professional Audit Internal

Bab 29 membahas sertifikasi profesional audit internal, dengan penekanan pada
Certified Internal Auditor (CIA) dan sebutan Certified Information Systems Auditor
(CISA). Bab 30 membahas peran auditor internal sebagai konsultan bisnis. Praktiknya
bahwa dilarang oleh standar audit internal sampai beberapa tahun terakhir, berfungsi
sebagai konsultan internal dapat menjadi peran yang sangat penting bagi audit internal
dan organisasi perusahaannya dalam banyak situasi.
34. 8 Bagian Delapan: Sisi Lain dari Audit Internal: Persyaratan CBOK Konvergensi
Profesional
Bagian terakhir dari diskusi persyaratan CBOK kami memperkenalkan perlunya
auditor internal untuk memiliki pemahaman yang lebih besar tentang beberapa
masalah audit internal yang melampaui hanya audit internal terkait IIA dan
standarnya. Bab 31 memperkenalkan area audit kualitas internal ASQ, semua auditor
internal harus mengembangkan setidaknya pemahaman CBOK tentang standar dan
prosedur audit internal kualitas ASQ. Banyak auditor internal bekerja di bidang
manufaktur dan kontrol proses - bidang terkait di mana konsep seperti Six Sigma dan
apa yang disebut teknik Lean sangat penting bagi perusahaan. Proses-proses ini,
dibahas dalam Bab 32. Bab 33 memperkenalkan standar internasional Organisasi
Internasional untuk Standardisasi (ISO), dengan penekanan pada standar kualitas dan
manajemen IT organisasi, juga sangat singkat memperkenalkan beberapa standar
akuntansi dan audit di seluruh dunia.
34.9 CBOK Untuk Auditor Internal Modern (Tampilan)