2017 Implementation Guides ALL (Indonesia)

Halaman 1
Panduan Pelaksanaan membantu auditor internal dalam menerapkan Definisi

Audit Internal, Kode Etik, dan Standar dan mempromosikan praktik yang baik.
Panduan Implementasi membahas pendekatan, metodologi, dan audit internal
pertimbangan, tetapi tidak merinci proses atau prosedur. Mereka termasuk praktik yang
berhubungan
untuk isu-isu internasional, negara, atau industri tertentu; jenis perikatan tertentu; dan
masalah hukum atau peraturan.
Diterbitkan Pertama: 1 Januari 2017
Panduan Implementasi
Hak Cipta © 2017 oleh The Institute of Internal Auditors Inc. (IIA) 1035 Greenwood Blvd. Suite 401, Danau Mary, FL 32746, AS. Semua hak
disimpan. Tidak ada bagian dari publikasi ini yang boleh direproduksi, disimpan dalam sistem pengambilan, atau ditransmisikan dalam bentuk apa
pun dengan cara apa pun —
elektronik, mekanik, fotokopi, rekaman, atau lainnya — tanpa izin tertulis sebelumnya dari penerbit.
IIA menerbitkan dokumen ini untuk tujuan informasi dan pendidikan. Dokumen ini dimaksudkan untuk memberikan informasi, tetapi tidak
pengganti nasihat hukum atau akuntansi. IIA tidak memberikan saran seperti itu dan tidak memberikan jaminan atas hukum atau akuntansi apa pun
hasil melalui publikasi dokumen ini. Ketika masalah hukum atau akuntansi muncul, bantuan profesional harus dipertahankan.
Halaman 2
2
Panduan Implementasi | Kerangka Kerja Praktik Profesional Internasional (IPPF)
Daftar isi
Standar 1000 – Tujuan, Wewenang, dan Tanggung Jawab ......................................... ...................................
4
Standar 1010 – Mengakui Pedoman Wajib dalam Piagam Audit Internal .................................. 7
Standar 1100 – Independensi dan Objektivitas ........................................ ........................................................
9
Standar 1110 – Independensi Organisasi .................................................. ........................................ 13
Standar 1111 – Interaksi Langsung dengan Dewan ........................................ ..................................... 16
Standar 1112 – Peran Kepala Eksekutif Audit Selain Audit Internal ........................................ ...... 18
Standar 1120 – Objektivitas Individu ..................................................
................................................................... .. 23
Standar 1130 – Penurunan Independensi atau Objektivitas ........................................ ........................ 26
Standar 1200 – Kemahiran dan Kehati-hatian Profesional ........................................ ......................... 30
Standar 1210 – Kecakapan .................................................. ...................................................................
................ 33
Standar 1220 – Kehati-hatian Profesional ........................................
................................................................... 37
Standar 1230 – Pengembangan Profesional Berkelanjutan ............................................ .......................... 40
Standar 1300 – Program Peningkatan dan Penjaminan Mutu ........................................ ................ 43
Standar 1310 – Persyaratan Program Penjaminan Mutu dan Peningkatan ........................ 48
Standar 1311 – Penilaian Internal ..................................................
................................................................... 51
Standar 1312 – Penilaian Eksternal .................................................. .................................................. 56
Standar 1320 – Pelaporan Program Penjaminan Mutu dan Peningkatan ............................... 62
Standar 1321 – Penggunaan “Sesuai dengan Standar Internasional untuk Praktik Profesional”
Audit Internal” ........................................................ ...................................................................
.................................. 67
Standar 1322 – Pengungkapan Ketidaksesuaian ........................................ ..................................... 70
Standar 2000 – Mengelola Kegiatan Audit Internal ........................................ ................................ 73
Standar 2010 – Perencanaan .................................................. ...................................................................
................... 77
Standar 2020 – Komunikasi dan Persetujuan ........................................ ........................................ 80
Standar 2030 – Manajemen Sumber Daya................................................. ...................................................
83
Standar 2040 – Kebijakan dan Prosedur ........................................ ................................................... 85
Standar 2050 – Koordinasi dan Keandalan ........................................ ........................................ 88
Standar 2060 – Pelaporan kepada Manajemen Senior dan Dewan ........................................ ............... 92
Standar 2070 – Penyedia Layanan Eksternal dan Tanggung Jawab Organisasi untuk Audit Internal ..... 98
Standar 2100 – Sifat Pekerjaan ........................................ ................................................................... .........
102
Standar 2110 – Tata Kelola ........................................................ ...................................................................
............ 105
halaman 3
3
Standar 2120 – Manajemen Risiko ..................................................
................................................................... .... 111
Standar 2130 – Kontrol .................................................. ...................................................................
.................... 115
Standar 2200 – Perencanaan Keterlibatan .................................................. ...................................................
119
Standar 2201 – Pertimbangan Perencanaan .................................................. ........................................ 122
Standar 2210 – Tujuan Perikatan .................................................. ................................................... 126
Standar 2220 – Lingkup Keterlibatan ..................................................
................................................................... 128
Standar 2230 – Alokasi Sumber Daya Keterlibatan ........................................ ................................... 130
Standar 2240 – Program Kerja Keterlibatan ............................................ ........................................ 133
Standar 2300 – Melakukan Perikatan ............................................ ........................................ 135
Standar 2310 – Mengidentifikasi Informasi ..................................................
................................................... 139
Standar 2320 – Analisis dan Evaluasi ........................................ .................................................. 142
Standar 2330 – Mendokumentasikan Informasi ..................................................
................................................... 147
Standar 2340 – Pengawasan Keterlibatan .................................................. ..................................................
150
Standar 2400 – Mengkomunikasikan Hasil .................................................. ...................................................
153
Standar 2410 – Kriteria untuk Berkomunikasi ........................................ ........................................ 155
Standar 2420 – Kualitas Komunikasi ........................................ ........................................ 158
Standar 2421 – Kesalahan dan Kelalaian ........................................ ................................................... 161
Standar 2430 – Penggunaan “Dilakukan Sesuai dengan Standar Internasional untuk for
Praktik Profesional Audit Internal” .................................................. ................................................... 163
Standar 2431 – Pengungkapan Perikatan atas Ketidaksesuaian ......................................... ............... 165
Standar 2440 – Menyebarluaskan Hasil .................................................. ...................................................
168
Standar 2450 – Opini Keseluruhan ..................................................
................................................................... ...... 171
Standar 2500 – Memantau Kemajuan ..................................................
................................................................... 175
Standar 2600 – Mengomunikasikan Penerimaan Risiko ........................................ ........................ 178
halaman 4
4
Mulai
Piagam audit internal adalah dokumen penting, karena mencatat tujuan yang disepakati,
wewenang, dan tanggung jawab aktivitas audit internal organisasi. Untuk membuat dokumen
ini,
kepala eksekutif audit (CAE) harus memahami Misi Audit Internal dan
elemen wajib Kerangka Praktik Profesional Internasional (IPPF) IIA —
termasuk Prinsip-Prinsip Inti untuk Praktik Profesional Audit Internal, Kode
Etika, Standar Internasional untuk Praktik Profesional Audit Internal, dan
Definisi Audit Internal.
Standar 1000 – Tujuan, Wewenang, dan Tanggung Jawab
Tujuan, wewenang, dan tanggung jawab kegiatan audit internal harus secara formal
didefinisikan dalam piagam audit internal, konsisten dengan Misi Audit Internal dan
elemen wajib dari Kerangka Kerja Praktik Profesional Internasional (Inti)
Prinsip Praktik Profesional Audit Internal, Kode Etik,
Standar, dan Pengertian Audit Internal). Kepala eksekutif audit harus
secara berkala meninjau piagam audit internal dan menyampaikannya kepada manajemen
senior dan
papan untuk persetujuan.
Penafsiran:
Piagam audit internal adalah dokumen formal yang mendefinisikan aktivitas audit internal
tujuan, wewenang, dan tanggung jawab. Piagam audit internal menetapkan internal
posisi aktivitas audit dalam organisasi, termasuk sifat kepala audit
hubungan pelaporan fungsional eksekutif dengan dewan; mengotorisasi akses ke catatan,
personel, dan properti fisik yang relevan dengan pelaksanaan perikatan; dan
mendefinisikan ruang lingkup kegiatan audit internal. Persetujuan akhir dari piagam audit
internal
tinggal dengan papan.
Revisi Standar, Efektif 1 Januari 2017
halaman 5
5
Pemahaman ini memberikan dasar untuk diskusi di antara CAE, senior
manajemen, dan dewan untuk bersama-sama menyepakati:
• Tujuan dan tanggung jawab audit internal.
• Harapan untuk kegiatan audit internal.
• Jalur pelaporan fungsional dan administratif CAE.
• Tingkat otoritas (termasuk akses ke catatan, properti fisik, dan personel)
diperlukan untuk aktivitas audit internal untuk melakukan perikatan dan memenuhi
atas tujuan dan tanggung jawab.
CAE mungkin perlu berunding dengan penasihat hukum organisasi atau sekretaris dewan
mengenai format piagam yang disukai dan cara mengirimkannya secara efektif dan efisien
efficiently
mengusulkan piagam audit internal untuk persetujuan dewan.
Pertimbangan untuk Implementasi
Berdasarkan unsur-unsur yang disepakati, seperti disebutkan di atas, CAE (atau delegasi)
menyusun dan
piagam audit internal. IIA menawarkan model piagam audit internal yang dapat digunakan
sebagai
memandu. Meskipun piagam dapat bervariasi menurut organisasi, mereka biasanya
mencakup yang berikut:
bagian:
• Pendahuluan – untuk menjelaskan keseluruhan peran dan profesionalisme audit internal
aktivitas. Elemen-elemen yang relevan dari IPPF sering dikutip dalam pendahuluan.
• Wewenang – untuk menentukan akses penuh aktivitas audit internal ke catatan, fisik
properti, dan personel yang diperlukan untuk melakukan perikatan dan untuk menyatakan
internal
akuntabilitas auditor untuk menjaga aset dan kerahasiaan.
• Organisasi dan struktur pelaporan – untuk mendokumentasikan struktur pelaporan CAE.
CAE harus melapor secara fungsional kepada dewan dan secara administratif ke tingkat di
dalam
organisasi yang memungkinkan aktivitas audit internal untuk memenuhi tanggung jawabnya
(lihat
Standar 1110 – Independensi Organisasi). Bagian ini dapat menyelidiki secara spesifik
tanggung jawab fungsional, seperti menyetujui piagam dan rencana audit internal dan
mempekerjakan, memberi kompensasi, dan memberhentikan CAE. Ini juga dapat
menggambarkan administrasi
tanggung jawab, seperti mendukung aliran informasi dalam organisasi atau
menyetujui administrasi sumber daya manusia dan anggaran kegiatan audit internal.
• Independensi dan objektivitas – untuk menggambarkan pentingnya audit internal
halaman 6
6
independensi dan objektivitas dan bagaimana ini akan dipertahankan, seperti melarang
auditor internal dari memiliki tanggung jawab operasional atau wewenang atas area
diaudit.
• Tanggung jawab – untuk menetapkan area utama dari tanggung jawab berkelanjutan, seperti
mendefinisikan
lingkup penilaian, menulis rencana audit internal, menyerahkan rencana kepada
dewan untuk persetujuan, melakukan penugasan, mengomunikasikan hasil, memberikan
laporan keterlibatan tertulis, dan pemantauan tindakan korektif yang diambil oleh
manajemen.
• Jaminan dan peningkatan kualitas – untuk menggambarkan harapan untuk pengembangan,
memelihara, mengevaluasi, dan mengomunikasikan hasil penjaminan mutu dan
program perbaikan yang mencakup semua aspek kegiatan audit internal.
• Tanda tangan – untuk mendokumentasikan kesepakatan antara CAE, dewan yang ditunjuk
perwakilan, dan individu kepada siapa CAE melapor. Bagian ini mencakup
tanggal, nama, dan jabatan penandatangan.
Setelah disusun, piagam audit internal yang diusulkan harus didiskusikan dengan senior
manajemen dan dewan untuk mengkonfirmasi bahwa itu secara akurat menggambarkan peran
yang disepakati dan
harapan atau untuk mengidentifikasi perubahan yang diinginkan. Setelah draf diterima, CAE
secara resmi menyajikannya selama rapat dewan untuk dibahas dan disetujui. CAE dan
dewan juga dapat menyetujui frekuensi untuk meninjau dan menegaskan kembali apakah
ketentuan perjanjian terus memungkinkan kegiatan audit internal untuk mencapai
tujuan, atau apakah ada perubahan yang diperlukan. Jika sebuah pertanyaan harus muncul
untuk sementara,
piagam dapat dirujuk dan diperbarui sesuai kebutuhan.
Pertimbangan untuk Mendemonstrasikan Kesesuaian
Risalah rapat dewan di mana CAE awalnya membahas dan kemudian secara resmi
menyajikan piagam audit internal memberikan dokumentasi kesesuaian. Selain itu, CAE
mempertahankan piagam yang disetujui. Biasanya, CAE meminta dewan untuk membuat
laporan tahunan berdiri
agenda untuk membahas, memperbarui, dan menyetujui piagam audit internal sesuai
kebutuhan. Bukti
bahwa CAE secara berkala meninjau piagam audit internal dengan manajemen senior dan
dewan juga ada dalam risalah dari pertemuan tersebut.
halaman 7
7
Mulai
Sebelum menulis atau merevisi piagam audit internal, kepala eksekutif audit (CAE) biasanya
meninjau Kerangka Kerja Praktik Profesional Internasional (IPPF) IIA untuk
menyegarkannya
pemahaman Misi Audit Internal dan elemen wajib, termasuk Inti,
Prinsip Praktik Profesional Audit Internal, Kode Etik,
Standar Internasional untuk Praktik Profesional Audit Internal (Standar), dan
Definisi Audit Internal. CAE diharuskan untuk meninjau piagam audit internal
secara berkala dan menyampaikannya kepada manajemen senior dan dewan untuk disetujui
(lihat Standar
1000 – Tujuan, Wewenang, dan Tanggung Jawab). Akan sangat membantu jika CAE
mengetahui organisasi
proses pengajuan piagam audit internal untuk disetujui. CAE juga dapat mengatur
diskusi piagam dengan manajemen senior dan dewan sebagai bagian dari tinjauan berkala
dan proses revisi.
Untuk mengenali elemen wajib IPPF dalam piagam audit internal, CAE dapat:
membuat pernyataan tertentu. Salah satu contohnya adalah:
Standar 1010 – Mengenali Panduan Wajib di
Piagam Audit Internal
Sifat wajib dari Prinsip Inti untuk Praktik Profesional Internal
Auditing, Kode Etik, Standar, dan Definisi Audit Internal harus
diakui dalam piagam audit internal. Kepala eksekutif audit harus mendiskusikan
Misi Audit Internal dan elemen wajib dari Profesional Internasional
Kerangka Praktek dengan manajemen senior dan dewan.
halaman 8
8
“Aktivitas audit internal akan mengatur dirinya sendiri dengan mematuhi The Institute of
Internal Auditors'
Panduan Wajib, yang mencakup Prinsip-Prinsip Inti untuk Praktik Profesional
Audit Internal, Kode Etik, Standar Internasional untuk Praktik Profesional
Audit Internal, dan Pengertian Audit Internal. Panduan Wajib IIA
merupakan persyaratan mendasar untuk praktik profesional audit internal dan
prinsip-prinsip yang digunakan untuk mengevaluasi efektivitas kegiatan audit internal
kinerja.”
Sebuah alternatif untuk menggunakan kata-kata tertentu adalah dengan menggunakan bahasa
dan konten di seluruh
piagam audit internal yang memerlukan kesesuaian dengan Pedoman Wajib.
Diskusi CAE tentang piagam audit internal dengan manajemen senior dan dewan
memberikan kesempatan yang baik untuk menjelaskan Misi Audit Internal dan wajib
elemen IPPF, serta bagaimana piagam mengakui elemen-elemen tersebut. Setelah piagam
telah diadopsi, penting bagi CAE untuk memantau Panduan Wajib IIA dan untuk
mendiskusikan setiap perubahan yang mungkin diperlukan selama tinjauan piagam
berikutnya.
Kesesuaian dengan Standar 1010 dibuktikan dalam audit internal tertulis dan disetujui
approved
piagam yang mengakui Prinsip-Prinsip Inti untuk Praktik Profesional Audit Internal,
Kode Etik, Standar, dan Definisi Audit Internal sebagai unsur wajib.
Kesesuaian juga dapat ditunjukkan melalui risalah rapat selama ini:
elemen wajib dan Misi Audit Internal dibahas dengan manajemen senior
dan papan. Ini mungkin juga termasuk risalah dari pertemuan di mana CAE membahas
tinjauan berkala terhadap piagam tersebut.
halaman 9
9
Mulai
Kemandirian didefinisikan sebagai, “Kebebasan dari kondisi yang mengancam kemampuan”
kegiatan audit internal untuk melaksanakan tanggung jawab audit internal dengan cara yang
tidak memihak.” Sering,
kondisi seperti itu berasal dari penempatan organisasi dan tanggung jawab yang diberikan
dari
audit internal. Misalnya, ketika laporan audit internal dalam fungsi lain dalam suatu
organisasi, itu tidak dianggap independen dari fungsi itu, yang tunduk pada audit.
Demikian pula, jika kepala eksekutif audit (CAE) memiliki tanggung jawab fungsional yang
lebih luas daripada internal
audit, seperti manajemen risiko atau kepatuhan, audit internal tidak independen dari ini
fungsi tambahan, yang juga tunduk pada audit.
Standar 1100 – Independensi dan Objektivitas
Kegiatan audit internal harus independen, dan auditor internal harus objektif dalam
melakukan pekerjaan mereka.
Penafsiran:
Independensi adalah kebebasan dari kondisi yang mengancam kemampuan audit internal
kegiatan untuk melaksanakan tanggung jawab audit internal dengan cara yang tidak
memihak. Untuk mencapai
tingkat independensi yang diperlukan untuk secara efektif melaksanakan tanggung jawab
kegiatan audit internal, kepala eksekutif audit memiliki akses langsung dan tidak terbatas ke
manajemen senior dan dewan. Ini dapat dicapai melalui pelaporan ganda
hubungan. Ancaman terhadap independensi harus dikelola pada auditor individu,
keterlibatan, fungsional, dan tingkat organisasi.
Objektivitas adalah sikap mental yang tidak memihak yang memungkinkan auditor internal
untuk melakukan
keterlibatan sedemikian rupa sehingga mereka percaya pada produk kerja mereka dan tidak
ada kualitas
kompromi dibuat. Objektivitas mensyaratkan bahwa auditor internal tidak mensubordinasi
penilaian mereka tentang masalah audit kepada orang lain. Ancaman terhadap objektivitas
harus dikelola di
auditor individu, keterlibatan, fungsional, dan tingkat organisasi.
halaman 10
10
Namun, CAE tidak dapat semata-mata menentukan independensi dan penempatan organisasi
untuk audit internal; CAE membutuhkan bantuan dari dewan dan manajemen senior untuk
mengatasi
kemerdekaan secara efektif. Biasanya, CAE, dewan, dan manajemen senior mencapai
pemahaman bersama tentang tanggung jawab, wewenang, dan harapan audit internal, yang
dasar untuk diskusi tentang independensi dan penempatan organisasi.
Bergantung pada pengalaman dan harapan dewan dan manajemen senior, mencapai a
visi bersama mungkin memerlukan banyak diskusi untuk meningkatkan kesadaran senior
manajemen dan dewan tentang pentingnya independensi, cara untuk mencapainya,
dan pertimbangan utama seperti jalur pelaporan, persyaratan profesional dan peraturan,
benchmarking, dan isu-isu budaya organisasi.
Umumnya, piagam audit internal akan mencerminkan keputusan yang dicapai mengenai audit
internal
tanggung jawab, wewenang, dan harapan, serta penempatan dan pelaporan organisasi
garis.
Objektivitas mengacu pada sikap mental auditor internal yang tidak memihak. Untuk
menerapkan ini
standar, CAE akan ingin memahami kebijakan atau kegiatan dalam organisasi dan
dalam audit internal yang dapat meningkatkan atau menghalangi pola pikir seperti
itu. Misalnya, banyak
organisasi memiliki standar evaluasi kinerja dan kebijakan kompensasi, serta
kebijakan konflik kepentingan karyawan. CAE ingin memahami sifat yang relevan
kebijakan diidentifikasi dan mempertimbangkan dampak potensial mereka pada objektivitas
audit internal. Audit internal
akan sering menyesuaikan kebijakan di seluruh organisasi ini untuk menangani peran audit
internal secara khusus
dan dapat mengembangkan kebijakan lain yang relevan khususnya untuk audit internal,
seperti kebijakan
berkaitan dengan kebutuhan pelatihan.
Seperti disebutkan di atas, CAE bekerja dengan dewan dan manajemen senior untuk
menghindari kondisi
yang akan mempengaruhi kemampuan audit internal untuk melaksanakan tanggung jawabnya
dengan cara yang tidak memihak.
Seringkali, CAE memiliki jalur pelaporan fungsional langsung ke dewan dan administrasi
pelaporan ke anggota manajemen senior. Jalur pelaporan ke dewan memberikan
CAE dengan akses dewan langsung untuk hal-hal sensitif dan memungkinkan status
organisasi yang memadai.
Pelaporan administratif kepada anggota manajemen senior juga memberi CAE:
status organisasi yang memadai, serta wewenang untuk melaksanakan tugas tanpa halangan
dan
halaman 11
11
untuk mengatasi masalah sulit dengan pemimpin senior lainnya. Misalnya, CAE biasanya
tidak
melapor ke pengontrol atau manajer tingkat menengah, yang mungkin akan diaudit secara
rutin.
IIA merekomendasikan agar CAE melapor secara administratif kepada chief executive officer
(CEO),
keduanya sehingga CAE jelas merupakan posisi senior dan agar audit internal tidak
diposisikan
dalam operasi yang tunduk pada audit. CAE juga harus mengetahui persyaratan apa pun
dari regulator atau badan pengatur lainnya yang mungkin menentukan hubungan pelaporan
yang diperlukan.
Panduan Implementasi Standar 1110 – Kemandirian Organisasi memberikan penjelasan lebih
lanjut
panduan tentang hubungan pelaporan CAE.
Juga direkomendasikan bahwa CAE tidak memiliki tanggung jawab operasional di luar
internal
audit, karena tanggung jawab lain ini dapat, dengan sendirinya, tunduk pada audit. Dalam
beberapa
organisasi, CAE diminta untuk memikul tanggung jawab operasional, seperti untuk risiko
manajemen atau kepatuhan. Dalam situasi seperti itu, CAE biasanya membahas independensi
kekhawatiran dan potensi penurunan objektivitas dengan dewan dan manajemen senior, yang
akan menerapkan pengamanan untuk membatasi penurunan nilai. Pengamanan adalah
kegiatan pengawasan,
umumnya dilakukan oleh dewan, untuk memantau dan mengatasi konflik
kemerdekaan. Contoh
termasuk mengevaluasi tanggung jawab CAE secara berkala, mengembangkan proses
alternatif untuk mendapatkan
jaminan terkait dengan area tanggung jawab tambahan, dan menyadari potensinya
penurunan objektivitas ketika mempertimbangkan penilaian risiko audit internal.
Untuk mengelola objektivitas audit internal secara efektif, banyak CAE memiliki kebijakan
audit internal
manual atau buku pegangan yang menjelaskan harapan dan persyaratan untuk pola pikir yang
tidak bias.
Manual kebijakan semacam itu dapat menjelaskan:
• Pentingnya objektivitas bagi profesi audit internal.
• Situasi khas yang dapat merusak objektivitas, karena kepentingan pribadi, penilaian diri,
keakraban, bias, dan pengaruh yang tidak semestinya. Contohnya termasuk audit di area di
mana
auditor internal baru-baru ini bekerja; mengaudit anggota keluarga atau teman dekat; atau
dengan asumsi, tanpa bukti bahwa area yang diaudit dapat diterima hanya berdasarkan
pengalaman positif sebelumnya.
• Tindakan yang harus diambil oleh auditor internal jika dia mengetahui suatu saat ini atau
potensi masalah objektivitas, seperti mendiskusikan masalah tersebut dengan audit internal
manajer atau CAE.
• Persyaratan pelaporan di mana setiap auditor internal secara berkala mempertimbangkan
dan
halaman 12
12
mengungkapkan konflik kepentingan.
Untuk memperkuat pentingnya kebijakan ini dan membantu memastikan semua auditor
internal menginternalisasi
pentingnya mereka, beberapa CAE akan mengadakan lokakarya atau pelatihan rutin tentang
dasar-dasar ini
konsep. Sesi pelatihan semacam itu sering kali memungkinkan auditor internal untuk lebih
memahami
objektivitas dengan mempertimbangkan skenario yang merusak objektivitas dan cara terbaik
untuk mengatasinya.
Selanjutnya, ketika menugaskan auditor internal untuk penugasan tertentu, CAE akan
mempertimbangkan:
potensi gangguan objektivitas dan hindari menugaskan anggota tim yang mungkin memiliki
konflik.
Telah dipahami secara luas bahwa praktik kinerja dan kompensasi dapat secara signifikan dan
secara negatif mempengaruhi objektivitas individu. Misalnya, jika kinerja auditor internal
evaluasi, gaji, atau bonus secara signifikan didasarkan pada survei kepuasan klien, internal
auditor mungkin ragu untuk melaporkan hasil negatif yang dapat menyebabkan klien
melaporkan rendah
peringkat kepuasan. Oleh karena itu, CAE perlu bijaksana dalam merancang audit internal
internal
evaluasi kinerja dan sistem kompensasi dan pertimbangkan apakah pengukuran
digunakan dapat merusak objektivitas auditor internal. Idealnya, proses evaluasi akan
seimbang
kinerja auditor internal, hasil audit, dan pengukuran umpan balik klien. Itu
Panduan Implementasi untuk Standar 1120 – Objektivitas Individu memberikan panduan
lebih lanjut tentang
objektivitas.
Beberapa item dapat menunjukkan kesesuaian dengan standar, termasuk piagam audit
internal
diri; bagan organisasi dengan tanggung jawab pelaporan; manual kebijakan audit internal
yang
termasuk kebijakan tentang independensi, objektivitas, penanganan konflik, dan kinerja
evaluasi; catatan pelatihan; dan formulir pengungkapan konflik kepentingan. Jika berlaku,
dokumentasi yang menunjukkan pengungkapan penurunan nilai, konsisten dengan Standar
1130 –
Penurunan Independensi atau Objektivitas, juga dapat menunjukkan kesesuaian.
halaman 13
13
Mulai
Standar mengharuskan kepala audit eksekutif (CAE) untuk melaporkan ke tingkat dalam
within
organisasi yang memungkinkan audit internal untuk memenuhi tanggung jawabnya. Oleh
karena itu, perlu untuk
mempertimbangkan penempatan organisasi dan jalur pengawasan/pelaporan pengawasan
internal
audit untuk memastikan independensi organisasi.
CAE tidak semata-mata menentukan penempatan organisasi audit internal, CAE's
Standar 1110 – Independensi Organisasi
Kepala eksekutif audit harus melapor ke tingkat dalam organisasi yang memungkinkan
kegiatan audit internal untuk memenuhi tanggung jawabnya. Kepala eksekutif audit harus
mengkonfirmasi untuk
dewan, setidaknya setiap tahun, independensi organisasi dari kegiatan audit internal.
Penafsiran:
Independensi organisasi secara efektif dicapai ketika kepala audit eksekutif
melaporkan secara fungsional kepada dewan. Contoh pelaporan fungsional ke dewan
melibatkan:
naik:
• Menyetujui piagam audit internal.
• Menyetujui rencana audit internal berbasis risiko.
• Menyetujui anggaran audit internal dan rencana sumber daya.
• Menerima komunikasi dari kepala audit internal tentang audit internal
kinerja aktivitas relatif terhadap rencananya dan hal-hal lain.
• Menyetujui keputusan mengenai pengangkatan dan pemberhentian kepala audit
eksekutif.
• Menyetujui remunerasi kepala eksekutif audit.
• Membuat pertanyaan yang tepat dari manajemen dan kepala eksekutif audit untuk
menentukan apakah ada ruang lingkup yang tidak sesuai atau keterbatasan sumber daya.
halaman 14
14
hubungan pelaporan, atau sifat pengawasan dewan atau manajemen senior; CAE
membutuhkan bantuan dari dewan dan manajemen senior untuk menangani hal-hal ini secara
efektif.
Biasanya, CAE, dewan, dan manajemen senior mencapai pemahaman bersama tentang
tanggung jawab, wewenang, dan harapan audit internal, serta peran dewan dan
manajemen senior dalam mengawasi audit internal. Umumnya, piagam audit internal internal
mendokumentasikan keputusan yang dicapai pada penempatan organisasi dan jalur
pelaporan.
Mungkin juga bermanfaat bagi CAE untuk mengetahui persyaratan peraturan baik untuk
internal
posisi audit dan jalur pelaporan CAE.
Seperti disebutkan di atas, CAE bekerja dengan dewan dan manajemen senior untuk
menentukan
penempatan organisasi audit internal, termasuk hubungan pelaporan CAE. Ke
memastikan independensi organisasi yang efektif, CAE memiliki jalur pelaporan fungsional
langsung untuk
papan. Umumnya, CAE juga memiliki garis pelaporan administratif, atau “bertitik” ke a
anggota manajemen senior.
Jalur pelaporan fungsional ke papan memberi CAE akses papan langsung untuk sensitif
penting dan memungkinkan status organisasi yang memadai. Ini memastikan bahwa CAE
tidak dibatasi
akses ke dewan, biasanya tingkat tata kelola tertinggi dalam organisasi.
Pengawasan fungsional mengharuskan dewan untuk menciptakan kondisi kerja yang tepat
untuk memungkinkan
pelaksanaan kegiatan audit internal yang independen dan efektif. Sebagaimana dicatat, dewan
mengasumsikan
tanggung jawab untuk menyetujui piagam audit internal, rencana audit internal, anggaran dan
rencana sumber daya, evaluasi dan kompensasi CAE, serta penunjukan dan pemberhentian
dari CAE. Selanjutnya, dewan memantau kemampuan audit internal untuk beroperasi secara
independen. Dia
melakukannya dengan mengajukan pertanyaan kepada CAE dan anggota manajemen
mengenai audit internal
ruang lingkup, keterbatasan sumber daya, atau tekanan atau hambatan lain pada audit
internal.
CAE yang menemukan diri mereka dengan dewan yang tidak menganggap fungsi penting ini
tugas pengawasan dapat berbagi Standar 1110 dan praktik tata kelola yang direkomendasikan
—
termasuk tanggung jawab dewan — dengan dewan untuk mengejar hubungan fungsional
yang lebih kuat
lembur.
Untuk memfasilitasi pengawasan dewan, CAE secara rutin memberikan pembaruan kinerja
kepada dewan,
halaman 15
15
umumnya pada rapat kuartalan dewan. Seringkali, CAE terlibat dalam pembuatan papan
agenda rapat dan dapat merencanakan waktu yang cukup untuk membahas kinerja audit
internal relatif
untuk merencanakan serta hal-hal lain, termasuk temuan utama atau risiko yang muncul yang
menjamin
perhatian dewan. Selanjutnya, untuk memastikan bahwa independensi organisasi dibahas
setiap tahun,
seperti yang disyaratkan oleh standar ini, CAE akan sering membuat item agenda dewan tetap
untuk a
rapat dewan khusus setiap tahun.
Umumnya, CAE juga memiliki jalur pelaporan administratif kepada manajemen senior, yang:
selanjutnya memungkinkan status dan otoritas audit internal yang diperlukan untuk
memenuhi tanggung jawab. Untuk
misalnya, CAE biasanya tidak akan melapor ke pengontrol, manajer akuntansi, atau tingkat
menengah
manajer fungsional. Untuk meningkatkan status dan kredibilitas, IIA merekomendasikan agar
CAE
melapor secara administratif kepada chief executive officer (CEO) sehingga CAE jelas
berada di posisi senior
posisi, dengan wewenang untuk melakukan tugas tanpa hambatan.
Ada beberapa dokumen yang dapat menunjukkan kesesuaian dengan standar ini, termasuk:
piagam audit internal dan piagam komite audit, yang akan menjelaskan audit
tugas pengawasan panitia. Deskripsi pekerjaan CAE dan evaluasi kinerja akan performance
mencatat hubungan pelaporan dan pengawasan pengawasan. Jika tersedia, dokumentasi
perekrutan CAE
mungkin termasuk siapa yang mewawancarai CAE dan siapa yang membuat keputusan
perekrutan. Selanjutnya, internal
manual kebijakan audit yang membahas kebijakan seperti independensi dan komunikasi
dewan
persyaratan atau bagan organisasi dengan tanggung jawab pelaporan dapat menunjukkan
kesesuaian. Laporan dewan, notulen rapat, dan agenda dapat menunjukkan bahwa internal
audit telah mengomunikasikan item-item seperti rencana audit internal, anggaran, dan
kinerja, serta keadaan kemandirian organisasi.
halaman 16
16
Mulai
Umumnya, kepala audit eksekutif (CAE), dewan, dan manajemen senior telah membahas
dan menyepakati tanggung jawab, wewenang, dan harapan audit internal serta
penempatan organisasi yang diperlukan dari audit internal dan hubungan pelaporan CAE
untuk memungkinkan
audit internal untuk memenuhi tugasnya. Hubungan pelaporan biasanya mencakup hubungan
fungsional langsung
hubungan pelaporan dengan dewan. Lihat Panduan Pelaksanaan 1100 – Independensi
dan Objektivitas dan Panduan Implementasi 1110 – Kemandirian Organisasi untuk tambahan
bimbingan.
Jika CAE memiliki hubungan pelaporan fungsional langsung dengan dewan, maka dewan
memikul tanggung jawab untuk menyetujui piagam audit internal, rencana audit internal,
audit internal
anggaran dan rencana sumber daya, evaluasi dan kompensasi CAE, dan penunjukan dan
penghapusan CAE. Selanjutnya, dewan memantau kemampuan audit internal untuk
beroperasi
mandiri dan memenuhi piagamnya.
Dengan hubungan pelaporan seperti itu, CAE akan memiliki banyak kesempatan untuk
berkomunikasi dan
berinteraksi langsung dengan dewan, seperti yang dipersyaratkan oleh standar ini. Misalnya,
CAE akan
berpartisipasi dalam komite audit dan/atau rapat dewan penuh, umumnya setiap tiga bulan,
untuk berkomunikasi
hal-hal seperti rencana audit internal yang diusulkan, anggaran, kemajuan, dan tantangan apa
pun. Lebih jauh,
CAE akan memiliki kemampuan untuk menghubungi ketua atau anggota dewan untuk
berkomunikasi
hal-hal sensitif atau masalah yang dihadapi audit internal atau organisasi. Biasanya, dan
setidaknya
setiap tahun, pertemuan pribadi dengan dewan atau komite audit dan CAE (tanpa senior
Standar 1111 – Interaksi Langsung dengan Dewan
Kepala eksekutif audit harus berkomunikasi dan berinteraksi langsung dengan dewan.
halaman 17
17
manajemen hadir) secara resmi dilakukan untuk membahas hal-hal atau isu-isu tersebut. Ini
juga membantu
bagi CAE untuk berpartisipasi dalam pertemuan satu lawan satu atau panggilan telepon
secara berkala dengan dewan atau
ketua komite audit, baik sebelum rapat terjadwal atau rutin sepanjang tahun, untuk
memastikan komunikasi langsung dan terbuka.
CAE yang menemukan diri mereka tanpa akses langsung ke papan dapat berbagi Standar
1111 (sebagai
serta standar 1100 dan 1110), praktik tata kelola yang direkomendasikan, dan dewan/audit
studi praktik terbaik komite untuk mengejar hubungan yang lebih kuat dan akses
langsung. Lebih jauh,
CAE dalam situasi seperti itu dapat mempertimbangkan komunikasi tertulis kepada dewan
sampai garis langsung dari
komunikasi, seperti yang dipersyaratkan oleh standar ini, tersedia.
Agenda dan risalah rapat dewan seringkali cukup untuk menunjukkan apakah CAE telah
berkomunikasi dan berinteraksi langsung dengan dewan. Kalender CAE mungkin juga
menunjukkan kesesuaian. Selanjutnya, kebijakan yang mengharuskan CAE untuk bertemu
secara pribadi dengan
dewan secara berkala dapat didokumentasikan dalam piagam dewan atau komite audit.
halaman 18
18
Mulai
Interpretasi Standar 1112 mencatat bahwa ketika kepala audit eksekutif (CAE) mengambil
peran dan/atau tanggung jawab di luar audit internal, independensi organisasi
aktivitas audit internal atau objektivitas individu auditor internal dapat terganggu atau
mungkin
tampak terganggu. Namun, dalam keadaan tertentu, dewan dan manajemen senior
mungkin menemukan bahwa adalah tepat bagi organisasi untuk memperluas peran CAE di
luar internal
audit.
Contoh situasi ketika CAE mungkin diminta untuk melakukan peran yang manajemennya:
biasanya bertanggung jawab meliputi:
Standar 1112 – Peran Kepala Eksekutif Audit Di Luar
Audit Internal
Di mana kepala eksekutif audit memiliki atau diharapkan memiliki peran dan/atau tanggung
jawab
yang berada di luar audit internal, perlindungan harus ada untuk membatasi gangguan pada
independensi atau objektivitas.
Penafsiran:
Kepala eksekutif audit mungkin diminta untuk mengambil peran dan tanggung jawab
tambahan
di luar audit internal, seperti tanggung jawab untuk kepatuhan atau manajemen risiko
kegiatan. Peran dan tanggung jawab ini dapat merusak, atau tampak merusak,
independensi organisasi dari aktivitas audit internal atau objektivitas individu dari
auditor internal. Pengamanan adalah kegiatan pengawasan, yang sering dilakukan oleh
dewan, untuk mengatasi potensi gangguan ini, dan dapat mencakup kegiatan seperti:
mengevaluasi jalur dan tanggung jawab pelaporan secara berkala dan mengembangkan
alternatif
proses untuk mendapatkan jaminan terkait dengan bidang tanggung jawab tambahan.
halaman 19
19
• Persyaratan peraturan baru mendorong kebutuhan mendesak untuk mengembangkan
kebijakan,
prosedur, pengendalian, dan aktivitas manajemen risiko untuk memastikan kepatuhan.
• Sebuah organisasi membutuhkan kegiatan manajemen risiko saat ini untuk disesuaikan
dengan
penambahan segmen bisnis baru atau pasar geografis.
• Sumber daya organisasi terlalu terbatas, atau organisasi terlalu kecil, untuk
memberikan fungsi kepatuhan yang terpisah.
• Proses organisasi belum matang, dan CAE memiliki yang paling tepat
keahlian untuk memperkenalkan prinsip-prinsip manajemen risiko dalam organisasi.
Dalam beberapa kasus, CAE mungkin diharapkan untuk memikul tanggung jawab di bidang
risiko
manajemen, desain dan operasi kontrol, dan kepatuhan. Misalnya, jika CAE adalah
diminta untuk mengambil peran yang melapor secara fungsional kepada manajemen senior
alih-alih dewan,
independensi CAE terkait dengan tanggung jawab audit internal dapat terganggu. (Lihat
Panduan Implementasi 1130 – Penurunan Independensi atau Objektivitas untuk tambahan
contoh potensi penurunan nilai.) Standar 1112 memandu CAE dalam kasus tersebut.
Untuk menerapkan Standar 1112, CAE harus memiliki pemahaman yang jelas tentang Kode
IIAIA
Etika dan konsep independensi dan objektivitas, seperti yang dijelaskan dalam seri 1100
standar dan panduan pelaksanaan. Selain itu, beberapa Prinsip Inti IIA untuk for
Praktik Profesional Audit Internal membahas independensi dan objektivitas CAE.
Pernyataan misi dan piagam kegiatan audit internal, piagam komite audit, dan
kebijakan dan kode etik organisasi dapat mencakup panduan spesifik tambahan yang relevan
ke organisasi.
Untuk mengatasi risiko penurunan nilai, CAE harus memahami setiap usulan
peran yang berada di luar audit internal dan berbicara dengan manajemen senior dan dewan
tentang hubungan pelaporan, tanggung jawab, dan harapan yang terkait dengan peran. Selama
diskusi seperti itu, CAE harus menekankan standar IIA yang terkait dengan independensi dan
objektivitas, potensi penurunan nilai yang ditimbulkan oleh peran yang diusulkan, risiko yang
terkait dengan
peran yang diusulkan, dan perlindungan yang dapat mengurangi risiko tersebut.
Standar 1112 menekankan pentingnya perlindungan seperti kegiatan pengawasan, seringkali
dilakukan oleh dewan, untuk mengatasi potensi gangguan pada independensi CAE dan
halaman 20
20
objektivitas. Salah satu perlindungan adalah posisi organisasi CAE dan hubungan pelaporan.
Menurut Standar 1110 – Kemandirian Organisasi, “CAE harus melapor ke suatu tingkat
dalam organisasi yang memungkinkan aktivitas audit internal untuk memenuhi tanggung
jawabnya.” Ini adalah
efektif dicapai ketika CAE melapor secara fungsional kepada dewan, yang biasanya
melibatkan:
pengawasan dewan atas perekrutan, evaluasi, dan kompensasi CAE dan persetujuan dewan
dari
piagam audit internal dan rencana audit internal, anggaran, dan sumber daya. Seperti yang
dinyatakan dalam Standar
1000 – Tujuan, Wewenang, dan Tanggung Jawab, piagam audit internal mendokumentasikan
sifatnya
hubungan pelaporan fungsional CAE dengan dewan.
Perubahan dalam organisasi dan personel kuncinya dapat menyebabkan reposisi atau
redefinisi
dari peran dan tanggung jawab. Menurut Interpretasi Standar 1112, satu perlindungan
yang dapat mengatasi situasi ini adalah evaluasi berkala terhadap jalur dan tanggung jawab
pelaporan.
Tinjauan CAE atas piagam audit internal dan diskusi dengan manajemen senior dan and
dewan, seperti yang dijelaskan dalam Standar 1000, harus mencakup setiap perubahan peran
atau tanggung jawab
yang dapat mempengaruhi aktivitas audit internal, terutama yang berpotensi mengganggu
Independensi dan objektivitas CAE, baik dalam kenyataan maupun penampilan. Jika CAE
tidak melakukan audit
tanggung jawab akan berlangsung, piagam audit internal harus menggambarkan sifat
kerja. Namun, jika tanggung jawab tersebut bersifat jangka pendek, perubahan pada piagam
audit internal
dan dokumen lain mungkin tidak diperlukan. Dalam kasus seperti itu, rencana untuk
mentransisikan ini
tanggung jawab kepada manajemen dapat diterapkan untuk menjaga independensi CAEE
dan objektivitas. Rencana transisi akan memastikan sumber daya dan waktu yang tepat untuk
memfasilitasi
penerimaan manajemen atas tanggung jawab ini.
Standar 1130 mengharuskan CAE untuk mengungkapkan rincian setiap penurunan
independensi atau
objektivitas, baik dalam kenyataan atau penampilan. Pengungkapan, yang memungkinkan
dewan untuk mengevaluasi
keseluruhan risiko gangguan potensial, biasanya terjadi selama rapat dewan dan mungkin
mencakup diskusi tentang topik terkait, seperti:
• Peran dan tanggung jawab yang diminta untuk dilakukan oleh CAE.
• Risiko yang terkait dengan usaha.
• Pengamanan terhadap independensi dan objektivitas CAE, termasuk pertimbangan atas
penampilan.
• Adanya pengendalian untuk memvalidasi bahwa pengamanan beroperasi secara efektif.
• Rencana transisi, jika penugasan bersifat jangka pendek.
• Kesepakatan dengan manajemen senior dan dewan.
halaman 21
21
Dewan dapat memantau objektivitas CAE dengan meningkatkan tingkat pengawasan yang
diterapkan pada
Penilaian risiko CAE, rencana audit internal, dan komunikasi keterlibatan, dan
mempertimbangkan
potensi bias apa pun yang mungkin dimiliki CAE terkait dengan area di mana dia melakukan
tugasnya
di luar audit internal. Untuk membantu menjaga CAE dari gangguan objektivitas, Standard
1130.A1 melarang auditor internal menilai operasi tertentu yang mereka lakukan
bertanggung jawab dalam tahun sebelumnya, dan Standar 1130.A2 membutuhkan pihak di
luar
aktivitas audit internal untuk mengawasi penugasan jaminan untuk fungsi-fungsi di mana
CAE memiliki
tanggung jawab. Jika CAE memiliki tanggung jawab di area di luar aktivitas audit internal
yang:
tunduk pada audit internal, ketentuan jaminan akan dialihdayakan ke suatu tujuan,
penyedia jaminan kompeten yang melapor secara independen kepada dewan, bukan CAE.
Penyedia jaminan semacam itu dapat bersifat internal atau eksternal.
Penilaian eksternal terhadap aktivitas audit internal (lihat Standar 1312 – Eksternal
Penilaian) yang mencakup tinjauan independensi dan objektivitas CAE — khususnya
di area di mana CAE telah melaksanakan tanggung jawab nonaudit — dapat memberikan
tambahan
jaminan kepada dewan, selama independensi penilai eksternal dapat
divalidasi.
Dokumentasi perlindungan apa pun yang ditetapkan untuk mengatasi potensi gangguan
terhadap
independensi dan objektivitas CAE dapat membantu menunjukkan kesesuaian dengan
Standar
1112. Dokumentasi tersebut dapat mencakup pernyataan dalam kebijakan organisasi dan
kode
etika, piagam komite audit, dan pernyataan misi kegiatan audit internal dan
piagam audit yang disetujui, yang menetapkan peran dan tanggung jawab CAE sebagaimana
disepakati dengan
manajemen senior dan dewan. Kesesuaian juga dapat ditunjukkan melalui periodik
revisi piagam audit internal, yang mencerminkan perubahan peran aktivitas audit internal
dan tanggung jawab. Demikian juga, rencana untuk mengalihkan peran dan tanggung jawab
yang berada di luar
audit internal (misalnya, kepatuhan atau aktivitas manajemen risiko) dari CAE ke
manajemen juga dapat menunjukkan kesesuaian. Bukti tambahan dapat mencakup:
risalah rapat dewan di mana CAE mengungkapkan potensi gangguan untuk
independensi atau objektivitas, dan perlindungan yang diusulkan untuk mengurangi risiko
penurunan nilai
tingkat yang dapat diterima.
CAE dapat menunjukkan kesesuaian dengan menunjukkan bahwa penyedia jaminan lainnya
halaman 22
22
menilai area di mana CAE telah melakukan peran di luar audit internal, dan
rencana audit internal, penilaian risiko, dan komunikasi perikatan dilakukan secara
independen
dinilai untuk independensi dan objektivitas. Survei klien audit dan evaluasi dewan
kinerja CAE dapat mencakup umpan balik tentang persepsi independensi CAE
dan objektivitas. Kesesuaian juga dapat divalidasi dalam hasil penilaian eksternal
dilakukan oleh penilai independen.
halaman 23
23
Mulai
Objektivitas mengacu pada pola pikir auditor internal yang tidak memihak dan tidak
memihak, yang difasilitasi oleh:
menghindari konflik kepentingan. Oleh karena itu, untuk menerapkan standar ini, kepala
eksekutif audit
(CAE) pertama-tama ingin memahami kebijakan atau kegiatan di dalam organisasi dan di
dalam
audit internal yang dapat meningkatkan atau menghambat pola pikir tersebut. Misalnya,
banyak organisasi
memiliki standar evaluasi kinerja dan kebijakan kompensasi, serta karyawan
kebijakan benturan kepentingan. Audit internal akan sering menyesuaikan kebijakan ini
untuk mengatasi masalah internal
peran audit secara khusus dan mungkin memiliki kebijakan departemen terkait lainnya,
seperti kebijakan yang
menentukan persyaratan pelatihan. CAE ingin memahami sifat kebijakan yang relevan
relevant
diidentifikasi dan mempertimbangkan potensi dampaknya terhadap objektivitas audit
internal.
Untuk mengelola objektivitas audit internal secara efektif, banyak CAE memiliki kebijakan
audit internal
Standar 1120 – Objektivitas Individu
Auditor internal harus memiliki sikap yang tidak memihak, tidak memihak dan menghindari
konflik apa pun dari
minat.
Penafsiran:
Benturan kepentingan adalah situasi di mana auditor internal yang berada dalam posisi
kepercayaan,
memiliki kepentingan profesional atau pribadi yang bersaing. Kepentingan yang bersaing
seperti itu dapat membuatnya
sulit untuk memenuhi tugasnya secara tidak memihak. Konflik kepentingan tetap ada
meskipun tidak ada
hasil tindakan yang tidak etis atau tidak tepat. Konflik kepentingan dapat menimbulkan kesan
create
ketidakwajaran yang dapat merusak kepercayaan pada auditor internal, audit internal
aktivitas, dan profesi. Konflik kepentingan dapat mengganggu kemampuan individu untuk
melaksanakan tugas dan tanggung jawabnya secara objektif.
halaman 24
24
manual atau buku pegangan yang menjelaskan harapan dan persyaratan untuk pola pikir yang
tidak bias
untuk setiap auditor internal. Manual kebijakan semacam itu dapat menjelaskan:
• Pentingnya objektivitas bagi profesi audit internal.
• Situasi khas yang dapat merusak objektivitas, seperti audit di suatu area di
di mana auditor internal baru-baru ini bekerja; mengaudit anggota keluarga atau teman dekat;
atau dengan asumsi, tanpa bukti, bahwa area yang diaudit dapat diterima hanya berdasarkan
pada pengalaman positif sebelumnya.
• Tindakan yang harus diambil oleh auditor internal jika dia mengetahui suatu saat ini atau
potensi masalah objektivitas, seperti mendiskusikan masalah tersebut dengan audit internal
manajer atau CAE.
• Persyaratan pelaporan, di mana setiap auditor internal secara berkala mempertimbangkan
dan
mengungkapkan konflik kepentingan. Seringkali, kebijakan mengharuskan auditor internal
untuk menunjukkan bahwa:
mereka memahami kebijakan konflik kepentingan dan mengungkapkan potensi konflik.
Auditor internal menandatangani pernyataan tahunan yang menunjukkan bahwa tidak ada
potensi ancaman atau
mengakui setiap potensi ancaman yang diketahui.
Untuk memperkuat pentingnya kebijakan ini dan membantu memastikan semua auditor
internal menginternalisasi
pentingnya mereka, banyak CAE akan mengadakan lokakarya atau pelatihan rutin tentang
dasar-dasar ini
konsep. Sesi pelatihan semacam itu sering kali memungkinkan auditor internal untuk lebih
memahami
objektivitas dengan mempertimbangkan skenario yang merusak objektivitas dan cara terbaik
untuk mengatasinya. Untuk
misalnya, auditor dan manajer yang lebih senior dapat berbagi pengalaman pribadi di mana:
objektivitas dipertanyakan atau di mana mereka mengungkapkan hubungan atau pengalaman
sendiri
itu adalah konflik. Topik pelatihan terkait lainnya yang umum adalah skeptisisme
profesional. Seperti
pelatihan memperkuat sifat skeptisisme dan kekritisan menghindari bias dan
mempertahankan
pola pikir terbuka dan ingin tahu.
Selanjutnya, ketika menugaskan auditor internal untuk penugasan tertentu, CAE (atau
delegasi) akan
pertimbangkan potensi gangguan objektivitas dan hindari menugaskan anggota tim yang
mungkin memiliki
konflik, seperti yang dijelaskan di atas. Misalnya, ketika auditor internal telah pindah ke
internal
audit dari departemen lain, CAE harus mengikuti Standar 1130.A1, yang mensyaratkan
internal
auditor untuk menahan diri dari menilai operasi yang sebelumnya menjadi tanggung jawab
mereka
setidaknya satu tahun setelah meninggalkan operasi. Selain itu, CAE (atau delegasi) akan
berdiskusi dengan
calon anggota tim sifat tugas dan individu dan departemen
terlibat, dan telusuri apakah ada konflik yang akan merusak (atau tampak merusak) dan
halaman 25
25
objektivitas auditor internal. Auditor internal didorong untuk menyampaikan kekhawatiran
apa pun yang mungkin mereka miliki
miliki sehingga manajemen audit internal dapat menentukan apakah auditor internal dapat
berpartisipasi dalam pertunangan.
Telah dipahami secara luas bahwa praktik kinerja dan kompensasi dapat secara signifikan dan
secara negatif mempengaruhi objektivitas individu. Misalnya, jika kinerja auditor internal
evaluasi, gaji atau bonus secara signifikan didasarkan pada survei kepuasan klien, internal
auditor mungkin ragu untuk melaporkan hasil negatif yang dapat menyebabkan klien
melaporkan rendah
peringkat kepuasan. Atau, jika proses evaluasi auditor sangat terfokus pada jumlah
pengamatan, atau tetap dalam anggaran audit, hal itu dapat menyebabkan auditor internal
kehilangan
objektivitas dan melaporkan masalah yang relatif kecil sebagai temuan audit, atau
mengabaikan tanda-tanda peringatan
masalah baru yang muncul menjelang akhir pertunangan, ketika anggaran hampir habis.
Oleh karena itu, CAE perlu bijaksana dalam merancang kinerja audit internal internal
evaluasi dan sistem kompensasi dan pertimbangkan apakah pengukuran yang digunakan
dapat
merusak objektivitas auditor internal. Idealnya, proses evaluasi akan menyeimbangkan
auditor
kinerja, hasil audit, dan pengukuran umpan balik klien.
Dokumentasi yang dapat menunjukkan kesesuaian dengan standar termasuk internal
manual kebijakan, yang berisi evaluasi kinerja dan proses kompensasi serta
kebijakan yang jelas tentang objektivitas dan menghindari dan melaporkan konflik
kepentingan. Catatan pelatihan atau
bahan dapat menunjukkan bahwa auditor internal telah dibuat sadar akan pentingnya
objektivitas, sifat ancaman terhadap objektivitas, dan contoh konflik kepentingan.
Selain itu, jika ada kebijakan terkait di tingkat organisasi atau audit internal, mungkin ada:
menandatangani formulir pengakuan untuk mengungkapkan keberadaan (atau tidak adanya)
konflik.
Kertas kerja keterlibatan akan mendokumentasikan tim yang ditugaskan dan dapat
dibandingkan dengan compared
catatan pekerjaan atau formulir pengakuan untuk mengkonfirmasi bahwa konflik yang
diketahui telah dihindari.
halaman 26
26
Mulai
Standar mengharuskan kepala eksekutif audit (CAE) untuk mengungkapkan yang nyata atau
yang dirasakan
gangguan terhadap independensi atau objektivitas. Oleh karena itu, CAE harus memiliki
kejelasan
pemahaman tentang persyaratan independensi dan objektivitas, seperti yang dijelaskan dalam
Kode
Etika dan standar 1100, 1110, 1111, 1112, dan 1120. Selanjutnya, dengan
mengkomunikasikan ini
persyaratan untuk dewan dan manajemen senior, CAE akan membantu memastikan bahwa
mereka
memahami pentingnya independensi dan objektivitas untuk kegiatan audit internal yang
efektif.
Umumnya, dewan dan manajemen senior ingin mendiskusikan bagaimana dan kepada siapa
penurunan nilai diungkapkan, tergantung pada sifat dan potensi dampak penurunan nilai.
Standar 1130 – Penurunan Kemerdekaan atau
Objektivitas
Jika independensi atau objektivitas terganggu dalam fakta atau penampilan, rincian dari:
penurunan nilai harus diungkapkan kepada pihak yang tepat. Sifat pengungkapan akan
tergantung pada penurunan nilai.
Penafsiran:
Penurunan independensi organisasi dan objektivitas individu mungkin termasuk, tetapi
tidak terbatas pada, konflik kepentingan pribadi; batasan ruang lingkup; pembatasan akses ke
catatan, personel, dan properti; dan keterbatasan sumber daya, seperti pendanaan.
Penentuan pihak-pihak yang tepat untuk mendapatkan rincian penurunan nilai
independensi atau objektivitas yang harus diungkapkan tergantung pada harapan
aktivitas audit internal dan tanggung jawab kepala audit internal kepada senior
manajemen dan dewan sebagaimana dijelaskan dalam piagam audit internal, serta
sifat dari penurunan nilai.
halaman 27
27
Untuk sepenuhnya memahami dan menghargai independensi dan objektivitas, penting bahwa
internal
auditor mempertimbangkan perspektif berbagai pemangku kepentingan mereka dan kondisi
yang dapat
dianggap merusak (atau tampak melemahkan) independensi atau objektivitas. Sering,
CAE akan mengembangkan manual atau buku pegangan kebijakan audit internal yang
mencakup diskusi tentang
independensi organisasi dan objektivitas auditor internal, sifat gangguan, dan
bagaimana auditor internal harus menangani potensi gangguan.
Seperti disebutkan di atas, untuk mengelola independensi dan objektivitas secara efektif,
termasuk gangguan,
banyak CAE memiliki manual atau buku pegangan kebijakan audit internal yang menjelaskan
harapan dan persyaratan. Selain mendefinisikan independensi dan objektivitas, seperti:
manual dapat mengidentifikasi standar terkait yang spesifik; menggambarkan jenis situasi
yang dapat
membuat, atau tampak menciptakan, gangguan; dan menentukan tindakan yang diharapkan
auditor internal the
harus dilakukan jika menghadapi potensi penurunan nilai.
Situasi penurunan umumnya mencakup kepentingan pribadi, tinjauan diri, keakraban, bias,
atau tidak semestinya
pengaruh. Situasi ini dapat menyebabkan konflik kepentingan pribadi, keterbatasan ruang
lingkup,
keterbatasan sumber daya, atau pembatasan akses ke catatan, personel, atau properti. Intern
contoh audit dari gangguan independensi organisasi mencakup hal-hal berikut, yang, jika:
efek, juga dapat merusak objektivitas auditor internal:
• CAE memiliki tanggung jawab fungsional yang lebih luas daripada audit internal dan
melaksanakan
audit area fungsional yang juga berada di bawah pengawasan CAE.
• Supervisor CAE memiliki tanggung jawab yang lebih luas daripada audit internal, dan CAE
melaksanakan audit dalam tanggung jawab fungsional atasannya.
• CAE tidak memiliki komunikasi atau interaksi langsung dengan dewan.
• Anggaran untuk kegiatan audit internal dikurangi hingga audit internal
tidak dapat memenuhi tanggung jawabnya sebagaimana digariskan dalam piagam. (Standar
2020 –
Komunikasi dan Persetujuan, memberikan panduan lebih lanjut untuk mengkomunikasikan
dampak keterbatasan sumber daya.
Contoh gangguan objektivitas meliputi:
• Auditor internal mengaudit area di mana dia baru-baru ini bekerja, seperti ketika
seorang karyawan dipindahkan ke audit internal dari area fungsional yang berbeda dari
halaman 28
28
organisasi dan kemudian ditugaskan untuk mengaudit fungsi tersebut. (Standar 1130.A1
khusus menangani situasi ini).
• Seorang auditor internal mengaudit area tempat kerabat atau teman dekat bekerja.
• Auditor internal berasumsi, tanpa bukti, bahwa area yang diaudit memiliki
risiko yang dimitigasi secara efektif hanya berdasarkan audit positif sebelumnya atau pribadi
pengalaman (misalnya, kurangnya skeptisisme profesional).
• Auditor internal memodifikasi pendekatan atau hasil yang direncanakan berdasarkan hal-hal
yang tidak semestinya
pengaruh orang lain, seringkali seseorang yang lebih senior dari auditor internal, tanpa
pembenaran yang sesuai.
Seringkali, manual kebijakan audit internal menjelaskan tindakan yang tepat untuk auditor
internal
untuk mengambil jika dia menyadari, atau khawatir tentang, gangguan tersebut. Khas,
langkah pertama adalah mendiskusikan masalah tersebut dengan manajer audit internal atau
CAE untuk menentukan
apakah situasinya benar-benar merupakan gangguan dan bagaimana cara terbaik untuk
melanjutkan.
Sifat penurunan nilai dan ekspektasi dewan/manajemen senior akan menentukan
pihak yang tepat untuk diberitahu tentang gangguan dan pendekatan komunikasi yang ideal.
Sebagai contoh:
• Ketika CAE yakin bahwa penurunan nilai tersebut tidak nyata, tetapi mengakui bahwa
mungkin ada
persepsi gangguan, CAE dapat memilih untuk membahas
pertemuan perencanaan keterlibatan dengan manajemen operasi, mendokumentasikan
diskusi (seperti dalam memo perencanaan audit), dan jelaskan mengapa kekhawatiran itu
tanpa jasa. Pengungkapan semacam itu mungkin juga sesuai untuk perikatan final
laporan.
• Ketika CAE yakin bahwa penurunan nilai tersebut nyata dan mempengaruhi kemampuan
internal
audit untuk melakukan tugasnya secara independen dan obyektif, CAE kemungkinan akan
membahas
gangguan dengan dewan dan manajemen senior dan mencari dukungan mereka untuk
menyelesaikan situasi.
• Ketika penurunan nilai terungkap setelah audit dilaksanakan, dan itu berdampak
keandalan (atau keandalan yang dirasakan) dari hasil perikatan, CAE akan membahas
dengan operasi dan manajemen senior, serta dewan. (Standar 2421 –
Errors and Omissions menyatakan bahwa jika komunikasi akhir mengandung kesalahan yang
signifikan
atau kelalaian, CAE harus mengkomunikasikan informasi yang dikoreksi kepada semua
pihak yang
menerima komunikasi asli.)
halaman 29
29
CAE biasanya secara pribadi terlibat dalam menentukan pendekatan pengungkapan terbaik.
Beberapa dokumen dapat menunjukkan kesesuaian dengan standar, termasuk internal
manual kebijakan audit yang mencakup kebijakan tentang independensi, objektivitas,
penanganan konflik,
dan sifat gangguan, dan bagaimana mengomunikasikannya. Dokumentasi lainnya mungkin
termasuk risalah rapat dewan, jika gangguan terhadap independensi atau objektivitas dibahas;
memo ke file; atau laporan yang berisi pengungkapan tersebut.
halaman 30
30
Mulai
Melakukan penugasan dengan kemahiran dan kehati-hatian profesional adalah tanggung
jawab:
setiap auditor internal. Pencapaian kedua atribut tersebut diawali dengan pemahaman tentang
Panduan Wajib dari Kerangka Kerja Praktik Profesional Internasional (IPPF), khususnya
Kode Etik IIA.
Auditor internal biasanya mengembangkan kemahiran melalui pendidikan, pengalaman,
profesional
peluang pengembangan, dan kualifikasi seperti profesi audit internal yang paling
sertifikasi yang relevan, Certified Internal Auditor ® (CIA ® ), diberikan oleh The IIA. Intern
auditor yang telah memperoleh sertifikasi profesional perlu menyadari kelanjutan
persyaratan pendidikan untuk menjaga sertifikasi mereka tetap terkini.
Kehati-hatian profesional membutuhkan pemahaman tentang pendekatan sistematis dan
disiplin IPPF
untuk audit internal, yang dilengkapi dengan kebijakan dan prosedur khusus organisasi
ditetapkan oleh chief audit executive (CAE).
CAE bertanggung jawab untuk memastikan kesesuaian dengan standar ini oleh audit internal
aktivitas secara keseluruhan. Sebagai bagian dari pengelolaan aktivitas audit internal, CAE
menetapkan kebijakan
dan prosedur yang memungkinkan auditor internal untuk melakukan penugasan dengan
kecakapan dan kewajaran
perawatan profesional. Ini melibatkan perekrutan dan pelatihan auditor internal CAE, juga
sebagai perencanaan yang tepat, kepegawaian, dan pengawasan pertunangan. Untuk
memulai, CAE mungkin
meninjau tanggung jawab yang ditetapkan dalam piagam audit internal dan rencana audit
internal dan
merefleksikan pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan oleh
kegiatan audit internal
harus dimiliki untuk menyelesaikan perikatan audit yang direncanakan.
Standar 1200 – Kemahiran dan Kehati-hatian Profesional
Perikatan harus dilakukan dengan kemahiran dan kehati-hatian profesional.
Revisi Standar Efektif 1 Januari 2017
halaman 31
31
Untuk auditor internal, kehati-hatian profesional memerlukan kesesuaian dengan Kode IIA
Etika dan mungkin memerlukan kepatuhan terhadap kode etik organisasi dan tambahan apa
pun
kode etik yang relevan dengan penunjukan profesional lain yang dicapai. Kegiatan audit
internal
mungkin memiliki proses formal yang mengharuskan auditor internal untuk menandatangani
deklarasi tahunan terkait dengan
Kode Etik IIA atau kode etik organisasi.
Auditor internal umumnya mengembangkan kemahiran individu sepanjang karir mereka
dengan memperoleh:
dan mempertahankan sertifikasi, pengalaman, dan pendidikan profesional yang sesuai, yang
termasuk pengembangan profesional berkelanjutan. CAE dapat menggunakan Internal Global
IIA
Kerangka Kompetensi Audit atau tolok ukur serupa untuk menetapkan kriteria yang
digunakan untuk:
menilai kemampuan auditor internal. Kriteria dapat digunakan untuk membuat deskripsi
pekerjaan
dan inventarisasi kompetensi yang dibutuhkan dalam kegiatan audit internal. Selain itu,
CAE dapat mengembangkan strategi untuk merekrut, menugaskan, melatih, dan
mengembangkan secara profesional
staf untuk membangun aktivitas audit internal yang mahir dan memastikan bahwa
kompetensinya
tetap terkini dan memadai.
Dalam mengembangkan rencana audit internal, CAE umumnya memikirkan keselarasan
antara
pengetahuan, keterampilan, dan kompetensi lain yang diperlukan untuk menyelesaikan
rencana dan sumber daya
tersedia di antara aktivitas audit internal dan penyedia jaminan dan konsultasi lainnya
jasa. CAE dan supervisor audit internal dapat membandingkan keterampilan yang dibutuhkan
untuk:
mencapai setiap ruang lingkup dan tujuan penugasan dengan kemampuan masing-masing
yang tersedia
auditor internal.
Untuk memastikan kehati-hatian profesional diterapkan, CAE harus menetapkan kebijakan
dan prosedur
(Standar 2040), yang umumnya memasukkan Panduan Wajib IPPF dan menyediakan
pendekatan sistematis dan disiplin untuk proses keterlibatan. CAE mungkin memerlukan:
auditor individu untuk menandatangani formulir yang menyatakan bahwa mereka memahami
kebijakan dan prosedur.
Auditor internal dapat menggunakan pengetahuan mereka untuk menilai ruang lingkup dan
tujuan penugasan
dan menentukan bagaimana menyelesaikan perikatan secara efektif. Dengan mengikuti Wajib
Pedoman IPPF dan kebijakan serta prosedur audit internal untuk perencanaan, pelaksanaan,
dan mendokumentasikan perikatan audit, auditor internal pada dasarnya melaksanakan
kewajibannya
perawatan profesional. Standar 1220 hingga 1220.A3 mengidentifikasi elemen fundamental
yang internal
auditor harus alamat untuk menunjukkan kehati-hatian profesional.
halaman 32
32
Setelah perikatan selesai, CAE atau supervisor perikatan umumnya meninjau
proses keterlibatan, hasil, dan kesimpulan. Hal ini dapat diikuti dengan pertemuan dengan
staf audit internal yang melakukan penugasan untuk membahas pengamatan yang relevan dan
menginformasikan
penilaian pengawasan tentang seberapa rajin prosedur yang ditetapkan diikuti.
Bukti yang menunjukkan kesesuaian dengan Standar 1200 dapat mencakup salah satu dari
berikut ini:
• Penilaian kompetensi kegiatan audit internal.
• Rekaman strategi rekrutmen dan pelatihan, deskripsi pekerjaan, dan resume.
• Kebijakan dan prosedur audit internal dan template kertas kerja.
• Bukti bahwa kebijakan dan prosedur audit internal telah dikomunikasikan dan
ditandatangani
pengakuan bahwa staf audit internal memahaminya.
• Bukti yang mendukung deklarasi tahunan terkait dengan Kode Etik IIA dan
kode etik organisasi.
• Rencana audit internal dan rencana keterlibatan, yang menunjukkan kecukupan dan
alokasi yang tepat dari staf audit internal.
Kecermatan profesional auditor internal dapat dibuktikan dalam kertas kerja perikatan atau
lainnya
dokumentasi prosedur dan proses yang digunakan selama perikatan audit.
Tinjauan pengawasan yang terdokumentasi atas perikatan dan survei klien pasca-keterlibatan
atau
bentuk umpan balik lainnya dapat menunjukkan kemahiran dan kehati-hatian profesional
yang ditunjukkan oleh
auditor internal individu. Penilaian eksternal independen, dilakukan sebagai bagian dari
jaminan kualitas dan program peningkatan, dapat memberikan jaminan tambahan bahwa:
penugasan dilakukan dengan kemahiran dan kehati-hatian profesional.
halaman 33
33
Mulai
Untuk mencapai standar ini, penting bagi auditor internal untuk memahami dan menerapkan:
Panduan Wajib Kerangka Kerja Praktik Profesional Internasional (IPPF) IIA dan
memiliki pengetahuan, keterampilan, dan kompetensi tertentu. Memastikan kecakapan
kolektif dari
kegiatan audit internal adalah tanggung jawab keseluruhan dari chief audit executive (CAE),
yang harus
secara efektif mengelola aktivitas audit internal dan sumber dayanya untuk menyelesaikan
audit internal
merencanakan dan menambah nilai bagi organisasi. (Seri 2000 standar membahas rincian
addresses
mengelola aktivitas audit internal dan sumber daya audit internal.)
Kerangka Kompetensi Audit Internal Global IIA mendefinisikan kompetensi inti yang
dibutuhkan
Standar 1210 – Kemahiran
Auditor internal harus memiliki pengetahuan, keterampilan, dan kompetensi lain yang
diperlukan untuk:
melaksanakan tanggung jawab masing-masing. Kegiatan audit internal secara kolektif harus
memiliki atau memperoleh pengetahuan, keterampilan, dan kompetensi lain yang diperlukan
untuk melaksanakan tugasnya
tanggung jawab.
Penafsiran:
Kemahiran adalah istilah kolektif yang mengacu pada pengetahuan, keterampilan, dan
lainnya
kompetensi yang dibutuhkan auditor internal untuk melaksanakan profesionalnya secara
efektif
tanggung jawab. Ini mencakup pertimbangan aktivitas saat ini, tren, dan yang muncul
masalah, untuk memungkinkan saran dan rekomendasi yang relevan. Auditor internal adalah
didorong untuk menunjukkan kemahiran mereka dengan mendapatkan profesional yang
sesuai
sertifikasi dan kualifikasi, seperti penunjukan Certified Internal Auditor dan
sebutan lain yang ditawarkan oleh The Institute of Internal Auditors dan lainnya yang sesuai
organisasi profesional.
halaman 34
34
untuk memenuhi persyaratan IPPF untuk semua tingkat pekerjaan profesi audit internal,
termasuk:
staf, manajemen, dan eksekutif. Agar sesuai dengan Standar 1210, CAE dan internal
auditor mungkin ingin meninjau, memahami, dan merefleksikan kompetensi yang terdiri dari:
Kerangka Kompetensi.
Untuk membangun dan memelihara kecakapan aktivitas audit internal, CAE dapat
mengembangkan:
alat penilaian kompetensi atau penilaian keterampilan berdasarkan Kerangka Kompetensi
atau
tolok ukur lain (misalnya, aktivitas audit internal yang matang). Kemudian, CAE dapat
menggabungkan
kriteria dasar kompetensi audit internal ke dalam uraian tugas dan materi rekrutmen untuk
membantu
menarik dan mempekerjakan auditor internal dengan latar belakang pendidikan dan
pengalaman yang sesuai.
CAE juga dapat menggunakan alat penilaian kompetensi untuk menyelesaikan keterampilan
berkala
penilaian aktivitas audit internal untuk mengidentifikasi kesenjangan. Saat melakukannya,
CAE harus
mempertimbangkan risiko yang terkait dengan penipuan dan TI, serta teknik audit berbasis
teknologi yang tersedia,
seperti yang dipersyaratkan oleh standar 1210.A2 dan 1210.A3.
CAE memiliki kewajiban tambahan terkait untuk memastikan kecakapan kolektif internal the
kegiatan audit. Ini termasuk mengelola aktivitas audit internal sesuai dengan:
Pedoman Wajib IPPF (Standar 2000 – Mengelola Kegiatan Audit Internal) dan
memastikan bahwa aktivitas audit internal memiliki perpaduan yang tepat antara
pengetahuan, keterampilan, dan lainnya
kompetensi untuk memenuhi rencana audit internal (Standar 2030 – Manajemen Sumber
Daya). jika
kegiatan audit internal tidak memiliki sumber daya yang memadai dan memadai pada staf,
CAE adalah
diharapkan untuk mendapatkan saran atau bantuan yang kompeten untuk mengisi
kesenjangan. CAE dapat menggunakan
kriteria yang ditetapkan dalam Kerangka Kompetensi untuk mengidentifikasi kesenjangan
dalam aktivitas audit internal
kecakapan kolektif dan untuk mengembangkan rencana untuk mengisi kesenjangan cakupan
melalui perekrutan, pelatihan,
outsourcing, dan metode lainnya. (Standar 2050 dan panduan implementasinya masing-
masing
membahas rincian kegiatan koordinasi dengan penyedia internal dan eksternal lainnya dari
layanan jaminan dan konsultasi.)
Untuk meningkatkan kemahiran kegiatan audit internal, CAE akan mendorong profesional
pengembangan auditor internal, baik yang terjadi melalui on-the-job training, absensi
di konferensi dan seminar profesional, atau mendorong pengejaran profesional
sertifikasi. Dengan secara teratur meninjau kinerja auditor internal, CAE dapat memperoleh:
wawasan tentang kebutuhan pelatihan dan memberikan umpan balik untuk membantu
mengembangkan individu.
halaman 35
35
Standar ini juga mengharuskan auditor internal individu untuk memiliki pengetahuan,
keterampilan, dan
kompetensi yang dibutuhkan untuk melaksanakan tanggung jawab mereka secara
efektif. Individu dapat menggunakan
Kerangka Kompetensi sebagai dasar penilaian diri. Selain itu, standar mendorong
auditor internal untuk mendapatkan sertifikasi dan kualifikasi yang sesuai untuk mendukung
lebih lanjut
pertumbuhan profesional dan peningkatan kemahiran baik untuk individu maupun audit
internal
aktivitas secara keseluruhan. Demikian juga, Standar 1230 – Pengembangan Profesional
Berkelanjutan membutuhkan
auditor internal untuk meningkatkan kompetensi mereka melalui pengembangan profesional
berkelanjutan.
Auditor internal harus tetap mendapat informasi tentang pendidikan berkelanjutan yang
mungkin
diharuskan untuk mempertahankan sertifikasi profesional apa pun yang mereka miliki.
Karena Standar 1210 membutuhkan kemahiran yang mencakup pertimbangan arus
kegiatan, tren, dan masalah yang muncul, pendidikan berkelanjutan dapat mencakup peluang
untuk
mempelajari tentang perubahan dalam industri yang dapat mempengaruhi organisasi atau
audit internal
profesi. CAE dapat membantu memastikan kemampuan keseluruhan aktivitas audit internal
dalam hal ini
pandangan. Misalnya, CAE dapat berlangganan layanan berita industri atau mengirim email
buletin, yang kemungkinan akan menyertakan informasi tentang studi yang baru-baru ini
diterbitkan dan putih
dokumen. CAE juga dapat menghadiri atau merekomendasikan kepada staf audit secara
online atau secara langsung
seminar. Secara berkala, CAE dapat menjadwalkan acara pelatihan staf internal untuk
memperkenalkan
teknologi atau perubahan dalam praktik audit internal.
Pada tingkat keterlibatan individu, CAE memikul tanggung jawab keseluruhan untuk
mengawasi keterlibatan untuk memastikan kualitas, pencapaian tujuan, dan staf
pengembangan (Standar 2340 – Pengawasan Keterlibatan). Keahlian dan pengalaman
auditor internal membantu menentukan tingkat pengawasan yang diperlukan. Untuk tetap
mendapat informasi, CAE
secara berkala dapat menilai kembali keterampilan auditor internal individu. Juga, sebagai
pertunangan adalah
selesai, CAE atau supervisor perikatan dapat mensurvei dan/atau mewawancarai
keterlibatan klien (secara formal atau informal) untuk meminta umpan balik tentang auditor
internal
kecakapan dalam melaksanakan perikatan.
Tanggung jawab individu auditor internal pada tingkat perencanaan perikatan meliputi:
mempertimbangkan kesesuaian dan kecukupan sumber daya untuk mencapai keterlibatan
tujuan (Standar 2230 – Alokasi Sumber Daya Keterlibatan). Auditor internal biasanya
meninjau tujuan dan ruang lingkup perikatan audit dan kemudian mendiskusikan dengan
CAE setiap
keterbatasan dalam kompetensi mereka yang mungkin mencegah mereka mencapai
keterlibatan tersebut
tujuan.
halaman 36
36
Auditor internal individu dapat membuktikan kemahiran mereka melalui resume atau
kurikulum mereka
vitae dan dengan memelihara catatan sertifikasi dan pengembangan profesional berkelanjutan
(misalnya, kursus untuk kredit pendidikan berkelanjutan; partisipasi dalam konferensi,
lokakarya, dan
seminar; ulasan kinerja).
Upaya CAE untuk membangun dan memelihara aktivitas audit internal yang mahir mungkin
ditunjukkan melalui penggunaan alat penilaian kompetensi dan pengembangan
kebijakan, prosedur, dan materi pelatihan audit internal. Upaya merekrut dan mempekerjakan
mahir
auditor internal dapat tercermin dalam deskripsi pekerjaan dan materi rekrutmen lainnya.
CAE atau supervisor perikatan audit dapat menyimpan catatan evaluasi mereka atas:
auditor internal individu dan aktivitas audit internal secara keseluruhan. Evaluasi semacam
itu mungkin
termasuk ulasan kinerja individu dan diskusi pasca-keterlibatan, memo, dan
notulen rapat. Umpan balik yang terdokumentasi dari survei dan wawancara klien pasca-
keterlibatan
juga dapat membuktikan kecakapan aktivitas audit internal, auditor internal individu, atau,
keduanya.
Salah satu dari dokumen berikut dapat membuktikan kesesuaian aktivitas audit internal
sebagai:
semua:
• Rencana audit internal yang mencakup analisis kebutuhan sumber daya.
• Inventarisasi keterampilan staf audit yang tersedia atau profil individu yang mencantumkan
kualifikasi.
• Peta jaminan dengan daftar kualifikasi penyedia layanan di mana:
mengandalkan aktivitas audit internal.
• Hasil penilaian internal yang terdokumentasi.
halaman 37
37
Mulai
Memperoleh pendidikan, pengalaman, sertifikasi, dan pelatihan yang sesuai membantu
auditor internal
mengembangkan tingkat keterampilan dan keahlian yang dibutuhkan untuk melaksanakan
tugasnya dengan profesional
peduli. Selain itu, auditor internal harus memahami dan menerapkan Pedoman Wajib:
Kerangka Kerja Praktik Profesional Internasional (IPPF) dan mungkin berguna untuk
menjadi
akrab dengan kompetensi inti yang dijelaskan dalam Kompetensi Audit Internal Global IIA
Kerangka.
Pada tingkat perikatan, penerapan kehati-hatian profesional melibatkan pemahaman
tujuan dan ruang lingkup penugasan, serta kompetensi yang akan diperlukan untuk
melaksanakan pekerjaan audit dan setiap kebijakan dan prosedur khusus untuk kegiatan audit
internal
dan organisasi.
Untuk auditor internal, kehati-hatian profesional memerlukan kesesuaian dengan Kode IIA
Etika dan mungkin memerlukan kesesuaian dengan kode etik organisasi dan tambahan
lainnya
kode etik yang relevan dengan penunjukan profesional lain yang dicapai. Audit internal
aktivitas mungkin memiliki proses formal yang mengharuskan auditor internal untuk
menandatangani deklarasi tahunan
terkait dengan Kode Etik IIA atau kode etik organisasi.
Bersamaan dengan IPPF, kebijakan dan prosedur kegiatan audit internal memberikan
dan pendekatan disiplin untuk merencanakan, melaksanakan, dan mendokumentasikan
pekerjaan audit internal. Oleh
Standar 1220 – Kehati-hatian Profesional
Auditor internal harus menerapkan kehati-hatian dan keterampilan yang diharapkan dari
pertimbangan yang wajar dan
auditor internal yang kompeten. Kehati-hatian profesional tidak berarti infalibilitas.
halaman 38
38
mengikuti pendekatan sistematis dan disiplin ini, auditor internal pada dasarnya menerapkan
perawatan profesional. Namun, apa yang dimaksud dengan kehati-hatian profesional
sebagian bergantung pada:
kompleksitas pertunangan. Standar 1220.A1, 1220.A2, 1220.A3, dan 1220.C1
menggambarkan unsur-unsur yang auditor internal harus mempertimbangkan dalam
melaksanakan kehati-hatian profesional.
Misalnya, auditor internal harus mempertimbangkan kemungkinan kesalahan yang signifikan,
penipuan, dan
ketidakpatuhan dan diharapkan untuk melakukan pemeriksaan dan verifikasi pada tingkat
yang sama
seperti halnya auditor internal yang cukup bijaksana dan kompeten di perusahaan yang sama
atau serupa
keadaan. Namun, Standar 1220 juga menetapkan bahwa kehati-hatian profesional tidak
berarti
infalibilitas. Oleh karena itu, auditor internal tidak diharapkan untuk memberikan jaminan
mutlak bahwa:
ketidakpatuhan atau penyimpangan tidak ada.
Untuk memastikan kehati-hatian profesional pada tingkat perikatan, Standar 2340 –
Pengikatan
Pengawasan membutuhkan keterlibatan untuk diawasi dengan benar, yang umumnya
melibatkan:
tinjauan pengawasan atas kertas kerja perikatan, hasil, dan kesimpulan yang akan dilaporkan.
Setelah tinjauan tersebut, supervisor biasanya memberikan umpan balik kepada auditor
internal yang:
melakukan pertunangan, seringkali melalui pertemuan pasca pertunangan. Masukan tentang
internal
kehati-hatian profesional auditor dapat diminta melalui survei audit pasca-keterlibatan
klien.
Dalam mengelola kegiatan audit internal (2000 seri standar) dan menerapkan kualitas
program jaminan dan peningkatan (1300 seri standar), kepala eksekutif audit
(CAE) memikul tanggung jawab keseluruhan untuk memastikan bahwa kehati-hatian
profesional diterapkan. Jadi,
CAE biasanya mengembangkan alat pengukuran seperti penilaian diri, metrik seperti kunci
indikator kinerja, dan proses untuk menilai kinerja individu internal
auditor dan aktivitas audit internal secara keseluruhan. Selain survei klien, alat untuk
mengevaluasi auditor internal individu dapat mencakup tinjauan sejawat dan
pengawasan. bagian dalam
kegiatan audit secara keseluruhan dapat dievaluasi melalui penilaian internal dan eksternal,
dalam
sesuai dengan standar 1310 hingga 1312, serta survei klien atau metode serupa
masukan.
Auditor internal menunjukkan kesesuaian dengan Standar 1220 melalui penerapan yang tepat
dari
Panduan Wajib IPPF, yang akan tercermin dalam rencana keterlibatan mereka, bekerja
program, dan kertas kerja. Tinjauan kinerja auditor internal dapat merujuk
halaman 39
39
penerapan kehati-hatian profesional. Tinjauan pengawasan yang tepat dari perikatan mungkin
terjadi
untuk didokumentasikan dalam kertas kerja. Kecermatan profesional juga dapat dibuktikan
ketika:
penyelia perikatan melakukan pertemuan staf pasca-keterlibatan dan meminta umpan balik
dari
mengaudit klien melalui survei atau alat lainnya. Selain itu, bukti mungkin termasuk tahunan
deklarasi terkait dengan Kode Etik IIA dan kode etik organisasi. Akhirnya,
penilaian internal dan eksternal yang dilakukan sebagai bagian dari kualitas kegiatan audit
internal
program jaminan dan peningkatan juga dapat menunjukkan bahwa kecermatan profesional
telah
terawat.
halaman 40
40
Mulai
Dalam rangka meningkatkan kompetensi dan melanjutkan pengembangan profesionalnya,
internal
auditor mungkin ingin merefleksikan persyaratan pekerjaan mereka, termasuk kebijakan
pelatihan dan
persyaratan pendidikan profesi profesi, organisasi, industri, dan apapun
sertifikasi atau bidang spesialisasi. Selain itu, auditor internal dapat mempertimbangkan
umpan balik
dari tinjauan kinerja baru-baru ini, hasil penilaian mengenai kesesuaiannya dengan
Panduan Wajib dari Kerangka Kerja Praktik Profesional Internasional (IPPF), dan
hasil penilaian sendiri berdasarkan Kerangka Kompetensi Audit Internal Global IIA,
atau patokan serupa. Merefleksikan tujuan karir dapat membantu auditor internal dengan
jangka panjang
perencanaan pengembangan profesional mereka.
Seorang auditor internal individu dapat menggunakan alat penilaian diri, seperti Kompetensi
Kerangka kerja, sebagai dasar untuk membuat rencana pengembangan profesional. Rencana
pembangunan
dapat mencakup pelatihan di tempat kerja, pembinaan, pendampingan, dan internal dan
eksternal lainnya
pelatihan, sukarelawan, atau peluang sertifikasi. Biasanya, auditor internal membahas
rencanakan dengan chief audit executive (CAE), dan keduanya mungkin setuju untuk
menggunakan profesional
rencana pengembangan sebagai dasar untuk mengembangkan ukuran kinerja auditor internal
(yaitu, indikator kinerja utama), yang dapat dimasukkan ke dalam tinjauan pengawasan, klien
survei, dan tinjauan kinerja tahunan. Hasil review dapat membantu CAE dan
auditor internal memprioritaskan area untuk pengembangan profesional berkelanjutan. Pada
akhirnya,
auditor internal individu bertanggung jawab untuk mematuhi Standar 1230.
Standar 1230 – Pengembangan Profesional Berkelanjutan
Auditor internal harus meningkatkan pengetahuan, keterampilan, dan kompetensi lainnya
melalui:
pengembangan profesional berkelanjutan.
halaman 41
41
Peluang untuk pengembangan profesional termasuk berpartisipasi dalam konferensi, seminar,
program pelatihan, kursus online dan webinar, program belajar mandiri, atau kursus kelas;
melakukan proyek penelitian; sukarela dengan organisasi profesional; dan mengejar
sertifikasi profesional seperti The IIA's Certified Internal Auditor ® (CIA ® ). Melanjutkan
pengembangan profesional yang terkait dengan industri atau spesialisasi tertentu (misalnya,
analisis data,
layanan keuangan, TI, undang-undang perpajakan, atau desain sistem) dapat menyebabkan
tambahan profesional
kompetensi yang dapat meningkatkan pekerjaan audit internal di area spesifik tersebut.
Kadang-kadang, survei klien audit internal dapat mengungkapkan kekhawatiran mengenai
ketajaman bisnis. CAE dan auditor internal dapat mengatasi masalah tersebut dengan
berpartisipasi
pada berbagai pelatihan atau peluang yang ditawarkan dalam organisasi mereka untuk lebih
memahami
bisnis.
Untuk memastikan auditor internal memiliki kesempatan untuk meningkatkan pengetahuan,
keterampilan, dan lainnya
kompetensi, CAE dapat menetapkan kebijakan pelatihan dan pengembangan yang
mendukung
pengembangan profesional berkelanjutan. Kebijakan tersebut dapat menentukan jumlah
minimum pelatihan
jam untuk setiap auditor, seperti 40 jam, yang konsisten dengan banyak profesional
persyaratan sertifikasi. CAE dapat mempertimbangkan untuk menggunakan benchmarking
untuk menilai saat ini dan
kebutuhan yang muncul dari profesi internal, serta tren khusus dalam industri atau
daerah khusus.
Untuk memastikan pengetahuan audit internal mereka tetap terkini setiap hari, auditor
internal
dapat meminta bimbingan dari The IIA mengenai standar, praktik terbaik, prosedur, dan
teknik yang dapat mempengaruhi profesi audit internal atau organisasi mereka dan spesifik
industri. Ini mungkin melibatkan mempertahankan keanggotaan saat ini di The IIA dan
profesional lainnya
organisasi, berjejaring di acara lokal, dan memantau atau berlangganan umpan atau
pemberitahuan
layanan yang terkait dengan profesi audit internal dan berita khusus industri.
Auditor internal dapat menunjukkan kesesuaian dengan Standar 1230 dengan
mempertahankan
dokumentasi atau bukti lain dari salah satu dari berikut ini:
• Penilaian diri terhadap kerangka kompetensi atau tolok ukur.
• Pengembangan profesional dan rencana pelatihan.
• Keanggotaan dan partisipasi dalam organisasi profesi.
halaman 42
42
• Berlangganan ke sumber informasi profesional.
• Pelatihan yang telah selesai (misalnya, kredit pendidikan berkelanjutan, sertifikasi, atau
sertifikat
penyelesaian).
Peningkatan kemahiran yang dicapai melalui pelatihan di tempat kerja dan pelatihan internal
kemungkinan besar akan
dicatat dalam evaluasi kinerja, yang juga dapat melacak peluang untuk profesional masa
depan
pengembangan. Metrik kinerja mungkin mencerminkan pengawasan atau pengamatan rekan
dari keterampilan baru
dan kemampuan yang ditingkatkan. Kebijakan audit internal, jadwal pelatihan, dan staf audit
internal
survei mungkin membuktikan bahwa peluang untuk pengembangan profesional berkelanjutan
adalah
disediakan oleh CAE.
halaman 43
43
Mulai
Standar 1300 menugaskan chief audit executive (CAE) untuk mengembangkan dan
memelihara a
program penjaminan dan peningkatan kualitas yang komprehensif (QAIP). QAIP harus
mencakup semua aspek pengoperasian dan pengelolaan aktivitas audit internal — termasuk
keterlibatan konsultasi — seperti yang ditemukan dalam elemen wajib dari Internasional
Kerangka Praktek Profesional (IPPF). Mungkin juga bermanfaat bagi QAIP untuk
mempertimbangkan
praktik terbaik dalam profesi audit internal.
QAIP dirancang untuk memungkinkan evaluasi kesesuaian aktivitas audit internal dengan:
Standar Internasional untuk Praktik Profesional Audit Internal (Standar) dan
apakah auditor internal menerapkan Kode Etik IIA. Dengan demikian, itu harus mencakup
berkelanjutan dan
penilaian internal secara berkala maupun penilaian eksternal oleh seorang independen yang
memenuhi syarat
penilai atau tim penilai (lihat Standar 1310 – Persyaratan Penjaminan Mutu
dan Program Peningkatan).
Standar 1300 – Jaminan dan Peningkatan Kualitas
Program
Kepala eksekutif audit harus mengembangkan dan memelihara jaminan kualitas dan
program perbaikan yang mencakup semua aspek kegiatan audit internal.
Penafsiran:
Program penjaminan mutu dan peningkatan dirancang untuk memungkinkan evaluasi
kesesuaian kegiatan audit internal dengan Standar dan evaluasi apakah
auditor internal menerapkan Kode Etik. Program ini juga menilai efisiensi dan
efektivitas kegiatan audit internal dan mengidentifikasi peluang untuk perbaikan.
Kepala eksekutif audit harus mendorong pengawasan dewan dalam penjaminan mutu dan
program perbaikan.
halaman 44
44
CAE harus memiliki pemahaman menyeluruh tentang elemen wajib IPPF,
khususnya Standar dan Kode Etik. Umumnya, CAE bertemu dengan dewan untuk
mendapatkan
pemahaman tentang harapan untuk kegiatan audit internal, untuk membahas pentingnya
Standar dan QAIP, dan untuk mendorong dukungan dewan terhadap ini.
Biasanya, CAE menemukan contoh bagaimana QAIP dikembangkan dan diimplementasikan
di tempat lain
organisasi — terutama yang serupa dalam sifat dan kematangan — untuk benchmarking
tujuan. Selain itu, CAE mungkin ingin berkonsultasi dengan Panduan Tambahan IIA dan
lainnya
menerbitkan panduan tentang masalah ini, termasuk Manual Penilaian Kualitas IIA untuk for
Kegiatan Audit Internal.
QAIP yang dikembangkan dengan baik memastikan bahwa konsep kualitas tertanam dalam
audit internal
kegiatan dan semua operasinya. Aktivitas audit internal tidak perlu menilai apakah
setiap keterlibatan individu sesuai dengan Standar. Sebaliknya, pertunangan harus
dilakukan sesuai dengan metodologi mapan yang mempromosikan kualitas dan, dengan
default, kesesuaian dengan Standar. Selain itu, metodologi umumnya mempromosikan
perbaikan terus-menerus dari aktivitas audit internal.
Seperti yang disyaratkan oleh Standar 1300, CAE mengembangkan dan memelihara QAIP
yang mencakup semua aspek:
aktivitas audit internal, dengan tujuan akhir mengembangkan aktivitas audit internal dengan
lingkup dan kualitas pekerjaan yang mencakup kesesuaian dengan Standar dan penerapan
Kode Etik. QAIP memungkinkan aktivitas audit internal dievaluasi untuk kesesuaiannya
dengan Standar dan menilai apakah auditor internal menerapkan Kode Etik. Dengan
demikian,
QAIP mencakup penilaian efisiensi dan efektivitas kegiatan audit internal,
yang membantu mengidentifikasi peluang untuk perbaikan.
CAE secara berkala mengevaluasi QAIP dan memperbaruinya sesuai kebutuhan. Misalnya,
sebagai
aktivitas audit internal matang, atau karena kondisi dalam aktivitas audit internal berubah,
penyesuaian pada QAIP mungkin diperlukan untuk memastikan bahwa QAIP terus
beroperasi dalam
efektif dan efisien dan untuk meyakinkan pemangku kepentingan bahwa itu menambah nilai
dengan meningkatkan
operasi organisasi.
halaman 45
45
Untuk menerapkan Standar 1300, CAE harus mempertimbangkan persyaratan yang terkait
dengan lima
komponen penting:
• Penilaian internal (Standar 1311).
• Penilaian eksternal (Standar 1312).
• Komunikasi hasil QAIP (Standar 1320).
• Penggunaan pernyataan kesesuaian dengan benar (Standar 1321).
• Pengungkapan ketidaksesuaian (1322).
Penilaian Internal
Penilaian internal terdiri dari pemantauan berkelanjutan dan penilaian diri berkala (lihat
Standar 1311 – Penilaian Internal), yang mengevaluasi aktivitas audit internal
kesesuaian dengan elemen wajib IPPF, kualitas dan pengawasan audit
pekerjaan yang dilakukan, kecukupan kebijakan dan prosedur audit internal, nilai
kegiatan audit menambah organisasi, dan pembentukan dan pencapaian kunci
indikator kinerja.
CAE harus menetapkan pemantauan berkelanjutan dan memastikan bahwa tinjauan audit
internal
aktivitas terjadi secara berkala. Pemantauan berkelanjutan dicapai terutama melalui
kegiatan seperti perencanaan dan pengawasan keterlibatan, praktik kerja standar,
prosedur dan tanda tangan kertas kerja, tinjauan laporan, serta identifikasi setiap
kelemahan atau area yang membutuhkan perbaikan dan rencana tindakan untuk
mengatasinya. Sedang berlangsung
pemantauan membantu CAE menentukan apakah proses audit internal memberikan kualitas
pada
dasar keterlibatan demi keterlibatan.
Penilaian diri secara berkala dilakukan untuk memvalidasi bahwa pemantauan yang sedang
berlangsung beroperasi
efektif dan untuk menilai apakah aktivitas audit internal sesuai dengan
Standar dan apakah auditor internal menerapkan Kode Etik. Melalui kesesuaian dengan
Standar dan Kode Etik, kegiatan audit internal juga mencapai keselarasan dengan
Definisi Audit Internal dan Prinsip Inti Praktik Profesional Internal Core
Audit.
Panduan Implementasi 1311 – Penilaian Internal memberikan panduan lebih lanjut tentang
QAIP
persyaratan untuk penilaian internal.
halaman 46
46
Penilaian Eksternal
Selain penilaian internal, CAE bertanggung jawab untuk memastikan bahwa audit internal
kegiatan melakukan penilaian eksternal setidaknya sekali setiap lima tahun (lihat Standar
1312 –
Penilaian Eksternal). Tujuan penilaian, yang harus dilakukan oleh
penilai independen atau tim penilai dari luar organisasi, adalah untuk memvalidasi
apakah aktivitas audit internal sesuai dengan Standar dan apakah auditor internal
menerapkan Kode Etik.
Penilaian sendiri dapat dilakukan sebagai pengganti penilaian eksternal penuh, asalkan:
divalidasi oleh asesor eksternal yang berkualitas, independen, kompeten, dan
profesional. Sedemikian
kasus, ruang lingkup penilaian diri dengan validasi independen eksternal akan terdiri dari:
proses penilaian diri yang komprehensif dan terdokumentasi sepenuhnya yang meniru
keseluruhan
proses eksternal, dan validasi di tempat yang independen oleh penilai independen yang
berkualifikasi.
Panduan Implementasi 1312 – Penilaian Eksternal memberikan panduan lebih lanjut tentang
QAIP
persyaratan untuk penilaian eksternal.
Komunikasi Hasil QAIP
CAE harus mengkomunikasikan hasil QAIP kepada manajemen senior dan dewan, sebagai:
dinyatakan dalam Standar 1320 – Pelaporan Program Jaminan dan Peningkatan Kualitas.
Komunikasi tersebut harus mencakup:
• Cakupan dan frekuensi penilaian internal dan eksternal.
• Kualifikasi dan independensi penilai atau tim penilai.
• Kesimpulan dari asesor.
• Setiap rencana tindakan korektif yang telah dibuat dari penilaian untuk ditangani
area yang tidak sesuai dengan Standar, bersama dengan peluang untuk
peningkatan.
Panduan Pelaksanaan 1320 – Pelaporan Program Penjaminan Mutu dan Peningkatan
memberikan panduan lebih lanjut tentang pelaporan QAIP.
Penggunaan Pernyataan Kesesuaian yang Benar
Aktivitas audit internal hanya dapat mengomunikasikan — secara tertulis atau lisan — bahwa
pihak internal
halaman 47
47
aktivitas audit sesuai dengan Standar jika hasil internal dan eksternal QAIPIP
penilaian mendukung pernyataan seperti itu. Panduan Implementasi 1321 – Penggunaan
“Sesuai dengan
Standar Internasional untuk Praktik Profesional Audit Internal” memberikan lebih lanjut
panduan tentang penggunaan yang tepat dari pernyataan kesesuaian.
Pengungkapan Ketidaksesuaian
Jika penilaian internal atau eksternal menyimpulkan bahwa aktivitas audit internal tidak
sesuai
dengan elemen wajib IPPF, dan kurangnya kesesuaian berdampak pada cakupan keseluruhan
atau
operasi kegiatan audit internal, CAE harus mengungkapkan ketidaksesuaian dan
berdampak pada manajemen senior dan dewan. Panduan Implementasi 1322 – Pengungkapan
Ketidaksesuaian memberikan panduan lebih lanjut tentang bagaimana dan kapan melaporkan
ketidaksesuaian.
Berbagai aktivitas dan dokumen dapat menunjukkan kesesuaian dengan Standar 1300, the
yang paling menonjol adalah QAIP yang didokumentasikan CAE itu sendiri, hasil dari
internal dan
penilaian eksternal, dan dokumentasi yang menunjukkan komunikasi CAE tentang hasil
QAIP
dengan papan. Yang terakhir biasanya terdiri dari temuan, rencana tindakan korektif, dan
korektif
tindakan yang diambil untuk meningkatkan kesesuaian aktivitas audit internal dengan Standar
dan Kode
dari Etika. Selain itu, setiap dokumentasi tindakan yang diambil untuk meningkatkan audit
internal internal
efisiensi dan efektivitas kegiatan dapat membantu menunjukkan kesesuaian dengan standar.
Untuk penilaian eksternal, dokumentasi dari penilai eksternal atau tim penilai, atau
validasi independen tertulis dari penilaian diri, dapat digunakan untuk menunjukkan
kesesuaian dengan
Standar 1300. Risalah rapat dewan di mana QAIP dan hasilnya didiskusikan dan
presentasi kepada dewan atau manajemen senior juga dapat membantu kesesuaian bukti.
halaman 48
48
Mulai
Standar 1310 mengkomunikasikan persyaratan yang membentuk jaminan kualitas dan
program perbaikan (QAIP), yang mencakup semua aspek kegiatan audit internal.
Secara khusus, standar tersebut menunjukkan bahwa penilaian internal dan eksternal
diperlukan.
Chief audit executive (CAE) harus menyadari persyaratan ini. Penilaian internal
terdiri dari proses yang ketat dan komprehensif, pengawasan dan pengujian berkelanjutan
dari
audit internal dan pekerjaan konsultasi, dan validasi berkala atas kesesuaian dengan
Standar Internasional untuk Praktik Profesional Audit Internal (Standar) dan
apakah auditor internal menerapkan Kode Etik IIA. Penilaian eksternal memberikan
kesempatan bagi penilai independen atau tim penilai untuk menyimpulkan mengenai internal
kesesuaian aktivitas audit dengan Standar dan apakah auditor internal menerapkan Kode
Etika, dan untuk mengidentifikasi area untuk perbaikan. QAIP juga termasuk yang sedang
berlangsung
pengukuran dan analisis metrik kinerja seperti pencapaian internal
rencana audit, waktu siklus, rekomendasi yang diterima, dan kepuasan pelanggan.
Biasanya, CAE akan mengetahui hasil sebelumnya baik dari internal maupun eksternal
penilaian yang menunjukkan area di mana aktivitas audit internal dapat ditingkatkan. CAE
akan mengimplementasikan rencana aksi yang terkait dengan perbaikan yang teridentifikasi
melalui QAIP.
Standar 1310 – Persyaratan Jaminan Kualitas
dan Program Peningkatan
Program penjaminan mutu dan peningkatan harus mencakup internal dan eksternal
penilaian.
halaman 49
49
Standar 1310 mengharuskan QAIP untuk memasukkan penilaian internal dan
eksternal. Intern
penilaian terdiri dari pemantauan berkelanjutan dan penilaian mandiri berkala (lihat Standar
1311
– Penilaian Internal), yang mengevaluasi kesesuaian aktivitas audit internal dengan
elemen wajib IPPF, kualitas dan pengawasan pekerjaan audit yang dilakukan,
kecukupan kebijakan dan prosedur audit internal, nilai yang ditambahkan oleh aktivitas audit
internal
organisasi, dan penetapan serta pencapaian indikator kinerja utama.
CAE harus menetapkan pemantauan berkelanjutan dan memastikan bahwa tinjauan audit
internal
aktivitas terjadi secara berkala. Pemantauan berkelanjutan dicapai terutama melalui
kegiatan seperti perencanaan dan pengawasan keterlibatan, praktik kerja standar,
prosedur dan tanda tangan kertas kerja, tinjauan laporan, serta identifikasi setiap
kelemahan atau area yang membutuhkan perbaikan dan rencana tindakan untuk
mengatasinya. Kontinu
pemantauan membantu CAE menentukan apakah proses audit internal memberikan kualitas
pada
dasar keterlibatan demi keterlibatan.
Penilaian diri secara berkala dilakukan untuk memvalidasi bahwa pemantauan yang sedang
berlangsung beroperasi
efektif dan untuk menilai apakah aktivitas audit internal sesuai dengan
Standar dan apakah auditor internal menerapkan Kode Etik. Melalui kesesuaian dengan
Standar dan Kode Etik, kegiatan audit internal juga mencapai keselarasan dengan
Definisi Audit Internal dan Prinsip Inti Praktik Profesional Internal Core
Audit.
Selain penilaian internal, CAE bertanggung jawab untuk memastikan bahwa audit internal
kegiatan melakukan penilaian eksternal setidaknya sekali setiap lima tahun (lihat Standar
1312 –
Penilaian Eksternal). Tujuan penilaian, yang harus dilakukan oleh
penilai independen atau tim penilai dari luar organisasi, adalah untuk memvalidasi
apakah aktivitas audit internal sesuai dengan Standar dan apakah auditor internal
menerapkan Kode Etik.
Penilaian sendiri dapat dilakukan sebagai pengganti penilaian eksternal penuh, asalkan:
divalidasi oleh asesor eksternal yang berkualitas, independen, kompeten, dan
profesional. Sedemikian
kasus, ruang lingkup penilaian diri dengan validasi independen eksternal akan terdiri dari:
proses penilaian diri yang komprehensif dan terdokumentasi sepenuhnya yang meniru
keseluruhan
proses eksternal, dan validasi di tempat yang independen oleh pihak eksternal yang
berkualifikasi dan independen
halaman 50
50
penilai.
Panduan implementasi untuk Standar 1311 dan Standar 1312 memberikan panduan lebih
lanjut tentang
persyaratan QAIP untuk penilaian internal dan eksternal.
Beberapa item dapat menunjukkan kesesuaian dengan Standar 1310, termasuk semua
dokumentasi yang
menunjukkan kesesuaian dengan Standar 1311 dan Standar 1312. Selain itu, kesesuaian
dapat ditunjukkan oleh risalah rapat dewan di mana rencana untuk — dan hasil —
penilaian dibahas. Laporan pembandingan dan permintaan layanan dapat menunjukkan:
uji tuntas organisasi dalam memeriksa penilai eksternal.
Khusus untuk penilaian internal, setiap bukti bahwa kegiatan pemantauan yang sedang
berlangsung telah
diselesaikan sesuai dengan QAIP aktivitas audit internal dapat menunjukkan kesesuaian
(misalnya,
tinjauan indikator kinerja utama atau tinjauan kertas kerja). Selain itu, kesesuaian mungkin
ditunjukkan dengan dokumentasi penilaian berkala yang telah diselesaikan, antara lain:
ruang lingkup rencana tinjauan dan pendekatan, kertas kerja, dan laporan
komunikasi. Akhirnya, QAIP
hasil (misalnya, rencana tindakan korektif, tindakan korektif yang diambil untuk
meningkatkan kesesuaian, tindakan
diambil untuk meningkatkan efisiensi dan efektivitas) dapat menunjukkan kesesuaian.
Untuk penilaian eksternal, indikator kesesuaian yang paling penting adalah eksternal
laporan penilai, yang mencakup kesimpulan tentang tingkat kesesuaian dan perbaikan
rencana aksi. Laporan ini sering menyertakan rekomendasi dari penilai eksternal tentang
cara-cara
untuk meningkatkan kualitas, efisiensi, dan efektivitas audit internal, yang dapat membantu
internal
kegiatan audit lebih baik melayani pemangku kepentingan organisasi dan menambah nilai.
halaman 51
51
Mulai
Seperti yang ditunjukkan oleh Standar 1311, chief audit executive (CAE) bertanggung jawab
untuk memastikan bahwa:
kegiatan audit internal melakukan penilaian internal yang mencakup baik yang sedang
berlangsung
pemantauan dan penilaian diri secara berkala. Penilaian internal memvalidasi bahwa audit
internal
aktivitas terus sesuai dengan Standar Internasional untuk Praktik Profesional dari
Audit Internal (Standar) dan Kode Etik IIA. CAE memahami bahwa
penilaian internal berfokus pada peningkatan berkelanjutan dari aktivitas audit internal dan
Standar 1311 – Penilaian Internal
Penilaian internal harus mencakup:
• Pemantauan berkelanjutan atas kinerja kegiatan audit internal.
• Penilaian diri secara berkala atau penilaian oleh orang lain dalam
organisasi dengan pengetahuan yang cukup tentang praktik audit internal.
Penafsiran:
Pemantauan berkelanjutan merupakan bagian integral dari pengawasan, peninjauan, dan
sehari-hari
pengukuran aktivitas audit internal. Pemantauan berkelanjutan dimasukkan ke dalam
kebijakan dan praktik rutin yang digunakan untuk mengelola aktivitas dan penggunaan audit
internal
proses, alat, dan informasi yang dianggap perlu untuk mengevaluasi kesesuaian dengan
Kode Etik dan Standar.
Penilaian berkala dilakukan untuk mengevaluasi kesesuaian dengan Kode Etik
dan Standar.
Pengetahuan yang cukup tentang praktik audit internal membutuhkan setidaknya pemahaman
tentang semua
elemen Kerangka Kerja Praktik Profesional Internasional.
halaman 52
52
melibatkan pemantauan efisiensi dan efektivitasnya.
Manual Penilaian Kualitas IIA untuk Kegiatan Audit Internal atau panduan yang sebanding
dan alat dapat berfungsi sebagai panduan untuk melakukan penilaian internal.
Dua bagian penilaian internal yang saling terkait — pemantauan berkelanjutan dan penilaian
mandiri berkala.
penilaian — menyediakan struktur yang efektif bagi aktivitas audit internal untuk terus-
menerus
menilai kesesuaiannya dengan Standar dan apakah auditor internal menerapkan Kode
Etika. Selain itu, mereka memungkinkan untuk mengidentifikasi peluang peningkatan.
Pemantauan Berkelanjutan
Pemantauan berkelanjutan dicapai terutama melalui aktivitas berkelanjutan seperti
keterlibatan
perencanaan dan pengawasan, praktik kerja standar, prosedur dan penandatangan kertas
kerja,
ulasan laporan, serta identifikasi kelemahan atau area yang perlu diperbaiki
dan rencana tindakan untuk mengatasinya. Pemantauan berkelanjutan membantu CAE
menentukan apakah
proses audit internal memberikan kualitas berdasarkan keterlibatan demi keterlibatan.
Umumnya, pemantauan berkelanjutan terjadi secara rutin sepanjang tahun melalui penerapan
implementation
praktik kerja standar. Untuk memfasilitasi ini, CAE dapat mengembangkan template untuk
auditor internal
untuk digunakan di seluruh penugasan, memastikan konsistensi dalam penerapan Standar.
Pengawasan yang memadai adalah elemen mendasar dari setiap jaminan kualitas dan
peningkatan
program (QAIP). Pengawasan dimulai dengan perencanaan dan berlanjut sepanjang
pertunjukan
dan fase komunikasi pertunangan. Pengawasan yang memadai dipastikan melalui
penetapan harapan, komunikasi berkelanjutan di antara auditor internal di seluruh
perikatan, dan prosedur peninjauan kertas kerja, termasuk penandatanganan yang tepat waktu
oleh individu
bertanggung jawab untuk mengawasi perikatan. Panduan Penerapan 2340 – Keterlibatan
Pengawasan memberikan panduan lebih lanjut tentang pengawasan audit internal.
Panduan implementasi untuk seri standar berikut memberikan panduan lebih lanjut tentang:
kinerja yang tepat dari suatu perikatan, mulai dari perencanaan perikatan hingga
diseminasi hasil: 2200, 2300, dan 2400.
Mekanisme tambahan yang biasa digunakan untuk pemantauan berkelanjutan meliputi:
halaman 53
53
• Daftar periksa atau alat otomatisasi untuk memberikan jaminan kepatuhan auditor internal
dengan praktik dan prosedur yang telah ditetapkan dan untuk memastikan konsistensi dalam
penerapan standar kinerja.
• Umpan balik dari klien audit internal dan pemangku kepentingan lainnya mengenai efisiensi
dan efektivitas tim audit internal. Umpan balik dapat diminta segera
mengikuti perikatan atau secara berkala (misalnya, setengah tahunan atau tahunan) melalui
alat survei atau percakapan antara CAE dan manajemen.
• Indikator kinerja utama (KPI) staf dan keterlibatan, seperti jumlah
auditor internal bersertifikat pada staf, tahun pengalaman mereka dalam audit internal, the
jumlah jam pengembangan profesional berkelanjutan yang mereka peroleh sepanjang tahun,
ketepatan waktu keterlibatan, dan kepuasan pemangku kepentingan.
• Pengukuran lain yang mungkin berharga dalam menentukan efisiensi dan
efektivitas kegiatan audit internal. Ukuran anggaran proyek, ketepatan waktu
sistem, dan penyelesaian rencana audit dapat membantu untuk menentukan apakah
jumlah waktu yang dihabiskan untuk semua aspek perikatan audit. Anggaran-ke-aktual
varians juga dapat menjadi pengukuran yang berharga untuk menentukan efisiensi dan
efektivitas kegiatan audit internal.
Selain memvalidasi kesesuaian dengan Standar dan Kode Etik, berkelanjutan
pemantauan dapat mengidentifikasi peluang untuk meningkatkan aktivitas audit
internal. Dalam kasus seperti itu,
CAE biasanya membahas peluang ini dan dapat mengembangkan rencana tindakan. Sekali
berubah
diterapkan, indikator kinerja utama dapat digunakan untuk memantau keberhasilan. Hasil dari
pemantauan berkelanjutan harus dilaporkan ke dewan setidaknya setiap tahun, seperti yang
dipersyaratkan oleh Standar
1320 – Pelaporan Program Peningkatan dan Penjaminan Mutu.
Penilaian Diri Berkala
Penilaian diri secara berkala memiliki fokus yang berbeda dari pemantauan berkelanjutan
dalam hal mereka umumnya
memberikan tinjauan Standar dan audit internal yang lebih holistik dan komprehensif
aktivitas. Sebaliknya, pemantauan berkelanjutan umumnya difokuskan pada tinjauan yang
dilakukan di
tingkat keterlibatan. Selain itu, penilaian diri berkala membahas kesesuaian dengan setiap
standar, sedangkan pemantauan berkelanjutan sering lebih terfokus pada kinerja
standar pada tingkat keterlibatan.
Penilaian diri secara berkala umumnya dilakukan oleh anggota senior audit internal
halaman 54
54
aktivitas, tim penjaminan mutu khusus atau individu dalam aktivitas audit internal yang:
memiliki pengalaman yang luas dengan International Professional Practices Framework
(IPPF),
Auditor Internal Bersertifikat, atau profesional audit internal kompeten lainnya yang
mungkin:
ditugaskan di tempat lain dalam organisasi. Bila memungkinkan, akan menguntungkan untuk
menyertakan
staf kegiatan audit internal dalam proses penilaian diri, karena dapat berfungsi sebagai
pelatihan yang bermanfaat
kesempatan untuk meningkatkan pemahaman auditor internal tentang IPPF.
Kegiatan audit internal melakukan penilaian sendiri secara berkala untuk memvalidasi
kelanjutannya
kesesuaian dengan Standar dan Kode Etik dan untuk mengevaluasi:
• Kualitas dan pengawasan pekerjaan yang dilakukan.
• Kecukupan dan kesesuaian kebijakan dan prosedur audit internal.
• Cara aktivitas audit internal menambah nilai.
• Pencapaian indikator kinerja utama.
• Sejauh mana harapan pemangku kepentingan terpenuhi.
Untuk mencapai hal ini, individu atau tim yang melakukan penilaian diri biasanya menilai
setiap standar untuk menentukan apakah aktivitas audit internal berjalan sesuai.
Ini mungkin termasuk wawancara mendalam dan survei pemangku kepentingan. Melalui
proses ini,
CAE biasanya dapat menilai kualitas praktik audit aktivitas audit internal,
termasuk kepatuhan terhadap kebijakan dan prosedur untuk melakukan perikatan. diri berkala
penilaian dapat dilakukan oleh anggota aktivitas audit internal atau oleh orang lain
dalam organisasi dengan pengetahuan yang cukup tentang praktik audit internal, khususnya
Standar dan Kode Etik.
Kegiatan audit internal dapat melakukan langkah-langkah tambahan untuk mendukung
penilaian, seperti melakukan tinjauan pasca-keterlibatan atau menganalisis KPI.
• Tinjauan pasca-keterlibatan – Aktivitas audit internal dapat memilih sampel dari
perikatan dari jangka waktu tertentu dan melakukan tinjauan untuk menilai kepatuhan
dengan kebijakan audit internal (lihat Standar 2040 – Kebijakan dan Prosedur) dan
kesesuaian dengan Standar dan Kode Etik. Ulasan ini biasanya
dilakukan oleh staf audit internal yang tidak terlibat di dalamnya
keterikatan. Dalam organisasi yang lebih besar atau lebih matang, proses ini dapat ditangani
oleh spesialis atau tim penjaminan mutu. Dalam organisasi yang lebih kecil, CAE atau
individu yang bertanggung jawab untuk meninjau kertas kerja dapat menggunakan daftar
periksa, diselesaikan setelah
halaman 55
55
laporan akhir diterbitkan, untuk menyelesaikan tinjauan ini dan menutup file.
• Analisis KPI – Aktivitas audit internal juga dapat memantau dan menganalisis KPI terkait
untuk efisiensi praktik kerja audit internal standar (misalnya, anggaran-ke-aktual
jam pertunangan, persentase rencana audit yang diselesaikan, jumlah hari antara
penyelesaian pekerjaan lapangan dan penerbitan laporan, persentase pengamatan audit
dilaksanakan, dan ketepatan waktu koreksi terkait observasi audit). Lainnya
metrik yang umum digunakan termasuk jumlah auditor internal bersertifikat pada staf,
tahun pengalaman dalam audit internal, dan jumlah profesional berkelanjutan continuing
jam pengembangan yang mereka peroleh sepanjang tahun.
Setelah penilaian diri secara berkala, jika sesuai, CAE dapat mengembangkan rencana
tindakan
untuk mengatasi peluang untuk perbaikan. Rencana ini harus mencakup jadwal yang
diusulkan untuk
tindakan.
Hasil penilaian diri secara berkala, yang menunjukkan tingkat aktivitas audit internal
kesesuaian dengan Standar dan Kode Etik, harus dikomunikasikan kepada dewan
setelah selesai, seperti yang dipersyaratkan oleh Standar 1320. Penilaian mandiri berkala
dilakukan segera
sebelum penilaian eksternal dapat membantu mengurangi waktu dan upaya yang diperlukan
untuk menyelesaikan
penilaian eksternal (lihat Standar 1312 – Penilaian Eksternal).
Beberapa item dapat menunjukkan kesesuaian dengan Standar 1311, termasuk bukti bahwa:
kegiatan pemantauan yang sedang berlangsung diselesaikan sesuai dengan QAIP kegiatan
audit internal.
Contohnya mungkin termasuk daftar periksa lengkap yang mendukung tinjauan kertas kerja,
hasil survei,
dan KPI yang terkait dengan efisiensi dan efektivitas kegiatan audit internal, seperti:
analisis jam keterlibatan anggaran-ke-aktual. Selain itu, kesesuaian mungkin
ditunjukkan oleh dokumentasi penilaian berkala yang telah diselesaikan, yang mencakup
ruang lingkup
rencana tinjauan dan pendekatan, kertas kerja, dan laporan komunikasi. Akhirnya,
presentasi kepada dewan dan manajemen, notulen rapat, dan hasil dari keduanya yang sedang
berlangsung
pemantauan dan penilaian diri secara berkala — termasuk rencana tindakan korektif dan
korektif
tindakan yang diambil untuk meningkatkan kesesuaian, efisiensi, dan efektivitas — dapat
mengindikasikan
kesesuaian.
halaman 56
56
Standar 1312 – Penilaian Eksternal
Penilaian eksternal harus dilakukan setidaknya sekali setiap lima tahun oleh
penilai independen atau tim penilai dari luar organisasi. Kepala audit
eksekutif harus berdiskusi dengan dewan:
• Bentuk dan frekuensi penilaian eksternal.
• Kualifikasi dan independensi penilai atau penilaian eksternal external
tim, termasuk potensi konflik kepentingan.
Penafsiran:
Penilaian eksternal dapat dicapai melalui penilaian eksternal penuh, atau
penilaian diri dengan validasi eksternal independen. Penilai eksternal harus
menyimpulkan kesesuaian dengan Kode Etik dan Standar; eksternal
penilaian juga dapat mencakup komentar operasional atau strategis.
Penilai atau tim penilai yang berkualifikasi menunjukkan kompetensi dalam dua bidang:
praktik profesional audit internal dan proses penilaian eksternal.
Kompetensi dapat ditunjukkan melalui campuran pengalaman dan teori experience
belajar. Pengalaman yang diperoleh dalam organisasi dengan ukuran, kompleksitas, sektor
atau
industri, dan masalah teknis lebih berharga daripada pengalaman yang kurang relevan. Dalam
kasus ini
dari tim penilai, tidak semua anggota tim harus memiliki semua kompetensi;
itu adalah tim secara keseluruhan yang memenuhi syarat. Kepala eksekutif audit
menggunakan profesional
penilaian ketika menilai apakah penilai atau tim penilai menunjukkan demonstrate
kompetensi yang cukup untuk memenuhi syarat.
Penilai atau tim penilai independen berarti tidak memiliki
konflik kepentingan yang dirasakan dan tidak menjadi bagian dari, atau di bawah kendali,
organisasi tempat kegiatan audit internal berada. Kepala eksekutif audit harus
mendorong pengawasan dewan dalam penilaian eksternal untuk mengurangi persepsi atau
potensi
konflik kepentingan.
halaman 57
57
Mulai
Seperti yang ditunjukkan oleh standar ini, chief audit executive (CAE) bertanggung jawab
untuk memastikan bahwa:
kegiatan audit internal melakukan penilaian eksternal setidaknya setiap lima tahun sekali oleh
penilai independen atau tim penilai dari luar organisasi. Sebuah persyaratan dari
program peningkatan kualitas dan jaminan kegiatan audit internal (QAIP), eksternal
penilaian memvalidasi bahwa aktivitas audit internal sesuai dengan Standar Internasional
untuk Praktik Profesional Audit Internal (Standar) dan auditor internal menerapkan The
Kode Etik IIA. Oleh karena itu, sangat penting bahwa CAE secara teratur meninjau
International
Kerangka Kerja Praktik Profesional (IPPF) dan menyadari setiap perubahan yang mungkin
perlu
dikomunikasikan selama aktivitas audit internal.
CAE biasanya memiliki pemahaman tentang berbagai jenis penilaian eksternal serta:
berbagai sumber daya yang tersedia untuk menyediakan layanan tersebut. CAE juga biasanya
menyadari adanya
kebijakan pengadaan yang mungkin dimiliki organisasinya terkait dengan mengamankan
layanan eksternal
pemberi. Selain itu, CAE harus menyadari persyaratan independensi untuk pihak eksternal
penilai atau tim penilai dan memahami situasi yang dapat mengganggu independensi atau
objektivitas, atau menciptakan konflik kepentingan.
Biasanya, CAE berdiskusi dengan manajemen senior dan dewan mengenai
frekuensi dan jenis penilaian eksternal yang akan dilakukan. Diskusi semacam itu
memungkinkan
CAE untuk mendidik para pemangku kepentingan dan untuk mendapatkan pemahaman, dan
penghargaan atas,
harapan organisasi.
Standar mengharuskan aktivitas audit internal untuk menjalani penilaian eksternal setidaknya
setiap lima tahun sekali. Namun, setelah mendiskusikan persyaratan ini dengan manajemen
senior
dan dewan, CAE dapat menentukan bahwa tepat untuk melakukan eksternal
penilaian lebih sering. Ada beberapa alasan untuk mempertimbangkan tinjauan yang lebih
sering,
termasuk perubahan kepemimpinan (misalnya, manajemen senior atau CAE), perubahan
signifikan dalam
kebijakan atau prosedur audit internal, penggabungan dua atau lebih organisasi audit menjadi
satu
aktivitas audit internal, atau pergantian staf yang signifikan. Selain itu, khusus industri atau
masalah lingkungan mungkin memerlukan tinjauan yang lebih sering.
halaman 58
58
Penilaian eksternal menilai kesesuaian aktivitas audit internal dengan Standar dan
memberikan evaluasi apakah auditor internal menerapkan Kode Etik. Seperti yang dicatat
dalam
Standar 1320 – Pelaporan Program Penjaminan Mutu dan Peningkatan, pihak eksternal
hasil penilaian, termasuk kesimpulan penilai atau tim penilai tentang
kesesuaian, harus dikomunikasikan kepada manajemen senior dan dewan setelah selesai.
Dua Pendekatan
Penilaian eksternal dapat dilakukan dengan menggunakan salah satu dari dua pendekatan:
penilaian eksternal penuh
penilaian, atau penilaian diri dengan validasi eksternal independen (SAIV). Eksternal penuh
penilaian akan dilakukan oleh penilai atau penilaian eksternal yang berkualifikasi dan
independen independent
tim. Tim harus terdiri dari para profesional yang kompeten dan dipimpin oleh seorang yang
berpengalaman
dan pemimpin tim proyek profesional. Ruang lingkup penilaian eksternal penuh biasanya
mencakup tiga komponen inti:
• Tingkat kesesuaian dengan Standar dan Kode Etik. Ini mungkin
dievaluasi melalui penelaahan terhadap piagam, rencana, kebijakan,
prosedur, dan praktik. Dalam beberapa kasus, tinjauan juga dapat mencakup hal yang berlaku
persyaratan legislatif dan peraturan.
• Efisiensi dan efektivitas kegiatan audit internal. Ini mungkin diukur
melalui penilaian proses dan infrastruktur kegiatan audit internal,
termasuk QAIP, dan evaluasi pengetahuan staf audit internal,
pengalaman, dan keahlian.
• Sejauh mana aktivitas audit internal memenuhi harapan dewan, senior
manajemen, dan manajemen operasi, dan menambah nilai bagi organisasi.
Pendekatan kedua untuk memenuhi persyaratan penilaian eksternal adalah SAIV. Ini
jenis penilaian eksternal biasanya dilakukan oleh aktivitas audit internal dan kemudian
divalidasi oleh penilai eksternal yang berkualifikasi dan independen. Ruang lingkup SAIV
biasanya
terdiri dari:
• Proses penilaian diri yang komprehensif dan terdokumentasi sepenuhnya yang meniruulate
proses penilaian eksternal penuh, setidaknya sehubungan dengan evaluasi audit internal
kesesuaian kegiatan dengan Standar dan Kode Etik.
• Validasi di tempat oleh penilai eksternal independen yang berkualifikasi.
halaman 59
59
• Keterbatasan perhatian pada bidang lain seperti benchmarking; review, konsultasi, dan
penggunaan praktik kerja unggulan; dan wawancara dengan senior dan operasi
pengelolaan.
Kualifikasi Asesor Eksternal
Terlepas dari pendekatan mana yang dipilih untuk penilaian eksternal, yang berkualitas,
penilai eksternal independen atau tim penilai harus dipertahankan untuk menyelesaikan
complete
penilaian. CAE biasanya berkonsultasi dengan manajemen senior dan dewan untuk memilih
penilai atau tim penilai. Asesor atau tim asesmen harus berkompeten dalam dua hal
bidang utama: praktik profesional audit internal (termasuk pengetahuan mendalam saat ini
IPPF), dan proses penilaian kualitas eksternal. Kualifikasi yang disukai dan
kompetensi umumnya meliputi:
• Sertifikasi sebagai profesional audit internal (misalnya, Certified Internal Auditor).
• Pengetahuan tentang praktik audit internal terkemuka.
• Pengalaman terkini yang cukup dalam praktik audit internal di sebuah manajemen
tingkat, yang menunjukkan pengetahuan kerja dan penerapan IPPF.
Organisasi dapat mencari kualifikasi dan kompetensi tambahan untuk tim penilai
pimpinan dan validator independen, antara lain:
• Tingkat kompetensi dan pengalaman tambahan yang diperoleh dari eksternal sebelumnya
pekerjaan penilaian.
• Penyelesaian kursus pelatihan penilaian kualitas IIA atau pelatihan serupa.
• Pengalaman CAE (atau manajemen senior audit internal yang sebanding).
• Keahlian teknis dan pengalaman industri yang relevan.
Individu dengan keahlian di bidang lain dapat memberikan bantuan, sebagaimana
mestinya. Contoh
termasuk spesialis dalam manajemen risiko perusahaan, audit TI, pengambilan sampel
statistik, pemantauan
sistem, dan mengontrol penilaian diri.
CAE harus menentukan keahlian yang diinginkan untuk penilaian dan penggunaan eksternal
pertimbangan profesional untuk memilih penilai atau tim penilai. Berdasarkan kebutuhan
aktivitas audit internal, misalnya, CAE mungkin lebih memilih individu dengan audit internal
pengalaman dalam organisasi dengan ukuran, kompleksitas, dan industri yang sama, karena
ini
halaman 60
60
profesional mungkin lebih berharga. Setiap individu dalam tim tidak perlu memiliki
semuanya
kompetensi yang disukai; alih-alih, tim secara keseluruhan harus memiliki yang diperlukan
kualifikasi untuk memberikan hasil terbaik.
Independensi dan Objektivitas Asesor
CAE, manajemen senior, dan dewan harus mempertimbangkan dan mendiskusikan beberapa
faktor
terkait dengan independensi dan objektivitas saat memilih penilai atau penilaian eksternal
tim. Penilai eksternal, tim penilai, dan organisasinya harus bebas dari free
konflik kepentingan aktual, potensial, atau yang dirasakan yang dapat merusak
objektivitas. Potensi
gangguan dapat mencakup hubungan masa lalu, sekarang, atau masa depan dengan
organisasi,
personel, atau aktivitas audit internalnya (misalnya, audit eksternal atas laporan keuangan
ketika
audit eksternal bergantung pada pekerjaan kegiatan audit internal; bantuan untuk audit
internal
aktivitas; hubungan pribadi; partisipasi sebelumnya atau di masa depan dalam penilaian
kualitas internal;
atau jasa konsultasi dalam tata kelola, manajemen risiko, pelaporan keuangan, pengendalian
internal, atau
bidang terkait lainnya).
Dalam hal calon penilai adalah mantan karyawan dari aktivitas audit internal
organisasi, pertimbangan harus diberikan untuk lamanya waktu penilai telah has
independen. (Independen, dalam konteks ini, berarti tidak memiliki benturan kepentingan dan
tidak
menjadi bagian dari, atau di bawah pengaruh, organisasi tempat kegiatan audit internal
internal
milik).
Individu dari departemen lain dalam organisasi, meskipun secara organisasi terpisah
dari kegiatan audit internal, tidak dianggap independen untuk tujuan pelaksanaan
penilaian eksternal. Di sektor publik, kegiatan audit internal di entitas yang terpisah dalam
tingkat pemerintahan yang sama tidak dianggap independen jika mereka melapor ke CAE
yang sama.
Demikian juga, individu dari organisasi terkait (misalnya, organisasi induk; afiliasi di
kelompok entitas yang sama; atau entitas dengan pengawasan, pengawasan, atau jaminan
kualitas reguler quality
tanggung jawab sehubungan dengan organisasi subjek) tidak dianggap independen.
Penilaian rekan timbal balik antara dua organisasi tidak akan dipertimbangkan
independen. Namun, penilaian timbal balik di antara tiga atau lebih organisasi sejawat —
organisasi dalam industri yang sama, asosiasi regional, atau kelompok afinitas lainnya —
mungkin
dianggap mandiri. Namun, perawatan harus dilakukan untuk memastikan bahwa
independensi dan independence
halaman 61
61
objektivitas tidak terganggu dan semua anggota tim dapat menjalankan tanggung jawab
mereka
sepenuhnya.
Laporan penilai eksternal adalah dokumen utama yang digunakan untuk menunjukkan
kesesuaian dengan
Standar 1312. Laporan ini sering menyertakan rekomendasi dari penilai eksternal dan
rencana aksi manajemen untuk meningkatkan kualitas, efisiensi, dan efektivitas audit
internal, yang
dapat memberikan ide atau cara baru bagi aktivitas audit internal untuk melayani organisasi
dengan lebih baik
pemangku kepentingan dan nilai tambah.
Dokumen tambahan yang dapat membantu menunjukkan kesesuaian termasuk notulen rapat
pertemuan di mana rencana, dan hasil, penilaian eksternal dibahas. SEBUAH
laporan pembandingan dan permintaan layanan dapat menunjukkan uji tuntas organisasi
dalam
memeriksa penilai eksternal.
halaman 62
62
Mulai
Standar 1320 mengomunikasikan kriteria minimum yang harus dimiliki oleh chief audit
executive (CAE)
berkomunikasi dengan manajemen senior dan dewan terkait dengan jaminan kualitas dan
program perbaikan (QAIP). Meninjau persyaratan yang terkait dengan setiap elemen dalam
standar dapat membantu CAE mempersiapkan diri untuk menerapkan standar ini.
Standar 1320 – Pelaporan Jaminan Kualitas dan
Program Peningkatan
Kepala eksekutif audit harus mengomunikasikan hasil penjaminan mutu dan
program perbaikan untuk manajemen senior dan dewan. Pengungkapan harus mencakup:
• Kualifikasi dan independensi penilai atau tim penilai,
termasuk potensi konflik kepentingan.
• Rencana tindakan korektif.
Penafsiran:
Bentuk, isi, dan frekuensi penyampaian hasil penjaminan mutu
dan program peningkatan ditetapkan melalui diskusi dengan manajemen senior
dan dewan dan mempertimbangkan tanggung jawab aktivitas dan kepala audit internal
eksekutif audit sebagaimana tercantum dalam piagam audit internal. Untuk menunjukkan
kesesuaian
dengan Kode Etik dan Standar, hasil eksternal dan internal berkala
penilaian dikomunikasikan setelah penilaian tersebut selesai, dan hasilnya
pemantauan berkelanjutan dikomunikasikan setidaknya setiap tahun. Hasilnya termasuk
evaluasi penilai atau tim penilai sehubungan dengan tingkat kesesuaian.
halaman 63
63
Seperti yang ditunjukkan oleh standar ini, CAE bertanggung jawab untuk mengomunikasikan
hasil keseluruhan
program. Untuk melakukan ini, CAE harus memahami persyaratan QAIP (lihat Standar
1300 – Program Peningkatan dan Penjaminan Mutu). Biasanya, CAE bertemu secara teratur
dengan
manajemen senior dan dewan untuk memahami dan menyetujui harapan untuk
komunikasi seputar aktivitas audit internal, termasuk yang berkaitan dengan QAIP.
CAE juga mempertimbangkan tanggung jawab yang terkait dengan QAIP yang digariskan
dalam internal
piagam audit.
CAE harus mengetahui setiap penilaian internal, termasuk penilaian berkala dan
pemantauan berkelanjutan, serta penilaian eksternal yang telah selesai. Karena itu, CAE harus
memiliki pemahaman tentang tingkat kesesuaian aktivitas audit internal dengan
Standar Internasional untuk Praktik Profesional Audit Internal (Standar) dan The
Kode Etik IIA.
Biasanya, rincian mengenai QAIP didokumentasikan dalam manual kebijakan dan prosedur
untuk aktivitas audit internal (lihat Standar 2040 – Kebijakan dan Prosedur) dan internal
piagam audit (lihat Standar 1010 – Mengenali Pedoman Wajib dalam Audit Internal Internal
Piagam). CAE dapat memulai dengan meninjau informasi ini untuk memahami komunikasi
persyaratan terkait pelaporan QAIP, yang mencakup empat elemen inti:
• Kualifikasi dan independensi para asesor.
• Rencana tindakan korektif.
Cakupan dan Frekuensi Penilaian Internal dan Eksternal
Ruang lingkup dan frekuensi penilaian internal dan eksternal harus didiskusikan dengan
dewan dan manajemen senior (lihat Standar 1311 – Penilaian dan Standar Internal
1312 – Penilaian Eksternal). Ruang lingkup harus mempertimbangkan tanggung jawab
internal
aktivitas audit dan CAE, sebagaimana tercantum dalam piagam audit internal. Lingkupnya
mungkin termasuk:
ekspektasi dewan dan manajemen senior dari aktivitas audit internal, serta
harapan yang diungkapkan oleh pemangku kepentingan lainnya. Ini juga dapat mencakup
praktik audit internal
halaman 64
64
dinilai terhadap Standar, serta persyaratan peraturan lainnya yang mungkin berdampak
kegiatan audit internal. Frekuensi penilaian eksternal bervariasi tergantung pada ukurannya
dan jatuh tempo aktivitas audit internal.
Penilaian Internal
CAE harus menetapkan sarana untuk mengkomunikasikan hasil penilaian internal di:
setidaknya setiap tahun untuk meningkatkan kredibilitas dan objektivitas kegiatan audit
internal. Itu
Interpretasi Standar 1320 menyatakan bahwa hasil penilaian internal berkala harus
dikomunikasikan setelah selesainya penilaian tersebut, dan hasil dari
pemantauan harus diselesaikan setidaknya setiap tahun.
Penilaian internal berkala dapat mencakup evaluasi aktivitas audit internal
kesesuaian dengan Standar untuk mendukung pernyataan aktivitas audit internal tentang
kesesuaian (lihat Standar 1321 – penggunaan “Sesuai dengan Standar Internasional untuk
Praktik Profesional Audit Internal”). Organisasi yang lebih besar dapat melakukan internal
berkala periodic
penilaian setiap tahun, sementara kegiatan audit internal yang lebih kecil atau kurang matang,
dapat melakukannya
lebih jarang (misalnya, setiap dua tahun). Misalnya, aktivitas audit internal dapat melakukan:
penilaian berkala selama periode multi-tahun, dan melaporkan hasil pekerjaan yang
dilakukan
selama setiap periode secara terpisah.
Pemantauan berkelanjutan biasanya mencakup pelaporan indikator kinerja utama audit
internal.
CAE dapat memberikan laporan tahunan kepada manajemen senior dan dewan mengenai:
hasil pemantauan berkelanjutan dan termasuk rekomendasi untuk perbaikan.
Umumnya, mereka yang diberi tanggung jawab untuk melakukan pemantauan berkelanjutan
dan berkala
penilaian internal mengkomunikasikan hasilnya langsung ke CAE saat melakukan
penilaian. Dalam aktivitas audit internal yang lebih kecil, CAE dapat mengambil peran
langsung yang lebih besar dalam
proses penilaian internal. Hasil penilaian internal termasuk, jika sesuai,
rencana tindakan korektif dan kemajuan terhadap penyelesaian. CAE dapat mendistribusikan
internal
laporan penilaian kepada berbagai pemangku kepentingan, termasuk manajemen senior,
dewan, dan
auditor eksternal.
Panduan Implementasi 1311 – Penilaian Internal memberikan detail tambahan mengenai
pemantauan berkelanjutan dan penilaian internal berkala.
halaman 65
65
Penilaian Eksternal
CAE harus mendiskusikan frekuensi penilaian eksternal dengan manajemen senior dan
papan. Standar mengharuskan aktivitas audit internal untuk menjalani penilaian eksternal
setidaknya sekali setiap lima tahun. Namun, setelah mendiskusikan persyaratan ini dengan
senior
manajemen dan dewan, CAE dapat menentukan bahwa tepat untuk melakukan
penilaian eksternal lebih sering. Ada beberapa alasan untuk mempertimbangkan lebih sering
tinjauan, termasuk perubahan kepemimpinan (misalnya, manajemen senior atau CAE),
signifikan
perubahan dalam kebijakan atau prosedur audit internal, penggabungan dua atau lebih
organisasi audit
menjadi satu kegiatan audit internal, atau pergantian staf yang signifikan. Selain itu, khusus
industri atau
masalah lingkungan mungkin memerlukan tinjauan yang lebih sering.
Kualifikasi dan Independensi Asesor
Saat memilih penilai atau tim penilai eksternal, CAE biasanya berdiskusi dengan:
manajemen senior dan dewan kualifikasi calon penilai dan beberapa
faktor yang terkait dengan independensi dan objektivitas, termasuk aktual, potensial, atau
yang dirasakan
konflik kepentingan. Setelah itu, ketika melaporkan hasil penilaian eksternal, CAE
biasanya menegaskan kualifikasi dan independensi penilai atau penilaian eksternal
tim. Setiap konflik kepentingan yang aktual, potensial, atau dirasakan harus dilaporkan
kepada senior
manajemen dan dewan. Panduan Implementasi 1312 – Penilaian Eksternal menyediakan
rincian tambahan mengenai kualifikasi dan independensi penilai eksternal.
Kesimpulan dari Asesor
Laporan penilaian eksternal mencakup pernyataan pendapat atau kesimpulan atas hasil
dari penilaian eksternal. Selain menyimpulkan aktivitas audit internal secara keseluruhan
tingkat kesesuaian dengan Standar, laporan dapat mencakup penilaian untuk setiap
standar dan/atau seri standar. CAE harus menjelaskan kesimpulan pemeringkatan kepada
senior
manajemen dan dewan, serta dampak dari hasil. Contoh penilaian
Skala yang dapat digunakan untuk menunjukkan derajat kesesuaian adalah:
• Umumnya sesuai – Ini adalah peringkat teratas, yang berarti bahwa audit internal
aktivitas memiliki piagam, kebijakan, dan proses, serta pelaksanaan dan hasil dari semua itu
dinilai sesuai dengan Standar.
halaman 66
66
• Sebagian sesuai – Kekurangan dalam praktik dinilai menyimpang dari
Standar, tetapi kekurangan ini tidak menghalangi aktivitas audit internal dari:
melaksanakan tanggung jawabnya.
• Tidak sesuai – Kekurangan dalam praktik dinilai begitu signifikan sehingga mereka
sangat mengganggu atau menghalangi aktivitas audit internal untuk melakukan secara
memadai
semua atau di area tanggung jawabnya yang signifikan.
Rencana Tindakan Korektif
Selama penilaian eksternal, penilai dapat memberikan rekomendasi untuk menangani bidang-
bidang
yang tidak sesuai dengan Standar, serta peluang untuk perbaikan.
CAE harus mengomunikasikan kepada manajemen senior dan dewan tentang rencana
tindakan apa pun untuk
mengatasi rekomendasi dari penilaian eksternal. CAE juga dapat mempertimbangkan untuk
menambahkan
rekomendasi penilaian eksternal dan rencana aksi untuk kegiatan audit internal
proses pemantauan yang ada terkait dengan temuan keterlibatan audit internal (lihat Standar
2500 – Memantau Kemajuan). Setelah rekomendasi diidentifikasi selama penilaian eksternal
telah diimplementasikan, CAE umumnya mengomunikasikan hal ini kepada dewan, baik
sebagai bagian dari
kemajuan pemantauan kegiatan audit internal atau dengan menindaklanjuti secara terpisah
melalui
penilaian internal (Standar 1311), sebagai bagian dari QAIP.
Beberapa item dapat menunjukkan kesesuaian dengan Standar 1320, termasuk notulen rapat
dewan
atau risalah dari rapat lain untuk mendokumentasikan diskusi dengan manajemen senior dan
dewan terkait dengan ruang lingkup dan frekuensi penilaian internal dan eksternal. Menit
dari dewan atau pertemuan lain juga harus menyediakan dokumentasi untuk mendukung
kualifikasi
dan independensi penilai atau tim penilai eksternal. Selain itu, pengadaan
dokumentasi dapat menunjukkan proses yang terkait dengan persyaratan penawaran untuk
mendapatkan layanan.
Dokumentasi lain mungkin menunjukkan kesesuaian dengan standar, khususnya terkait
dengan:
komunikasi penilaian internal dan eksternal berkala. Komunikasi audit internal
dapat menyertakan salinan laporan penilaian eksternal. Laporan ini biasanya memberikan
perincian
yang mendukung kesimpulan penilai, dan dapat mencakup peringkat untuk setiap standar. Itu
penilai eksternal dapat memberikan presentasi kepada manajemen senior dan dewan, atau
CAE dapat mengomunikasikan hasil QAIP secara langsung.
halaman 67
67
Mulai
Baik penilaian internal maupun eksternal dari aktivitas audit internal dilakukan untuk
mengevaluasi,
dan menyatakan pendapat tentang, kesesuaian kegiatan audit internal dengan Internasional
Standar Praktik Profesional Audit Internal (Standar) dan Kode IIA
Etika. Mereka mungkin juga menyertakan rekomendasi untuk perbaikan.
Chief audit executive (CAE) harus memiliki pemahaman tentang persyaratan untuk
program jaminan dan peningkatan kualitas (QAIP) dan terbiasa dengan hasil dari
penilaian internal dan eksternal terbaru dari aktivitas audit internal. CAE biasanya juga
memiliki pemahaman tentang harapan dewan terkait penggunaan pernyataan "Sesuai"
dengan Standar Internasional untuk Praktik Profesional Audit Internal.” CAE
dapat mendiskusikan penggunaan tersebut dengan dewan secara berkala untuk mendapatkan
dan mempertahankan pemahaman tentang
harapan dewan tentang masalah ini.
Standar 1321 – Penggunaan “Sesuai dengan Internasional”
Standar Praktik Profesional Audit Internal”
Menunjukkan bahwa kegiatan audit internal sesuai dengan Standar Internasional untuk
Praktik Profesional Audit Internal hanya tepat jika didukung oleh hasil:
penjaminan mutu dan program peningkatan.
Penafsiran:
Kegiatan audit internal sesuai dengan Kode Etik dan Standar ketika itu
mencapai hasil yang dijelaskan di dalamnya. Hasil penjaminan mutu dan
program perbaikan meliputi hasil penilaian baik internal maupun eksternal. Semua
kegiatan audit internal akan memiliki hasil penilaian internal. Audit internal
kegiatan yang ada setidaknya selama lima tahun juga akan memiliki hasil eksternal
penilaian.
halaman 68
68
Auditor internal hanya dapat berkomunikasi — secara tertulis atau lisan — bahwa audit
internal
aktivitas sesuai dengan Standar jika hasil QAIP, termasuk internal dan
hasil penilaian eksternal, seperti yang disyaratkan oleh Standar 1312, mendukung pernyataan
tersebut. Sekali
penilaian eksternal memvalidasi kesesuaian dengan Standar, aktivitas audit internal
dapat terus menggunakan pernyataan tersebut — selama penilaian internal terus mendukung
pernyataan seperti itu — sampai penilaian eksternal berikutnya.
Skenario berikut menunjukkan penggunaan yang tepat dari pernyataan kesesuaian:
• Jika hasil penilaian internal saat ini atau eksternal terbaru
penilaian tidak mengkonfirmasi kesesuaian umum dengan Standar dan IIAIA
Kode Etik, kegiatan audit internal harus dihentikan yang menunjukkan bahwa hal itu
beroperasi dalam kesesuaian.
• Jika kegiatan audit internal telah ada setidaknya lima tahun dan belum
menyelesaikan penilaian eksternal, aktivitas audit internal mungkin tidak menunjukkan
bahwa
beroperasi sesuai dengan Standar.
• Jika aktivitas audit internal telah menjalani penilaian eksternal dalam lima tahun terakhir
tahun, tetapi belum melakukan penilaian internal berdasarkan pengungkapan kepada
dewan pada frekuensi penilaian internal, CAE harus mempertimbangkan apakah itu
masih beroperasi sesuai dan jika sesuai untuk menunjukkan kesesuaian sampai
divalidasi oleh penilaian internal.
• Aktivitas audit internal yang telah ada kurang dari lima tahun dapat mengindikasikan
bahwa itu beroperasi sesuai dengan Standar hanya jika internal yang didokumentasikan
penilaian (yaitu, penilaian diri berkala) mendukung kesimpulan itu.
• Jika sudah lebih dari lima tahun sejak penilaian eksternal terakhir dilakukan
sesuai dengan Standar 1312 – Penilaian Eksternal, aktivitas audit internal
harus berhenti menunjukkan bahwa ia beroperasi sesuai, sampai eksternal saat ini
penilaian selesai dan mendukung kesimpulan itu.
• Jika penilaian eksternal mencerminkan kesimpulan keseluruhan bahwa aktivitas audit
internal
tidak beroperasi sesuai dengan Standar, aktivitas audit internal harus
segera hentikan penggunaan pernyataan apa pun yang menunjukkan kesesuaian dengan
Standar. Aktivitas audit internal tidak dapat melanjutkan penggunaan kesesuaian
halaman 69
69
pernyataan sampai telah memperbaiki ketidaksesuaian dan melakukan eksternal
penilaian untuk memvalidasi penilaian keseluruhan kesesuaian dengan Standar.
Penting untuk dicatat bahwa Standar didasarkan pada prinsip. Dalam menilai kesesuaian
dengan
Standar, mungkin ada situasi di mana aktivitas audit internal hanya mencapai sebagian
kesesuaian dengan satu atau lebih standar. Aktivitas audit internal dapat menunjukkan
gambaran yang jelas
niat dan komitmen untuk pada akhirnya mencapai Prinsip Inti untuk Praktik Profesional
Audit Internal, yang menjadi dasar Standar, tetapi mungkin memiliki beberapa peningkatan
peluang untuk mencapai kesesuaian penuh dengan Standar. Dalam kasus seperti itu, audit
internal
aktivitas harus mempertimbangkan kesimpulan kesesuaian secara keseluruhan ketika
menentukan kemampuannya untuk menggunakan
pernyataan kesesuaian.
Dalam situasi di mana perikatan tertentu gagal mencapai kesesuaian dengan Standar,
aktivitas audit internal mungkin diperlukan untuk mengungkapkan ketidaksesuaian. CAE
adalah
bertanggung jawab untuk mengungkapkan contoh ketidaksesuaian tersebut. Panduan
Implementasi 1322 –
Pengungkapan Ketidaksesuaian memberikan informasi tambahan tentang ketidaksesuaian
dengan:
Standar.
Beberapa item dapat menunjukkan kesesuaian dengan Standar 1321, termasuk salinan
internal dan
penilaian eksternal dimana penilai menyimpulkan bahwa kegiatan audit internal telah:
mencapai kesesuaian dengan Standar. Laporan keterlibatan, piagam audit internal,
materi dewan dan notulen rapat, dan komunikasi lainnya, juga dapat membantu
mendemonstrasikan
kesesuaian dengan standar ini.
halaman 70
70
Mulai
Chief audit executive (CAE) bertanggung jawab untuk memastikan bahwa aktivitas audit
internal
menjalani pemantauan berkelanjutan, penilaian diri berkala, dan eksternal independen
penilaian, seperti yang dipersyaratkan oleh jaminan kualitas dan program
peningkatan. internal ini
dan penilaian eksternal dilakukan, sebagian, untuk mengevaluasi dan menyatakan pendapat
tentang kesesuaian kegiatan audit internal dengan Standar Internasional untuk
Praktik Profesional Audit Internal (Standar) dan Kode Etik IIA. CAE
harus akrab dengan hasil dari penilaian internal dan eksternal baru-baru ini dari internal
kegiatan audit.
Standar 1322 dapat diterapkan jika CAE menyimpulkan bahwa audit internal
kegiatan tidak sesuai dengan Standar dan Kode Etik, dan kurangnya kesesuaian
dapat berdampak pada keseluruhan ruang lingkup atau operasi kegiatan audit internal. Adalah
penting bahwa
CAE memiliki pemahaman tentang elemen wajib dari Profesional Internasional
Kerangka Kerja Praktik, bagaimana potensi penyimpangan kesesuaian dapat memengaruhi
keseluruhan cakupan
aktivitas audit internal, dan harapan dewan dan manajemen senior untuk
melaporkan masalah kesesuaian tersebut.
Hasil penilaian internal dan eksternal, dan tingkat audit internal
kesesuaian dengan Standar, harus dikomunikasikan kepada manajemen senior dan dewan
setidaknya setiap tahun. Penilaian ini dapat mengungkap gangguan pada independensi atau
Standar 1322 – Pengungkapan Ketidaksesuaian
Ketika ketidaksesuaian dengan Kode Etik atau Standar berdampak pada keseluruhan
lingkup atau operasi kegiatan audit internal, kepala eksekutif audit harus mengungkapkan
ketidaksesuaian dan dampaknya terhadap manajemen senior dan dewan.
halaman 71
71
objektivitas, batasan ruang lingkup, batasan sumber daya, atau kondisi lain yang dapat
memengaruhi
kemampuan aktivitas audit internal untuk memenuhi tanggung jawabnya kepada pemangku
kepentingan. Ketidaksesuaian seperti itu
biasanya dilaporkan ke dewan ketika diidentifikasi dan dicatat dalam notulen rapat.
Jika kegiatan audit internal gagal menjalani penilaian eksternal setidaknya sekali setiap lima
tahun, misalnya, tidak akan dapat menyatakan bahwa itu sesuai dengan Standar (lihat
Panduan Implementasi 1321 – Penggunaan “Sesuai dengan Standar Internasional untuk
Praktik Profesional Audit Internal”). Dalam kasus seperti itu, CAE akan mengevaluasi
dampaknya
ketidaksesuaian ini.
Contoh umum lain dari ketidaksesuaian mungkin termasuk, tetapi tidak terbatas pada, situasi
di
yang:
• Seorang auditor internal ditugaskan untuk suatu perikatan audit, tetapi tidak memenuhi
individu
persyaratan objektivitas (lihat Standar 1120 – Objektivitas Individu).
• Aktivitas audit internal melakukan perikatan tanpa kolektif
pengetahuan, keterampilan, dan pengalaman yang diperlukan untuk melaksanakan tanggung
jawabnya (lihat
Standar 1210 – Kemahiran).
• CAE gagal mempertimbangkan risiko saat menyiapkan rencana audit internal (lihat Standar
2010 – Perencanaan).
Dalam kasus seperti itu, CAE perlu mengevaluasi ketidaksesuaian dan menentukan apakah
itu
berdampak pada keseluruhan ruang lingkup atau operasi kegiatan audit internal. Hal ini juga
penting untuk
CAE untuk mempertimbangkan apakah, dan seberapa besar, situasi ketidaksesuaian dapat
mempengaruhi internal
kemampuan aktivitas audit untuk memenuhi tanggung jawab profesionalnya dan/atau
harapan dari
pemangku kepentingan. Tanggung jawab tersebut dapat mencakup kemampuan untuk
memberikan jaminan yang andal atas
area tertentu dalam organisasi, untuk menyelesaikan rencana audit, dan untuk menangani
risiko tinggi
daerah.
Setelah pertimbangan tersebut, CAE akan mengungkapkan ketidaksesuaian, serta dampak
dari
ketidaksesuaian, kepada manajemen senior dan dewan. Seringkali, pengungkapan seperti ini
melibatkan diskusi dengan manajemen senior dan komunikasi ke dewan selama dewan
pertemuan. CAE juga dapat mendiskusikan ketidaksesuaian selama sesi pribadi dengan
dewan,
pertemuan satu-satu dengan ketua dewan, atau dengan metode lain yang sesuai.
halaman 72
72
Untuk menunjukkan kesesuaian dengan Standar 1322, aktivitas audit internal harus
mempertahankan:
dokumentasi terjadinya dan sifat ketidaksesuaian dengan Standar atau
Kode Etik. Item lain yang mungkin menunjukkan kesesuaian dengan Standar 1322 termasuk:
dokumentasi yang mendukung penentuan dampak keseluruhan dari ketidaksesuaian, dewan
risalah rapat dimana kegiatan audit internal tidak sesuai dengan Kode Etik atau
Standar dilaporkan, atau memo atau email ke manajemen senior dan dewan yang
membahas ketidaksesuaian tersebut. Ini mungkin termasuk hasil dari internal atau eksternal
penilaian selesai, serta komunikasi apa pun yang mendokumentasikan kurangnya
kesesuaian dan dampaknya terhadap ruang lingkup atau operasi kegiatan audit internal.
halaman 73
73
Mulai
Standar ini mengomunikasikan kriteria minimum yang harus dimiliki oleh chief audit
executive (CAE).
memenuhi dalam mengelola kegiatan audit internal. Meninjau persyaratan yang terkait
dengan masing-masing
elemen dalam Interpretasi dapat membantu CAE mempersiapkan diri untuk menerapkan
standar ini.
Seperti yang ditunjukkan oleh standar ini, CAE bertanggung jawab untuk mengelola aktivitas
audit internal secara a
cara yang memungkinkan aktivitas audit internal secara keseluruhan sesuai dengan Standar
dan
auditor internal individu agar sesuai dengan Standar dan Kode Etik. Jadi, sangat penting
bahwa CAE secara teratur meninjau Kerangka Praktik Profesional Internasional (IPPF) untuk
membahas rincian kesesuaian.
Standar 2000 menunjukkan beberapa dasar yang diperlukan untuk memenuhi prinsip bahwa
internal
aktivitas audit menambah nilai bagi organisasi. CAE dapat memulai dengan meninjau audit
internal
tujuan dan tanggung jawab aktivitas, yang disetujui oleh CAE, manajemen senior,
Standar 2000 – Mengelola Kegiatan Audit Internal
Kepala eksekutif audit harus secara efektif mengelola aktivitas audit internal untuk
memastikannya
menambah nilai bagi organisasi.
Penafsiran:
Aktivitas audit internal dikelola secara efektif ketika:
• Mencapai tujuan dan tanggung jawab yang tercantum dalam piagam audit internal.
• Sesuai dengan Standar.
• Anggota individunya mematuhi Kode Etik dan Standar.
• Ini mempertimbangkan tren dan isu-isu yang muncul yang dapat berdampak pada
organisasi.
Aktivitas audit internal menambah nilai bagi organisasi dan pemangku kepentingannya ketika
itu
mempertimbangkan strategi, tujuan, dan risiko; berusaha untuk menawarkan cara-cara untuk
meningkatkan tata kelola,
proses manajemen dan pengendalian risiko; dan secara objektif memberikan jaminan yang
relevan.
halaman 74
74
dan dewan dan dicatat dalam piagam audit internal. Mempelajari bagan organisasi dapat
membantu CAE mengidentifikasi pemangku kepentingan, struktur, dan hubungan pelaporan
organisasi.
Mempelajari rencana strategis organisasi akan memberikan wawasan CAE ke dalam
organisasi
strategi, tujuan, dan risiko. Risiko yang dipertimbangkan harus mencakup tren dan
kemunculan
masalah, seperti yang melibatkan industri organisasi, profesi audit internal itu sendiri,
persyaratan peraturan, dan situasi politik dan ekonomi. CAE dapat mengumpulkan tambahan
masukan dengan berbicara dengan manajemen senior dan dewan tentang rencana strategis.
Pemikiran dan persiapan ini meletakkan dasar bagi CAE untuk mengelola audit internal
aktivitas dengan cara yang menambah nilai dengan meningkatkan tata kelola organisasi,
risiko
manajemen, dan proses pengendalian dan dengan memberikan jaminan yang relevan.
Setelah mempertimbangkan informasi di atas, CAE mengembangkan strategi audit internal
audit
dan pendekatan yang selaras dengan tujuan dan harapan pimpinan organisasi. Di
Selain itu, sebagaimana dinyatakan dalam Standar 2010, CAE membuat rencana audit
internal berbasis risiko untuk
menentukan prioritas penugasan assurance dan konsultasi kegiatan audit internal.
Proses ini mempertimbangkan masukan dari manajemen senior dan dewan serta
penilaian risiko tahunan yang terdokumentasi (Standar 2010.A1).
Dalam rencana audit internal, CAE biasanya mendefinisikan ruang lingkup aktivitas audit
internal dan
kiriman, menentukan sumber daya yang dibutuhkan untuk mencapai rencana, dan
menguraikan pendekatan untuk
mengembangkan aktivitas audit internal dan mengukur kinerja dan kemajuannya terhadap
rencana tersebut.
Menurut Standar 2020, CAE bertanggung jawab untuk mengomunikasikan rencana, sumber
daya
persyaratan, dan dampak keterbatasan sumber daya kepada dewan dan manajemen senior dan
menerima persetujuan mereka. Perubahan sementara yang signifikan pada rencana juga harus
dikomunikasikan
dan disetujui.
Sebagaimana dinyatakan dalam Standar 2030, CAE juga harus memastikan bahwa sumber
daya audit internal:
dikerahkan secara efektif untuk mencapai rencana yang telah disetujui. Melaksanakan secara
sistematis dan disiplin and
pendekatan untuk mengelola aktivitas audit internal, CAE mempertimbangkan Panduan
Wajib
IPPF dan menetapkan kebijakan dan prosedur audit internal (Standar 2040). Intern
dokumen kebijakan dan prosedur audit sering digabungkan menjadi manual audit internal
untuk:
aktivitas audit internal yang akan digunakan. Dokumen tersebut dapat mencakup metode dan
alat untuk pelatihan
halaman 75
75
auditor internal. CAE mungkin meminta auditor internal untuk mengakui dengan tanda
tangan bahwa:
mereka telah membaca dan memahami kebijakan dan prosedur.
Standar 2000 memperkenalkan tanggung jawab CAE untuk memastikan bahwa aktivitas
audit internal
menambah nilai bagi organisasi dengan secara objektif memberikan jaminan dan penawaran
yang relevan
saran untuk meningkatkan tata kelola, manajemen risiko, dan pengendalian organisasi
proses. Seri 2100 standar dan panduan implementasi menjelaskan:
persyaratan dan proses yang memungkinkan aktivitas audit internal untuk menyelesaikannya
tujuan.
CAE memastikan manajemen yang efektif dengan memantau kesesuaian dengan Mandatory
Panduan IPPF baik di tingkat auditor internal individu maupun audit internal
aktivitas secara keseluruhan. CAE juga bertanggung jawab untuk menerapkan jaminan
kualitas dan
program perbaikan, seperti yang dipersyaratkan oleh Standar 1300, dan untuk menerapkan
metode dan
alat yang terkait dengan 1200 seri standar.
CAE juga harus mengevaluasi efektivitas aktivitas audit internal untuk mencapai kesesuaian
dengan Standar 2000. Biasanya, CAE mengembangkan metrik untuk mengevaluasi efisiensi
dan
efektivitas kegiatan audit internal. Alat yang dapat digunakan CAE untuk tujuan ini
termasuk:
meminta umpan balik melalui survei klien pasca-audit, menyelesaikan tinjauan kinerja
tahunan
auditor internal individu, melaksanakan program penjaminan mutu dan peningkatan,
dan membandingkan aktivitas audit internal organisasi dengan audit internal kontemporer
kelompok dalam industri (benchmarking).
Bukti seberapa baik aktivitas audit internal telah dikelola dan apakah telah ditambahkan
nilai bagi organisasi ada dalam hasil survei klien pasca-keterlibatan dan lainnya
sumber umpan balik. Selain itu, penilaian internal dan eksternal membantu mengukur internal
kesesuaian kegiatan audit dengan Pedoman Wajib IPPF, termasuk kinerja
metrik yang terkait dengan pengelolaan aktivitas audit internal. Hasil perbandingan terhadap
standar industri (yaitu, benchmarking) juga dapat digunakan.
Karena Standar 2000 membutuhkan bukti kesesuaian tidak hanya di tingkat internal
aktivitas audit, tetapi juga pada tingkat auditor internal individu, bukti yang mendukung
1200 seri standar mungkin juga berguna. Ini mungkin termasuk evaluasi pengawasan dan
halaman 76
76
peer review auditor internal individu dan CAE, dengan metrik terkait dengan kinerja dan
kesesuaian.
Bukti kesesuaian dengan seri standar 2000 (yaitu, standar 2010 hingga
2070) memberikan bukti tambahan tentang kesesuaian dengan Standar 2000.
halaman 77
77
Mulai
Rencana audit internal dimaksudkan untuk memastikan bahwa cakupan audit internal
memeriksa secara memadai
area dengan eksposur terbesar terhadap risiko utama yang dapat memengaruhi kemampuan
organisasi untuk
mencapai tujuannya. Standar ini mengarahkan kepala eksekutif audit (CAE) untuk mulai
mempersiapkan
rencana audit internal dengan berkonsultasi dengan manajemen senior dan dewan untuk
memahami
strategi organisasi, tujuan bisnis, risiko, dan proses manajemen risiko. Jadi,
CAE mempertimbangkan kematangan proses manajemen risiko organisasi, termasuk:
apakah organisasi menggunakan kerangka kerja manajemen risiko formal untuk menilai,
mendokumentasikan, dan
mengelola risiko. Organisasi yang kurang matang mungkin menggunakan cara manajemen
risiko yang kurang formal.
Persiapan CAE biasanya melibatkan peninjauan hasil penilaian risiko apa pun yang:
manajemen mungkin telah dilakukan. CAE dapat menggunakan alat-alat seperti wawancara,
survei,
pertemuan, dan lokakarya untuk mengumpulkan masukan tambahan tentang risiko dari
manajemen di
berbagai tingkatan di seluruh organisasi, serta dari dewan dan pemangku kepentingan
lainnya.
Standar 2010 – Perencanaan
Eksekutif Audit kepala harus membangun sebuah rencana berbasis risiko untuk menentukan
prioritas
kegiatan audit internal, konsisten dengan tujuan organisasi.
Penafsiran:
Untuk mengembangkan rencana berbasis risiko, kepala audit eksekutif berkonsultasi dengan
senior
manajemen dan dewan dan memperoleh pemahaman tentang organisasi
strategi, tujuan bisnis utama, risiko terkait, dan proses manajemen risiko.
Kepala eksekutif audit harus meninjau dan menyesuaikan rencana, jika perlu, sebagai
tanggapan atas:
perubahan dalam bisnis organisasi, risiko, operasi, program, sistem, dan
kontrol.
halaman 78
78
Tinjauan pendekatan organisasi terhadap manajemen risiko ini dapat membantu CAE
memutuskan bagaimana
untuk mengatur atau memperbarui alam semesta audit, yang terdiri dari semua area risiko
yang dapat menjadi subjek
untuk diaudit, menghasilkan daftar kemungkinan perikatan audit yang dapat dilakukan. Audit
semesta mencakup proyek dan inisiatif yang terkait dengan rencana strategis organisasi, dan
mungkin
diatur oleh unit bisnis, lini produk atau layanan, proses, program, sistem, atau
kontrol.
Menghubungkan risiko kritis dengan tujuan dan proses bisnis tertentu membantu CAE
mengatur
audit semesta dan memprioritaskan risiko. CAE menggunakan pendekatan faktor risiko untuk
mempertimbangkan keduanya:
risiko internal dan eksternal. Risiko internal dapat memengaruhi produk dan layanan utama,
personel, dan
sistem. Faktor risiko yang relevan terkait dengan risiko internal termasuk tingkat perubahan
risiko
sejak area terakhir diaudit, kualitas kontrol, dan lain-lain. Risiko eksternal mungkin
terkait dengan persaingan, pemasok, atau masalah industri lainnya. Faktor risiko yang relevan
untuk eksternal
risiko mungkin termasuk perubahan peraturan atau hukum yang tertunda dan kebijakan
politik dan ekonomi lainnya
faktor.
Untuk memastikan bahwa alam semesta audit mencakup semua risiko utama organisasi
(sejauh
mungkin), aktivitas audit internal biasanya secara independen meninjau dan menguatkan
kuncinya
risiko yang diidentifikasi oleh manajemen senior. Menurut Standar 2010.A1, internal
rencana audit harus didasarkan pada penilaian risiko yang terdokumentasi, dilakukan
setidaknya setiap tahun, yang
mempertimbangkan masukan dari manajemen senior dan dewan. Seperti disebutkan dalam
Glosarium, risiko adalah
diukur dalam hal dampak dan kemungkinan.
Saat mengembangkan rencana audit internal, CAE juga mempertimbangkan setiap
permintaan yang dibuat oleh:
dewan dan/atau manajemen senior dan kemampuan aktivitas audit internal untuk
mengandalkan pekerjaan
penyedia jaminan internal dan eksternal lainnya (sesuai Standar 2050).
Setelah informasi yang disebutkan di atas telah dikumpulkan dan ditinjau, CAE
mengembangkan
rencana audit internal yang biasanya mencakup:
• Daftar penugasan audit yang diusulkan (dan spesifikasi mengenai apakah whether
perikatan adalah jaminan atau konsultasi di alam).
• Alasan untuk memilih setiap keterlibatan yang diusulkan (misalnya, peringkat risiko, waktu
sejak terakhir
audit, perubahan manajemen, dll).
halaman 79
79
• Tujuan dan ruang lingkup setiap penugasan yang diusulkan.
• Daftar inisiatif atau proyek yang dihasilkan dari strategi audit internal tetapi mungkin tidak
berhubungan langsung dengan perikatan audit.
Meskipun rencana audit biasanya disiapkan setiap tahun, mereka dapat dikembangkan sesuai
dengan:
siklus lain. Misalnya, aktivitas audit internal dapat mempertahankan audit 12 bulan bergulir
merencanakan dan mengevaluasi kembali proyek setiap triwulan. Atau, aktivitas audit
internal dapat berkembang sebagai:
rencana audit multi-tahun dan menilai rencana tersebut setiap tahun.
CAE mendiskusikan rencana audit internal dengan dewan, manajemen senior, dan lainnya
pemangku kepentingan untuk menciptakan keselarasan di antara prioritas berbagai pemangku
kepentingan. CAE juga
mengakui area risiko yang tidak dibahas dalam rencana. Misalnya, diskusi ini mungkin
menjadi kesempatan bagi CAE untuk meninjau peran dan tanggung jawab dewan dan senior
manajemen terkait dengan manajemen risiko dan standar yang terkait dengan pemeliharaan
internal the
independensi dan objektivitas kegiatan audit (Standar 1100 sampai dengan Standar
1130.C2). Itu
CAE merefleksikan umpan balik yang diterima dari pemangku kepentingan sebelum
menyelesaikan rencana.
Rencana audit internal cukup fleksibel untuk memungkinkan CAE meninjau dan
menyesuaikannya seperlunya
dalam menanggapi perubahan dalam bisnis organisasi, risiko, operasi, program, sistem,
dan kontrol. Perubahan signifikan harus dikomunikasikan kepada dewan dan manajemen
senior
untuk ditinjau dan disetujui, sesuai dengan Standar 2020.
Bukti kesesuaian dengan Standar 2010 ada dalam rencana audit internal yang terdokumentasi,
seperti:
serta penilaian risiko yang menjadi dasar rencana tersebut. Bukti pendukung juga mungkin
ada
dalam risalah rapat di mana CAE membahas alam semesta audit dan penilaian risiko
dengan dewan dan manajemen senior. Selain itu, memo ke file dapat digunakan untuk
mendokumentasikan
percakapan serupa dengan masing-masing anggota manajemen di berbagai tingkatan di
seluruh
organisasi.
halaman 80
80
Mulai
Sebelum berkomunikasi dengan manajemen senior dan dewan mengenai rencana audit
internal,
persyaratan sumber daya aktivitas audit internal, dan dampak keterbatasan sumber daya,
chief audit executive (CAE) menentukan sumber daya yang dibutuhkan untuk
mengimplementasikan rencana tersebut, berdasarkan:
prioritas berbasis risiko yang diidentifikasi selama proses perencanaan (Standar
2010). Sumber daya
mungkin termasuk orang (misalnya, jam kerja dan keterampilan), teknologi (misalnya, alat
dan teknik audit),
waktu/jadwal (ketersediaan sumber daya), dan pendanaan. Sebagian dari sumber daya
biasanya
dicadangkan untuk mengatasi perubahan rencana audit yang mungkin timbul, seperti risiko
tak terduga yang
dapat mempengaruhi organisasi dan permintaan untuk penugasan konsultasi dari senior
manajemen dan/atau dewan. Misalnya, kebutuhan untuk proyek audit internal baru mungkin:
muncul ketika risiko baru diperkenalkan karena divestasi organisasi atau merger, politik
ketidakpastian, atau perubahan persyaratan peraturan.
Akan sangat membantu jika CAE, dewan, dan manajemen senior menyetujui sebelumnya
tentang kriteria yang:
akan mencirikan perubahan yang cukup signifikan untuk menjamin diskusi dan protokol
untuk
mengkomunikasikan perubahan tersebut. Mungkin berguna untuk mencatat kriteria ini dalam
audit internal
piagam atau dokumen lainnya.
CAE biasanya merinci audit yang terdiri dari rencana audit internal dan kemudian menilai
jenis dan jumlah sumber daya yang akan dibutuhkan untuk menyelesaikan setiap proyek
audit.
Standar 2020 – Komunikasi dan Persetujuan
Kepala eksekutif audit harus mengomunikasikan rencana aktivitas audit internal dan
persyaratan sumber daya, termasuk perubahan interim yang signifikan, kepada manajemen
senior dan
dewan untuk ditinjau dan disetujui. Kepala eksekutif audit juga harus mengomunikasikan
dampak keterbatasan sumber daya.
halaman 81
81
Estimasi umumnya didasarkan pada pengalaman masa lalu dengan proyek tertentu atau
perbandingan dengan
proyek serupa. CAE dapat membandingkan sumber daya yang dibutuhkan untuk mencapai
prioritas rencana
dengan yang tersedia untuk aktivitas audit internal untuk menentukan apakah ada
kesenjangan. Ini
perbandingan tersebut dapat digunakan sebagai dasar untuk menentukan dampak dari
keterbatasan sumber daya.
CAE biasanya bertemu dengan eksekutif senior individu untuk meminta masukan mereka
mengenai
rencana audit internal yang diusulkan sebelum secara resmi disampaikan kepada dewan untuk
disetujui. Selama
pertemuan, CAE dapat mengatasi masalah apa pun yang mungkin diungkapkan oleh
eksekutif senior,
menggabungkan umpan balik mereka (yang sesuai), dan mendapatkan dukungan
mereka. Prosesnya mungkin melibatkan
mengumpulkan informasi tambahan tentang waktu penugasan audit yang diusulkan dan
ketersediaan sumber daya. Ini mungkin memperkenalkan perubahan yang mempengaruhi
ruang lingkup pekerjaan. Wawasan
CAE memperoleh dari diskusi ini membantu menentukan apakah ada penyesuaian yang harus
dibuat untuk rencana audit internal sebelum disajikan kepada dewan untuk disetujui.
Presentasi CAE tentang rencana audit internal kepada dewan biasanya terjadi selama rapat,
yang mungkin termasuk manajemen senior. Rencana audit internal yang diusulkan dapat
mencakup:
• Daftar penugasan audit yang diusulkan (dan spesifikasi mengenai apakah whether
perikatan adalah jaminan atau konsultasi di alam).
• Alasan untuk memilih setiap keterlibatan yang diusulkan (misalnya, peringkat risiko, waktu
sejak terakhir
audit, perubahan manajemen, dll).
• Tujuan dan ruang lingkup setiap penugasan yang diusulkan.
• Daftar inisiatif atau proyek yang dihasilkan dari strategi audit internal tetapi mungkin tidak
berhubungan langsung dengan perikatan audit.
Keterbatasan sumber daya mempengaruhi prioritas dalam rencana audit internal. Misalnya,
jika sumber daya adalah
tidak cukup untuk menyelesaikan setiap perikatan yang diusulkan dalam rencana, beberapa
perikatan mungkin
ditangguhkan, dan beberapa risiko mungkin tidak ditangani. Selama presentasi dewan, CAE
membahas rencana audit internal yang diusulkan dan penilaian risiko yang menjadi dasarnya,
menunjukkan risiko yang akan ditangani, serta risiko yang tidak dapat ditangani karena
kendala sumber daya. Anggota dewan dapat mendiskusikan informasi ini dan membuat
rekomendasi sebelum akhirnya menyetujui rencana audit internal.
Rencana audit internal dikembangkan dengan cukup fleksibel sehingga CAE dapat
menyesuaikannya sebagai
diperlukan dalam menanggapi perubahan dalam bisnis organisasi, risiko, operasi, program,
sistem, dan kontrol. Namun, CAE harus meninjau perubahan signifikan pada rencana audit,
halaman 82
82
alasan terkait, dan dampak potensial dengan dewan dan manajemen senior untuk
mendapatkan
persetujuan. Rapat dewan triwulanan atau setengah tahunan yang dijadwalkan secara teratur
memberikan peluang
untuk meninjau dan menyesuaikan rencana audit internal.
CAE dapat menunjukkan kesesuaian dengan Standar 2020 dengan menyimpan catatan
tentang keeping
distribusi rencana audit internal. Kesesuaian juga dapat dibuktikan melalui salinan:
materi rapat dewan yang mencakup rencana audit internal yang diusulkan untuk ditinjau dan
persetujuan. Diskusi individu dengan manajemen senior dapat didokumentasikan melalui
memo, email, atau catatan yang dibuat selama proses penilaian risiko aktivitas audit internal.
Biasanya, notulen rapat dewan berisi catatan diskusi dewan dan persetujuan dewan
rencana audit internal, setiap perubahan sementara, dan/atau dampak dari setiap keterbatasan
sumber daya.
halaman 83
83
Mulai
Saat mengembangkan rencana audit internal (Standar 2010) dan meninjaunya dengan dewan
dan
manajemen senior (Standar 2020), kepala eksekutif audit (CAE) mempertimbangkan dan
mendiskusikan
sumber daya yang dibutuhkan untuk mencapai prioritas rencana. Untuk menerapkan Standar
2030, the
CAE biasanya dimulai dengan mendapatkan pemahaman yang lebih dalam tentang sumber
daya yang tersedia untuk
aktivitas audit internal dalam rencana audit internal yang disetujui dewan.
CAE dapat dengan hati-hati mempertimbangkan jumlah staf audit internal dan jam kerja
produktif productive
tersedia untuk mengimplementasikan rencana dalam batasan jadwal organisasi. Kerja
produktif
jam biasanya mengecualikan faktor-faktor seperti waktu istirahat yang dibayar dan waktu
yang dihabiskan untuk pelatihan dan
Tugas administrasi. Untuk mendapatkan gambaran tentang pengetahuan kolektif aktivitas
audit internal,
keterampilan, dan kompetensi lainnya, CAE dapat meninjau penilaian keterampilan yang
terdokumentasi, jika:
tersedia, atau mengumpulkan informasi dari penilaian kinerja karyawan dan pasca-audit
survei.
CAE mungkin juga ingin merefleksikan anggaran yang disetujui dan mempertimbangkan
dana yang tersedia untuk
pelatihan, teknologi, atau staf tambahan untuk mencapai rencana.
Standar 2030 – Manajemen Sumber Daya
Kepala audit internal harus memastikan bahwa sumber daya audit internal sesuai,
memadai, dan dikerahkan secara efektif untuk mencapai rencana yang telah disetujui.
Penafsiran:
Sesuai mengacu pada campuran pengetahuan, keterampilan, dan kompetensi lain yang
dibutuhkan untuk
melakukan rencana. Cukup mengacu pada jumlah sumber daya yang dibutuhkan untuk
mencapai
rencana. Sumber daya diterapkan secara efektif ketika digunakan dengan cara yang
mengoptimalkan that
pencapaian rencana yang telah disetujui.
halaman 84
84
Ketika mengalokasikan sumber daya tertentu untuk perikatan yang diidentifikasi dalam audit
internal yang disetujui
rencana, CAE dapat mempertimbangkan bagaimana sumber daya yang tersedia sesuai dengan
keterampilan khusus
dan waktu yang diperlukan untuk melaksanakan perikatan. Selama proses ini, CAE biasanya
bekerja
untuk mengisi celah yang mungkin telah diidentifikasi.
Untuk mengisi kesenjangan yang terkait dengan pengetahuan, keterampilan, dan kompetensi
staf audit internal, CAE
dapat memberikan pelatihan untuk staf yang ada, meminta seorang ahli dari dalam organisasi
untuk melayani
sebagai auditor tamu, mempekerjakan staf tambahan, atau menyewa penyedia layanan
eksternal. Jika jumlah
sumber daya tidak cukup untuk menutupi keterlibatan yang direncanakan secara efisien dan
efektif, CAE
dapat mempekerjakan staf tambahan, cosource atau keterlibatan outsourcing, menggunakan
satu atau lebih tamu
auditor, atau mengembangkan program audit rotasi.
Saat mengembangkan jadwal untuk penugasan audit internal, CAE mempertimbangkan:
jadwal organisasi, jadwal auditor internal individu, dan ketersediaan
entitas yang dapat diaudit. Misalnya, jika perikatan audit perlu terjadi selama waktu tertentu
tahun, sumber daya yang dibutuhkan untuk menyelesaikan perikatan itu juga harus tersedia
pada saat itu.
Demikian juga, jika entitas yang dapat diaudit tidak tersedia atau dibatasi selama periode
tahun tertentu,
karena kebutuhan bisnis, perikatan akan dijadwalkan untuk menghindari periode tersebut.
Karena CAE harus melaporkan dampak keterbatasan sumber daya (Standar 2020) dan
tentang
kinerja aktivitas audit internal relatif terhadap rencananya (Standar 2060), penting untuk
CAE untuk mengukur kecukupan keseluruhan sumber daya secara terus menerus. Untuk
menegaskan bahwa sumber daya adalah
tepat, memadai, dan diterapkan secara efektif, CAE menetapkan metrik yang menilai
kinerja aktivitas audit internal dan meminta umpan balik dari klien audit internal.
Dokumentasi yang membuktikan kesesuaian dengan Standar 2030 dapat mencakup internal
rencana audit, yang berisi perkiraan jadwal perikatan audit dan sumber daya
dialokasikan. Selain itu, perbandingan jam yang dianggarkan pasca-audit dengan jam aktual
mungkin:
didokumentasikan untuk memvalidasi bahwa sumber daya digunakan secara efektif. Hasil
klien
penilaian terkait kinerja kegiatan audit internal dan internal individu
auditor sering dicatat dalam laporan pasca audit, survei, dan laporan tahunan.
halaman 85
85
Mulai
Untuk menetapkan kebijakan dan prosedur yang memandu kegiatan audit internal, kepala
audit
eksekutif (CAE) mempertimbangkan beberapa faktor. Penting untuk memastikan bahwa
kebijakan audit internal internal
dan prosedur diselaraskan dengan Panduan Wajib dari Profesional Internasional
Kerangka Kerja Praktek (IPPF). Selain itu, penyelarasan dengan piagam audit internal
membantu
memastikan bahwa harapan pemangku kepentingan ditangani.
CAE dapat mulai mengembangkan kebijakan dan prosedur dengan mengumpulkan informasi,
contoh,
dan template, seperti yang tersedia melalui The IIA. Template dapat disesuaikan agar sesuai
organisasi dan kebutuhan kegiatan audit internal tertentu.
Penting bagi CAE untuk mempertimbangkan strategi, kebijakan, dan
proses, termasuk apakah kepemimpinan organisasi mengharapkan untuk meninjau dan/atau
menyetujui
kebijakan dan prosedur audit internal.
Penerapan Standar 2040 CAE akan sangat bergantung pada struktur, maturitas, dan
kompleksitas organisasi dan aktivitas audit internal. Sementara internal yang besar dan
matang
aktivitas audit mungkin memiliki manual operasi audit internal formal yang mencakup
kebijakan dan
Standar 2040 – Kebijakan dan Prosedur
Kepala eksekutif audit harus menetapkan kebijakan dan prosedur untuk memandu internal
kegiatan audit.
Penafsiran:
Bentuk dan isi kebijakan dan prosedur tergantung pada ukuran dan
struktur kegiatan audit internal dan kompleksitas pekerjaannya.
halaman 86
86
prosedur, organisasi yang lebih kecil atau kurang matang mungkin tidak. Sebaliknya,
kebijakan dan prosedur
dapat diterbitkan sebagai dokumen terpisah atau terintegrasi sebagai bagian dari manajemen
audit
program perangkat lunak.
Topik-topik berikut umumnya disertakan dalam manual audit internal atau sebaliknya:
didokumentasikan untuk membantu memandu aktivitas audit internal:
• Kebijakan audit internal.
o Tujuan dan tanggung jawab keseluruhan dari kegiatan audit internal.
o Ketaatan pada Pedoman Wajib IPPF.
o Independensi dan objektivitas.
o Etika.
o Melindungi informasi rahasia.
o Retensi rekaman.
• Prosedur audit internal.
o Menyiapkan rencana audit berbasis risiko.
o Merencanakan audit dan menyiapkan program kerja perikatan.
o Melaksanakan penugasan audit.
o Mendokumentasikan perikatan audit.
o Mengkomunikasikan hasil/pelaporan.
o Proses pemantauan dan tindak lanjut.
• Program penjaminan mutu dan peningkatan.
• Urusan administrasi.
o Kesempatan pelatihan dan sertifikasi.
o Persyaratan pendidikan berkelanjutan.
o Evaluasi kinerja.
Untuk memastikan personel audit internal mendapat informasi yang benar tentang kebijakan
audit internal dan
prosedur, CAE dapat mengeluarkan dokumen individual, materi pelatihan, atau
panduan; dan sesi pelatihan dapat dilakukan untuk meninjau informasi tersebut. CAE
mungkin
meminta auditor internal menandatangani formulir pengakuan, yang menunjukkan bahwa
mereka telah membaca
dan memahami kebijakan dan prosedur.
Kebijakan dan prosedur audit internal harus ditinjau secara berkala, baik oleh CAE atau
manajer audit internal yang ditugaskan untuk memantau proses audit internal dan masalah
yang muncul.
halaman 87
87
Tinjauan tersebut dapat dimasukkan dalam penilaian internal aktivitas audit internal (Standar
1311) dan penilaian eksternal yang terjadi setidaknya sekali setiap lima tahun (Standar 1312).
Saran untuk perubahan operasional mungkin muncul sebagai tanggapan terhadap jaminan
kualitas dan
program perbaikan atau umpan balik dari auditor internal atau entitas yang diaudit (misalnya,
melalui klien
survei kepuasan). Jika perubahan prosedural dibuat, mereka dapat dikomunikasikan secara
tertulis
dan/atau didiskusikan selama rapat staf audit internal untuk membantu memastikan bahwa
perubahan tersebut
dipahami. Pelatihan juga dapat dilakukan (misalnya, untuk mendemonstrasikan prosedur
baru).
Dokumentasi kebijakan dan prosedur membuktikan kesesuaian dengan Standar 2040.
Bukti bahwa kebijakan dan prosedur audit internal telah dikomunikasikan dengan jelas
kepada:
personel audit internal dapat mencakup agenda dan risalah rapat staf audit internal, email,
pengakuan yang ditandatangani, jadwal pelatihan, atau dokumentasi serupa.
halaman 88
88
Mulai
Peran penyedia layanan jaminan dan konsultasi bervariasi menurut organisasi. Jadi, untuk
memulai
tugas mengoordinasikan upaya mereka, chief audit executive (CAE) mengidentifikasi
berbagai peran
penyedia layanan jaminan dan konsultasi yang ada dengan meninjau bagan organisasi dan
agenda atau risalah rapat dewan. Peran umumnya dikategorikan sebagai internal
penyedia atau penyedia eksternal.
• Penyedia internal mencakup fungsi pengawasan yang melapor kepada manajemen senior
atau merupakan bagian dari manajemen senior. Keterlibatan mereka dapat mencakup bidang-
bidang seperti:
lingkungan, kontrol keuangan, kesehatan dan keselamatan, keamanan TI, hukum, risiko
manajemen, kepatuhan, atau jaminan kualitas. Ini sering dianggap "kedua"
garis pertahanan”, menurut model Tiga Garis Pertahanan IIA.
Standar 2050 – Koordinasi dan Keandalan
Kepala eksekutif audit harus berbagi informasi, mengkoordinasikan kegiatan, dan
mempertimbangkan
mengandalkan pekerjaan dari jasa assurance dan konsultasi internal dan eksternal lainnya
penyedia untuk memastikan cakupan yang tepat dan meminimalkan duplikasi upaya.
Penafsiran:
Dalam mengoordinasikan kegiatan, kepala audit internal dapat mengandalkan pekerjaan
orang lain
penyedia jasa penjaminan dan konsultasi. Proses yang konsisten atas dasar ketergantungan
harus ditetapkan, dan kepala audit internal harus mempertimbangkan kompetensi,
objektivitas, dan kehati-hatian profesional dari penyedia jasa assurance dan konsultasi.
Kepala eksekutif audit juga harus memiliki pemahaman yang jelas tentang ruang lingkup,
tujuan, dan hasil pekerjaan yang dilakukan oleh penyedia asurans lainnya dan
layanan konsultasi. Di mana ketergantungan ditempatkan pada pekerjaan orang lain, kepala
audit
eksekutif masih bertanggung jawab dan bertanggung jawab untuk memastikan dukungan
yang memadai untuk
kesimpulan dan pendapat yang dicapai oleh kegiatan audit internal.
halaman 89
89
• Penyedia assurance eksternal dapat melapor kepada manajemen senior atau eksternal
pemangku kepentingan, atau mereka dapat dipekerjakan oleh dan melapor ke CAE.
Setelah penyedia jasa assurance dan konsultasi diidentifikasi, CAE
mempertimbangkan jenis dan jumlah informasi yang dapat dibagikan kepada mereka, sesuai
dengan
dengan persyaratan kerahasiaan organisasi. Adalah penting bahwa CAE mempertimbangkan
pembatasan berbagi informasi rahasia, terutama dengan pihak eksternal.
CAE bertemu dengan masing-masing penyedia untuk mengumpulkan informasi yang cukup
sehingga:
jaminan organisasi dan kegiatan konsultasi dapat dikoordinasikan. Dalam batasan
persyaratan kerahasiaan organisasi, para pihak berbagi tujuan, ruang lingkup, dan
waktu tinjauan, penilaian, dan audit yang akan datang; hasil audit sebelumnya; dan
kemungkinan mengandalkan pekerjaan satu sama lain.
Proses mengkoordinasikan kegiatan jaminan bervariasi menurut organisasi. Lebih kecil
organisasi, koordinasi mungkin bersifat informal. Dalam organisasi besar atau sangat diatur,
koordinasi mungkin formal dan kompleks.
Salah satu cara untuk mengoordinasikan cakupan jaminan adalah dengan membuat peta
jaminan dengan menghubungkan yang diidentifikasi
kategori risiko signifikan dengan sumber asurans yang relevan dan menilai tingkat asurans
disediakan untuk setiap kategori risiko. Karena peta itu komprehensif, itu memperlihatkan
celah dan
duplikasi dalam cakupan jaminan, memungkinkan CAE untuk mengevaluasi kecukupan
jaminan
layanan di setiap area risiko. Hasilnya dapat didiskusikan dengan penyedia jaminan lainnya
sehingga
bahwa para pihak dapat mencapai kesepakatan tentang bagaimana mengoordinasikan
kegiatan untuk meminimalkan
duplikasi upaya dan memaksimalkan efisiensi dan efektivitas cakupan jaminan.
Pendekatan lain untuk mengkoordinasikan cakupan jaminan adalah model jaminan gabungan,
di mana:
audit internal dapat mengoordinasikan upaya penjaminan dengan fungsi pertahanan lini
kedua, seperti:
fungsi kepatuhan, untuk mengurangi sifat, frekuensi, dan redundansi audit internal
pertunangan.
Contoh kegiatan koordinasi antara lain:
• Menyelaraskan sifat, luas, dan waktu pekerjaan yang direncanakan.
• Memastikan pemahaman yang sama tentang teknik, metode, dan . jaminan
halaman 90
90
terminologi.
• Memberikan akses ke program kerja, kertas kerja, dan laporan satu sama lain.
• Mengandalkan pekerjaan satu sama lain untuk meminimalkan duplikasi usaha.
• Rapat sebentar-sebentar untuk menentukan apakah perlu menyesuaikan waktu
pekerjaan yang direncanakan, berdasarkan hasil pekerjaan yang telah diselesaikan.
CAE dapat memilih untuk mengandalkan pekerjaan penyedia lain karena berbagai alasan,
seperti:
menilai area khusus di luar keahlian aktivitas audit internal atau untuk meningkatkan risiko
cakupan di luar rencana audit internal. Namun, jika aktivitas audit internal bergantung pada
pekerjaan penyedia layanan lain, CAE memegang tanggung jawab utama untuk audit internal
kesimpulan dan pendapat. Oleh karena itu, penting bagi CAE untuk menetapkan proses yang
konsisten dan
seperangkat kriteria untuk menentukan apakah aktivitas audit internal dapat bergantung pada
pekerjaan pihak lain
pemberi. Dalam proses ini, CAE dapat:
• Mengevaluasi objektivitas dengan mempertimbangkan apakah penyedia memiliki, atau
mungkin tampak memiliki,
setiap konflik kepentingan dan apakah konflik tersebut telah diungkapkan.
• Pertimbangkan independensi dengan memeriksa hubungan pelaporan penyedia dan provider
dampak dari pengaturan ini.
• Konfirmasi kompetensi dengan memverifikasi apakah pengalaman profesional penyedia,
kualifikasi, sertifikasi, dan afiliasi sesuai dan terkini.
• Menilai kecermatan profesional dengan memeriksa unsur-unsur praktik penyedia the
berlaku untuk menyelesaikan pekerjaan (yaitu, metodologi penyedia dan apakah pekerjaan
direncanakan, diawasi, didokumentasikan, dan ditinjau dengan tepat).
• CAE juga dapat berusaha untuk mendapatkan pemahaman tentang ruang lingkup, tujuan,
dan
hasil kerja aktual yang dilakukan untuk menentukan tingkat ketergantungan yang mungkin
ditempatkan pada pekerjaan penyedia. CAE biasanya mempertimbangkan apakah penyedia
temuan tampak wajar dan didasarkan pada audit yang cukup, andal, dan relevan
bukti. CAE menentukan apakah pekerjaan atau pengujian tambahan diperlukan untuk
memperoleh
bukti yang cukup untuk mendukung atau meningkatkan tingkat ketergantungan yang
diinginkan. Jika tambahan
pekerjaan diperlukan, kegiatan audit internal dapat menguji ulang hasil penyedia lain.
halaman 91
91
Bukti kesesuaian dengan Standar 2050 dapat mencakup komunikasi mengenai perbedaan
peran dan tanggung jawab jaminan dan konsultasi, yang dapat didokumentasikan dalam
catatan
dari pertemuan dengan penyedia jasa assurance dan konsultasi individu atau dalam notulen
pertemuan dengan dewan dan manajemen senior. Kesesuaian dengan persyaratan
mengenai ketergantungan pada pekerjaan penyedia lain juga dapat dibuktikan melalui CAE's
dokumentasi proses dan kriteria yang diterapkan untuk menentukan apakah audit internal
aktivitas mungkin bergantung pada pekerjaan penyedia. Kesesuaian dengan persyaratan
untuk mengkoordinasikan
penyedia jasa assurance dan konsultasi dibuktikan melalui peta assurance dan/atau
gabungan rencana audit internal yang mengidentifikasi penyedia mana yang bertanggung
jawab untuk menyediakan
jasa assurance atau konsultasi di masing-masing area.
halaman 92
92
Standar 2060 – Pelaporan ke Manajemen Senior dan and
Naik
Kepala eksekutif audit harus melaporkan secara berkala kepada manajemen senior dan dewan
pada tujuan, wewenang, tanggung jawab, dan kinerja kegiatan audit internal relatif
pada rencananya dan pada kesesuaiannya dengan Kode Etik dan Standar. Pelaporan
juga harus mencakup risiko yang signifikan dan masalah pengendalian, termasuk risiko
penipuan, tata kelola
masalah, dan hal-hal lain yang memerlukan perhatian manajemen senior dan/atau
naik.
Penafsiran:
Frekuensi dan isi pelaporan ditentukan secara kolaboratif oleh kepala audit
eksekutif, manajemen senior, dan dewan. Frekuensi dan isi pelaporan
tergantung pada pentingnya informasi yang akan dikomunikasikan dan urgensinya
tindakan terkait yang akan diambil oleh manajemen senior dan/atau dewan.
Pelaporan dan komunikasi kepala audit eksekutif kepada manajemen senior dan
dewan harus menyertakan informasi tentang:
• Piagam audit.
• Independensi kegiatan audit internal.
• Rencana audit dan kemajuan terhadap rencana tersebut.
• Persyaratan sumber daya.
• Hasil kegiatan audit.
• Kesesuaian dengan Kode Etik dan Standar, dan rencana aksi untuk
mengatasi masalah kesesuaian yang signifikan.
• Tanggapan manajemen terhadap risiko yang, menurut penilaian kepala eksekutif audit,
mungkin tidak dapat diterima oleh organisasi.
Ini dan persyaratan komunikasi kepala audit eksekutif lainnya dirujuk
seluruh Standar.
halaman 93
93
Mulai
Berkomunikasi secara efektif dengan manajemen senior dan dewan merupakan tanggung
jawab penting
kepala eksekutif audit (CAE), dan standar ini menyatukan prinsip utama CAE
persyaratan pelaporan yang dirujuk di seluruh Standar. Dalam menerapkan standar
terkait dengan komunikasi, CAE biasanya ingin memahami pelaporan terkait
harapan manajemen senior dan dewan, yang mungkin dinyatakan dalam audit
piagam panitia. Ketiga pihak biasanya mendiskusikan dan secara kolaboratif menentukan
frekuensi dan bentuk pelaporan audit internal serta jadwal pelaporan yang paling
tepat untuk organisasi, serta pentingnya dan urgensi dari berbagai jenis
informasi audit. Mungkin juga berguna untuk menyetujui terlebih dahulu tentang protokol
yang akan dilaporkan CAE
risiko penting dan mendesak atau peristiwa pengendalian dan tindakan terkait yang harus
diambil oleh senior
manajemen dan dewan.
Selain itu, CAE mungkin merasa terbantu untuk menetapkan atau meninjau:
• Piagam audit internal, termasuk tujuan, wewenang,
tanggung jawab.
• Rencana audit internal dan indikator kinerja utama untuk mengukur audit internal
kemajuan kegiatan menuju pencapaian rencana.
• Program penjaminan mutu dan peningkatan, yang mengukur audit internal
kesesuaian aktivitas dengan Panduan Wajib dari Profesional Internasional
Kerangka Kerja Praktek (IPPF).
• Proses untuk mengidentifikasi risiko yang signifikan dan masalah pengendalian.
Meskipun Standar 2060 memungkinkan fleksibilitas dalam frekuensi dan konten pelaporan,
standar ini mencatat bahwa
faktor-faktor ini akan tergantung pada pentingnya informasi dan urgensinya
manajemen senior dan/atau dewan mungkin perlu bertindak atas komunikasi tersebut. Selain
itu,
beberapa standar memiliki persyaratan khusus mengenai frekuensi. Misalnya, item yang
harus
dikomunikasikan setidaknya setiap tahun termasuk organisasi kegiatan audit internal
independensi (Standar 1110) dan hasil pemantauan berkelanjutan atas audit internal
kinerja aktivitas (Standar 1320).
halaman 94
94
Untuk memelihara dan melacak komunikasi yang konsisten dan efektif dengan manajemen
senior dan
dewan, CAE dapat mempertimbangkan untuk menggunakan daftar periksa semua persyaratan
pelaporan yang dirujuk
seluruh Standar, yang akan topik berikut:
• Piagam audit internal.
• Independensi organisasi dari aktivitas audit internal.
• Rencana audit internal, kebutuhan sumber daya, dan kinerja.
• Hasil perikatan audit.
• Program penjaminan mutu dan peningkatan.
• Kesesuaian dengan Kode Etik dan Standar.
• Risiko signifikan dan masalah pengendalian, dan penerimaan risiko oleh manajemen.
Daftar periksa tersebut dapat mencakup jadwal komunikasi dan pengingat tentang apa pun
persyaratan persetujuan. Menetapkan item berdiri di agenda rapat dewan mengamankan dan
kesempatan bagi CAE untuk berkomunikasi secara teratur.
Piagam Audit Internal
Menurut Standar 1000 – Tujuan, Wewenang, dan Tanggung Jawab, audit internal
tujuan, wewenang, dan tanggung jawab kegiatan harus didefinisikan secara formal dalam
audit internal
piagam. CAE bertanggung jawab untuk meninjau piagam secara berkala dan
mempresentasikannya kepada
manajemen senior dan dewan untuk persetujuan. Misi Audit Internal dan
elemen wajib IPPF, yang diakui dalam piagam audit internal, harus
juga dibahas, menurut Standar 1010 – Mengenali Panduan Wajib di in
Piagam Audit Internal.
Independensi Organisasi Kegiatan Audit Internal
Independensi organisasi dari aktivitas audit internal harus dikonfirmasikan kepada dewan
setiap tahun, menurut Standar 1110 – Kemandirian Organisasi. Selain itu, apapun
gangguan dalam menentukan ruang lingkup audit internal, melakukan pekerjaan, atau
berkomunikasi
hasil - serta implikasi dari gangguan tersebut - harus diungkapkan kepada dewan,
menurut Standar 1110.A1. Hubungan pelaporan independen sangat penting untuk
memfasilitasi
kemampuan CAE untuk berkomunikasi langsung dengan dewan, seperti yang dipersyaratkan
dalam Standar 1111 –
Interaksi Langsung Dengan Dewan.
halaman 95
95
Rencana Audit Internal, Persyaratan Sumber Daya, dan Kinerja
Standar 2020 – Komunikasi dan Persetujuan dan Panduan Implementasi terkait
menentukan rincian mengkomunikasikan rencana dan sumber daya aktivitas audit internal
persyaratan. Standar 2060 menambahkan persyaratan untuk melaporkan aktivitas audit
internal
kinerja relatif terhadap rencananya. Ini adalah kesempatan bagi CAE untuk menggambarkan
nilainya
ditingkatkan dan dilindungi oleh kegiatan audit internal dan pelaksanaannya;
rekomendasi. Untuk mengukur tingkat kinerja, banyak CAE menggunakan kinerja utama
indikator seperti persentase rencana audit yang diselesaikan, persentase audit
rekomendasi yang telah diterima atau dilaksanakan, status manajemen
tindakan korektif, atau rata-rata waktu yang dibutuhkan untuk menerbitkan laporan. Selain
itu, pembaruan pada setiap spesial
permintaan yang dibuat oleh dewan dan/atau manajemen senior dapat didiskusikan selama
dewan
pertemuan.
Hasil Perikatan Audit
Seri 2400 standar mencakup persyaratan untuk mengkomunikasikan hasil audit
perikatan, termasuk informasi yang harus terkandung dalam komunikasi perikatan,
kualitas informasi itu, dan protokol jika terjadi kesalahan dan kelalaian atau
ketidaksesuaian dengan Kode Etik atau Standar yang memengaruhi perikatan tertentu.
Standar 2440 – Menyebarluaskan Hasil membahas tanggung jawab CAE terkait dengan
komunikasi keterlibatan akhir, dan Standar 2450 – Opini Keseluruhan menjelaskan kriteria
untuk mengeluarkan pendapat umum.
Program Peningkatan dan Penjaminan Mutu
Seri 1300 standar mencakup tanggung jawab CAE untuk mengembangkan dan memelihara a
program penjaminan mutu dan peningkatan yang mencakup penilaian internal dan eksternal.
Standar 1320 – Pelaporan Program Jaminan dan Peningkatan Kualitas mencantumkan:
persyaratan komunikasi CAE kepada manajemen senior dan dewan, termasuk:
pelaporan ini harus terjadi saat penilaian selesai. Namun, hasil yang berkelanjutan
pemantauan kinerja kegiatan audit internal, yang merupakan bagian dari penilaian internal
proses, harus dilaporkan setidaknya setiap tahun.
Berkenaan dengan penilaian eksternal terhadap kegiatan audit internal yang harus dilakukan
halaman 96
96
setidaknya sekali setiap lima tahun, Standar 1312 – Penilaian Eksternal mengharuskan CAE
untuk
mendiskusikan dengan dewan tentang kualifikasi dan independensi penilai eksternal atau
tim penilai, termasuk potensi konflik kepentingan. CAE harus mendorong
pengawasan dewan dalam penilaian eksternal untuk mengurangi konflik yang dirasakan atau
potensial dari
minat.
Kesesuaian Dengan Kode Etik dan Standar
Standar 1320 – Pelaporan Program Penjaminan Mutu dan Peningkatan dan
Pedoman Pelaksanaan juga menjelaskan rincian pelaporan kegiatan audit internal
kesesuaian dengan Kode Etik dan Standar. Standar 1322 – Pengungkapan
Ketidaksesuaian menyatakan, “Ketika ketidaksesuaian dengan Kode Etik atau Standar
Standard
berdampak pada keseluruhan ruang lingkup atau operasi kegiatan audit internal, kepala
eksekutif audit
harus mengungkapkan ketidaksesuaian dan dampaknya kepada manajemen senior dan
dewan.”
Standar 1322 juga menjelaskan pertimbangan untuk melaporkan ketidaksesuaian. Standar
2431 –
Perikatan Pengungkapan Ketidaksesuaian menetapkan informasi yang harus diungkapkan
ketika ketidaksesuaian berdampak pada perikatan tertentu. Selain itu, Standar 2060 meminta
CAE untuk mengomunikasikan rencana aksi untuk mengatasi masalah signifikan yang terkait
dengan kesesuaian.
Risiko Signifikan dan Masalah Pengendalian dan Penerimaan Manajemen
atas Risiko
Tujuan utama pelaporan CAE adalah untuk memberikan jaminan dan saran kepada
manajemen senior
dan dewan tentang tata kelola organisasi (Standar 2110), manajemen risiko
(Standar 2120), dan kontrol (Standar 2130). Pemahaman mendalam tentang proses ini
dapat diperoleh dengan menerapkan seri 2100 standar. Standar 2060 mengidentifikasi
Tanggung jawab CAE untuk melaporkan risiko signifikan dan masalah pengendalian yang
dapat berdampak buruk terhadap
organisasi dan kemampuannya untuk mencapai tujuannya. Masalah penting adalah masalah
yang akan are
memerlukan perhatian manajemen senior dan dewan, yang mungkin termasuk konflik
kepentingan, kelemahan pengendalian, kesalahan, penipuan, perbuatan melawan hukum,
ketidakefektifan, dan ketidakefisienan.
Jika CAE percaya bahwa manajemen senior telah menerima tingkat risiko yang organisasi
dianggap tidak dapat diterima, CAE pertama-tama harus mendiskusikan masalah ini dengan
senior
pengelolaan. Jika CAE dan manajemen senior tidak dapat menyelesaikan masalah, Standar
2600
mengarahkan CAE untuk mengomunikasikan masalah tersebut kepada dewan. Jika masalah
seperti itu terlalu mendesak untuk menunggu
sampai pertemuan dewan yang dijadwalkan (misalnya, penipuan besar), CAE akan
disarankan untuk membuat:
halaman 97
97
pengaturan untuk berkomunikasi lebih cepat.
diskusi CAE dengan manajemen senior dan dewan — mengenai isi dari
piagam, kinerja aktivitas audit internal relatif terhadap rencana audit, dan risiko signifikan
eksposur atau masalah pengendalian — dapat didokumentasikan dalam agenda dan risalah
rapat dengan
dewan dan manajemen senior. Diskusi di antara pihak-pihak ini mungkin juga
didokumentasikan dalam laporan dan presentasi dengan daftar distribusi terlampir. Beberapa
menit dari ad hoc
pertemuan dan dokumentasi laporan dan komunikasi lainnya yang dikirim secara elektronik
juga dapat:
menunjukkan kesesuaian dengan Standar 2060. Hasil survei dewan dan manajemen senior
dan evaluasi kinerja CAE mungkin berisi umpan balik yang menunjukkan kualitas dan
efektivitas komunikasi CAE yang terkait dengan standar ini. CAE mungkin juga
memelihara daftar periksa komunikasi yang mendokumentasikan frekuensi pelaporan dan
persetujuan
persyaratan.
halaman 98
98
Mulai
Ketika penyedia layanan eksternal dipekerjakan oleh organisasi untuk melayani sebagai audit
internalnya
aktivitas, penting bahwa penyedia layanan eksternal memahami seri 1300 dari
standar dan dapat membuat organisasi sadar akan tanggung jawabnya untuk menjaga kualitas
program jaminan dan peningkatan (QAIP) yang mencakup semua aspek audit internal
aktivitas. Penyedia layanan eksternal harus memastikan bahwa QAIP mencakup semua
aspek:
operasi dan manajemen audit internal, sesuai dengan elemen wajib dari:
Kerangka Kerja Praktik Profesional Internasional (IPPF) dan praktik terbaik audit internal
profesi.
QAIP menyimpulkan kualitas kegiatan audit internal dan layanannya dalam
organisasi dan dapat mengarah pada rekomendasi untuk perbaikan berkelanjutan. QAIP harus
termasuk pemantauan berkelanjutan, penilaian mandiri berkala, dan penilaian eksternal yang
dilakukan
oleh pihak independen yang memenuhi syarat untuk mendukung kesesuaian dengan Standar
Internasional untuk
Praktik Profesional Audit Internal (Standar) dan Kode Etik IIA.
Panduan implementasi untuk seri 1300 standar memberikan informasi lebih lanjut tentang
Standar 2070 – Penyedia Layanan Eksternal dan
Tanggung Jawab Organisasi untuk Audit Internal
Ketika penyedia layanan eksternal berfungsi sebagai aktivitas audit internal, penyedia harus
membuat organisasi sadar bahwa organisasi memiliki tanggung jawab untuk memelihara
kegiatan audit internal yang efektif.
Penafsiran:
Tanggung jawab ini ditunjukkan melalui jaminan kualitas dan peningkatan and
program yang menilai kesesuaian dengan Kode Etik dan Standar.
halaman 99
99
Persyaratan QAIP, termasuk penilaian internal dan eksternal, melaporkan hasil kepada dewan
dan manajemen senior, dan penggunaan "sesuai dengan Standar Internasional untuk"
Praktik Profesional Audit Internal.”
Ketika sebuah organisasi mengalihdayakan pekerjaan audit internal, itu tidak dilepaskan dari
tanggung jawab
untuk memelihara aktivitas audit internal yang efektif. Jadi, bahkan ketika aktivitas audit
internal adalah
outsourcing, organisasi mempertahankan tanggung jawab untuk memastikan bahwa aktivitas
audit internal
melaksanakan tanggung jawabnya secara efektif dan efisien serta sesuai dengan Standar dan
bahwa
auditor internal individu sesuai dengan Standar dan Kode Etik.
QAIP, seperti yang disyaratkan oleh Standar 1300 – Program Peningkatan dan Jaminan
Kualitas,
mencakup penilaian internal dan eksternal. Ketika sebuah organisasi mempekerjakan
eksternal
penyedia layanan untuk bertindak sebagai chief audit executive (CAE), yang harus dibuat
oleh penyedia layanan
organisasi menyadari bahwa organisasi bertanggung jawab untuk memelihara internal yang
efektif
aktivitas audit, yang mencakup memastikan bahwa QAIP mencakup internal dan eksternal
penilaian sesuai dengan Standar.
CAE — atau penyedia layanan eksternal yang dipekerjakan untuk menjalankan peran CAE
— harus memastikan
bahwa organisasi menyadari tanggung jawabnya terkait dengan QAIP. Biasanya, kontrak
(yaitu, surat perikatan) antara organisasi dan penyedia layanan eksternal menentukan
tanggung jawab penyedia layanan dan hasil yang terkait dengan QAIP. Layanan eksternal
penyedia yang disewa untuk melayani sebagai CAE dan beroperasi sebagai audit internal
organisasi yang dialihdayakan
aktivitas juga dapat bertemu dengan manajemen senior dan dewan untuk membahas
tanggung jawab dan sifat dan persyaratan QAIP. Persyaratan ini adalah
diartikulasikan dalam seri 1300 standar.
• Standar 1300 – Program Peningkatan dan Penjaminan Mutu menjelaskan bahwa
CAE harus mengembangkan dan memelihara QAIP yang mencakup semua aspek internal
kegiatan audit. Di mana penyedia layanan eksternal mengambil peran CAE,
penyedia layanan sebenarnya dapat mengembangkan dan memelihara QAIP jika ini adalah
bagian dari
kesepakatan kontrak. Namun, organisasi perekrutan masih mempertahankan ultimate
tanggung jawab atas kualitas kegiatan audit internal.
• Standar 1310 – Persyaratan Program Penjaminan Mutu dan Peningkatan
halaman 100
100
menetapkan bahwa QAIP harus mencakup penilaian internal dan eksternal.
• Standar 1311 – Penilaian Internal menyatakan bahwa internal wajib
penilaian harus mencakup pemantauan berkelanjutan dan penilaian mandiri berkala.
Di mana aktivitas audit internal dialihdayakan sepenuhnya ke layanan eksternal
penyedia, pemantauan berkelanjutan dan penilaian mandiri berkala dapat dilakukan oleh:
penyedia layanan eksternal, sesuai dengan kontrak.
• Standar 1312 – Penilaian Eksternal menjelaskan persyaratan untuk eksternal
penilaian, termasuk bentuk dan frekuensinya (setidaknya setiap lima tahun sekali) sebagai
serta persyaratan kualifikasi dan independensi untuk penilai eksternal atau
tim penilai. Penting untuk dicatat bahwa dalam kasus di mana seluruh audit internal
aktivitas dialihdayakan ke penyedia layanan eksternal, ruang lingkup eksternal
penilaian hanya didasarkan pada pekerjaan yang dilakukan untuk organisasi perekrutan.
Selain itu, organisasi harus memastikan bahwa penilai atau penilaian eksternal external
tim yang dipilih untuk melakukan penilaian eksternal memenuhi independensi
persyaratan.
• Standar 1320 – Pelaporan Program Penjaminan Mutu dan Peningkatan
menguraikan tanggung jawab CAE untuk mengkomunikasikan hasil QAIP kepadaIP
manajemen senior dan dewan. Penyedia layanan eksternal yang disewa untuk melayani
sebagai
CAE dan beroperasi sebagai aktivitas audit internal yang dialihdayakan organisasi biasanya
bertemu dengan dewan dan manajemen senior untuk membahas persyaratan pelaporan dan
harapan.
• Standar 1321 – Penggunaan “Sesuai dengan Standar Internasional untuk
Praktik Profesional Audit Internal” menunjukkan bahwa kegiatan audit internal dapat
hanya berkomunikasi — secara tertulis atau lisan — sesuai dengan Standar jika
hasil QAIP (termasuk penilaian internal dan eksternal) mendukung seperti:
pernyataan.
• Standar 1322 – Pengungkapan Ketidaksesuaian memerlukan CAE — atau pihak eksternal
penyedia layanan yang disewa untuk melayani sebagai CAE — untuk mengungkapkan
kepada manajemen senior dan
menaiki setiap kejadian di mana aktivitas audit internal tidak sesuai dengan:
Standar atau Kode Etik dan bagaimana ketidaksesuaian berdampak pada keseluruhan
lingkup atau operasi kegiatan audit internal.
halaman 101
101
Beberapa dokumen dapat menunjukkan kesesuaian dengan Standar 2070. Pertama, kontrak
(yaitu,
surat perikatan) antara organisasi dan penyedia layanan eksternal dapat menawarkan
bukti tanggung jawab organisasi terkait dengan pemeliharaan QAIP. Dua yang utama
produk dari tanggung jawab ini adalah QAIP yang terdokumentasi dan hasil internal dan
penilaian eksternal. Untuk penilaian internal, dokumentasi biasanya terdiri dari:
hasil dari upaya pemantauan yang sedang berlangsung, serta temuan, rencana tindakan
korektif, dan korektif
tindakan yang diambil sebagai hasil dari penilaian internal berkala untuk meningkatkan
kesesuaian dengan
elemen wajib dari IPPF. Selain itu, dokumentasi tindakan yang diambil untuk meningkatkan
efisiensi dan efektivitas audit internal dapat membantu menunjukkan kesesuaian dengan
standar. Untuk penilaian eksternal, dokumentasi dari penilai eksternal atau penilaian external
tim, atau validasi independen tertulis dari penilaian diri, dapat digunakan untuk menunjukkan
kesesuaian.
Agenda dan risalah rapat dengan manajemen senior dan dewan dapat menunjukkan bahwa
penyedia layanan eksternal mengomunikasikan tanggung jawab organisasi terkait dengan
mempertahankan aktivitas audit internal yang efektif. Catatan pertemuan juga bisa menjadi
bukti bahwa
CAE melaporkan hasil QAIP, seperti yang dipersyaratkan oleh Standar. Bukti komunikasi
semacam itu
bisa juga menyertakan memo ke file atau dokumen tertulis lainnya.
halaman 102
102
Mulai
Sesuai dengan Standar 2100 membutuhkan pemahaman menyeluruh tentang konsep concepts
tata kelola, manajemen risiko, dan kontrol, sebagaimana didefinisikan dalam Standar
Internasional untuk
Praktik Profesional Audit Internal, serta standar individu yang berlaku
khusus untuk konsep-konsep ini: Standar 2110 – Tata Kelola, Standar 2120 – Risiko
Manajemen, dan Standar 2130 – Kontrol. Penting juga bagi aktivitas audit internal untuk
memiliki pemahaman tentang tujuan organisasi.
Setelah pemahaman ini tercapai, chief audit executive (CAE) biasanya mewawancarai
manajemen senior dan dewan untuk memahami peran dan tanggung jawab masing-masing
pemangku kepentingan sehubungan dengan tata kelola, manajemen risiko, dan
pengendalian. Biasanya, papannya adalah
bertanggung jawab untuk memandu proses tata kelola, dan manajemen senior bertanggung
jawab untuk
memimpin proses manajemen dan pengendalian risiko.
Auditor internal perlu memahami bisnis untuk melakukan evaluasi yang berarti dan dapat
menggunakan tata kelola yang mapan, manajemen risiko, dan kerangka pengendalian sebagai
panduan dalam in
evaluasi. Selain itu, auditor internal dapat menggunakan pengetahuan, pengalaman, dan
praktik untuk secara proaktif menyoroti kelemahan yang diamati dan membuat rekomendasi
untuk
peningkatan.
Untuk membantu aktivitas audit internal dalam memahami strategi dan risiko bisnis,
Standar 2100 – Sifat Pekerjaan
Kegiatan audit internal harus mengevaluasi dan berkontribusi pada peningkatan
tata kelola organisasi, manajemen risiko, dan proses pengendalian menggunakan sistematik,
disiplin, dan pendekatan berbasis risiko. Kredibilitas dan nilai audit internal ditingkatkan
ketika auditor proaktif dan evaluasi mereka menawarkan wawasan baru dan
mempertimbangkan masa depan
dampak.
Halaman 103
103
CAE biasanya akan meninjau piagam dewan dan komite, agenda rapat dan notulen, dan
rencana strategis organisasi. CAE juga akan meninjau misi organisasi, kunci
tujuan, risiko kritis, dan kontrol utama yang digunakan untuk mengurangi risiko tersebut ke
tingkat yang dapat diterima.
Selama tinjauan ini, aktivitas audit internal dapat memperoleh wawasan tentang definisi,
kerangka kerja,
model, dan proses tata kelola, manajemen risiko, dan pengendalian yang digunakan oleh
organisasi. Mungkin juga membantu bagi auditor internal untuk memahami kunci
organisasional
peran yang terkait dengan tiga proses, yang mungkin termasuk ketua dewan, CEO, dan
chief officer lainnya (misalnya, keuangan, etika, risiko, kepatuhan, sumber daya manusia,
TI), serta
orang lain.
Untuk informasi lebih lanjut tentang tata kelola, manajemen risiko, dan pengendalian, silakan
lihat:
panduan implementasi untuk standar 2110, 2120, dan 2130.
Untuk mulai menerapkan standar ini, CAE biasanya berdiskusi dengan dewan dan senior
manajemen persyaratan standar, peran dan tanggung jawab, dan yang terbaik
strategi untuk aktivitas audit internal untuk mengevaluasi dan berkontribusi pada tata kelola,
risiko
manajemen, dan pengendalian secara efisien dan efektif.
CAE dapat mendokumentasikan dalam piagam audit internal harapan apa pun yang terkait
dengan peran,
tanggung jawab, dan akuntabilitas dewan, manajemen senior, dan audit internal
aktivitas. Hal ini dimaksudkan untuk menjaga independensi kegiatan audit internal dengan
menegaskan
bahwa manajemen senior dan dewan bertanggung jawab dan akuntabel untuk tata kelola,
risiko
manajemen, dan pengendalian, sedangkan aktivitas audit internal bertanggung jawab untuk
memberikan tujuan
kegiatan assurance dan konsultasi yang terkait dengan ketiga proses tersebut.
Untuk merancang strategi yang tepat untuk menilai tata kelola organisasi, risiko
manajemen, dan proses pengendalian, CAE biasanya mempertimbangkan tingkat kematangan
tiga proses serta budaya organisasi dan senioritas individu yang
mempertahankan tanggung jawab untuk proses. Kemudian, CAE menilai risiko yang terkait
dengan
ketiga proses tersebut. CAE dapat menggunakan kerangka kerja yang telah ditetapkan yang
diadopsi oleh senior
manajemen (misalnya, Komite Organisasi Sponsor Treadway
Kontrol internal Komisi dan kerangka kerja manajemen risiko perusahaan, Laporan Raja
tentang Tata Kelola Perusahaan, atau ISO 31000) untuk memandu penilaian. Selama
penilaian,
halaman 104
104
CAE mendokumentasikan dan mendiskusikan dengan manajemen senior setiap pengamatan
yang relevan dan
kesimpulan. CAE juga membuat rekomendasi untuk memperkuat proses dan dapat
meningkatkan pengamatan signifikan ke dewan.
Jika kerangka kerja yang ditetapkan belum diadopsi untuk memandu tata kelola organisasi,
risiko
manajemen, dan proses pengendalian, CAE dapat mempertimbangkan untuk
merekomendasikan
kerangka kerja untuk memandu manajemen senior dalam upaya mereka meningkatkan proses
ini.
Dokumentasi yang dapat menunjukkan kesesuaian dengan standar termasuk internal
piagam audit, yang mendokumentasikan peran dan tanggung jawab aktivitas audit internal
terkait dengan
tata kelola, manajemen risiko, dan pengendalian. Selain itu, kesesuaian dapat dibuktikan
dengan:
rencana audit internal atau risalah rapat yang unsur-unsur standarnya
dibahas di antara CAE, dewan, dan manajemen senior. Rencana keterlibatan mungkin
mendemonstrasikan pendekatan aktivitas audit internal yang disiplin, sistematis, dan berbasis
risiko, dan
laporan perikatan dapat menunjukkan hasil dari hasil yang relevan dan bernilai tambah.
Bukti tambahan dari kesesuaian dijelaskan dalam panduan implementasi untuk standar
2110, 2120, dan 2130.
halaman 105
105
Mulai
Untuk memenuhi standar ini, chief audit executive (CAE) dan auditor internal mulai dengan
mencapai a
pemahaman yang jelas tentang konsep tata kelola dan karakteristik tata kelola yang khas
proses. Mereka juga harus mempertimbangkan definisi formal tata kelola, seperti yang
muncul di
glosarium Standar Internasional untuk Praktik Profesional Audit Internal, dan
menjadi akrab dengan kerangka kerja dan model tata kelola yang diterima secara global
(misalnya, The
Komite Organisasi Sponsor kerangka kerja Komisi Treadway atau ISO
31000).
Kerangka kerja, model, dan persyaratan tata kelola bervariasi menurut jenis organisasi dan
yurisdiksi peraturan. Bagaimana sebuah organisasi merancang dan mempraktekkan prinsip-
prinsip efektif
pemerintahan juga tergantung pada faktor-faktor seperti ukuran, kompleksitas, siklus hidup,
kematangan,
struktur pemangku kepentingan, dan persyaratan hukum yang menjadi sasaran organisasi. Itu
Pendekatan CAE untuk menilai tata kelola dan membuat rekomendasi kepada manajemen
akan
Standar 2110 – Tata Kelola
Aktivitas audit internal harus menilai dan membuat rekomendasi yang tepat untuk:
meningkatkan proses tata kelola organisasi untuk:
• Membuat keputusan strategis dan operasional.
• Mengawasi manajemen dan pengendalian risiko.
• Mempromosikan etika dan nilai-nilai yang sesuai dalam organisasi.
• Memastikan pengelolaan dan akuntabilitas kinerja organisasi yang efektif.
• Mengkomunikasikan informasi risiko dan pengendalian ke area yang sesuai dari
organisasi.
• Mengkoordinasikan kegiatan, dan mengkomunikasikan informasi di antara, dewan,
auditor eksternal dan internal, penyedia jaminan lainnya, dan manajemen.
halaman 106
106
bervariasi berdasarkan kerangka kerja atau model yang digunakan organisasi.
Selanjutnya, CAE merenungkan apakah rencana audit internal saat ini mencakup:
proses tata kelola organisasi dan menangani risiko yang terkait. Tata kelola tidak
tidak ada sebagai satu set proses dan struktur independen. Sebaliknya, tata kelola, risiko
manajemen, dan pengendalian saling terkait. Misalnya, kegiatan tata kelola yang efektif
mempertimbangkan risiko saat menetapkan strategi. Sama halnya, manajemen risiko
bergantung pada tata kelola yang efektif
(misalnya, nada di atas; selera risiko, toleransi, dan budaya; dan pengawasan risiko
pengelolaan). Demikian juga, tata kelola yang efektif bergantung pada kontrol internal dan
komunikasi untuk
dewan tentang efektivitas kontrol tersebut.
CAE dapat meninjau piagam dewan dan komite, serta agenda dan risalah rapat,
untuk mendapatkan wawasan tentang peran yang dimainkan dewan dalam tata kelola
organisasi, terutama
mengenai pengambilan keputusan strategis dan operasional. CAE juga dapat berbicara
dengan orang lain di
peran tata kelola kunci (misalnya, ketua dewan, pejabat terpilih atau ditunjuk dalam a
entitas pemerintah, kepala petugas etika, petugas sumber daya manusia, eksternal independen
auditor, chief compliance officer, chief risk officer, dll.) untuk mendapatkan pemahaman
yang lebih jelas tentang
proses spesifik organisasi dan aktivitas jaminan sudah ada. Jika organisasi adalah
diatur, CAE mungkin ingin meninjau masalah tata kelola yang diidentifikasi oleh regulator.
Pemahaman tentang tata kelola adalah dasar untuk diskusi dengan dewan dan senior
manajemen tentang:
• Definisi tata kelola dan sifat proses tata kelola dalam
organisasi.
• Persyaratan Standar 2110.
• Peran kegiatan audit internal.
• Setiap perubahan pada pendekatan dan rencana aktivitas audit internal yang dapat
meningkatkan
kesesuaian dengan standar.
Diskusi ini akan membantu memastikan kesepakatan dan keselarasan harapan dengan dewan
dan manajemen senior tentang apa yang dimaksud dengan tata kelola, sehingga internal yang
sesuai
rencana dan pendekatan audit dapat dilaksanakan.
halaman 107
107
Proses tata kelola dipertimbangkan selama penilaian risiko aktivitas audit internal dan
pengembangan rencana audit. CAE biasanya mengidentifikasi tata kelola organisasi yang
berisiko lebih tinggi
proses, yang ditangani melalui proyek jaminan dan konsultasi yang dijelaskan dalam
rencana audit akhir. Selain itu, Standar 2110 secara khusus mengidentifikasi aktivitas audit
internal
tanggung jawab untuk menilai dan membuat rekomendasi yang tepat untuk meningkatkan
proses tata kelola organisasi untuk:
• Membuat keputusan strategis dan operasional – Untuk mengevaluasi organisasi
proses tata kelola untuk membuat keputusan strategis dan operasional, internal
aktivitas audit dapat meninjau laporan audit masa lalu serta risalah rapat dewan,
manual kebijakan dewan, atau dokumen tata kelola terkait, yang dapat membantu
memberikan
pemahaman tentang bagaimana keputusan tersebut dibahas dan akhirnya dibuat. Ulasan ini
biasanya mengungkapkan apakah proses pengambilan keputusan yang mapan dan konsisten
telah
telah dikembangkan. Selain itu, wawancara dengan kepala departemen dapat mengungkapkan
apa yang
proses menyebabkan keputusan strategis dan operasional.
• Mengawasi manajemen dan pengendalian risiko – Untuk menentukan bagaimana suatu
organisasi
memberikan pengawasan atas manajemen risiko dan aktivitas pengendaliannya, audit internal
aktivitas biasanya meninjau proses untuk melakukan penilaian risiko tahunan. Itu
aktivitas audit internal juga dapat meninjau risalah dari rapat di mana risiko
strategi manajemen dibahas, serta risiko yang dilakukan sebelumnya
penilaian, dan dapat mewawancarai personel manajemen risiko utama seperti:
kepatuhan, risiko, dan petugas keuangan. Informasi yang diperoleh dapat dibandingkan
dengan
benchmarking dan tren industri untuk memastikan semua risiko yang relevan telah
dipertimbangkan.
• Mempromosikan etika dan nilai-nilai yang sesuai dalam organisasi – Untuk menilai
bagaimana sebuah
organisasi mempromosikan etika dan nilai-nilai, baik secara internal maupun eksternal
mitra bisnis, aktivitas audit internal meninjau organisasi terkait
tujuan, program, dan kegiatan. Ini dapat mencakup misi dan nilai
pernyataan, kode etik, proses perekrutan dan pelatihan, anti-penipuan dan
kebijakan whistleblowing, dan hotline dan proses investigasi. Survei dan
wawancara dapat digunakan untuk mengukur apakah upaya organisasi menghasilkan
kesadaran akan standar dan nilai etikanya.
•
halaman 108
108
• Memastikan pengelolaan dan akuntabilitas kinerja organisasi yang efektif – Untuk
mengevaluasi bagaimana organisasi memastikan manajemen kinerja yang efektif dan
akuntabilitas, kegiatan audit internal dapat meninjau kebijakan organisasi dan
proses yang terkait dengan kompensasi staf, penetapan tujuan, dan kinerja
evaluasi. Aktivitas audit internal juga dapat meninjau pengukuran terkait
(misalnya, indikator kinerja utama) dan rencana insentif (misalnya, bonus) untuk menentukan
apakah mereka dirancang dan dijalankan dengan tepat untuk mencegah atau mendeteksi
perilaku yang tidak dapat diterima atau pengambilan risiko yang berlebihan dan untuk
mendukung tindakan yang selaras dengan
tujuan strategis organisasi.
• Mengkomunikasikan informasi risiko dan pengendalian ke area yang sesuai dari
organisasi – Untuk menilai seberapa baik organisasi mengomunikasikan risiko dan
pengendalian
informasi ke area yang sesuai, aktivitas audit internal dapat mengakses internal
laporan, buletin, memo dan email yang relevan, dan notulen rapat staf untuk
menentukan apakah informasi mengenai risiko dan pengendalian sudah lengkap, akurat,
dan didistribusikan tepat waktu. Survei dan wawancara dapat digunakan untuk mengukur
pemahaman tentang tanggung jawab mereka atas risiko dan proses pengendalian serta
dampaknya
organisasi jika tanggung jawab tersebut tidak terpenuhi. Biasanya, selama
penugasan assurance dan advisory, aktivitas audit internal juga mengevaluasi bagaimana
area yang ditinjau mengomunikasikan informasi risiko dan pengendalian.
• Mengkoordinasikan kegiatan, dan mengkomunikasikan informasi di antara, dewan,
auditor eksternal dan internal, penyedia jaminan lainnya, dan manajemen – Untuk
menilai kemampuan organisasi untuk mengoordinasikan kegiatan dan mengkomunikasikan
informasi
antara berbagai pihak, kegiatan audit internal dapat mengidentifikasi pertemuan yang
termasuk kelompok-kelompok ini (misalnya, dewan, komite audit, dan komite keuangan) dan
menentukan seberapa sering mereka terjadi. Anggota aktivitas audit internal dapat:
menghadiri pertemuan sebagai peserta atau pengamat, dan mereka dapat meninjau pertemuan
tersebut
menit, rencana kerja, dan laporan yang dibagikan di antara kelompok-kelompok untuk
mempelajari bagaimana ini
pihak mengkoordinasikan kegiatan dan berkomunikasi satu sama lain.
Auditor internal dapat bertindak dalam sejumlah kapasitas yang berbeda untuk menilai dan
merekomendasikan cara untuk
meningkatkan praktik tata kelola. Mereka dapat memberikan penilaian yang independen dan
obyektif dari
desain dan efektivitas proses tata kelola dalam organisasi. Selain — atau
alih-alih — memberikan jaminan, auditor internal dapat memilih untuk memberikan layanan
konsultasi.
Ini mungkin pendekatan yang lebih disukai, terutama ketika ada masalah yang diketahui atau
tata kelola
halaman 109
109
proses belum matang. Baik memberikan layanan konsultasi atau jaminan, CAE dapat:
memutuskan untuk menggunakan metode pemantauan berkelanjutan, seperti menugaskan
auditor internal untuk mengamati
pertemuan badan-badan terkait tata kelola dan memberi nasihat kepada mereka secara
berkelanjutan. Biasanya, satu
audit tata kelola tidak dicoba. Sebaliknya, penilaian aktivitas audit internal atas
proses tata kelola cenderung didasarkan pada informasi yang diperoleh dari berbagai audit
tugas dari waktu ke waktu.
Jika penilaian tata kelola secara keseluruhan sesuai, penilaian tersebut akan
mempertimbangkan:
• Hasil audit dari proses tata kelola khusus yang diidentifikasi di atas.
• Masalah tata kelola yang timbul dari audit yang tidak secara khusus difokuskan pada
pemerintahan, seperti:
o Perencanaan strategis.
o Proses manajemen risiko.
o Efisiensi dan efektivitas operasional.
o Pengendalian internal atas pelaporan keuangan.
o Risiko yang terkait dengan TI, penipuan, dan bidang lainnya.
o Kepatuhan terhadap hukum dan peraturan yang berlaku.
• Hasil penilaian manajemen (misalnya, inspeksi kepatuhan, kualitas
audit, kontrol penilaian diri).
• Pekerjaan penyedia jaminan eksternal (misalnya, penyelidik hukum, pemerintah
kantor auditor umum, dan kantor akuntan publik) dan regulator.
• Pekerjaan penyedia jaminan internal, atau fungsi pertahanan lini kedua (misalnya,
kesehatan dan keselamatan, kepatuhan, dan kualitas).
• Informasi lain tentang masalah tata kelola, seperti insiden merugikan yang mengindikasikan
kesempatan untuk memperbaiki proses tata kelola.
Selama fase perencanaan, evaluasi, dan pelaporan, auditor internal mempertimbangkan
potensi
sifat dan konsekuensi dari hasil dan memastikan komunikasi yang tepat dengan dewan
dan manajemen senior.
halaman 110
110
Kesesuaian dengan Standar 2110 dapat didokumentasikan melalui laporan audit internal yang
terpisah
pada proses tata kelola individu atau laporan keseluruhan tentang tata kelola yang mencakup:
penilaian berbasis jaminan dan rekomendasi dari layanan konsultasi.
Dokumentasi juga dapat mencakup risalah rapat dewan di mana CAE
membahas penilaian keseluruhan kegiatan audit internal atas praktik tata kelola. Naik
materi rapat dapat memberikan bukti bahwa dewan telah diberi tahu secara tepat tentang
paket kompensasi dan insentif dan memantau kinerja tingkat senior
eksekutif. Pernyataan pengakuan, ditandatangani oleh staf dan mitra bisnis,
menunjukkan upaya organisasi untuk meningkatkan kesadaran akan etika dan nilai-nilainya.
halaman 111
111
Mulai
mencapai a
pemahaman yang jelas tentang selera risiko, serta misi bisnis organisasi dan
tujuan. Hal ini juga penting untuk mencapai pemahaman yang lengkap tentang organisasi
strategi bisnis dan risiko yang diidentifikasi oleh manajemen.
Standar 2120 – Manajemen Risiko
Aktivitas audit internal harus mengevaluasi efektivitas dan berkontribusi pada
perbaikan proses manajemen risiko.
Penafsiran:
Menentukan apakah proses manajemen risiko efektif adalah hasil penilaian
dari penilaian auditor internal bahwa:
• Tujuan organisasi mendukung dan menyelaraskan dengan misi organisasi.
• Risiko signifikan diidentifikasi dan dinilai.
• Respons risiko yang sesuai dipilih yang menyelaraskan risiko dengan risiko organisasi
selera risiko.
• Informasi risiko yang relevan ditangkap dan dikomunikasikan secara tepat waktu
di seluruh organisasi, memungkinkan staf, manajemen, dan dewan untuk melaksanakan
tanggung jawab mereka.
Aktivitas audit internal dapat mengumpulkan informasi untuk mendukung penilaian ini
selama:
beberapa keterlibatan. Hasil dari perikatan ini, jika dilihat bersama-sama, memberikan
pemahaman tentang proses manajemen risiko organisasi dan
efektivitas.
Proses manajemen risiko dipantau melalui aktivitas manajemen yang berkelanjutan,
evaluasi terpisah, atau keduanya.
Revisi Standar , Efektif 1 Januari 2017
halaman 112
112
Risiko dapat bersifat finansial, operasional, hukum/peraturan, atau strategis. Internasional
Standar Praktik Profesional Audit Internal Glosarium definisi risiko
manajemen harus dipertimbangkan, bersama dengan kerangka kerja dan model manajemen
risiko
diterbitkan secara global. Selain itu, Panduan Implementasi 2100 – Sifat Pekerjaan dapat
membantu
untuk mencapai dasar yang diperlukan untuk menerapkan Standar 2120.
Karena standar ini menugaskan aktivitas audit internal dengan mengevaluasi efektivitas risiko
proses manajemen, auditor internal umumnya akan mencapai pemahaman tentang
lingkungan manajemen risiko organisasi saat ini dan tindakan korektif yang ada untuk
mengatasi risiko sebelumnya. Penting untuk mengetahui bagaimana organisasi
mengidentifikasi, menilai, dan
memberikan pengawasan terhadap risiko sebelum auditor internal mulai menerapkan Standar
2120.
Dalam penilaian risikonya, aktivitas audit internal akan mempertimbangkan ukuran
organisasi,
kompleksitas, siklus hidup, kedewasaan, struktur pemangku kepentingan, dan lingkungan
hukum dan persaingan.
Perubahan terbaru dalam lingkungan organisasi (misalnya, peraturan baru, manajemen baru
staf, struktur organisasi baru, proses baru, dan produk baru) mungkin telah memperkenalkan
produk baru
risiko. CAE juga dapat meninjau kematangan praktik manajemen risiko organisasi
dan menentukan sejauh mana aktivitas audit internal akan bergantung pada penilaian
manajemen
dari risiko.
Terakhir, aktivitas audit internal harus memiliki proses perencanaan,
audit, dan pelaporan masalah manajemen risiko. Auditor internal juga akan mengevaluasi
risiko
manajemen selama tinjauan penjaminan dan penasehatan yang terkait dengan area atau
proses tertentu.
Melalui penerapan Standar 2120, CAE dan seluruh aktivitas audit internal
pada akhirnya akan menunjukkan pemahaman mereka tentang manajemen risiko organisasi
proses dan mencari peluang untuk perbaikan. Melalui percakapan dengan senior
manajemen dan dewan, CAE akan mempertimbangkan selera risiko, toleransi risiko, dan
risiko
budaya organisasi. Aktivitas audit internal harus mengingatkan manajemen terhadap risiko
baru, seperti:
serta risiko yang belum dimitigasi secara memadai, serta memberikan rekomendasi dan
rencana tindakan untuk respons risiko yang sesuai (misalnya, menerima, mengejar,
mentransfer, mengurangi, atau menghindari).
Selain itu, aktivitas audit internal harus memperoleh informasi yang cukup untuk
mengevaluasi
efektivitas proses manajemen risiko organisasi.
halaman 113
113
Dengan meninjau rencana strategis, rencana bisnis, dan kebijakan organisasi, dan memiliki
diskusi dengan dewan dan manajemen senior, CAE dapat memperoleh wawasan untuk dinilai
apakah tujuan strategis organisasi mendukung dan selaras dengan misi, visi, dan
selera risiko. Wawancara dengan manajemen tingkat menengah dapat memberikan wawasan
tambahan tentang
penyelarasan misi, tujuan, dan selera risiko organisasi di tingkat unit bisnis.
Auditor internal harus secara menyeluruh mengeksplorasi bagaimana organisasi
mengidentifikasi dan menangani risiko
dan bagaimana menentukan risiko mana yang dapat diterima. Aktivitas audit internal
biasanya akan
mengevaluasi tanggung jawab dan proses terkait risiko dewan dan mereka yang berada dalam
risiko utama
peran manajemen. Untuk mencapai hal ini, auditor internal dapat meninjau risiko yang baru
saja diselesaikan
penilaian dan laporan terkait yang dikeluarkan oleh manajemen senior, auditor eksternal,
regulator,
dan sumber lainnya.
Selain itu, aktivitas audit internal biasanya melakukan penilaian risikonya sendiri. Diskusi
dengan manajemen dan dewan dan tinjauan kebijakan dan rapat organisasi
menit umumnya akan mengungkapkan selera risiko organisasi, memungkinkan CAE dan
internal
aktivitas audit untuk menyelaraskan tanggapan risiko yang direkomendasikan. Aktivitas audit
internal mungkin
pertimbangkan untuk menggunakan kerangka kerja manajemen atau pengendalian risiko
yang mapan (misalnya, Komite
Mensponsori organisasi kerangka kerja Komisi Treadway atau ISO 31000) untuk membantu
dalam identifikasi risiko. Untuk tetap mengetahui potensi eksposur dan peluang risiko,
kegiatan audit internal juga dapat meneliti perkembangan dan tren baru yang terkait dengan
industri organisasi, serta proses yang dapat digunakan untuk memantau, menilai, dan
merespons
terhadap risiko dan peluang tersebut.
Dengan mengambil langkah-langkah ini, auditor internal dapat secara independen melakukan
analisis kesenjangan untuk menentukan:
apakah risiko signifikan telah diidentifikasi dan dinilai secara memadai, dan audit internal
aktivitas akan diposisikan untuk mengevaluasi proses penilaian risiko manajemen. Saat
meninjau
proses manajemen risiko, penting bagi auditor internal untuk mengidentifikasi dan
mendiskusikan
risiko dan tanggapan yang sesuai yang telah dipilih. Misalnya, manajemen mungkin
memilih untuk menerima risiko, dan CAE perlu menentukan apakah keputusan tersebut
sesuai, sesuai dengan selera risiko atau strategi manajemen risiko organisasi. jika
CAE menyimpulkan bahwa manajemen telah menerima tingkat risiko yang mungkin tidak
dapat diterima oleh
organisasi, CAE harus mendiskusikan masalah tersebut dengan manajemen senior dan
mungkin perlu untuk
mengkomunikasikan masalah tersebut kepada dewan, sesuai dengan Standar 2600 –
Mengkomunikasikan
Penerimaan Risiko. Dalam kasus di mana manajemen memilih untuk menggunakan mitigasi
risiko
halaman 114
114
strategi dalam menanggapi risiko yang teridentifikasi, aktivitas audit internal dapat
mengevaluasi kecukupan
dan ketepatan waktu tindakan perbaikan yang diambil, jika perlu. Hal ini dapat dicapai
dengan meninjau
desain kontrol dan pengujian kontrol dan prosedur pemantauan.
Untuk menilai apakah informasi risiko yang relevan ditangkap dan dikomunikasikan tepat
waktu di seluruh
organisasi, auditor internal dapat mewawancarai staf di berbagai tingkatan dan menentukan
apakah
tujuan organisasi, risiko signifikan, dan selera risiko diartikulasikan secara memadai dan
dipahami di seluruh organisasi. Biasanya, aktivitas audit internal juga mengevaluasi
kecukupan dan ketepatan waktu pelaporan manajemen atas hasil manajemen risiko. bagian
dalam
aktivitas audit dapat meninjau risalah dewan untuk menentukan apakah risiko yang paling
signifikan adalah
dikomunikasikan tepat waktu kepada dewan dan apakah dewan bertindak untuk memastikan
bahwa manajemen
sedang merespons dengan tepat.
Terakhir, aktivitas audit internal harus mengambil langkah-langkah yang diperlukan untuk
memastikan bahwa aktivitas tersebut dikelola
risikonya sendiri, seperti kegagalan audit, jaminan palsu, dan risiko reputasi. Demikian juga,
semua
tindakan korektif harus dipantau.
Dokumen yang dapat menunjukkan kesesuaian dengan Standar 2120 termasuk audit internal
piagam, yang mendokumentasikan peran dan tanggung jawab aktivitas audit internal terkait
dengan risiko
manajemen, dan rencana audit internal. Selain itu, kesesuaian dapat dibuktikan dengan:
risalah rapat di mana unsur-unsur standar — seperti audit internal
rekomendasi manajemen risiko aktivitas — dibahas di antara CAE, dewan,
dan manajemen senior, atau pertemuan antara aktivitas audit internal dan yang relevan
komite, satuan tugas, dan manajemen senior kunci.
Penilaian risiko yang dilakukan oleh aktivitas audit internal dan rencana aksi untuk mengatasi
risiko
umumnya menunjukkan baik evaluasi dan peningkatan proses manajemen risiko,
masing-masing.
halaman 115
115
Mulai
mencapai a
pemahaman yang jelas tentang konsep kontrol dan karakteristik kontrol yang khas
proses. Mereka juga harus mempertimbangkan definisi formal dari kontrol, seperti yang
ditemukan dalam glosarium
Standar Internasional untuk Praktik Profesional Audit Internal, serta
Panduan Pelaksanaan 2100 – Sifat Pekerjaan. Melalui percakapan dengan senior
manajemen dan dewan, CAE akan mempertimbangkan selera risiko, toleransi risiko, dan
risiko
budaya organisasi. Penting bagi auditor internal untuk memahami risiko kritis
yang dapat menghambat kemampuan organisasi untuk mencapai tujuan tersebut, dan
pengendalian yang
telah diterapkan untuk mengurangi risiko ke tingkat yang dapat diterima.
Auditor internal mungkin merasa berguna untuk meninjau hasil evaluasi yang telah
diselesaikan sebelumnya atas:
kontrol utama, rencana tindakan terkait, dan dampak potensial dari setiap bisnis baru-baru ini
yang terkait
perubahan yang dapat menimbulkan risiko baru. Auditor internal mungkin ingin
berkonsultasi dengan organisasi
departemen hukum, chief compliance officer, atau pihak terkait lainnya mengenai hukum dan
peraturan yang harus dipatuhi oleh organisasi. Ini bermanfaat untuk audit internal internal
aktivitas untuk memahami bagaimana organisasi tetap menyadari perubahan peraturan
persyaratan dan memastikan kepatuhan dengan mereka.
Penting bagi auditor internal untuk memperoleh pemahaman menyeluruh tentang
pengendalian
kerangka kerja yang diadopsi baik secara formal maupun informal oleh organisasi dan
menjadi akrab
dengan kerangka kerja kontrol komprehensif yang diakui secara global seperti Pengendalian
Internal –
Kerangka Kerja Terpadu, yang dikeluarkan oleh Komite Organisasi Pendukung
Standar 2130 – Kontrol
Aktivitas audit internal harus membantu organisasi dalam memelihara pengendalian yang
efektif dengan:
mengevaluasi efektivitas dan efisiensi mereka dan dengan mempromosikan perbaikan terus-
menerus.
halaman 116
116
Komisi Treadway. Meskipun komponen, proses, dan penugasan tanggung jawab
untuk kontrol serupa di antara kerangka kerja yang berbeda, terminologi yang digunakan oleh
yang berbeda
kerangka kerja dapat bervariasi.
Auditor internal juga harus memahami tanggung jawab yang terkait dengan pemeliharaan
yang efektif
kontrol. Manajemen senior biasanya mengawasi pembentukan, administrasi, dan
penilaian sistem kendali. Manajemen umumnya bertanggung jawab atas penilaian
pengendalian di wilayahnya masing-masing. Aktivitas audit internal menyediakan berbagai
tingkat
jaminan tentang efektivitas proses pengendalian di tempat. Pembagian
tanggung jawab dapat dimasukkan dalam kebijakan pengendalian manajemen untuk
organisasi.
Terakhir, aktivitas audit internal harus memiliki proses perencanaan,
audit, dan pelaporan masalah pengendalian.
Melalui penerapan standar, CAE dan seluruh aktivitas audit internal
pada akhirnya harus menunjukkan pemahaman tentang proses pengendalian organisasi,
waspada
manajemen untuk masalah kontrol baru, dan memberikan rekomendasi dan rencana aksi
untuk
tindakan korektif dan pemantauan. Aktivitas audit internal harus memperoleh informasi yang
cukup
untuk mengevaluasi efektivitas proses pengendalian organisasi.
Kontrol dirancang untuk mengurangi risiko pada entitas, aktivitas, dan tingkat
transaksi. SEBUAH
evaluasi kompeten atas efektivitas pengendalian memerlukan penilaian pengendalian dalam
konteks risiko terhadap tujuan pada masing-masing tingkat tersebut. Matriks risiko dan
kontrol dapat membantu
auditor internal memfasilitasi penilaian tersebut. Matriks semacam itu dapat membantu
aktivitas audit internal
di dalam:
• Mengidentifikasi tujuan dan risiko untuk mencapainya.
• Menentukan signifikansi risiko, dengan mempertimbangkan dampak dan
kemungkinan.
• Memastikan respons yang tepat terhadap risiko yang signifikan (misalnya menerima,
mengejar,
mentransfer, mengurangi, atau menghindari).
• Memastikan kontrol utama yang digunakan manajemen untuk mengelola risiko.
halaman 117
117
• Mengevaluasi kecukupan desain pengendalian untuk membantu menentukan apakah itu
mungkin
tepat untuk menguji pengendalian untuk efektivitas.
• Menguji pengendalian yang dianggap dirancang secara memadai untuk menentukan apakah
mereka beroperasi sebagaimana dimaksud.
Dalam menggunakan matriks risiko dan pengendalian, aktivitas audit internal mungkin
berguna untuk diwawancarai
pengelolaan; meninjau rencana, kebijakan, dan proses organisasi; menggunakan walk-
through,
survei, kuesioner pengendalian internal, dan diagram alur untuk memperoleh informasi
tentang pengendalian
kecukupan desain; dan memanfaatkan inspeksi, konfirmasi, audit berkelanjutan, dan data
analisis untuk menguji efektivitas pengendalian.
Untuk mengevaluasi efisiensi pengendalian, aktivitas audit internal biasanya menentukan
apakah:
manajemen mengukur dan memantau biaya dan manfaat dari pengendalian. Ini termasuk
mengidentifikasi apakah sumber daya yang digunakan dalam proses pengendalian melebihi
manfaat dan
apakah proses kontrol menciptakan masalah bisnis yang signifikan (misalnya, kesalahan,
penundaan, atau
duplikasi upaya).
Mungkin juga berguna bagi auditor internal untuk menilai apakah tingkat pengendalian sudah
tepat
untuk risiko yang ditanganinya. Salah satu alat yang digunakan oleh banyak auditor internal
untuk mendokumentasikan secara visual
hubungan adalah peta risiko dan pengendalian, yang memplot signifikansi risiko terhadap
pengendalian
efektivitas.
Untuk mempromosikan perbaikan terus-menerus dalam mempertahankan kontrol yang
efektif, aktivitas audit internal
biasanya memberi dewan dan manajemen senior penilaian atau kompilasi secara keseluruhan
hasil evaluasi pengendalian yang terakumulasi dari perikatan audit individual. CAE
dapat merekomendasikan penerapan kerangka kerja kontrol jika belum ada.
Selain itu, auditor internal dapat membuat rekomendasi yang meningkatkan kontrol
lingkungan (misalnya, nada di atas yang mempromosikan budaya perilaku etis dan
toleransi untuk ketidakpatuhan).
Langkah-langkah tambahan yang mungkin diambil oleh aktivitas audit internal untuk
mendorong perbaikan berkelanjutan dalam
efektivitas pengendalian meliputi:
• Memberikan pelatihan tentang kontrol dan proses pemantauan diri yang berkelanjutan.
• Memfasilitasi sesi penilaian pengendalian (atau risiko dan pengendalian) untuk manajemen.
halaman 118
118
• Membantu manajemen membangun struktur logis untuk mendokumentasikan, menganalisis,
dan
menilai desain organisasi dan operasi pengendalian.
• Membantu dalam pengembangan proses untuk mengidentifikasi, mengevaluasi, dan
memulihkan
mengendalikan kekurangan.
• Membantu manajemen mengikuti perkembangan isu, undang-undang, dan peraturan yang
muncul terkait
untuk mengontrol persyaratan.
• Memantau kemajuan teknologi yang dapat membantu efisiensi kontrol dan
efektivitas.
Dokumen yang dapat menunjukkan kesesuaian dengan Standar 2130 termasuk audit internal
penilaian aktivitas dan pengujian pengendalian. Dokumentasi tersebut biasanya ada di auditor
'
kertas kerja dan mungkin termasuk:
• Risalah pertemuan dengan pemangku kepentingan yang relevan dimana kontrol dibahas.
• Matriks dan peta risiko dan pengendalian.
• Narasi walk-through.
• Hasil survei dan wawancara dengan manajemen.
• Hasil pengujian pengendalian.
Kesesuaian juga dapat ditunjukkan melalui rencana, laporan tentang keterlibatan individu,
tindak lanjut atas masalah yang diangkat dalam laporan audit, dan/atau evaluasi pengendalian
secara keseluruhan. Jika
manajemen memelihara seperangkat prosedur operasi dan pengendalian yang tepat untuk
berkomunikasi
kontrol yang diharapkan kepada staf, ini juga dapat menunjukkan kesesuaian. Perbaikan
terus-menerus
dapat dibuktikan dengan pemutakhiran yang konstan dari prosedur operasi dan pengendalian
standar untuk:
mencerminkan lingkungan yang berubah.
halaman 119
119
Mulai
Perencanaan keterlibatan sangat penting untuk audit internal yang efektif. Ini adalah pusat
tidak hanya untuk Standar
2200, tetapi untuk standar lain dalam seri ini juga.
Saat merencanakan perikatan audit, auditor internal biasanya mulai dengan pemahaman
tentang:
rencana audit internal tahunan organisasi, kesadaran akan perencanaan dan diskusi
yang mengarah pada pengembangannya (lihat Panduan Pelaksanaan 2010 – Perencanaan),
dan an
pemahaman tentang setiap perubahan signifikan yang mempengaruhi organisasi sejak audit
keterlibatan termasuk dalam rencana audit internal tahunan. Auditor internal juga perlu
memahami bagaimana strategi, tujuan, dan risiko organisasi memengaruhi audit internal
keterikatan.
Penting bagi auditor internal untuk memahami proses perencanaan keterlibatan yang
digunakan oleh by
aktivitas audit internal organisasi, yang sering dijelaskan dalam kebijakan audit internal dan
prosedur manual. Auditor internal juga harus mencapai pemahaman tentang perikatan
ruang lingkup dan harapan pemangku kepentingan dan menjadi akrab dengan audit
sebelumnya (internal atau
eksternal) atau tinjauan kepatuhan yang dilakukan di area yang ditinjau. Selain itu, internal
auditor biasanya membiasakan diri dengan strategi, tujuan, dan risiko yang terkait dengan
departemen, area, atau proses yang akan ditinjau dalam penugasan mendatang. Mungkin
bermanfaat
bagi auditor internal untuk menanyakan apakah manajemen telah melakukan penilaian risiko
dalam
area yang sedang ditinjau dan, jika demikian, untuk memahami pendapat manajemen tentang
penilaian risiko sebagai:
serta setiap risiko dan kontrol terkait di bidang perikatan audit yang akan datang.
Standar 2200 – Perencanaan Keterlibatan
Auditor internal harus mengembangkan dan mendokumentasikan rencana untuk setiap
penugasan, termasuk:
tujuan keterlibatan, ruang lingkup, waktu, dan alokasi sumber daya. Rencana harus
mempertimbangkan strategi, tujuan, dan risiko organisasi yang relevan dengan penugasan.
halaman 120
120
Auditor internal harus mempertimbangkan sumber daya yang dibutuhkan untuk perikatan
(lihat
Panduan Implementasi 2030 – Manajemen Sumber Daya), dan tentukan bagaimana sumber
daya dapat
dimanfaatkan paling efektif.
Panduan implementasi untuk Standar 2201 – Pertimbangan Perencanaan; Standar 2210 –
Tujuan Keterlibatan; Standar 2220 – Lingkup Keterlibatan; Standar 2230 – Keterlibatan
Alokasi sumber daya; dan Standar 2240 – Program Kerja Keterlibatan menyediakan lebih
lanjut
panduan tentang proses perencanaan keterlibatan.
Dalam menerapkan Standar 2200, penting bagi auditor internal untuk menetapkan perikatan
tujuan sebagai bagian penting dari perencanaan keterlibatan. Untuk itu, auditor internal harus
meninjau setiap penilaian risiko terbaru yang dilakukan oleh manajemen, serta audit internal
penilaian risiko selesai selama perencanaan tahunan, karena tujuan keterlibatan akan
dikaitkan dengan risiko di area yang ditinjau. Pertimbangan lain termasuk keterlibatan
sebelumnya
penilaian risiko dan laporan audit untuk area yang ditinjau. Setelah berbasis risiko
tujuan telah ditetapkan, ruang lingkup perikatan audit dapat ditentukan,
menetapkan batas-batas di mana auditor internal akan bekerja.
Untuk menetapkan tujuan penugasan, auditor internal umumnya mengidentifikasi data yang
diperlukan
dalam ruang lingkup perikatan dan mengomunikasikan ruang lingkup tersebut kepada
manajemen area di bawah
tinjauan, memberikan manajemen waktu yang cukup untuk persiapan. Auditor internal juga
berkomunikasi dengan manajemen atau personel kunci lainnya di area yang ditinjau untuk
memastikan
ketersediaan personel kunci di awal proses.
Sepanjang proses perencanaan keterlibatan, auditor internal biasanya menyimpan
dokumentasi
dari diskusi dan kesimpulan yang dicapai selama pertemuan dan memasukkan dokumen-
dokumen tersebut dalam
kertas kerja pertunangan. Selama tahap perencanaan penugasan, auditor internal akan:
menentukan tingkat formalitas dan dokumentasi yang diperlukan. Audit internal organisasi
manual kebijakan dapat menentukan langkah-langkah untuk proses formal dan menyertakan
template terkait.
Selama perencanaan perikatan, auditor internal mungkin mulai mengembangkan pekerjaan
perikatan
program, mempertimbangkan anggaran, logistik, dan komunikasi keterlibatan akhir final
format. Kepala eksekutif audit biasanya menentukan bagaimana, kapan, dan kepada siapa
hasil keterlibatan akan dikomunikasikan (lihat Standar 2440 – Menyebarluaskan Hasil),
sebagai
Halaman 121
121
serta tingkat kebutuhan pengawasan langsung dari staf audit, khusus untuk rencana perikatan
(lihat Standar 2340 – Pengawasan Keterlibatan). Langkah perencanaan terakhir sebelum
internal
auditor memulai kerja lapangan biasanya melibatkan pencapaian persetujuan manajemen
audit atas
program kerja pertunangan. Namun, rencana keterlibatan dan program kerja keterlibatan
dapat disesuaikan — tunduk pada persetujuan oleh manajemen audit — selama kerja
lapangan saat baru
informasi diperoleh.
Dokumen yang dapat menunjukkan kesesuaian dengan Standar 2200 termasuk dokumen
rencana perikatan yang mencakup pertimbangan perencanaan, ruang lingkup perikatan,
tujuan,
alokasi sumber daya, dan program kerja perikatan yang disetujui. Sebuah kebijakan audit
internal
dan manual prosedur dapat mencakup templat dokumentasi yang disetujui terkait dengan
perencanaan
pertunangan. Dokumentasi dapat mencakup catatan dari rapat perencanaan yang mendahului
keterlibatan, seperti menit, peserta, kerangka waktu keterlibatan, sumber daya yang tersedia,
dan
item kunci lainnya. Catatan semacam itu biasanya didokumentasikan dalam kertas kerja
perikatan.
Selain itu, komunikasi kepada klien perikatan mengenai perikatan yang akan datang,
seperti komunikasi yang membahas tujuan dan ruang lingkup perikatan, dapat menunjukkan
kesesuaian. Dokumentasi apa pun dari pertemuan pembukaan atau kickoff setelah
pengembangan
program kerja perikatan juga dapat berfungsi untuk menunjukkan kesesuaian dengan Standar
2200.
Bukti tambahan dari kesesuaian dijelaskan dalam panduan implementasi untuk Standar
2201 – Pertimbangan Perencanaan, Standar 2210 – Tujuan Perikatan, Standar 2220 –
Lingkup Keterlibatan, Standar 2230 – Alokasi Sumber Daya Keterlibatan, dan Standar 2240
–
Program Kerja Keterlibatan.
Halaman 122
122
Mulai
Auditor internal harus merencanakan penugasan dengan hati-hati untuk mencapai tujuan
secara efektif
dan tujuan yang ditetapkan dalam rencana audit internal tahunan dan untuk mematuhi
organisasi
menetapkan kebijakan dan prosedur untuk kegiatan audit internal. Perencanaan pertunangan
biasanya dimulai dengan tinjauan dokumentasi yang mendukung rencana audit internal
tahunan.
Auditor internal dapat merencanakan perikatan secara efektif jika mereka memulai dengan
pemahaman tentang understanding
misi, visi, tujuan, risiko, selera risiko, lingkungan pengendalian, struktur tata kelola,
dan proses manajemen risiko area atau proses yang ditinjau. Survei pendahuluan bisa
menjadi alat yang berharga untuk membantu auditor internal mencapai pemahaman yang
memadai tentang area atau
proses yang akan diaudit.
Mengembangkan matriks risiko dan kontrol — atau meninjau yang sudah ada — adalah
praktik umum common
digunakan oleh auditor internal untuk mengidentifikasi risiko yang dapat berdampak pada
tujuan, sumber daya, dan/atau
operasi area atau proses yang ditinjau. Matriks risiko dan pengendalian dapat memberikan
umpan balik tentang risiko utama yang telah diidentifikasi, serta kontrol mitigasi apa
pun. Bisa
Standar 2201 – Pertimbangan Perencanaan
Dalam merencanakan perikatan, auditor internal harus mempertimbangkan:
• Strategi dan tujuan kegiatan yang sedang ditinjau dan cara-caranya:
dimana aktivitas tersebut mengontrol kinerjanya.
• Risiko signifikan terhadap tujuan, sumber daya, dan operasi aktivitas dan
sarana di mana potensi dampak risiko disimpan ke tingkat yang dapat diterima.
• Kecukupan dan efektivitas tata kelola aktivitas, manajemen risiko,
dan proses kontrol dibandingkan dengan kerangka kerja atau model yang relevan.
• Peluang untuk melakukan perbaikan yang signifikan pada aktivitas
tata kelola, manajemen risiko, dan proses pengendalian.
halaman 123
123
juga digunakan untuk mengidentifikasi tujuan utama dari subproses dalam area atau proses
yang akan
diaudit.
Selama perencanaan perikatan, auditor internal biasanya mengumpulkan informasi mengenai
audit
kebijakan dan prosedur klien dan berusaha memahami sistem TI apa pun yang digunakan
oleh area tersebut
sedang ditinjau, bersama dengan sumber, jenis, dan keandalan informasi yang digunakan
dalam proses dan
yang akan dinilai sebagai barang bukti. Auditor internal juga memperoleh dan meninjau hasil
dari:
pekerjaan yang dilakukan oleh penyedia assurance internal atau eksternal lainnya dan/atau
hasil audit sebelumnya audit
dari area atau proses yang ditinjau, jika berlaku.
Penting bagi auditor internal untuk menentukan apakah proses atau kondisi baru dapat
telah memperkenalkan risiko baru. Selain itu, akan sangat membantu bagi auditor internal
untuk menentukan
sumber daya awal dan informasi yang dibutuhkan, termasuk keterampilan audit internal yang
diperlukan untuk
melakukan audit secara efektif.
Untuk menerapkan Standar 2201, penting bagi auditor internal untuk mengidentifikasi,
memahami, dan
mendokumentasikan misi, tujuan strategis, sasaran, indikator kinerja utama, risiko, dan
pengendalian area atau proses yang akan diaudit. Biasanya, auditor internal mengevaluasi
apakah
risiko dikelola ke tingkat yang dapat ditoleransi melalui tata kelola, manajemen risiko, dan
pengendalian
proses.
Auditor internal dapat mengadakan diskusi dengan manajemen area yang ditinjau untuk:
memahami strategi dan tujuan. Diskusi ini dapat dilengkapi dengan may
review makalah strategi, rencana bisnis, anggaran, dan risalah rapat. Risiko signifikan
dapat diidentifikasi dalam dokumentasi pendukung. Auditor internal dapat menggunakan
pemahaman tentang bisnis dan pengetahuan tentang lingkungan untuk secara independen
mengevaluasi
faktor risiko yang dipertimbangkan oleh manajemen bisnis.
Memahami strategi, tujuan, dan risiko area atau proses yang akan diaudit dapat
membantu auditor internal untuk mengevaluasi kecukupan dan efektivitas tata kelola, risiko
manajemen, dan proses pengendalian. Auditor internal dapat meninjau struktur organisasi,
peran dan tanggung jawab manajemen, laporan manajemen, dan prosedur operasi untuk
memperoleh pemahaman tentang tata kelola, manajemen risiko, dan proses pengendalian. Itu
juga
penting bagi auditor internal untuk meninjau catatan rapat selama fase perencanaan
halaman 124
124
penugasan untuk menentukan apakah ada pengujian tambahan yang harus ditambahkan ke
program kerja.
Manajemen dapat mempertahankan aliran proses dan mengontrol dokumen untuk memenuhi
peraturan
persyaratan, seperti Sarbanes-Oxley (AS), Turnbull (Inggris), atau aturan daftar
lainnya. Intern
auditor dapat meninjau dokumentasi tersebut untuk mengidentifikasi pengendalian
utama. Setelah itu, auditor internal
dapat mempertimbangkan untuk menggunakan kerangka kerja atau model yang relevan,
seperti The Committee of Sponsoring
Organisasi kerangka kerja Komisi Treadway atau ISO 31000, untuk membantu evaluasi.
Selama perencanaan perikatan, penting bagi auditor internal untuk mempertimbangkan
bagaimana
kegiatan audit dapat menambah nilai. Dalam hal ini, auditor internal menggunakan
pertimbangan profesional mereka,
pengetahuan, dan pengalaman untuk mengidentifikasi peluang untuk membuat perbaikan
yang signifikan terhadap
tata kelola organisasi, manajemen risiko, dan proses pengendalian.
Saat merencanakan perikatan, auditor internal menetapkan tujuan perikatan dan
lingkup sesuai dengan Standar 2210 – Tujuan Pengikatan dan Standar 2220 –
Lingkup Keterlibatan. Melakukannya memungkinkan auditor internal untuk
mempertimbangkan apa yang harus diuji dalam
proses atau area yang ditinjau. Ini juga memungkinkan mereka untuk memprioritaskan area
di dalam
lingkup keterlibatan berdasarkan signifikansi risiko yang diidentifikasi. Prioritas umumnya
ditentukan oleh kemungkinan terjadinya risiko dan dampak risiko tersebut terhadap
organisasi jika itu terjadi. Risiko dengan kemungkinan kejadian yang lebih tinggi dan
dampak terbesar
umumnya diberikan prioritas tertinggi untuk pengujian.
Selain itu, auditor internal biasanya berbicara dengan individu yang bekerja di area atau
proses
sedang ditinjau. Ini dapat meningkatkan pemahaman dan mengarah pada keterlibatan yang
lebih efektif effective
perencanaan.
Panduan Implementasi 2210 – Tujuan Keterlibatan dan Panduan Implementasi 2220 –
Lingkup Keterlibatan memberikan panduan tambahan.
Dokumen yang dapat menunjukkan kesesuaian dengan standar termasuk dokumen yang
terdokumentasi dengan baik
memo perencanaan yang menunjukkan, antara lain, bahwa auditor internal telah
mempertimbangkan
item yang tercantum dalam Standar 2201. Dokumentasi lain, seperti catatan dari walk-
through,
diagram alur proses, kertas kerja, dan matriks risiko dan kontrol, juga dapat menunjukkan
kesesuaian.
halaman 125
125
Selain itu, auditor internal umumnya memiliki dokumentasi dari setiap celah yang mungkin
mereka temukan
antara kebijakan dan prosedur area yang ditinjau, dan ini dapat berfungsi untuk menunjukkan
kesesuaian. Peluang untuk membuat perbaikan yang signifikan pada organisasi
tata kelola, manajemen risiko, dan proses pengendalian dapat didokumentasikan dalam rapat
menit, presentasi, atau komunikasi terakhir kepada manajemen.
halaman 126
126
Mulai
Standar 2210 dengan jelas menyatakan bahwa auditor internal harus menetapkan tujuan
sebagai bagian dari:
perencanaan untuk setiap pertunangan. Tujuan biasanya dikembangkan berdasarkan risiko
utama yang
telah diidentifikasi terkait dengan area atau proses yang ditinjau.
Umumnya, auditor internal memulai proses penetapan tujuan perikatan dengan:
meninjau pertimbangan perencanaan (lihat Panduan Pelaksanaan 2201 – Perencanaan
Pertimbangan) dan rencana audit internal tahunan untuk mencapai pemahaman yang lengkap
tentang alasannya
keterlibatan sedang dilakukan dan apa yang ingin dicapai organisasi. Intern
auditor mungkin merasa terbantu untuk memulai dengan pemahaman tentang misi, visi,
dan tujuan jangka pendek dan jangka panjang, serta kebijakan dan prosedur utama dan
bagaimana mereka
berhubungan dengan area atau proses yang ditinjau. Selain itu, penting bagi auditor internal
untuk:
mencapai pemahaman menyeluruh tentang strategi, misi, dan tujuan area atau
proses yang ditinjau, serta input dan outputnya.
Sebelum menetapkan tujuan perikatan, akan sangat membantu bagi auditor internal untuk
menentukan:
apakah penilaian risiko dilakukan selama fase perencanaan perikatan dan untuk
mencapai pemahaman menyeluruh tentang risiko organisasi dan area atau proses
sedang ditinjau. Selain itu, penting untuk memahami harapan pemangku kepentingan
termasuk
manajemen senior dan dewan.
Auditor internal dapat merumuskan tujuan awal perikatan melalui tinjauan atas:
rencana audit internal tahunan dan hasil keterlibatan sebelumnya, diskusi dengan pemangku
kepentingan, dan
pertimbangan misi, visi, dan tujuan area atau proses yang ditinjau. Itu
Standar 2210 – Tujuan Keterlibatan
Tujuan harus ditetapkan untuk setiap perikatan.
halaman 127
127
tujuan awal lebih ditingkatkan melalui latihan penilaian risiko untuk mencakup:
tata kelola, manajemen risiko, dan kontrol area atau proses yang ditinjau. Itu
tujuan keterlibatan mengartikulasikan apa keterlibatan secara khusus berusaha untuk
mencapai
dan menentukan ruang lingkup keterlibatan (lihat Panduan Penerapan 2220 – Keterlibatan
Cakupan).
Tujuan keterlibatan membantu auditor internal menentukan prosedur mana yang harus
dilakukan. Mereka
juga membantu auditor internal memprioritaskan pengujian risiko dan pengendalian proses
dan sistem selama
pertunangan. Pengujian risiko dan pengendalian umumnya memberikan jaminan mengenai
desain
kecukupan, efektivitas operasi, kepatuhan, efisiensi, akurasi, dan pelaporan.
Penting bagi auditor internal untuk menetapkan tujuan yang memiliki tujuan yang jelas, yaitu
singkat, dan link ke penilaian risiko. Seringkali, auditor internal memanfaatkan praktik
terbaik dan
kerangka kerja, seperti The Committee of Sponsoring Organizations of the Treadway
Kerangka kerja komisi atau ISO 31000, saat menetapkan tujuan untuk mengatasi risiko dan
kontrol.
Selama perencanaan perikatan, akan sangat membantu bagi auditor internal untuk
mengembangkan memo perencanaan,
di mana mereka dapat mendokumentasikan tujuan, ruang lingkup, penilaian risiko, dan area
yang diprioritaskan untuk
pengujian. Memo perencanaan juga merupakan dokumen penting untuk mengkomunikasikan
keterlibatan
tujuan, ruang lingkup, dan informasi latar belakang penting lainnya kepada anggota tim audit.
Panduan Penerapan 2300 – Melakukan Pengikatan memberikan panduan tambahan tentang
bagaimana mencapai tujuan keterlibatan.
Dokumen yang dapat menunjukkan kesesuaian dengan Standar 2210 termasuk perencanaan
memo yang berisi tujuan perikatan, serta program kerja audit yang disetujui,
yang juga mencantumkan tujuan. Tujuan keterlibatan harus diartikulasikan di final in
komunikasi keterlibatan juga.
Dokumentasi tambahan yang dapat menggambarkan kesesuaian termasuk catatan pendukung
untuk:
keterlibatan, seperti notulen rapat atau catatan diskusi dari interaksi dengan pemangku
kepentingan.
Dokumen-dokumen ini dapat menunjukkan bagaimana tujuan perikatan diturunkan. Selain
itu,
kebijakan dan prosedur audit internal yang menjelaskan langkah-langkah mana yang harus
diambil oleh auditor internal
selama perikatan dapat membantu menunjukkan kesesuaian dengan Standar 2210.
halaman 128
128
Mulai
Dalam menerapkan Standar 2220, auditor internal ditugaskan untuk menetapkan suatu
perikatan
lingkup yang cukup untuk mencapai tujuan perikatan. Karena pertunangan
umumnya tidak dapat mencakup semuanya, auditor internal harus menentukan apa yang akan
dan tidak akan
termasuk. Ketika auditor internal menetapkan ruang lingkup perikatan, mereka umumnya
mempertimbangkan:
faktor-faktor seperti batas-batas area atau proses, lokasi di dalam ruang lingkup versus di luar
ruang lingkup,
subproses, komponen area atau proses, dan kerangka waktu.
Auditor internal biasanya meninjau pertimbangan perencanaan (lihat Panduan Implementasi
2201
– Pertimbangan Perencanaan) dan tujuan keterlibatan (lihat Panduan Implementasi 2210 –
Engagement Objectives) untuk mencapai pemahaman tentang risiko utama yang
diidentifikasi selama
fase perencanaan. Hal ini memungkinkan mereka untuk mencapai pemahaman menyeluruh
tentang cara terbaik untuk menghubungkan link
lingkup keterlibatan dengan tujuan. Penting bagi auditor internal untuk mempertimbangkan
dengan cermat
batas-batas pertunangan, karena ruang lingkup harus mencakup cukup luas untuk mencapai
achieve
tujuan keterlibatan.
Selama perencanaan, auditor internal biasanya menyusun pernyataan ruang lingkup yang
secara khusus menyatakan apa yang
akan dan tidak akan dimasukkan dalam keterlibatan (misalnya, batas-batas area atau proses,
lokasi di dalam ruang lingkup versus di luar ruang lingkup, subproses, komponen area atau
proses,
dan kerangka waktu). Kerangka waktu dapat didasarkan pada titik waktu, kuartal fiskal,
kalender
tahun, atau jangka waktu lain yang telah ditentukan sebelumnya.
Untuk memastikan ruang lingkup cukup untuk memenuhi tujuan perikatan dan selaras
dengan:
Standar 2220 – Lingkup Keterlibatan
Ruang lingkup yang ditetapkan harus cukup untuk mencapai tujuan perikatan.
halaman 129
129
rencana audit internal tahunan organisasi, auditor internal harus menggunakan suara
profesional
penilaian berdasarkan pengalaman yang relevan dan/atau bantuan pengawasan. Saat
menentukan
lingkup, akan sangat membantu bagi mereka untuk meninjau tujuan perikatan untuk
memastikan bahwa setiap
tujuan dapat dicapai di bawah parameter yang ditetapkan. Auditor internal umumnya
mempertimbangkan dan mendokumentasikan setiap batasan ruang lingkup, serta setiap
permintaan dari klien atau
pemangku kepentingan untuk item yang akan dimasukkan atau dikeluarkan dari ruang
lingkup. Jika auditor internal menemukan
batasan ruang lingkup, ini harus dilaporkan dalam komunikasi perikatan akhir.
Kadang-kadang, auditor internal dapat mengandalkan pekerjaan yang dilakukan oleh orang
lain — seperti eksternal
auditor atau kelompok kepatuhan dalam organisasi — dan mungkin berguna untuk
mendokumentasikan
ketergantungan seperti itu dalam pernyataan ruang lingkup. Standar 2050 – Koordinasi dan
Keandalan dan Its
Panduan Implementasi memberikan panduan lebih lanjut tentang ketergantungan aktivitas
audit internal pada hal tersebut
kerja.
Dokumen yang dapat menunjukkan kesesuaian dengan Standar 2220 termasuk deskripsi:
proses perencanaan keterlibatan dalam piagam audit internal atau kebijakan audit internal dan
prosedur, yang biasanya menjelaskan bagaimana ruang lingkup didefinisikan. Program kerja
pertunangan,
disetujui oleh manajemen audit internal, umumnya menunjukkan apakah ruang lingkup
perikatan
cukup selaras dengan tujuan dan mengatasi risiko utama yang diidentifikasi.
Biasanya, pernyataan ruang lingkup didokumentasikan dengan jelas dalam final perikatan
komunikasi. Dokumentasi lain yang dapat berfungsi untuk menunjukkan kesesuaian
termasuk:
memo perencanaan, persetujuan yang ditandatangani, pengumuman pertunangan, dan catatan
dari rapat
di mana ruang lingkup dibahas.
halaman 130
130
Mulai
Untuk memenuhi Standar 2230, auditor internal harus memastikan bahwa sumber daya
dialokasikan untuk:
mencapai tujuan perikatan. Sangat penting bahwa auditor internal ditugaskan untuk
keterlibatan memiliki pengetahuan, keterampilan, pengalaman, dan tambahan yang
diperlukan
kompetensi untuk melaksanakan perikatan secara kompeten dan menyeluruh. Ini juga penting
untuk
aktivitas audit internal untuk memasukkan sejumlah sumber daya yang cukup untuk
memenuhi kebutuhan
keterlibatan dengan perhatian yang diperlukan terhadap detail dan perawatan profesional.
Sebelum menentukan cara terbaik untuk mengalokasikan sumber daya perikatan, auditor
internal umumnya
mencapai pemahaman tentang tujuan dan ruang lingkup perikatan dengan meninjau
perencanaan
dokumen. Penting juga bagi auditor internal untuk memahami sifat dan kompleksitas dari
complexity
keterlibatan melalui diskusi dengan pemangku kepentingan utama, termasuk manajemen di
area tersebut
untuk diaudit.
Penting bagi auditor internal untuk menginventarisasi tidak hanya sumber daya staf, tetapi
juga tersedia
teknologi yang mungkin membantu atau diperlukan untuk melakukan penugasan yang
berkualitas. Mereka mungkin juga
mempertimbangkan apakah sumber daya atau teknologi luar tambahan diperlukan untuk
menyelesaikan
keterikatan.
Standar 2230 – Alokasi Sumber Daya Keterlibatan
Auditor internal harus menentukan sumber daya yang tepat dan cukup untuk mencapai
tujuan perikatan berdasarkan evaluasi sifat dan kompleksitas masing-masing
keterlibatan, kendala waktu, dan sumber daya yang tersedia.
Penafsiran:
Sesuai mengacu pada campuran pengetahuan, keterampilan, dan kompetensi lain yang
dibutuhkan untuk
melakukan pertunangan. Cukup mengacu pada jumlah sumber daya yang dibutuhkan untuk
menyelesaikan perikatan dengan kehati-hatian profesional.
halaman 131
131
Dengan meninjau program kerja perikatan, auditor internal dapat memperoleh pemahaman
yang menyeluruh
pemahaman tentang berapa banyak waktu yang dibutuhkan setiap langkah. Mereka harus
menyadari
jumlah jam yang dianggarkan untuk pertunangan, serta waktu, bahasa, logistik, atau
kendala lain untuk pihak terkait (misalnya, anggota aktivitas audit internal,
manajemen di area yang ditinjau, manajemen senior, dewan, dan/atau eksternal
Para Pihak).
Jika aktivitas audit internal tidak memiliki sumber daya staf yang memadai dan memadai,
chief audit executive (CAE) diharapkan untuk mendapatkan saran atau bantuan yang
kompeten untuk mengisi setiap:
kesenjangan. Panduan Implementasi 1210 – Kemahiran memberikan panduan lebih lanjut
untuk mendapatkan
pengetahuan, keterampilan, dan kompetensi lain yang diperlukan untuk melaksanakan
tanggung jawab audit internal.
Auditor internal biasanya mengevaluasi program kerja penugasan dan menggunakan yang
terbaik
pertimbangan profesional dalam menentukan jenis dan kuantitas sumber daya untuk
dialokasikan ke suatu
keterlibatan terbaik untuk mencapai tujuannya. Penting untuk menetapkan yang sesuai
personel ke penugasan berdasarkan ketersediaan, pengetahuan, keterampilan, dan
pengalaman mereka.
Keahlian khusus (misalnya, pelaporan keuangan, TI, analisis biaya, disposisi aset, konstruksi,
keterampilan khusus industri, dan lainnya) dapat sangat berharga bagi aktivitas audit internal
jika digunakan if
tepat. Oleh karena itu, penting bagi auditor internal untuk berhati-hati dalam memilih yang
terbaik
sumber daya yang tersedia untuk perikatan.
Jika keterampilan khusus dari auditor internal yang tersedia tidak cukup untuk melakukan
keterlibatan, auditor internal biasanya mempertimbangkan apakah pelatihan tambahan
merupakan pilihan, atau
apakah pengawasan yang lebih dekat akan tepat. Dalam situasi di mana audit internal yang
ada
staf tidak memiliki keahlian atau pengetahuan untuk melakukan penugasan, auditor internal
mungkin
pertimbangkan untuk melengkapi sumber daya yang ada dengan opsi lain, seperti
menggunakan auditor tamu,
mempekerjakan ahli materi pelajaran, atau cosourcing.
Auditor internal harus mendiskusikan dengan CAE segala masalah yang terkait dengan
sumber daya yang dialokasikan
ke pertunangan. Auditor internal dapat mempertimbangkan untuk melacak waktu aktual yang
dihabiskan untuk melakukan
keterlibatan terhadap waktu yang dianggarkan. Penyebab, dan efek dari, overrun yang
signifikan
dapat didokumentasikan sebagai pelajaran untuk tujuan perencanaan masa depan.
halaman 132
132
Dokumen yang dapat menunjukkan kesesuaian dengan Standar 2230 termasuk yang disetujui
program kerja perikatan, yang biasanya menunjukkan bahwa aktivitas audit internal
dimanfaatkan
sumber daya yang tepat dan memadai untuk perikatan, termasuk personel dengan
pengalaman, keterampilan, dan kompetensi audit internal. Dokumentasi pendukung
umumnya
menunjukkan distribusi kegiatan untuk setiap auditor internal, serta jadwal yang ditetapkan
untuk
pertunangan.
Dokumentasi lain yang dapat menggambarkan kesesuaian dengan Standar 2230 termasuk
internal
catatan perencanaan kegiatan audit, yang mungkin menggambarkan teknologi atau sumber
daya lain yang
dipertimbangkan selama fase perencanaan perikatan. Selain itu, lembar waktu atau pelacakan
dokumentasi yang digunakan untuk memantau jam yang dianggarkan terhadap jam aktual
dapat membantu untuk menunjukkan
kesesuaian. Survei klien pasca-audit tentang kualitas sumber daya audit internal dan
ketepatan waktu laporan audit juga dapat membantu untuk menunjukkan kesesuaian.
halaman 133
133
Mulai
Untuk menerapkan Standar 2240, auditor internal memulai dengan pemahaman yang jelas
dan menyeluruh
tujuan dan ruang lingkup perikatan, serta risiko dan pengendalian utama di area atau
proses yang sedang ditinjau. Biasanya, mereka memiliki pemahaman yang lengkap tentang
sumber daya
tersedia untuk pertunangan.
Sebelum mengembangkan program kerja, auditor internal mungkin perlu mempertimbangkan
banyak hal:
aspek dari keterlibatan yang akan datang, termasuk:
• Ukuran sampel yang sesuai untuk pengujian dan metodologi yang akan digunakan.
• Daftar risiko atau matriks risiko dan bagaimana penerapannya pada pengembangan
pekerjaan
program.
• Ruang lingkup perikatan.
• Bagaimana tujuan keterlibatan akan dicapai.
• Apakah sumber daya yang diperlukan tersedia.
• Pertimbangan dan kesimpulan yang dibuat selama fase perencanaan perikatan.
Saat mengembangkan program kerja, auditor internal umumnya mempertimbangkan risiko di
area tersebut
atau proses yang sedang ditinjau. Program kerja didasarkan pada tujuan perikatan dan
cakupan. Ini biasanya mencakup rencana penyebaran sumber daya dan menjelaskan teknik
atau
metodologi yang akan digunakan untuk melakukan perikatan (misalnya, teknik pengambilan
sampel). Dia
penting bagi auditor internal untuk menentukan pengujian atau langkah audit mana yang
diperlukan untuk menilai
Standar 2240 – Program Kerja Keterlibatan
Auditor internal harus mengembangkan dan mendokumentasikan program kerja yang
mencapai
tujuan keterlibatan.
halaman 134
134
risiko di area atau proses yang ditinjau dan untuk menguji kontrol yang ada. Selain itu,
auditor internal harus memastikan bahwa pengujian tersebut cukup spesifik untuk
menghindari scope creep.
Untuk mengembangkan program kerja yang efektif, auditor internal mempertimbangkan
sifat, luas, dan waktu
dari pengujian audit yang diperlukan untuk mencapai tujuan perikatan. Setiap prosedur
pertunangan
dalam program kerja harus dirancang untuk menguji pengendalian tertentu yang menangani
risiko. Dia
juga penting bahwa program kerja dikembangkan dan didokumentasikan sedemikian rupa
sehingga
memastikan semua anggota tim perikatan memahami apa yang perlu mereka lakukan dan
mana yang
tugas tetap harus dilakukan.
Format program kerja dapat bervariasi menurut keterlibatan atau organisasi. Umum
digunakan
format termasuk template standar atau daftar periksa untuk mendokumentasikan penyelesaian
langkah-langkah perencanaan,
memorandum yang merangkum tugas yang diselesaikan, dan kolom tambahan dalam risiko
dan kontrol and
matriks. Program kerja yang terdokumentasi dengan baik membantu dalam
mengkomunikasikan peran, tanggung jawab, dan
tugas kepada anggota tim perikatan. Mereka mungkin termasuk tanda tangan untuk pekerjaan
yang telah selesai,
nama auditor internal yang menyelesaikan pekerjaan, dan tanggal pekerjaan itu
lengkap.
Sesuai Standar 2240.A1, program kerja harus disetujui oleh manajemen audit internal
sebelum
dimulainya pekerjaan lapangan audit. Namun, dengan informasi dan pengetahuan baru yang
diperoleh
selama kerja lapangan, program audit dapat disesuaikan, dengan persetujuan segera oleh
internal
manajemen audit.
Program kerja itu sendiri, dengan persetujuan yang terdokumentasi, umumnya menunjukkan
kesesuaian dengan
Standar 2240. Setiap perubahan pada program kerja juga harus memiliki persetujuan yang
terdokumentasi.
Pengawasan keterlibatan dan penandatangan yang sesuai untuk setiap tugas program kerja
oleh internal
auditor yang bertanggung jawab untuk menyelesaikan tugas dapat membantu menunjukkan
kesesuaian juga.
Dokumen lain yang dapat menggambarkan kesesuaian dengan Standar 2240 termasuk catatan
rapat atau notes
memo yang menunjukkan langkah-langkah perencanaan untuk mengembangkan program
kerja. Selain itu, catatan dari
pertemuan perencanaan dengan tim perikatan audit di mana hasil dan tujuan
didiskusikan dengan klien perikatan, atau bukti bahwa pertemuan tersebut terjadi, dapat
menunjukkan kesesuaian.
halaman 135
135
Mulai
Dalam Standar Internasional untuk Praktik Profesional Audit Internal,
proses keterlibatan dibagi menjadi tiga fase, dengan serangkaian standar yang mewakili
masing-masing: perencanaan (seri 2200), pelaksanaan dan pengawasan (seri 2300), dan
komunikasi
(2400 seri). Pada kenyataannya, standar dalam kelompok ini tidak dilakukan secara terpisah
dan
berurutan. Sebaliknya, beberapa pekerjaan keterlibatan dapat dilakukan selama proses
perencanaan;
dan perencanaan, pengawasan, dan komunikasi terjadi di seluruh kinerja
keterikatan. Dengan demikian, dalam mempersiapkan untuk melakukan suatu perikatan,
auditor internal harus meninjau semua
tiga kelompok standar dan panduan implementasi secara bersamaan.
Sebelum melakukan perikatan, auditor internal dapat mengambil manfaat dari meninjau:
informasi yang dirumuskan selama proses perencanaan, yang harus mencakup:
• Tujuan keterlibatan yang mencerminkan hasil penilaian risiko awal
dilakukan oleh aktivitas audit internal (Standar 2210 – Tujuan Perikatan dan
Standar 2210.A1).
• Kriteria yang akan digunakan untuk mengevaluasi tata kelola, manajemen risiko, dan
kontrol area atau proses yang ditinjau (Standar 2210.A3).
• Program kerja perikatan (yang berisi kesimpulan yang dibuat selama
tahap perencanaan), tugas perikatan, dan prosedur yang akan digunakan untuk
mengidentifikasi, menganalisis, dan mendokumentasikan informasi keterlibatan (Standar
2240 –
Program Kerja Keterlibatan dan Standar 2240.A1).
Standar 2300 – Melakukan Pertunangan
Auditor internal harus mengidentifikasi, menganalisis, mengevaluasi, dan
mendokumentasikan informasi yang cukup untuk
mencapai tujuan perikatan.
halaman 136
136
Pekerjaan yang dilakukan selama fase perencanaan biasanya didokumentasikan dalam kertas
kerja dan
dirujuk dalam program kerja. Pekerjaan tersebut dapat mencakup:
• Matriks risiko dan kontrol, yang menghubungkan risiko dan kontrol dengan pendekatan
pengujian,
hasil, pengamatan, dan kesimpulan.
• Peta proses, diagram alur, dan/atau deskripsi naratif dari proses pengendalian.
• Hasil evaluasi kecukupan desain pengendalian.
• Sebuah rencana dan pendekatan untuk menguji efektivitas pengendalian kunci.
• Tingkat analisis dan detail yang diterapkan selama fase perencanaan bervariasi menurut
internal
aktivitas dan keterlibatan audit. Mengevaluasi kecukupan desain kontrol sering
diselesaikan sebagai bagian dari perencanaan perikatan, karena membantu auditor internal
dengan jelas
mengidentifikasi kontrol kunci untuk diuji lebih lanjut untuk efektivitas. Namun, yang paling
waktu yang tepat untuk melakukan evaluasi ini tergantung pada sifat
keterikatan; jika tidak selesai selama perencanaan, evaluasi desain kontrol dapat
terjadi sebagai tahap tertentu dari kinerja perikatan, atau auditor internal mungkin
mengevaluasi desain kontrol saat melakukan pengujian efektivitas kontrol.
Seri 2300 standar mencakup pelaksanaan tes yang diuraikan dalam perencanaan
tahap dan mengevaluasi dan mendokumentasikan hasilnya. Saat auditor internal
merefleksikan
informasi yang diperlukan untuk mencapai tujuan perikatan, mereka harus
mempertimbangkan
harapan dewan dan manajemen senior. Jenis informasi yang dibutuhkan dan
analisis yang diterapkan mungkin bergantung pada apakah perikatan dirancang untuk
memberikan keyakinan
dengan kesimpulan dan/atau pendapat (Standar 2410.A1) atau konsultasi dan saran (Standar
2410.C1).
Auditor internal mendekati penugasan dengan tujuan, namun ingin tahu, pikiran dan
pencarian
strategis untuk informasi (misalnya, bukti audit) yang dapat membantu mencapai perikatan
tujuan. Pada setiap langkah dalam proses perikatan, auditor internal menerapkan profesional
skeptisisme untuk mengevaluasi apakah informasi tersebut cukup dan tepat untuk
memberikan
dasar yang masuk akal untuk merumuskan kesimpulan dan/atau rekomendasi, atau apakah
informasi tambahan harus dikumpulkan. Standar 2330 – Mendokumentasikan Informasi
membutuhkan
auditor internal untuk mendokumentasikan informasi yang dihasilkan dari pelaksanaan
perikatan; NS
bukti harus secara logis mendukung kesimpulan dan hasil perikatan.
halaman 137
137
Interpretasi Standar 2310 – Mengidentifikasi Informasi menyatakan, “Informasi yang cukup
adalah
faktual, memadai, dan meyakinkan sehingga orang yang bijaksana dan berpengetahuan akan
mencapai hal yang sama
kesimpulan sebagai auditor.” Dengan demikian, informasi perikatan harus dikumpulkan dan
didokumentasikan sedemikian rupa sehingga orang yang bijaksana dan terinformasi, seperti
auditor internal lain atau
penilai eksternal, dapat mengulangi keterlibatan dan mencapai hasil yang menegaskan
hasil auditor internal dan secara logis mengarah pada kesimpulan yang sama.
Auditor internal harus mendasarkan kesimpulan dan hasil penugasan pada analisis yang tepat
dan
evaluasi (lihat Standar 2320 – Analisis dan Evaluasi). Untuk perikatan asurans dan
beberapa keterlibatan konsultasi, tujuan akhirnya adalah untuk mencapai kesimpulan tentang
apakah
desain dan pengoperasian kontrol utama mendukung kemampuan subjek perikatan untuk
mencapainya
tujuan.
Sebagai bagian dari program kerja, auditor internal biasanya membuat rencana pengujian
untuk mengumpulkan bukti
tentang efektivitas operasi pengendalian kunci yang dirancang secara memadai (lihat Standar
2240 –
Program Kerja Keterlibatan). Umumnya, kontrol sekunder (yaitu, yang meningkatkan
proses tetapi tidak penting) dan kontrol yang memiliki kelemahan desain (yaitu, yang tidak
mungkin
mencapai tujuannya bahkan jika mereka beroperasi dengan benar) tidak perlu melanjutkan ke
to
tingkat efektivitas pengujian. Jika rincian rencana pengujian tidak cukup, auditor internal
mungkin perlu memberikan rincian pengujian tambahan, seperti kriteria pengujian dan
populasi,
metodologi pengambilan sampel, dan ukuran sampel yang diperlukan untuk mendapatkan
informasi yang cukup. Standar
2240.A1 membutuhkan penyesuaian untuk disetujui segera.
Pendekatan auditor internal untuk evaluasi sering kali mencakup kombinasi audit manual
prosedur dan teknik audit berbantuan komputer (CAATs). Kategori umum manual
prosedur audit termasuk penyelidikan (misalnya, wawancara atau survei), observasi, inspeksi,
vouching, tracing, reperformance, konfirmasi, dan prosedur analitis (misalnya, analisis rasio,
analisis tren, atau benchmarking). CAAT mencakup program perangkat lunak audit umum
dan
program khusus yang menguji logika pemrosesan dan kontrol perangkat lunak lain dan
sistem. Prosedur evaluasi dibahas secara lebih rinci dalam Panduan Implementasi 2320 –
Analisis dan Evaluasi.
Saat evaluasi selesai, hasilnya dapat dicatat dalam kolom yang ditambahkan ke risiko dan
matriks kontrol, yang biasanya didokumentasikan sebagai kertas kerja. Entri dalam matriks
umumnya
sertakan referensi atau tautan ke kertas kerja tambahan yang mendokumentasikan detail
pengujian
halaman 138
138
prosedur dan analisis yang digunakan, hasil, dan dukungan tambahan apa pun untuk
kesimpulan. Informasi audit internal, hasil pengujian, dan dasar kesimpulan juga dapat
disajikan dalam bentuk ringkasan pekerjaan yang dilakukan.
Kepala eksekutif audit biasanya menetapkan pendekatan umum untuk kertas kerja
dokumentasi dalam manual kebijakan dan prosedur kegiatan audit internal. Dokumentasi
dibahas secara lebih rinci dalam Panduan Implementasi 2330 – Informasi Dokumentasi.
Kesesuaian dengan Standar 2300 dapat dibuktikan dalam kertas kerja perikatan yang:
menggambarkan tindakan, analisis, dan evaluasi yang dilakukan selama perikatan, serta
logika yang mendukung kesimpulan, pendapat, dan/atau saran. Kertas kerja biasanya
mencakup:
deskripsi CAAT atau perangkat lunak apa pun yang digunakan selama perikatan. Selain itu,
final
komunikasi keterlibatan biasanya menunjukkan kesesuaian. Survei pasca-keterlibatan
atau mekanisme umpan balik lainnya dapat mengkonfirmasi bahwa tujuan penugasan telah
tercapai,
dari perspektif dewan dan manajemen senior. Dokumentasi keterlibatan
pengawasan dapat memberikan bukti kesesuaian.
halaman 139
139
Mulai
Kegiatan audit internal menggunakan pendekatan yang sistematis dan disiplin untuk
mengevaluasi dan meningkatkan
efektivitas tata kelola, manajemen risiko, dan proses pengendalian. sistematis dan
pendekatan disiplin mengharuskan auditor internal mengidentifikasi, menganalisis,
mengevaluasi, dan mendokumentasikan
informasi untuk mendukung hasil perikatan dan kesimpulan auditor internal.
Standar 2310 mendefinisikan kriteria informasi yang harus diidentifikasi.
Auditor internal mulai mengumpulkan informasi, yang mencakup bukti audit, ketika
merencanakan
pertunangan. Peninjauan tujuan perikatan dan program kerja perikatan membantu
mempersiapkan auditor internal untuk mengidentifikasi informasi yang cukup, andal, relevan,
dan berguna. Itu
program kerja mengatur prosedur yang digunakan auditor internal untuk melakukan
perikatan.
Mungkin bermanfaat bagi auditor internal untuk meninjau kebijakan dan yurisdiksi organisasi
undang-undang yang terkait dengan privasi data sebelum memulai pekerjaan
pertunangan. Mereka juga dapat berkonsultasi dengan
penasihat hukum organisasi atau ahli materi pelajaran lain yang berlaku untuk menangani
setiap:
pertanyaan atau kekhawatiran yang mungkin timbul tentang akses ke informasi pribadi.
Standar 2310 – Mengidentifikasi Informasi
Auditor internal harus mengidentifikasi informasi yang cukup, andal, relevan, dan berguna
untuk:
mencapai tujuan perikatan.
Penafsiran:
Informasi yang memadai bersifat faktual, memadai, dan meyakinkan sehingga bersifat
prudent, informed
orang akan mencapai kesimpulan yang sama dengan auditor. Informasi yang dapat dipercaya
adalah yang terbaik
informasi yang dapat dicapai melalui penggunaan teknik perikatan yang tepat. Relevan
informasi mendukung pengamatan dan rekomendasi keterlibatan dan konsisten
dengan tujuan perikatan. Informasi yang berguna membantu organisasi memenuhi
sasaran.
halaman 140
140
Proses mengidentifikasi informasi difasilitasi oleh komunikasi yang terbuka dan kolaboratif
antara auditor internal dan personel organisasi, terutama yang secara langsung
terlibat dengan area atau proses yang sedang ditinjau. Membangun dan mempertahankan
efektif
saluran komunikasi merupakan aspek penting dalam melakukan pertunangan.
Independensi organisasi dari aktivitas audit internal juga penting untuk keterbukaan
komunikasi (lihat Standar 1110 – Independensi Organisasi).
Selama perencanaan perikatan, auditor internal mengumpulkan informasi tentang klien audit
dan
mendokumentasikan informasi dalam kertas kerja. Tingkat analisis dan detail yang
diterapkan selama
fase perencanaan bervariasi menurut aktivitas dan keterlibatan audit internal. Mengevaluasi
kecukupan
desain kontrol sering diselesaikan sebagai bagian dari perencanaan keterlibatan karena
membantu internal
auditor mengidentifikasi kontrol kunci untuk diuji lebih lanjut untuk efektivitas. Dengan
demikian, bukti audit dapat
hasil dari pengujian desain proses kontrol.
Menurut Standar 2310, keandalan informasi audit tergantung pada penggunaan:
teknik keterlibatan yang tepat. Beberapa teknik membutuhkan waktu lebih lama atau
membutuhkan lebih banyak sumber daya
daripada yang lain, tetapi mungkin bernilai investasi karena memungkinkan tingkat yang
lebih tinggi
jaminan. Secara umum, prosedur audit manual sederhana meliputi:
• Memeriksa bukti fisik, seperti properti fisik dari area yang ditinjau.
• Memeriksa dokumentasi baik dari klien audit atau sumber luar.
• Mengumpulkan bukti kesaksian melalui wawancara, survei, atau risiko dan pengendalian
diri
penilaian.
• Melakukan walk-through untuk mengamati proses yang sedang berjalan.
• Meneliti data yang terus dipantau melalui teknologi.
Prosedur yang lebih kompleks untuk menganalisis dan mengevaluasi informasi dibahas
secara lebih mendalam
detail dalam Panduan Implementasi 2320 – Analisis dan Evaluasi.
Kecukupan dan keandalan informasi meningkat ketika informasi terkini,
dikuatkan, dan/atau diperoleh secara langsung oleh auditor internal (misalnya, mengamati
suatu proses atau
meninjau dokumentasi) atau dari pihak ketiga yang independen. Informasi juga lebih dapat
diandalkan
ketika dikumpulkan dari sistem di mana kontrol beroperasi secara efektif.
halaman 141
141
Mungkin salah satu karakteristik terpenting dari informasi yang cukup dan andal adalah
bahwa
harus dikumpulkan dan didokumentasikan sedemikian rupa sehingga orang yang bijaksana
dan terinformasi (mis
pengawas audit atau penilai eksternal) akan dapat mengulangi langkah-langkah dan tes yang
dijelaskan dalam
kertas kerja, mencapai hasil yang sama, dan secara logis mencapai kesimpulan yang sama
dengan
auditor internal asli yang melakukan pekerjaan tersebut. Oleh karena itu, penting bahwa
kepala audit
executive (CAE) menetapkan sistem dokumentasi, termasuk terminologi pilihan dan
notasi standar (misalnya, simbol dan tanda centang), dan auditor internal menggunakan ini
sistem secara konsisten. Dokumentasi dibahas secara lebih rinci dalam Panduan
Implementasi
2330 – Mendokumentasikan Informasi.
Karena sumber daya keterlibatan tidak terbatas, penting bagi auditor internal untuk
mengidentifikasi
dan memprioritaskan informasi yang paling relevan dan berguna (yaitu, informasi yang
mendukung, atau memberi
kredibilitas, pengamatan keterlibatan dan rekomendasi). Ini juga penting untuk internal
auditor untuk menilai secara kritis semua informasi perikatan secara keseluruhan, daripada
mengandalkan
pada contoh tunggal, karena kesimpulan dan saran mereka didasarkan pada bukti yang
persuasif, bukan mutlak.
Kesesuaian dengan Standar 2310 dapat dibuktikan dalam program kerja perikatan dan:
mendukung kertas kerja perikatan, yang dapat disimpan secara elektronik atau dalam format
kertas.
Kertas kerja biasanya diatur dalam urutan program kerja dan link ke pekerjaan
program, apakah mereka ada sebagai halaman individual atau langkah audit dalam sistem
audit terkomputerisasi.
Sebagai hasil dari pengawasan, bukti untuk mendukung tujuan dicapai melalui identifikasi:
informasi yang cukup, andal, relevan, dan berguna.
Untuk memastikan bahwa informasi yang diberikan bermanfaat bagi organisasi, survei dapat
dilakukan:
dikeluarkan untuk personel di area yang ditinjau (setelah komunikasi perikatan audit
lengkap). Selain itu, CAE memantau disposisi hasil perikatan
dikomunikasikan kepada manajemen, yang dapat memberikan bukti kegunaan
informasi yang dikomunikasikan.
halaman 142
142
Mulai
Saat merencanakan penugasan, auditor internal harus mengembangkan program kerja untuk
mencapai achieve
tujuan keterlibatan (lihat Standar 2240 – Program Kerja Keterlibatan). Untuk kepastian
penugasan, program kerja harus mencakup prosedur untuk mengidentifikasi, menganalisis,
mengevaluasi, dan mendokumentasikan informasi perikatan (Standar 2240.A1). Seri 2300
dari
standar menggambarkan implementasi aktual dari prosedur yang direncanakan ini.
Standar 2320 mengharuskan auditor internal untuk menganalisis dan mengevaluasi informasi
yang diperoleh
selama perikatan sebelum menarik kesimpulan. Saat merencanakan pertunangan dan
membuat program kerja, auditor internal mungkin telah menyelesaikan beberapa langkah
keterlibatan
dan menghasilkan informasi penting, termasuk matriks risiko dan pengendalian serta evaluasi
terhadap
kecukupan desain kontrol. Program kerja sering dikaitkan dengan kertas kerja yang
mendokumentasikan
pekerjaan selesai, informasi yang dihasilkan, dan keputusan yang dihasilkan. Contoh tipikal
kertas kerja meliputi: memorandum perencanaan atau daftar periksa, diagram alur atau
deskripsi naratif
proses kunci, peta risiko tingkat proses, dan matriks risiko dan kontrol yang
mendokumentasikan
hubungan antara risiko, kontrol, pendekatan pengujian, ringkasan wawancara, hasil, bukti,
dan kesimpulan.
Transisi dari perencanaan ke pelaksanaan perikatan mungkin tidak sepenuhnya berbeda,
karena kedua fase melibatkan beberapa tingkat menganalisis dan mengevaluasi informasi
audit.
Seringkali selama proses perencanaan, auditor internal mengidentifikasi kontrol dan
mengevaluasi
Standar 2320 – Analisis dan Evaluasi
Auditor internal harus mendasarkan kesimpulan dan hasil penugasan pada analisis yang tepat
dan evaluasi.
halaman 143
143
kecukupan desain mereka, karena ini membantu mereka mengidentifikasi kontrol utama
untuk diuji lebih lanjut untuk
efektivitas.
Pelaksanaan perikatan umumnya melibatkan pelaksanaan pengujian yang ditentukan dalam
pekerjaan
program untuk mengumpulkan bukti tentang efektivitas operasi pengendalian
utama. Berdasarkan
risiko dan kontrol matriks dan program kerja, auditor internal cenderung memiliki daftar
spesifik
prosedur dan pengujian yang akan dilakukan. Faktor-faktor lain yang biasanya ditetapkan
dalam pekerjaan
program mencakup asersi manajemen; tujuan pengujian, kriteria, pendekatan, prosedur,
dan populasi; dan metodologi pengambilan sampel dan ukuran sampel. Namun, beberapa
detail mungkin masih
perlu ditentukan pada tahap awal pelaksanaan perikatan.
Pada akhirnya, auditor internal berusaha untuk mencapai kesimpulan sebagai hasil dari
pelaksanaan pekerjaan
program (misalnya, kesimpulan tentang apakah kontrol efektif dalam mengurangi risiko
terhadap
tingkat yang dapat diterima). Dengan informasi yang cukup tentang kecukupan desain dan
efektivitas operasi kontrol, auditor internal dapat menyimpulkan apakah kontrol yang ada
memadai untuk membantu mencapai tujuan area atau proses yang ditinjau.
Luasnya pengujian tergantung pada apakah hasil pengujian telah menghasilkan bukti audit
yang cukup
di mana auditor internal dapat mendasarkan kesimpulan atau saran mereka. Jika prosedur
pengujian
ditentukan dalam program kerja tidak memberikan informasi yang cukup untuk membuat
kesimpulan dan
rekomendasi, auditor internal mungkin perlu menyesuaikan rencana pengujian dan
melakukan tambahan
pengujian. Standar 2240.A1 mensyaratkan penyesuaian program kerja untuk segera disetujui.
Analisis
Pendekatan pengujian sering kali mencakup kombinasi prosedur audit manual dan
teknik audit berbantuan (CAATs); yang terakhir termasuk program perangkat lunak audit
umum
dan program yang mengkhususkan diri dalam pengujian logika pemrosesan dan kontrol
perangkat lunak lain dan
sistem. Seperti informasi pengujian yang dijelaskan sebelumnya, prosedur pengujian
perikatan
biasanya ditentukan selama pengembangan program kerja pertunangan (Standar
2240).
Auditor internal dapat menguji populasi lengkap atau sampel informasi yang
representatif. Jika
mereka memilih untuk memilih sampel, mereka bertanggung jawab untuk menerapkan
metode untuk memastikan bahwa
sampel yang dipilih mewakili seluruh populasi dan/atau periode waktu yang hasilnya akan
digeneralisasi. Penggunaan CAATs dapat memungkinkan analisis seluruh populasi informasi,
halaman 144
144
daripada hanya sampel. Rincian tambahan tentang teknik pengambilan sampel dan CAATS
mungkin:
ditemukan dalam Panduan Tambahan IIA.
Prosedur audit manual sederhana mencakup pengumpulan informasi melalui penyelidikan
(misalnya, wawancara
atau survei), observasi, dan inspeksi. Prosedur audit manual lainnya mungkin membutuhkan
waktu lebih lama untuk
perilaku, tetapi umumnya memberikan tingkat jaminan yang lebih tinggi. Contoh audit
manual
prosedur meliputi:
• Vouching – Auditor internal menguji validitas informasi yang didokumentasikan atau
direkam recorded
dengan mengikutinya mundur ke sumber daya nyata atau catatan yang disiapkan sebelumnya.
• Penelusuran – Auditor internal menguji kelengkapan dokumen atau rekaman
informasi dengan melacak informasi ke depan dari dokumen, catatan, atau berwujud
sumber daya ke dokumen yang disiapkan selanjutnya.
• Kinerja ulang – Auditor internal menguji keakuratan suatu pengendalian dengan melakukan
tugas, yang dapat memberikan bukti langsung tentang efektivitas operasi pengendalian.
• Konfirmasi independen – Auditor internal meminta dan memperoleh verifikasi tertulis atas
written
keakuratan informasi dari pihak ketiga yang independen.
Prosedur analitis digunakan untuk membandingkan informasi dengan harapan, berdasarkan
sumber independen (yaitu, tidak bias) dan premis bahwa hubungan tertentu antara
informasi dapat diharapkan secara wajar tanpa adanya kondisi sebaliknya. analitis
prosedur juga dapat digunakan selama perencanaan perikatan (2200 seri standar).
Contoh prosedur analitis meliputi:
• Analisis rasio, tren, dan regresi.
• Tes kewajaran.
• Perbandingan periode ke periode.
• Prakiraan.
• Membandingkan informasi dengan industri atau unit organisasi serupa.
• Auditor internal dapat menyelidiki lebih lanjut setiap penyimpangan yang signifikan dari
harapan untuk menentukan penyebab dan/atau kewajaran varians (misalnya,
penipuan, kesalahan, atau perubahan kondisi). Hasil yang tidak dapat dijelaskan mungkin
menunjukkan kebutuhan untuk
tindak lanjut tambahan dan mungkin menunjukkan adanya masalah signifikan yang
harus dikomunikasikan kepada manajemen senior dan dewan (lihat Standar 2060 –
Melaporkan kepada Manajemen Senior dan Dewan).
halaman 145
145
Evaluasi
Auditor internal menerapkan pengalaman, logika, dan skeptisisme profesional mereka untuk
mengevaluasi
informasi yang ditemukan selama penugasan dan mencapai kesimpulan yang logis. Intern
auditor umumnya mendekati penugasan dengan pikiran yang objektif dan ingin tahu, mencari
strategis untuk informasi yang dapat memenuhi tujuan perikatan. Pada setiap langkah dalam
proses keterlibatan, mereka menerapkan pengalaman profesional dan skeptisisme profesional
untuk
mengevaluasi apakah bukti cukup dan tepat untuk merumuskan kesimpulan dan/atau
rekomendasi. Menurut Standar 2330 – Mendokumentasikan Informasi, auditor internal
harus mendokumentasikan informasi yang secara logis mendukung hasil dan kesimpulan
perikatan.
Namun, ini tidak berarti bahwa auditor internal harus mengecualikan informasi relevan yang
dapat bertentangan dengan kesimpulan.
Auditor internal sering melakukan analisis akar penyebab untuk mengidentifikasi alasan yang
mendasari
terjadinya kesalahan, masalah, kehilangan kesempatan, atau contoh ketidakpatuhan. Akar
analisis penyebab memungkinkan auditor internal untuk menambahkan wawasan yang
meningkatkan efektivitas dan
efisiensi tata kelola organisasi, manajemen risiko, dan proses pengendalian.
Namun, analisis ini juga terkadang membutuhkan sumber daya yang luas, seperti waktu dan
keahlian materi pelajaran. Jadi, ketika melakukan analisis akar penyebab, auditor internal
harus:
menjalankan kehati-hatian profesional dengan mempertimbangkan upaya dalam kaitannya
dengan manfaat potensial
(Standar 1220.A1).
Meskipun masalah yang kompleks mungkin memerlukan analisis yang lebih ketat, dalam
keadaan tertentu akarnya
analisis penyebab mungkin sesederhana mengajukan serangkaian pertanyaan "mengapa"
dalam upaya untuk mengidentifikasi
akar penyebab varians. Sebagai contoh:
Pekerja itu jatuh. Mengapa? Karena minyak ada di lantai. Mengapa? Karena ada bagian yang
bocor. Mengapa?
Karena bagian itu terus gagal. Mengapa? Karena standar kualitas untuk pemasok adalah
tidak cukup.
Sebagian besar akar penyebab dapat ditelusuri kembali ke keputusan, tindakan, atau
kelambanan oleh seseorang atau beberapa orang
rakyat. Namun, menentukan akar penyebab sebenarnya mungkin sulit dan subjektif, bahkan
setelahnya
auditor internal telah melakukan analisis data kuantitatif dan kualitatif. Dalam beberapa
kasus, beberapa kesalahan dengan berbagai tingkat pengaruh dapat bergabung untuk
membentuk akar penyebab
masalah, atau akar penyebabnya dapat melibatkan risiko yang terkait dengan masalah yang
lebih luas seperti:
Budaya organisasi. Oleh karena itu, auditor internal dapat memilih untuk memasukkan
masukan dari beberapa
halaman 146
146
pemangku kepentingan internal dan eksternal. Dalam beberapa kasus, auditor internal dapat
memberikan berbagai
akar penyebab yang mungkin untuk dipertimbangkan oleh manajemen, berdasarkan
pertimbangan yang independen dan objektif
evaluasi berbagai skenario sebagai akar penyebab suatu masalah. Ketika kerangka waktu atau
keterampilan
tingkat yang dibutuhkan untuk menyelesaikan analisis akar penyebab melebihi apa yang
tersedia dalam
kegiatan audit internal, kepala eksekutif audit dapat merekomendasikan bahwa manajemen
menangani
masalah mendasar dan melakukan pekerjaan lebih lanjut untuk mengidentifikasi akar
penyebab.
Kertas kerja umumnya mendokumentasikan informasi yang cukup tentang analisis perikatan,
hasil, dan kesimpulan untuk memungkinkan pembaca memahami dasar kesimpulan.
Kertas kerja juga biasanya menggambarkan populasi uji, proses pengambilan sampel, dan
pengambilan sampel
metode yang digunakan auditor internal. Kertas kerja adalah referensi silang dalam program
kerja.
Tinjauan supervisor atas perikatan (Standar 2340 – Pengawasan Perikatan) dapat:
memberikan validasi tambahan.
halaman 147
147
Mulai
Kertas kerja keterlibatan digunakan untuk mendokumentasikan informasi yang dihasilkan di
seluruh throughout
proses keterlibatan, termasuk perencanaan; menguji, menganalisis, dan mengevaluasi
data; dan
merumuskan hasil dan kesimpulan perikatan. Kertas kerja dapat disimpan di atas kertas,
elektronik, atau keduanya. Penggunaan perangkat lunak audit internal dapat meningkatkan
konsistensi dan efisiensi.
Isi, organisasi, dan format kertas kerja umumnya bervariasi menurut organisasi dan
sifat pertunangan. Namun, penting untuk mencapai konsistensi kertas kerja dalam
aktivitas audit internal sebanyak mungkin, karena biasanya membantu memfasilitasi berbagi
informasi perikatan dan koordinasi kegiatan audit. Karena kepala eksekutif audit
(CAE) bertanggung jawab untuk koordinasi tersebut dan untuk mengembangkan aktivitas
audit internal
kebijakan dan prosedur (lihat Standar 2050 – Koordinasi dan Keandalan dan Standar 2040
– Kebijakan dan Prosedur, masing-masing), adalah logis bagi CAE untuk mengembangkan
pedoman dan
prosedur untuk menyelesaikan kertas kerja untuk berbagai jenis perikatan. penggunaan dari
standar, namun fleksibel, format atau template kertas kerja, meningkatkan efisiensi dan
konsistensi proses keterlibatan. Elemen kertas kerja standar yang umum termasuk:
tata letak umum, notasi "tanda centang" (yaitu, simbol yang digunakan untuk mewakili audit
tertentu
prosedur), sistem referensi silang ke kertas kerja lain, dan informasi yang ditunjuk
yang harus disimpan secara permanen atau diteruskan ke perikatan lainnya. Sebelum
mendokumentasikan informasi perikatan, auditor internal harus meninjau dan memahami
prosedur pengembangan kertas kerja khusus organisasi, notasi standar, dan
template atau perangkat lunak yang tersedia yang digunakan oleh aktivitas audit internal.
Standar 2330 – Mendokumentasikan Informasi
Auditor internal harus mendokumentasikan informasi yang cukup, andal, relevan, dan
berguna untuk:
mendukung hasil dan kesimpulan perikatan.
halaman 148
148
Standar 2310 – Mengidentifikasi Informasi menyatakan, “Auditor internal harus
mengidentifikasi cukup,
informasi yang andal, relevan, dan berguna untuk mencapai tujuan penugasan.” Ini
karakteristik sama pentingnya bagi auditor internal untuk dipertimbangkan ketika
mendokumentasikan
informasi dalam kertas kerja. Kertas kerja yang efektif berisi informasi yang cukup dan
relevan dengan tujuan perikatan, pengamatan, kesimpulan, dan rekomendasi,
yang membuat informasi berguna dalam membantu organisasi mencapai tujuannya.
Informasi yang didokumentasikan dalam kertas kerja yang efektif juga dapat diandalkan
karena diperoleh dengan menggunakan
teknik perikatan yang tepat, yang didokumentasikan. Mungkin yang terpenting,
kertas kerja berisi informasi yang cukup dan relevan yang akan memungkinkan
orang, seperti auditor internal lain atau auditor eksternal, untuk mencapai kesimpulan yang
sama
seperti yang dicapai oleh auditor internal yang melakukan perikatan. Jadi, kertas kerja
dokumentasi adalah bagian penting dari proses keterlibatan yang sistematis dan disiplin
karena ia mengatur bukti audit dengan cara yang memungkinkan pelaksanaan ulang
pekerjaan dan
mendukung kesimpulan dan hasil keterlibatan.
Kertas kerja dapat mencakup elemen-elemen berikut:
• Indeks atau nomor referensi.
• Judul atau heading yang mengidentifikasi area atau proses yang sedang ditinjau.
• Tanggal atau periode perikatan.
• Lingkup pekerjaan yang dilakukan.
• Pernyataan tujuan untuk memperoleh dan menganalisis data.
• Sumber data yang tercakup dalam kertas kerja.
• Deskripsi populasi yang dievaluasi, termasuk ukuran sampel dan metode pemilihan.
• Metodologi yang digunakan untuk menganalisis data.
• Rincian pengujian yang dilakukan dan analisis yang dilakukan.
• Kesimpulan termasuk referensi silang ke kertas kerja observasi audit.
• Usulan tindak lanjut pekerjaan keterlibatan yang akan dilakukan.
• Nama auditor internal yang melakukan pekerjaan perikatan.
• Meninjau notasi dan nama auditor internal yang mereview pekerjaan tersebut.
halaman 149
149
Umumnya kertas kerja disusun menurut struktur yang dikembangkan dalam program kerja
dan referensi silang ke bagian informasi yang relevan. Hasil akhirnya adalah koleksi lengkap
dokumentasi (elektronik, kertas, atau keduanya) dari prosedur yang diselesaikan, informasi
diperoleh, kesimpulan yang dicapai, rekomendasi yang diperoleh, dan dasar logis untuk
masing-masing
Langkah. Dokumentasi ini merupakan sumber utama dukungan untuk auditor internal.
komunikasi dengan pemangku kepentingan, termasuk manajemen senior, dewan, dan
manajemen
dari area atau proses yang sedang ditinjau.
Tinjauan pengawasan atas kertas kerja biasanya digunakan untuk mengembangkan staf audit
internal (lihat
Standar 2340 – Pengawasan Keterlibatan). Tinjauan pengawasan juga dapat digunakan
sebagai dasar
untuk menilai kesesuaian dengan Standar Internasional untuk Praktik Profesional dari
Audit Internal dan untuk memelihara program penjaminan mutu dan peningkatan (lihat
Standar 1300 – Program Peningkatan dan Penjaminan Mutu).
Kertas kerja yang disiapkan dan diselesaikan dengan benar, baik disimpan di atas kertas atau
secara elektronik,
menunjukkan kesesuaian dengan Standar 2330. Bukti bahwa informasi perikatan adalah
cukup, andal, relevan, dan berguna dapat ditunjukkan dalam efektivitas manajemen
pelaksanaan tindakan yang direkomendasikan. Saat mengomunikasikan hasil pertunangan
kepada
pihak yang tepat, CAE juga dapat menerima umpan balik tentang kualitas perikatan
informasi didokumentasikan. Demikian pula, survei pasca-keterlibatan individu yang
menerima
informasi perikatan juga dapat membuktikan kesesuaian.
halaman 150
150
Mulai
Chief audit executive (CAE) memiliki tanggung jawab keseluruhan untuk mengawasi
penugasan untuk:
memastikan bahwa tujuan tercapai, kualitas terjamin, dan staf dikembangkan. Jadi, ketika
merencanakan bagaimana perikatan akan diawasi, CAE harus meninjau perikatan tersebut
tujuan serta kebijakan dan prosedur audit internal yang mendukung pemenuhan Standar
2340. Bahkan sebelum proses perencanaan keterlibatan dimulai, CAE biasanya telah
berkembang
kebijakan dan prosedur audit internal untuk membahas bagaimana penugasan direncanakan,
dilaksanakan,
dan diawasi (lihat Standar 2040 – Kebijakan dan Prosedur). Kebijakan dan prosedur tersebut
dapat menentukan program perangkat lunak atau template yang harus digunakan auditor
internal untuk menetapkan
format yang konsisten untuk program kerja dan kertas kerja. Demikian pula, kebijakan dan
prosedur mungkin
menangani peluang untuk pengembangan staf, seperti kebijakan yang membutuhkan pasca-
keterlibatan
pertemuan antara auditor internal yang melakukan penugasan dan CAE atau
pengawas penugasan yang ditunjuk.
Penilaian keterampilan staf audit internal sedang berlangsung, tidak hanya sebagai bagian
dari penugasan
proses. Penilaian keterampilan umumnya memberikan informasi yang cukup tentang auditor
internal '
Standar 2340 – Pengawasan Keterlibatan
Penugasan harus diawasi dengan baik untuk memastikan tujuan tercapai, kualitas terjaga
terjamin, dan staf dikembangkan.
Penafsiran:
Tingkat pengawasan yang diperlukan akan tergantung pada kemahiran dan pengalaman dari
auditor internal dan kompleksitas penugasan. Kepala eksekutif audit memiliki
tanggung jawab keseluruhan untuk mengawasi perikatan, baik yang dilakukan oleh atau
untuk
aktivitas audit internal, tetapi dapat menunjuk anggota yang berpengalaman
kegiatan audit internal untuk melakukan review. Bukti pengawasan yang tepat adalah
didokumentasikan dan disimpan.
halaman 151
151
kompetensi untuk memungkinkan CAE menugaskan auditor internal dengan tepat ke
penugasan untuk:
di mana mereka memiliki pengetahuan, keterampilan, dan kompetensi lain yang
diperlukan. Demikian juga, mereka
memungkinkan CAE untuk menunjuk supervisor perikatan yang memenuhi syarat.
Pengawasan keterlibatan adalah proses yang dimulai dengan perencanaan keterlibatan dan
berlanjut and
sepanjang pertunangan. Selama fase perencanaan, penyelia perikatan adalah:
bertanggung jawab untuk menyetujui program kerja perikatan dan dapat memikul tanggung
jawab untuk:
aspek lain dari proses perencanaan (lihat Standar 2240.A1). Kriteria utama untuk
persetujuan program kerja adalah apakah program tersebut dirancang untuk mencapai tujuan
perikatan
efisien. Selain itu, program kerja harus mencakup prosedur untuk mengidentifikasi,
menganalisis,
mengevaluasi, dan mendokumentasikan informasi perikatan. Standar 2240.A1 menyatakan
bahwa setiap
penyesuaian program kerja harus disetujui. Pengawasan keterlibatan juga melibatkan
memastikan bahwa program kerja diselesaikan dan mengizinkan setiap perubahan pada
pekerjaan
program.
Penyelia perikatan biasanya memelihara komunikasi yang berkelanjutan dengan pihak
internal
auditor yang ditugaskan untuk melakukan penugasan dan dengan manajemen area atau proses
sedang ditinjau. Penyelia perikatan biasanya meninjau kertas kerja perikatan yang
menggambarkan prosedur audit yang dilakukan, informasi yang diidentifikasi, dan
pengamatan dan
kesimpulan awal yang dibuat selama perikatan. Supervisor mengevaluasi apakah
informasi, pengujian, dan hasil cukup, andal, relevan, dan berguna untuk mencapai
objek perikatan dan mendukung hasil dan kesimpulan perikatan, seperti yang disyaratkan
oleh
Standar 2330 – Mendokumentasikan Informasi.
Standar 2420 – Kualitas Komunikasi membutuhkan komunikasi keterlibatan untuk menjadi
akurat, objektif, jelas, ringkas, konstruktif, lengkap, dan tepat waktu. Keterikatan
supervisor meninjau komunikasi keterlibatan dan kertas kerja untuk elemen-elemen ini,
karena
kertas kerja memberikan dukungan utama untuk komunikasi keterlibatan.
Selama perikatan, supervisor perikatan dan/atau CAE bertemu dengan pihak internal
auditor yang ditugaskan untuk melakukan perikatan dan mendiskusikan proses perikatan,
yang
memberikan kesempatan untuk pelatihan, pengembangan, dan evaluasi auditor internal.
Saat meninjau komunikasi perikatan dan kertas kerja perikatan, yang
halaman 152
152
mendokumentasikan semua aspek proses perikatan, penyelia dapat meminta bukti tambahan
atau klarifikasi. Auditor internal mungkin memiliki kesempatan untuk meningkatkan
pekerjaan mereka dengan menjawab
pertanyaan yang diajukan oleh penyelia perikatan.
Biasanya, catatan tinjauan supervisor dihapus dari dokumentasi akhir setelah memadai
bukti telah diberikan atau kertas kerja telah diubah dengan informasi tambahan
yang membahas masalah dan/atau pertanyaan yang diajukan oleh supervisor. Pilihan lain
adalah untuk
aktivitas audit internal untuk menyimpan catatan terpisah dari perhatian supervisor perikatan
dan pertanyaan, langkah-langkah yang diambil untuk menyelesaikannya, dan hasil dari
langkah-langkah tersebut.
CAE bertanggung jawab atas semua penugasan audit internal dan semua profesional yang
signifikan
pertimbangan yang dibuat selama perikatan, baik oleh aktivitas audit internal atau lainnya
melakukan pekerjaan untuk kegiatan audit internal. Oleh karena itu, CAE biasanya
mengembangkan kebijakan
dan prosedur yang dirancang untuk meminimalkan risiko bahwa auditor internal akan
membuat penilaian atau
mengambil tindakan yang tidak sesuai dengan pertimbangan profesional CAE dan dapat
merugikan
mempengaruhi pertunangan. CAE biasanya menetapkan sarana untuk menyelesaikan setiap
profesional
perbedaan penilaian yang mungkin timbul. Ini mungkin termasuk mendiskusikan fakta
terkait, mengejar,
penyelidikan atau penelitian tambahan, dan mendokumentasikan dan menyimpulkan sudut
pandang yang berbeda dalam
kertas kerja pertunangan. Jika ada perbedaan dalam penilaian profesional atas masalah etika,
masalah dapat dirujuk ke individu-individu dalam organisasi yang memiliki tanggung jawab
atas
hal-hal etis.
Bukti kesesuaian dengan Standar 2340 dapat mencakup kertas kerja perikatan, baik:
diparaf dan diberi tanggal oleh penyelia perikatan (jika didokumentasikan secara manual)
atau secara elektronik
disetujui (jika didokumentasikan dalam sistem perangkat lunak kertas kerja). Bukti tambahan
mungkin
termasuk daftar periksa tinjauan kertas kerja keterlibatan yang lengkap dan/atau nota tinjauan
komentar.
Jaminan kualitas tingkat keterlibatan juga dapat ditunjukkan melalui CAE's
pemeliharaan jaminan kualitas dan program peningkatan dan melalui hasil
survei yang meminta umpan balik tentang pengalaman keterlibatan dari individu secara
langsung
terlibat dengan pertunangan. Auditor internal mungkin memiliki kesempatan untuk
memberikan umpan balik
tentang penyelia perikatan melalui mekanisme peer review, seperti survei.
halaman 153
153
Mulai
Standar tersebut mengharuskan auditor internal untuk mengomunikasikan hasil
penugasan. Karena itu,
auditor internal harus memiliki pemahaman yang jelas tentang komunikasi perikatan
persyaratan. Chief audit executive (CAE) juga harus memahami harapan
dewan dan manajemen senior mengenai komunikasi yang terkait dengan hasil penugasan.
Auditor internal harus memahami kebijakan dan prosedur dalam manual audit — atau
harapan pemangku kepentingan lainnya — dan penggunaan templat standar apa pun untuk
memastikan
konsistensi dalam mengembangkan pengamatan dan kesimpulan. Standar 2040 – Kebijakan
dan
Prosedur, dan Panduan Implementasi terkait, memberikan informasi lebih lanjut tentang CAE
tanggung jawab yang terkait dengan kebijakan dan prosedur.
Biasanya, kebijakan dan prosedur manual audit internal menetapkan proses untuk:
mendokumentasikan dukungan untuk observasi/kesimpulan terkait dengan perikatan. Itu
aktivitas audit internal dapat mengembangkan rencana komunikasi perikatan untuk
memberikan
panduan tentang bagaimana auditor internal akan mengomunikasikan pengamatan selama
penugasan, dan
bagaimana mereka akan mengomunikasikan hasil keterlibatan akhir.
Dalam mengkomunikasikan hasil, auditor internal mempertimbangkan rencana komunikasi,
termasuk kriteria
untuk berkomunikasi (Standar 2410), kualitas komunikasi (Standar 2420), dan
penyebaran hasil (Standar 2440). Setelah menentukan bahwa komunikasi ini
standar telah dipenuhi, auditor internal mengkonfirmasi bagaimana hasil perikatan akan
dikomunikasikan. Kertas kerja akan menunjukkan hasil mana yang akan dikomunikasikan
secara verbal,
Standar 2400 – Mengkomunikasikan Hasil
Auditor internal harus mengomunikasikan hasil penugasan.
halaman 154
154
dan yang akan dikomunikasikan secara tertulis.
Dokumentasi yang dapat menunjukkan kesesuaian dengan Standar 2400 termasuk internal
pedoman kebijakan dan prosedur pemeriksaan yang memuat:
• Kebijakan mengenai komunikasi ketidakpatuhan terhadap hukum, peraturan, atau
masalah lain.
• Kebijakan untuk mengkomunikasikan informasi sensitif di dalam dan di luar rantai
memerintah.
• Kebijakan untuk berkomunikasi di luar organisasi.
Dokumentasi lain mungkin termasuk rencana komunikasi, catatan observasi dan eskalasi,
dokumen komunikasi sementara dan awal, komunikasi keterlibatan akhir
dokumen, dan pemantauan dan tindak lanjut dokumen komunikasi.
halaman 155
155
Mulai
Komunikasi keterlibatan adalah komponen penting tentang bagaimana aktivitas audit internal
menunjukkan nilai. Format dan konten komunikasi tersebut dapat bervariasi menurut:
organisasi atau jenis keterlibatan.
Berkomunikasi dengan pemangku kepentingan membutuhkan perencanaan yang
matang. Sangat membantu untuk mengembangkan rencana untuk
berkomunikasi tentang perikatan, dan untuk mendiskusikan dan menyetujui rencana tersebut
dengan
pemangku kepentingan sebelumnya, jika memungkinkan.
Untuk memastikan kriteria komunikasi terpenuhi, aktivitas audit internal harus menyadari:
Standar 2200 – Perencanaan Keterlibatan, Standar 2210 – Tujuan Keterlibatan, Standar
2220 – Lingkup Perikatan, Standar 2300 – Melakukan Perikatan, Standar 2310 –
Mengidentifikasi Informasi, Standar 2320 – Analisis dan Evaluasi, Standar 2330 –
Mendokumentasikan Informasi, dan Standar 2340 – Pengawasan Keterlibatan. Lingkup
keterlibatan
dan tujuan biasanya dikomunikasikan:
• Selama perencanaan keterlibatan.
• Selama penugasan, jika ada penyimpangan terhadap ruang lingkup dan tujuan yang
direncanakan.
• Dalam komunikasi pertunangan akhir.
Pengawasan yang memadai memastikan bahwa ruang lingkup dan tujuan penugasan tercapai
dan
pengendalian yang sesuai diterapkan terkait dengan kualitas komunikasi hasil.
Standar 2410 – Kriteria untuk Berkomunikasi
Komunikasi harus mencakup tujuan, ruang lingkup, dan hasil penugasan .
halaman 156
156
Penting untuk mempertimbangkan rencana komunikasi untuk pertunangan di, atau di dekat,
dimulainya pertunangan. Biasanya, rencana tersebut membahas mengapa, apa, kepada siapa,
dan
bagaimana auditor internal akan berkomunikasi. Misalnya, auditor internal akan
mengomunikasikan:
tujuan, ruang lingkup, hasil sementara, dan hasil akhir perikatan. Rencananya mungkin juga
menentukan penggunaan format komunikasi tertentu. (Proses keputusan seputar apa
harus dan tidak boleh dilaporkan secara formal akan didokumentasikan dalam
kertas kerja.) Rencana komunikasi biasanya didiskusikan dengan pemangku kepentingan
yang relevan, seperti:
sebagai mereka yang bertanggung jawab atas area yang ditinjau, sebelum pekerjaan lapangan
keterlibatan apa pun. Itu
rencana dapat diperbarui secara berkala jika keadaan memerlukan perubahan.
Saat merencanakan komunikasi perikatan akhir, auditor internal akan mempertimbangkan
diskusi dan komunikasi sementara yang mungkin mereka lakukan dengan manajemen
kawasan
sedang ditinjau. Mereka akan dengan hati-hati meninjau semua kertas kerja dan ringkasan
kertas kerja yang relevan dan
mempertimbangkan beberapa faktor tambahan, termasuk:
• Harapan pemangku kepentingan.
• Tujuan keterlibatan.
• Tujuan strategis dari area yang ditinjau.
• Ruang lingkup perikatan dan batasan ruang lingkup apa pun.
• Hasil keterlibatan.
Auditor internal juga harus mempertimbangkan persyaratan Standar 2410.A1 untuk
disertakan dalam final
komunikasi keterlibatan kesimpulan yang berlaku, serta rekomendasi yang berlaku
dan/atau rencana aksi. Opini pada tingkat perikatan dapat mencakup peringkat, kesimpulan,
atau
deskripsi lain dari hasil dan signifikansinya, sebagaimana dijelaskan lebih lanjut dalam
Interpretasi
Standar 2410.A1.
Komunikasi dengan manajemen adalah proses yang berkelanjutan selama penugasan. Itu
kegiatan audit internal menambah nilai dengan mengembangkan komunikasi (baik lisan
maupun tertulis) yang
membawa perubahan positif dalam organisasi. Saat mengomunikasikan hasil keterlibatan,
internal
auditor didorong untuk mengakui kinerja yang memuaskan dan menyertakan pernyataan apa
pun
tentang batasan distribusi dan/atau penggunaan hasil, sebagaimana dikomunikasikan dalam
Standar 2410.A2
dan Standar 2410.A3.
halaman 157
157
Materi yang dapat menunjukkan kesesuaian dengan Standar 2410 termasuk audit internal
tertulis
kebijakan dan prosedur aktivitas yang membahas konsistensi format laporan perikatan dan
materi apa pun — seperti catatan, memo internal, atau korespondensi email — yang
mendemonstrasikan bagaimana rencana komunikasi akhir dikembangkan. Kesesuaian
mungkin
ditunjukkan melalui kepatuhan terhadap rencana komunikasi atau dibuktikan dengan laporan
tertulis
(dan isinya yang sesuai), kertas kerja, dan/atau risalah dari rapat di mana masalah dan
hasil dibahas.
Surat perikatan atau laporan aktivitas audit internal pada pertemuan klien awal dapat:
menunjukkan kesesuaian, karena mereka biasanya menguraikan program kerja, tujuan,
dan ruang lingkup, serta parameter yang disepakati dari komunikasi akhir. Laporan akhir
yang mencakup tujuan perikatan, ruang lingkup, dan hasil, serta kesimpulan yang berlaku
dengan rekomendasi dan/atau rencana aksi, juga dapat menunjukkan kesesuaian. Akhir
laporan dapat mengakui kinerja yang memuaskan dan batasan apa pun yang terkait dengan
komunikasi atau penggunaan hasil kepada pihak di luar organisasi.
halaman 158
158
Mulai
Komunikasi terjadi selama pertunangan. Oleh karena itu, Standar 2420 berlaku di
semua tahap perikatan, termasuk perencanaan dan pelaksanaan perikatan,
mengkomunikasikan hasil, memantau kemajuan, dan mengkomunikasikan penerimaan risiko.
Karena komunikasi keterlibatan berkualitas tinggi sangat penting, auditor internal membayar
mahal
perhatian terhadap detail saat menyusun komunikasi dan mempertimbangkan karakteristik
kualitas
komunikasi yang diuraikan dalam Interpretasi Standar 2420.
Untuk memastikan kesesuaian dengan Standar 2420, auditor internal harus memahami:
harapan organisasi untuk komunikasi, termasuk harapan pemangku kepentingan mengenai
Standar 2420 – Kualitas Komunikasi
Komunikasi harus akurat, objektif, jelas, ringkas, konstruktif, lengkap, dan
tepat waktu.
Penafsiran:
Komunikasi yang akurat bebas dari kesalahan dan distorsi dan setia pada
fakta yang mendasari. Komunikasi objektif bersifat adil, tidak memihak, dan tidak memihak
serta merupakan
hasil dari penilaian yang adil dan seimbang dari semua fakta dan keadaan yang relevan.
Komunikasi yang jelas mudah dipahami dan logis, menghindari teknis yang tidak perlu
bahasa dan memberikan semua informasi penting dan relevan. Komunikasi singkat
to the point dan menghindari elaborasi yang tidak perlu, detail yang berlebihan, redundansi,
dan
kata-kata. Komunikasi yang konstruktif sangat membantu klien perikatan dan
organisasi dan mengarah pada perbaikan jika diperlukan. Kurangnya komunikasi yang
lengkap
tidak ada yang penting bagi audiens target dan mencakup semua yang signifikan dan relevan
informasi dan observasi untuk mendukung rekomendasi dan kesimpulan. Tepat waktu
komunikasi yang tepat dan bijaksana, tergantung pada pentingnya
masalah, memungkinkan manajemen untuk mengambil tindakan korektif yang tepat.
halaman 159
159
tenggat waktu komunikasi. Ini biasanya ditangani oleh komunikasi yang telah ditentukan
sebelumnya
rencana, seperti yang dijelaskan dalam Panduan Implementasi 2410 – Kriteria untuk
Berkomunikasi.
Auditor internal dapat meninjau kebijakan dan prosedur kegiatan audit internal, yang sering
kali
disusun dalam manual audit internal, untuk mengidentifikasi template yang harus
digunakan; template
umumnya membantu memastikan komunikasi yang tepat dan konsisten selama semua fase
perikatan.
Meninjau pedoman gaya penulisan yang digunakan oleh organisasi sebelum menyusun final
komunikasi dapat membantu auditor internal menyajikan komunikasi akhir sejalan dengan
gaya penulisan yang diterima organisasi.
Interpretasi Standar 2420 mendefinisikan karakteristik khusus dari komunikasi berkualitas:
akurat, objektif, jelas, ringkas, konstruktif, lengkap, dan tepat waktu. Auditor internal
mungkin
pertimbangkan informasi tambahan berikut yang terkait dengan masing-masing:
• Akurat – The Interpretation mencatat bahwa komunikasi yang akurat bebas dari
kesalahan dan distorsi serta setia pada fakta yang mendasarinya. Untuk menjaga akurasi, itu
adalah
penting untuk menggunakan kata-kata yang tepat didukung oleh bukti yang dikumpulkan
selama
keterikatan. Selain itu, menurut Kode Etik IIA, auditor internal adalah
diharuskan untuk “mengungkapkan semua fakta material yang diketahui oleh mereka yang,
jika tidak diungkapkan, dapat mendistorsi”
pelaporan kegiatan yang sedang ditinjau.” Jika terjadi kesalahan dalam komunikasi,
kepala eksekutif audit (CAE) harus mengkomunikasikan informasi yang dikoreksi, seperti:
dijelaskan dalam Standar 2421 – Kesalahan dan Kelalaian.
• Tujuan – Untuk memastikan objektivitas dalam komunikasi, auditor internal menggunakan
bahasa yang tidak bias
frase dan fokus pada kekurangan dalam proses dan pelaksanaannya. Objektivitas
dimulai dengan sikap mental yang tidak memihak yang harus dimiliki auditor internal ketika:
melakukan pertunangan. Objektivitas adalah prinsip etika yang dijelaskan dalam The IIA's
Kode Etik dan Standar 1120 – Objektivitas Individu. Prinsip Inti untuk
Praktik Profesional Audit Internal juga menyoroti pentingnya
objektivitas dan menetapkan bahwa agar aktivitas audit internal dianggap efektif,
auditor internal dan aktivitas audit internal harus objektif dan bebas dari
pengaruh yang tidak semestinya (independen).
• Jelas – Kejelasan dalam komunikasi meningkat ketika auditor internal menggunakan bahasa
yang mudah dipahami oleh audiens yang dituju dan konsisten dengan terminologi
halaman 160
160
digunakan dalam industri dan oleh organisasi. Selanjutnya, komunikasi yang jelas
menghindari bahasa teknis yang tidak perlu. Interpretasi Standar 2420 juga
menunjukkan bahwa komunikasi yang jelas adalah logis, ciri dari sistematik,
disiplin, dan pendekatan berbasis risiko pekerjaan audit internal. Dengan demikian, kejelasan
adalah
ditingkatkan ketika auditor internal mengomunikasikan pengamatan dan temuan penting
dan secara logis mendukung rekomendasi dan kesimpulan untuk perikatan tertentu.
• Ringkas – Auditor internal memastikan bahwa komunikasi dilakukan secara ringkas
dengan:
menghindari redundansi dan mengecualikan informasi yang tidak perlu, tidak signifikan, atau
tidak terkait dengan pertunangan.
• Konstruktif – Sangat membantu bagi auditor internal untuk menggunakan nada konstruktif
di seluruh
komunikasi yang mencerminkan keparahan pengamatan. Konstruktif
komunikasi memungkinkan proses kolaboratif untuk menentukan solusi yang
memfasilitasi perubahan positif dalam subjek perikatan dan/atau organisasi.
Pada akhirnya, seperti yang ditunjukkan oleh Definisi Audit Internal, auditor internal
berusaha untuk:
membantu organisasi mencapai tujuannya.
• Lengkap – Untuk memastikan kelengkapan komunikasi, akan sangat membantu untuk
internal
auditor untuk mempertimbangkan informasi penting untuk audiens target. Lengkap
komunikasi tertulis umumnya memungkinkan pembaca untuk mencapai kesimpulan yang
sama seperti:
kegiatan audit internal yang dilakukan.
• Tepat waktu – Terakhir, penting bagi auditor internal untuk menyampaikan semua
komunikasi dengan
tenggat waktu yang ditetapkan selama fase perencanaan. Ketepatan waktu mungkin berbeda
untuk
setiap organisasi. Untuk menentukan apa yang tepat waktu, auditor internal sering melakukan
benchmark
dan melakukan penelitian lain yang berhubungan dengan subjek perikatan. Selain itu, CAE
atau auditor internal dapat menetapkan indikator kinerja utama yang mengukur
ketepatan waktu.
Materi yang dapat menunjukkan kesesuaian dengan Standar 2420 termasuk komunikasi akhir
dokumen yang disetujui oleh kepala eksekutif audit, serta dokumen pendukung. Intern
auditor harus dapat menunjukkan bahwa dokumen tersebut selaras dengan rencana
komunikasi akhir.
Dalam hal komunikasi yang terjadi tanpa laporan tertulis, risalah rapat dapat:
memberikan bukti kesesuaian.
halaman 161
161
Mulai
Chief audit executive (CAE) harus memahami harapan dewan dan senior
manajemen mengenai kesalahan atau kelalaian mana yang mereka anggap signifikan. Makna
didefinisikan dalam glosarium Standar Internasional untuk Praktik Profesional Internal
Auditing sebagai "kepentingan relatif suatu masalah dalam konteks di mana hal itu terjadi"
dipertimbangkan, termasuk faktor kuantitatif dan kualitatif, seperti besarnya, sifat, efek,
relevansi, dan dampak. Pertimbangan profesional membantu auditor internal ketika
mengevaluasi
signifikansi hal-hal dalam konteks tujuan yang relevan.”
Jika CAE mengetahui kesalahan atau kelalaian dalam komunikasi perikatan akhir, dia
atau dia dapat mempertimbangkan pertanyaan-pertanyaan berikut untuk membantu
menentukan signifikansinya:
• Apakah kesalahan atau kelalaian akan mengubah hasil perikatan?
• Apakah kesalahan atau kelalaian mengubah pikiran seseorang tentang beratnya
temuan?
• Apakah kesalahan atau kelalaian akan mengubah kesimpulan?
• Apakah kesalahan atau kelalaian akan mengubah opini?
• Apakah kesalahan atau kelalaian akan mengubah tindakan yang direkomendasikan?
Jika jawaban atas salah satu pertanyaan di atas adalah “ya”, CAE dapat menentukan bahwa
kesalahan atau
kelalaian adalah signifikan. CAE biasanya mencoba untuk menemukan penyebab kesalahan
atau kelalaian untuk
Standar 2421 – Kesalahan dan Kelalaian
Jika komunikasi terakhir mengandung kesalahan atau kelalaian yang signifikan, kepala
eksekutif audit
harus mengkomunikasikan informasi yang dikoreksi kepada semua pihak yang menerima
aslinya the
komunikasi.
halaman 162
162
mencegah situasi serupa terjadi di masa depan dan untuk menentukan apakah penyebabnya
perlu disertakan dalam komunikasi dengan manajemen senior dan dewan. CAE
kemudian menentukan metode komunikasi yang paling tepat untuk memastikan koreksi
informasi diterima oleh semua pihak yang menerima komunikasi aslinya. Berkomunikasi
secara efektif tentang kesalahan dan kelalaian dan penyebabnya berfungsi untuk melindungi
integritas dan
status kegiatan audit internal.
Kesesuaian dengan Standar 2421 dapat ditunjukkan dengan adanya audit internal
kebijakan dan prosedur untuk menangani kesalahan dan kelalaian. Korespondensi email dan
lainnya
catatan dapat mendokumentasikan bagaimana CAE menentukan signifikansi dan penyebab
kesalahan atau
kelalaian.
Materi bukti — seperti kalender CAE, papan, atau notulen rapat lainnya di mana
kesalahan atau kelalaian dibahas, memo internal, dan korespondensi email — dapat
menunjukkan show
informasi spesifik yang dikomunikasikan serta bagaimana dan kapan komunikasi tersebut
muncul. Akhirnya, bukti dokumen komunikasi akhir yang asli dan dikoreksi
kesesuaian.
halaman 163
163
Mulai
Agar sesuai dengan Standar 2430, chief audit executive (CAE) harus memahami:
persyaratan yang terkait dengan pengembangan dan pemeliharaan jaminan dan peningkatan
kualitas
program (QAIP) (seri 1300 standar) dan terbiasa dengan hasil internal
penilaian internal dan eksternal aktivitas audit saat ini. CAE juga dapat mempertimbangkan
harapan dewan untuk menggunakan pernyataan "dilakukan sesuai dengan Internasional"
Standar Praktik Profesional Audit Internal” dalam laporan penugasan.
Ketika aktivitas audit internal melaporkan suatu perikatan, tidak ada persyaratan untuk
menunjukkan
apakah perikatan dilakukan sesuai dengan Standar Internasional untuk
Praktik Profesional Audit Internal (Standar). Namun, menggunakan pernyataan ini this
membangun kredibilitas kegiatan audit internal. Standar 2430 melarang penggunaan
pernyataan
kecuali hasil QAIP aktivitas audit internal — termasuk internal dan eksternal saat ini
penilaian — mendukung kesimpulan bahwa aktivitas audit internal umumnya sesuai dengan
Standar. Panduan Implementasi 1300 — Program Peningkatan dan Penjaminan Mutu
memberikan panduan tambahan tentang persyaratan QAIP.
Ketika aktivitas audit internal tidak sesuai dengan Standar, aktivitas audit internal
Standar 2430 – Penggunaan “Dilakukan Sesuai dengan
Standar Internasional untuk Praktik Profesional dari
Audit Internal”
Mengindikasikan bahwa perikatan “dilakukan sesuai dengan Internasional
Standar Praktik Profesional Audit Internal” hanya sesuai jika:
didukung oleh hasil program penjaminan mutu dan peningkatan.
halaman 164
164
dapat memilih untuk menyatakan bahwa perikatan tidak dilakukan sesuai dengan
Standar. Namun, pernyataan seperti itu tidak diperlukan.
Ketika laporan perikatan menyertakan pernyataan “dilakukan sesuai dengan
Standar Internasional untuk Praktik Profesional Audit Internal,” hasil dari
QAIP seringkali cukup untuk menunjukkan kesesuaian dengan Standar 2340. Audit internal
penentuan aktivitas apakah akan menggunakan pernyataan dalam komunikasi akhir mungkin
may
didokumentasikan dalam template laporan perikatan atau catatan komunikasi perikatan
lainnya
dan/atau kebijakan dan prosedur audit internal. Tinjauan komprehensif atas dokumen-
dokumen tersebut akan
menunjukkan apakah pernyataan itu digunakan dengan tepat. Sebaliknya, aktivitas audit
internal
dapat memilih untuk tidak menyertakan pernyataan kesesuaian dalam laporan perikatan apa
pun, dan
dokumentasi keputusan ini juga dapat diterima sebagai bukti kesesuaian dengan Standar
2430.
halaman 165
165
Mulai
Standar 2431 mensyaratkan pengungkapan ketika hasil perikatan tertentu dipengaruhi oleh:
ketidaksesuaian dengan Kode Etik atau Standar Internasional untuk Profesional
Praktik Audit Internal (Standar). Oleh karena itu, auditor internal harus memiliki
pemahaman tentang Kode Etik dan Standar IIA. Mereka juga harus memahami
area potensi ketidaksesuaian di tingkat keterlibatan dan harapan senior
manajemen dan dewan untuk melaporkan masalah ketidaksesuaian.
Kode Etik IIA terdiri dari prinsip-prinsip luas yang relevan dengan profesi dan praktik
audit internal dan aturan perilaku yang lebih spesifik, yang menggambarkan perilaku yang
diharapkan dari
baik entitas maupun individu yang melakukan jasa audit intern sesuai dengan
Definisi Audit Internal (termasuk anggota IIA, penerima sertifikasi IIA, dan
calon sertifikasi). Tujuan dari Kode Etik adalah untuk mempromosikan budaya etis di
profesi global audit internal.
Standar 2431 – Pengungkapan Keterlibatan dari
Ketidaksesuaian
Ketika ketidaksesuaian dengan Kode Etik atau Standar berdampak pada
keterlibatan, komunikasi hasil harus mengungkapkan:
• Prinsip atau aturan perilaku Kode Etik atau Standar yang
kesesuaian penuh tidak tercapai.
• Alasan ketidaksesuaian.
• Dampak ketidaksesuaian pada perikatan dan yang dikomunikasikan
hasil pertunangan.
halaman 166
166
Sebagaimana dinyatakan dalam Pengantar Standar, “Tujuan dari Standar adalah untuk:
1. Memandu kepatuhan dengan elemen wajib dari Praktik Profesional Internasional
Kerangka.
2. Menyediakan kerangka kerja untuk melakukan dan mempromosikan berbagai nilai tambah
jasa audit internal.
3. Menetapkan dasar evaluasi kinerja audit internal.
4. Mendorong proses dan operasi organisasi yang lebih baik.
“Standar adalah seperangkat persyaratan wajib berbasis prinsip yang terdiri dari:
• Pernyataan persyaratan inti untuk praktik profesional audit internal dan
untuk mengevaluasi efektivitas kinerja yang berlaku secara internasional di
tingkat organisasi dan individu.
• Interpretasi yang mengklarifikasi istilah atau konsep dalam Standar.”
Terkadang, keadaan tertentu dapat menghalangi auditor internal untuk mematuhi Pedoman
Etika atau Standar selama pelaksanaan suatu perikatan. Secara umum, ini adalah
keadaan di mana independensi dan/atau objektivitas auditor internal terganggu,
atau auditor internal menemukan data yang tidak dapat diandalkan, kurangnya informasi,
batasan ruang lingkup, atau
kendala lainnya. Dalam kasus seperti itu, auditor internal harus mengidentifikasi prinsip,
aturan,
perilaku, atau standar yang tidak dipenuhi sepenuhnya dan menentukan apakah
ketidaksesuaian berdampak pada hasil perikatan. Jika ketidaksesuaian mempengaruhi
hasilnya, komunikasi perikatan akan menjelaskan mengapa ketidaksesuaian terjadi
dan bagaimana hasil dan komunikasi terpengaruh.
Mungkin berguna untuk merenungkan beberapa skenario di mana Standar 2431 akan berlaku:
• Dalam situasi di mana penurunan objektivitas atau independensi auditor internal
ditemukan memengaruhi hasil keterlibatan, komunikasi hasil harus diungkapkan
ketidaksesuaian dengan Standar 1120 – Objektivitas Individu dan Kode Etik
prinsip objektivitas.
• Dalam situasi di mana aktivitas audit internal melakukan perikatan yang
tidak memiliki pengetahuan, keterampilan, dan pengalaman kolektif yang dibutuhkan untuk
tampil
halaman 167
167
tanggung jawabnya, komunikasi hasil harus mengungkapkan ketidaksesuaian dengan
Standar 1210 -- Kemahiran dan Prinsip Kompetensi Kode Etik.
• Jika aktivitas audit internal menemui batasan dalam kemampuannya untuk mengakses
catatan,
personel, atau properti, dan pembatasan ini berdampak pada ruang lingkup perikatan,
komunikasi hasil harus mengungkapkan ketidaksesuaian dengan Standar 2220.A1.
• Jika sumber daya audit internal tidak cukup untuk mencapai tujuan penugasan,
komunikasi harus mengungkapkan ketidaksesuaian dengan Standar 2230 – Keterlibatan
Alokasi sumber daya.
Pengungkapan sifat ini biasanya didokumentasikan dalam kertas kerja keterlibatan. Itu
penting
bagi CAE untuk mempertimbangkan apakah situasi ketidaksesuaian mempengaruhi audit
internal
kemampuan aktivitas untuk memenuhi tanggung jawab profesionalnya dan/atau memenuhi
harapan dari
pemegang saham. Kemudian, CAE akan menentukan bagaimana dan apakah akan
mengomunikasikan masalah ini
kepada manajemen senior dan dewan. Seringkali, pengungkapan ditangani melalui diskusi
dengan manajemen senior dan dikomunikasikan kepada dewan selama rapat. CAE mungkin
mendiskusikan ketidaksesuaian terlebih dahulu selama pertemuan pribadi dengan dewan, satu
lawan satu
pertemuan dengan ketua, atau dengan cara lain yang sesuai. Untuk memastikan
pengungkapan penuh, CAE
juga harus mempertimbangkan apakah ketidaksesuaian harus dimasukkan dalam perikatan
akhir
komunikasi.
Bahan yang dapat menunjukkan kesesuaian dengan Standar 2431 meliputi:
• Kebijakan dan prosedur departemen tertulis untuk mengungkapkan ketidaksesuaian dengan
Kode Etik dan/atau Standar dalam kertas kerja perikatan.
• Memo, email, atau komunikasi tertulis lainnya yang mengidentifikasi Kode Etik
prinsip atau aturan perilaku dan standar yang tidak sesuai dengan
dicapai; menjelaskan alasan ketidaksesuaian; dan jelaskan dampak dari
ketidaksesuaian pada perikatan dan hasil perikatan yang dikomunikasikan.
• Risalah rapat atau catatan lain yang mendokumentasikan pengungkapan lisan dari of
ketidaksesuaian, alasan ketidaksesuaian, dan dampak ketidaksesuaian
atas perikatan dan hasil perikatan yang dikomunikasikan.
• Bukti pengungkapan dalam komunikasi perikatan akhir.
halaman 168
168
Mulai
Standar 2440 menyatakan tanggung jawab kepala eksekutif audit (CAE) untuk
mengkomunikasikan final
hasilnya kepada semua pihak yang tepat setelah perikatan. Saat bersiap untuk menerapkan ini
standar, CAE mungkin merasa terbantu untuk meninjau persyaratan yang terkait dengan
setiap elemen dalam
Penafsiran.
CAE biasanya akan memiliki pemahaman tentang protokol komunikasi organisasi apa pun
serta bagan organisasi. CAE juga harus mempertimbangkan harapan senior
manajemen dan dewan terkait dengan komunikasi perikatan.
Piagam audit dan protokol komunikasi organisasi dapat membantu CAE
menentukan proses pelaporan di luar organisasi. Pertimbangan akan mencakup
faktor-faktor seperti pihak mana yang harus dituju atau disalin dalam komunikasi terakhir dan
kapan harus memberi tahu
regulator yang mengawasi industri organisasi.
Panduan implementasi untuk Standar 2400 – Mengkomunikasikan Hasil, Standar 2410 –
Kriteria untuk Berkomunikasi, dan Standar 2420 – Kualitas Komunikasi memberikan lebih
lanjut
panduan untuk mengomunikasikan hasil perikatan.
Standar 2440 – Menyebarluaskan Hasil
Kepala eksekutif audit harus mengomunikasikan hasilnya kepada pihak yang tepat.
Penafsiran:
Kepala eksekutif audit bertanggung jawab untuk meninjau dan menyetujui final
komunikasi perikatan sebelum diterbitkan dan untuk memutuskan kepada siapa dan
bagaimana
disebarluaskan. Ketika kepala eksekutif audit mendelegasikan tugas-tugas ini, dia tetap
tanggung jawab secara keseluruhan.
halaman 169
169
Melalui diskusi dengan dewan dan meninjau protokol komunikasi organisasi,
CAE menentukan siapa yang akan menerima hasil dari perikatan dan dalam bentuk apa
komunikasi akan mengambil. Sebelum mengkomunikasikan hasil, dapat bermanfaat bagi
CAE untuk meninjau draf komunikasi perikatan.
Saat menentukan penerima laporan, CAE dapat mempertimbangkan apakah:
pihak mana pun memiliki kebutuhan bisnis untuk menerima hasil, serta apakah ada yang
memiliki
tanggung jawab untuk rencana aksi manajemen. Pertimbangan dapat diberikan kepada
organisasi
protokol untuk memastikan individu pada tingkat tanggung jawab yang sesuai menerima
salinan dari
laporan. Manajemen senior dan dewan dapat dimasukkan dalam distribusi, sesuai dengan
mereka
harapan. Untuk memastikan konsistensi, aktivitas audit internal dapat mengembangkan
standar
daftar distribusi pihak yang akan menerima semua komunikasi, serta tingkat manajemen
yang harus dimasukkan dalam daftar distribusi untuk hasil keterlibatan yang berkaitan
dengan bidang pekerjaan mereka
tanggung jawab. Namun, CAE dapat memperluas daftar distribusi tersebut bila diperlukan,
yang akan
sering termasuk manajemen senior organisasi.
Hasil dapat dikomunikasikan secara lisan atau tertulis, dan formatnya mungkin berbeda
tergantung pada
penerima. CAE menentukan format mana yang akan digunakan untuk setiap
penerima. Misalnya, beberapa
penerima dapat menerima ringkasan eksekutif, sementara yang lain akan menerima laporan
lengkap. Itu mungkin
tepat untuk hasil yang akan disampaikan melalui pertemuan dengan presentasi dan
kesempatan untuk
diskusi. Terlepas dari metode komunikasi, CAE harus menentukan siapa yang akan
menyampaikan dan menerima hasilnya.
Komunikasi terakhir memerlukan persetujuan CAE atau orang yang ditunjuk dari CAE. Di
sebuah
aktivitas audit internal kecil, CAE dapat menyiapkan komunikasi keterlibatan akhir
sendiri. Namun, dalam organisasi yang lebih besar, CAE akan memperoleh dan meninjau
komunikasi (s), dan menentukan seberapa besar ketergantungan untuk menempatkan pada
auditor internal yang
menyiapkan laporan sebelum memberikan persetujuan akhir.
CAE dapat mengirimkan elektronik dan/atau salinan cetak dari komunikasi pertunangan akhir
kepada
pihak internal dan eksternal yang sesuai, sebagaimana disepakati dalam tahap perencanaan
perikatan, dan/atau sebagaimana disyaratkan oleh piagam audit dan protokol
komunikasi. Khas,
penerima adalah pihak yang dapat menangani hasil perikatan.
halaman 170
170
Mempertahankan daftar lengkap penerima hasil perikatan audit internal adalah penting dalam
bahwa kesalahan atau kelalaian diidentifikasi setelah diseminasi hasil. Standar 2421
membahas tanggung jawab CAE untuk mengomunikasikan kesalahan atau kelalaian.
Untuk memastikan kepatuhan terhadap kewajiban hukum dan protokol organisasi, penting
bagi:
CAE untuk sangat berhati-hati dan mempertimbangkan ketika bersiap untuk
menyebarluaskan hasil di luar
organisasi. Selain itu, CAE harus mempertimbangkan konsekuensi dari komunikasi
informasi sensitif, karena informasi tersebut dapat memengaruhi nilai pasar organisasi,
reputasi, pendapatan, atau daya saing. CAE mungkin merasa terbantu untuk berkonsultasi
dengan hukum
bidang nasihat dan kepatuhan dalam organisasi.
Penting untuk dicatat bahwa CAE dapat mendelegasikan wewenang untuk menerapkan
Standar 2440,
tetapi tanggung jawab tidak dapat didelegasikan. Ketika kewenangan untuk menerapkan
Standar 2440 adalah
didelegasikan, CAE mempertahankan tanggung jawab dan akuntabilitas.
CAE dapat menunjukkan kesesuaian dengan Standar 2440 dengan memverifikasi tingkat
peninjauan
dan memastikan penandatanganan semua kertas kerja sebelum mengeluarkan komunikasi
akhir. Tambahan,
salinan yang disimpan dari setiap komunikasi tertulis tentang hasil — oleh manajemen, audit
komite, CEO, pihak luar, atau orang lain — dapat menunjukkan kesesuaian. Bukti dari
komunikasi verbal hasil dapat dipertahankan melalui notulen rapat, presentasi,
dan memo yang mengidentifikasi peserta yang menerima komunikasi. Penting untuk
menyimpan catatan
yang memverifikasi persetujuan CAE atas komunikasi akhir dan penyampaian perikatan
hasilnya kepada penerima yang diidentifikasi dalam rencana komunikasi.
halaman 171
171
Mulai
Pendapat keseluruhan adalah penilaian, kesimpulan, dan/atau deskripsi lain dari hasil yang
diberikan oleh by
chief audit executive (CAE) saat menangani — pada tingkat yang luas — tata kelola, risiko
manajemen, dan/atau proses pengendalian organisasi. Pendapat keseluruhan adalah
pertimbangan profesional CAE berdasarkan hasil dari sejumlah perikatan individu
dan aktivitas serupa lainnya — seperti tinjauan oleh penyedia jaminan lain — untuk
jarak waktu.
Standar 2450 – Pendapat Keseluruhan
Ketika pendapat keseluruhan dikeluarkan, itu harus memperhitungkan strategi, tujuan,
dan risiko organisasi; dan harapan manajemen senior, dewan, dan
pemangku kepentingan lainnya. Pendapat keseluruhan harus didukung oleh cukup, andal,
relevan,
dan informasi yang berguna.
Penafsiran:
Komunikasi akan mencakup:
• Ruang lingkup, termasuk periode waktu opini tersebut terkait.
• Batasan ruang lingkup.
• Pertimbangan semua proyek terkait, termasuk ketergantungan pada jaminan lain
penyedia.
• Ringkasan informasi yang mendukung opini.
• Kerangka risiko atau pengendalian atau kriteria lain yang digunakan sebagai dasar untuk
keseluruhan
pendapat.
• Keseluruhan pendapat, penilaian, atau kesimpulan yang dicapai.
Alasan untuk pendapat keseluruhan yang tidak menguntungkan harus dinyatakan.
halaman 172
172
Pendapat keseluruhan berbeda dari kesimpulan karena kesimpulan diambil dari satu
perikatan,
dan opini keseluruhan diambil dari beberapa keterlibatan. Juga, kesimpulan adalah bagian
dari
komunikasi perikatan, sementara opini keseluruhan dikomunikasikan secara terpisah dari
komunikasi keterlibatan.
Interpretasi Standar 2310 – Mengidentifikasi Informasi mendefinisikan istilah cukup,
dapat diandalkan, relevan, dan bermanfaat:
• Informasi yang memadai bersifat faktual, memadai, dan meyakinkan sehingga bersifat
prudent, informed
orang akan mencapai kesimpulan yang sama dengan auditor internal.
• Informasi yang dapat dipercaya adalah informasi terbaik yang dapat dicapai melalui
penggunaan yang tepat
teknik pertunangan.
• Informasi yang relevan mendukung pengamatan dan rekomendasi keterlibatan dan
konsisten dengan tujuan perikatan.
• Informasi yang berguna membantu organisasi mencapai tujuannya.
Interpretasi Standar 2450 menunjukkan komponen yang diperlukan untuk komunikasi
dari keseluruhan pendapat; CAE harus memahami semua komponen ini sebelum
mengeluarkan
pendapat secara keseluruhan. Selain itu, CAE harus memiliki pemahaman yang baik tentang
organisasi
strategi, tujuan, dan risiko serta harapan dewan dan senior
manajemen sebelum mengeluarkan opini keseluruhan.
CAE mulai dengan mempertimbangkan bagaimana pendapat akan berhubungan dengan
strategi, tujuan, dan risiko
dari organisasi. CAE selanjutnya mempertimbangkan apakah pendapat tersebut akan
menyelesaikan masalah, tambah
nilai, dan/atau memberikan kepercayaan kepada manajemen atau pemangku kepentingan
lainnya mengenai keseluruhan
tren atau kondisi dalam organisasi. Diskusi dengan manajemen senior, dewan, dan
pemangku kepentingan terkait lainnya dapat membantu CAE memahami harapan untuk ruang
lingkup
pendapat keseluruhan.
CAE kemudian menentukan ruang lingkup opini keseluruhan yang akan diberikan, termasuk
waktunya
periode di mana pendapat tersebut terkait, dan mempertimbangkan apakah ada batasan ruang
lingkup.
Dengan mengingat informasi ini, CAE dapat menentukan perikatan audit mana yang akan
relevan dengan keseluruhan pendapat. Semua keterlibatan atau proyek terkait
dipertimbangkan, termasuk:
yang diselesaikan oleh penyedia assurance internal dan eksternal lainnya. Jaminan internal
halaman 173
173
penyedia dapat mencakup fungsi lain yang terdiri dari garis pertahanan kedua untuk
organisasi. Penyedia layanan eksternal dapat mencakup pekerjaan auditor eksternal atau
regulator. Untuk setiap proyek yang dipertimbangkan dari penyedia jaminan internal atau
eksternal,
CAE perlu menilai proyek untuk menentukan tingkat ketergantungan yang dapat ditempatkan
pada
pekerjaan proyek. Jika CAE bergantung pada pekerjaan penyedia jaminan lain, CAE tetap
mempertahankan
tanggung jawab atas keseluruhan pendapat yang dicapai sebagai hasil dari kepercayaan itu.
Misalnya, opini keseluruhan mungkin didasarkan pada kesimpulan perikatan agregat pada
tingkat lokal, regional, dan nasional organisasi, bersama dengan hasil yang dilaporkan dari
luar
entitas seperti pihak ketiga yang independen atau regulator. Pernyataan ruang lingkup
memberikan konteks
untuk keseluruhan pendapat dengan menentukan jangka waktu, kegiatan, batasan, dan
variabel lainnya
yang menggambarkan batas-batas pendapat secara keseluruhan.
Saat meninjau kesimpulan perikatan dan komunikasi lain yang secara keseluruhan
opini didasarkan, CAE memastikan bahwa kesimpulan tersebut dan hasil lain yang
dikomunikasikan
didasarkan pada informasi yang cukup, andal, relevan, dan berguna. CAE kemudian
meringkas
informasi yang menjadi dasar opini keseluruhan. Selain itu, CAE mengidentifikasi relevan
kerangka kerja risiko atau pengendalian atau kriteria lain yang digunakan sebagai dasar untuk
opini keseluruhan.
Setelah mempertimbangkan informasi yang relevan, CAE mengeluarkan opini keseluruhan,
dengan menggunakan
dan bahasa yang ringkas, dan mengartikulasikan bagaimana pendapat tersebut terkait dengan
strategi, tujuan, dan
risiko organisasi. Komunikasi harus mencakup enam elemen yang tercantum dalam:
Interpretasi Standar 2450.
Jika pendapat keseluruhan tidak menguntungkan, CAE harus menjelaskan alasan yang
mendukung hal ini
kesimpulan.
Akhirnya, CAE memutuskan bagaimana mengomunikasikan opini keseluruhan (secara lisan
atau tertulis).
Pendapat keseluruhan biasanya dikomunikasikan secara tertulis, meskipun tidak ada
persyaratan dalam
Standar untuk melakukannya. Panduan Pelaksanaan 2440 – Menyebarluaskan Hasil
memberikan penjelasan lebih lanjut
panduan tentang pertimbangan tambahan untuk komunikasi.
Penting untuk dicatat bahwa CAE tidak diharuskan untuk mengeluarkan opini
keseluruhan; penerbitan tersebut
pendapat adalah kebijaksanaan organisasi dan akan didiskusikan dengan senior
manajemen dan dewan. Namun, ketika pendapat keseluruhan diminta, Standar 2450
memberikan informasi tambahan untuk mendukung CAE dalam persyaratan yang terkait
dengan
mengkomunikasikan pendapat secara keseluruhan.
halaman 174
174
Untuk opini keseluruhan tertulis, salinan opini biasanya cukup untuk menunjukkan
kesesuaian. Untuk keseluruhan pendapat yang disampaikan secara lisan, kesesuaian mungkin
ditunjukkan melalui garis besar CAE, catatan pembicaraan, slide, atau dokumen serupa.
Bahan tambahan yang mungkin menunjukkan kesesuaian dengan Standar 2450 termasuk
final
komunikasi keterlibatan dan komunikasi eksternal di mana opini keseluruhan adalah
berdasarkan, memo, email, dewan atau agenda rapat lainnya, dan risalah rapat.
halaman 175
175
Mulai
Untuk memenuhi standar ini, chief audit executive (CAE) memulai dengan mencapai
pemahaman yang jelas
jenis informasi dan tingkat detail yang diharapkan oleh dewan dan manajemen senior dengan
sehubungan dengan pemantauan aktivitas audit internal atas hasil perikatan. Hasil biasanya
mengacu pada pengamatan yang dikembangkan dalam perikatan asurans dan konsultasi yang
telah
dikomunikasikan kepada manajemen untuk tindakan korektif.
Mengingat bahwa interaksi berkala akan diperlukan dengan manajemen yang bertanggung
jawab untuk
menerapkan tindakan korektif, biasanya sangat membantu untuk meminta masukan
manajemen tentang cara-cara untuk
menciptakan proses pemantauan yang efektif dan efisien.
Selanjutnya, CAE mungkin ingin membandingkan dengan CAE lain atau fungsi kepatuhan
yang
memantau masalah yang belum terselesaikan untuk mengidentifikasi praktik kerja unggulan
yang telah terbukti efektif. Ini
diskusi dapat membahas bidang-bidang seperti:
• Tingkat otomatisasi dan detail.
• Jenis pengamatan yang dipantau (yaitu, semua atau hanya pengamatan berisiko lebih
tinggi).
• Bagaimana dan dengan frekuensi berapa status tindakan korektif yang luar biasa?
bertekad.
• Ketika audit internal secara independen mengkonfirmasi efektivitas tindakan korektif.
• Frekuensi, gaya, dan tingkat pelaporan yang dilakukan.
Proses pemantauan bisa rumit atau lebih sederhana, tergantung pada sejumlah faktor,
Standar 2500 – Memantau Kemajuan
Kepala eksekutif audit harus membuat dan memelihara sistem untuk memantau disposisi
hasil yang dikomunikasikan kepada manajemen.
halaman 176
176
termasuk ukuran dan kompleksitas organisasi audit dan ketersediaan pengecualian
perangkat lunak pelacakan. Baik canggih atau sederhana, penting bagi CAE untuk
mengembangkan a
proses yang menangkap pengamatan yang relevan, tindakan korektif yang disepakati, dan
status saat ini.
Untuk pengamatan yang luar biasa, informasi yang dilacak dan ditangkap biasanya meliputi:
• Pengamatan dikomunikasikan kepada manajemen dan peringkat risiko relatifnya.
• Sifat tindakan korektif yang disepakati.
• Waktu/tenggat waktu/usia tindakan korektif dan perubahan tanggal target.
• Pemilik manajemen/proses bertanggung jawab atas setiap tindakan korektif.
• Status tindakan korektif saat ini, dan apakah audit internal telah mengkonfirmasi
status.
Seringkali, CAE akan mengembangkan atau membeli alat, mekanisme, atau sistem untuk
melacak, memantau, dan
melaporkan informasi tersebut. Berdasarkan informasi yang diberikan kepada audit internal
oleh penanggung jawab
manajemen, status tindakan korektif diperbarui dalam sistem secara berkala dan
seringkali langsung oleh manajemen menggunakan sistem pelacakan pengecualian bersama.
Frekuensi dan pendekatan pemantauan (tingkat pekerjaan staf audit untuk memverifikasi
bahwa
tindakan korektif diambil) ditentukan berdasarkan penilaian profesional CAE, juga
sebagai harapan yang ditetapkan oleh dewan dan manajemen senior. Misalnya, beberapa
CAE mungkin
memilih untuk menanyakan secara berkala, seperti triwulanan, tentang status semua tindakan
korektif yang
seharusnya diselesaikan pada periode sebelumnya. Orang lain dapat memilih untuk
melakukan tindak lanjut berkala
perikatan untuk audit dengan rekomendasi signifikan untuk secara khusus menilai kualitas
tindakan korektif yang diambil. Orang lain mungkin memilih untuk menindaklanjuti tindakan
luar biasa selama a
audit masa depan dijadwalkan di area organisasi yang sama. Pendekatannya ditentukan
berdasarkan tingkat risiko yang diputuskan, serta ketersediaan sumber daya.
Demikian pula, bentuk pelaporan ditentukan berdasarkan penilaian CAE dan kesepakatan
harapan. Beberapa CAE akan melaporkan status setiap pengamatan untuk setiap keterlibatan
dalam a
cara rinci. Yang lain hanya akan melaporkan pengamatan yang dinilai berisiko lebih tinggi,
mungkin
diringkas oleh proses bisnis atau pemilik eksekutif, mencatat statistik seperti persentase
tindakan korektif tepat waktu, terlambat, dan selesai tepat waktu. Dalam beberapa kasus,
CAE mungkin
diminta untuk melaporkan tidak hanya apakah tindakan korektif telah selesai, tetapi juga
apakah tindakan yang diambil telah memperbaiki masalah yang mendasarinya. Menangkap
dan mengukur positif
perbaikan berdasarkan pelaksanaan tindakan korektif dianggap sebagai praktik kerja
unggulan.
halaman 177
177
Kesesuaian biasanya dibuktikan dengan adanya pelacakan pengecualian yang diperbarui
secara rutin
sistem, yang dapat berupa spreadsheet, database, atau alat lain yang berisi audit sebelumnya
pengamatan, rencana tindakan korektif terkait, status, dan konfirmasi audit internal, sebagai:
dijelaskan di atas. Juga, biasanya ada laporan status tindakan korektif yang disiapkan untuk
senior
manajemen dan dewan.
halaman 178
178
Mulai
Agar berhasil dalam menerapkan standar ini, kepala eksekutif audit (CAE) harus terlebih
dahulu
memahami pandangan dan toleransi organisasi terhadap berbagai jenis risiko organisasi.
Organisasi bervariasi berdasarkan seberapa besar dan jenis risiko apa yang mereka anggap
dapat diterima. Untuk
misalnya, beberapa organisasi mungkin menerima tingkat risiko keuangan yang lebih tinggi –
mengambil tindakan seperti:
sebagai memperluas ke geografi baru dengan pemerintahan yang tidak stabil; atau membuat
bahan
investasi dalam produk baru yang menarik yang memiliki kemungkinan keberhasilan yang
relatif kecil, tetapi
imbalan yang tinggi jika berhasil. Organisasi lain lebih menolak risiko keuangan seperti itu,
menghindari
situasi seperti itu. Selanjutnya, organisasi mempertimbangkan faktor yang berbeda dalam
menentukan tingkat
risiko yang dapat diterima; misalnya, dampak potensial dan kemungkinan kejadian risiko,
kerentanan organisasi, dan lamanya waktu yang dibutuhkan manajemen untuk menyelesaikan
risiko yang tidak dapat diterima.
Jika organisasi memiliki kebijakan manajemen risiko formal, yang mungkin mencakup
penerimaan risiko
proses, penting bahwa CAE dan aktivitas audit internal memahaminya.
Standar 2600 – Mengkomunikasikan Penerimaan Risiko
Ketika kepala eksekutif audit menyimpulkan bahwa manajemen telah menerima tingkat
risiko
yang mungkin tidak dapat diterima oleh organisasi, kepala eksekutif audit harus
mendiskusikan
masalah dengan manajemen senior. Jika kepala eksekutif audit menentukan bahwa masalah
tersebut
belum diselesaikan, kepala eksekutif audit harus mengomunikasikan masalah tersebut kepada
naik.
Penafsiran:
Identifikasi risiko yang diterima oleh manajemen dapat diamati melalui
keterlibatan jaminan atau konsultasi, memantau kemajuan tindakan yang diambil oleh
manajemen sebagai akibat dari perikatan sebelumnya, atau cara lain. Bukan tanggung jawab
kepala eksekutif audit untuk mengatasi risiko tersebut.
halaman 179
179
Sebagaimana disyaratkan oleh Standar 2500, CAE juga harus membuat dan memelihara
sistem untuk
memantau disposisi hasil audit internal.
Hal ini juga membantu bagi CAE untuk mengetahui bagaimana masalah risiko yang lebih
tinggi biasanya dikomunikasikan dalam
organisasi. Kebijakan yang ada dapat menentukan pendekatan komunikasi yang
disukai; untuk
Misalnya, kebijakan manajemen risiko organisasi dapat membahas ketepatan waktu, hierarki
pelaporan, dan pertimbangan serupa.
Dalam memantau disposisi hasil dan tindakan korektif terkait, CAE dapat:
menyadari pengamatan berisiko tinggi yang tidak dikoreksi tepat waktu atau mungkin
mewakili lebih banyak
risiko daripada yang biasanya ditoleransi oleh organisasi dan karena itu tidak dapat diterima
oleh
organisasi.
Namun, proses pemantauan yang sedang berlangsung bukanlah satu-satunya cara CAE
mengidentifikasi tidak dapat diterima
mempertaruhkan. CAE yang efektif menggunakan beberapa cara untuk tetap mengikuti risiko
organisasi. Untuk
contoh, CAE dapat menerima informasi dari anggota aktivitas audit internal
mengenai risiko signifikan yang telah mereka identifikasi selama asurans atau konsultasi
mereka
pertunangan. Atau organisasi dapat menggunakan proses manajemen risiko perusahaan
(ERM)
untuk mengidentifikasi dan memantau risiko yang signifikan, dan CAE mungkin terlibat
dalam proses tersebut.
Selanjutnya, dengan membangun dan memelihara jaringan kolaboratif dan komunikatif
dengan
manajemen, CAE mungkin menyadari area risiko yang muncul dalam organisasi. CAE
juga berusaha untuk mengikuti tren industri dan perubahan peraturan untuk membantu
mereka mengenali
potensi dan risiko yang muncul.
Terlepas dari bagaimana risiko yang tidak dapat diterima diidentifikasi, jika CAE mengakui
risiko tersebut sebagai:
pada tingkat yang tinggi sehingga organisasi biasanya tidak akan mentolerirnya, dan jika
CAE percaya
bahwa risiko tidak dimitigasi ke tingkat yang dapat diterima, maka dia diharuskan untuk
mengkomunikasikan situasi ini kepada manajemen senior. Sebelum komunikasi semacam itu,
CAE
biasanya membahas masalah tersebut dengan anggota manajemen yang bertanggung jawab
atas area risiko, untuk
berbagi keprihatinan, memahami perspektif manajemen, dan mencapai jalan yang disepakati
untuk diselesaikan
risikonya. Namun, jika kesepakatan tersebut tidak tercapai, maka CAE harus mengeskalasi
perhatian kepada manajemen senior. Dan, setelah diskusi serupa dengan manajemen senior,
jika
risiko tetap belum terselesaikan, maka CAE harus mengomunikasikan masalah tersebut
kepada dewan. Hal ini kemudian
halaman 180
180
keputusan dewan bagaimana menangani masalah dengan manajemen.
CAE menggunakan penilaian untuk menentukan cara terbaik dan seberapa cepat
mengomunikasikan hal-hal tersebut such
kepada siapa, berdasarkan sifat masalah, urgensi, potensi konsekuensi, dan kebijakan apa pun
yang
mungkin di tempat. Misalnya, haruskah penasihat umum dikonsultasikan, seperti ketika
undang-undang
atau peraturan mungkin telah dilanggar? Dan haruskah risiko dikomunikasikan secara pribadi
kepada a
eksekutif senior atau dalam pertemuan lintas fungsi dengan banyak spesialis materi pelajaran
di
kehadiran?
Standar ini berlaku untuk risiko yang sangat signifikan yang dinilai CAE berada di luar
tingkat toleransi organisasi. Ini mungkin termasuk:
• Hal-hal yang dapat merusak reputasi organisasi.
• Mereka yang dapat membahayakan orang.
• Hal-hal yang akan mengakibatkan denda peraturan yang signifikan, pembatasan bisnis
perilaku, atau hukuman finansial atau kontraktual lainnya.
• Salah saji material.
• Penipuan atau tindakan ilegal lainnya.
• Hambatan yang signifikan untuk mencapai tujuan strategis.
Bukti kesesuaian dapat ditemukan dalam risalah rapat di mana masalah risiko yang signifikan
didiskusikan dengan tim manajemen eksekutif, dewan, atau komite risiko. jika
CAE mengomunikasikan situasi risiko yang tidak dapat diterima melalui pertemuan satu
lawan satu atau selama a
sesi pribadi, memo ke file dapat digunakan untuk mendokumentasikan langkah-langkah yang
diambil untuk mengingatkan manajemen
dan papan. Juga, indikasi tidak langsung dari kesesuaian adalah kebijakan dalam audit
internal
manual yang menjelaskan persyaratan standar ini dan pelaporan organisasi
proses.
halaman 181
181
Tentang IIA
Institute of Internal Auditors (The IIA) adalah advokat, pendidik,
dan penyedia standar, pedoman, dan sertifikasi. Didirikan pada tahun 1941, The IIA saat ini melayani lebih dari 180.000
anggota dari lebih dari 170 negara dan wilayah. Kantor pusat global asosiasi tersebut berada di Lake Mary, Florida.
Untuk informasi lebih lanjut, kunjungi www.globaliia.org atau www.theiia.org.
Tentang Pedoman Pelaksanaan
Panduan Implementasi, sebagai bagian dari International Professional Practices Framework® (IPPF®) IIA, menyediakan
pedoman yang direkomendasikan (tidak wajib) untuk profesi audit internal. Hal ini dirancang untuk membantu kedua auditor
internal
dan kegiatan audit internal untuk meningkatkan kemampuan mereka mencapai kesesuaian dengan Standar Internasional untuk for
Praktik Profesional Audit Internal ( Standar ).
Panduan Implementasi membantu auditor internal dalam menerapkan Standar . Mereka secara kolektif menangani audit internal
pendekatan, metodologi, dan pertimbangan, tetapi tidak merinci proses atau prosedur.
Untuk materi panduan otoritatif lainnya yang disediakan oleh The IIA, silakan kunjungi situs web kami di
www.globaliia.org/standards-guidance atau www.theiia.org/guidance.
Penafian
IIA menerbitkan dokumen ini untuk tujuan informasi dan pendidikan. Materi panduan ini tidak dimaksudkan untuk
memberikan jawaban pasti untuk keadaan individu tertentu dan, dengan demikian, hanya dimaksudkan untuk digunakan sebagai
panduan.
IIA merekomendasikan agar Anda selalu mencari nasihat ahli independen yang berhubungan langsung dengan situasi tertentu. IIA
tidak bertanggung jawab atas siapa pun yang hanya mengandalkan panduan ini.
hak cipta
Hak Cipta ® 2016 Institut Auditor Internal. Untuk izin memperbanyak, silakan hubungi bimbingan@theiia.org

2017 Implementation Guides ALL (Indonesia)

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

2017 Implementation Guides ALL (Indonesia)

Diunggah oleh

Hak Cipta:

Format Tersedia

Halaman 1

Panduan Pelaksanaan membantu auditor internal dalam menerapkan Definisi

Anda mungkin juga menyukai