Resume Internal Audit Pertemuan 3

Kelompok 8 :

- Indah Prastiwi (041611535007)

- Indah Oktavia U. (041611535014)
- Abdillah Akhsan (041611535025)
- Batita Yuca Salsabila (041611535039)
CHAPTER 5. SARBANES‐OXLEY (SOX) AND BEYOND

Bab ini akan memberikan gambaran umum tentang SOx hari ini, dengan penekanan
pada Bagian 404 dan bidang lainnya yang paling penting bagi auditor dan perusahaan internal.
Dengan penekanan pada kebutuhan auditor internal CBOK, bab ini akan fokus pada tiga aspek
SOx:
1. Elemen-elemen SOx kunci: ikhtisar undang-undang
2. Bagian 404 tinjauan pengendalian akuntansi internal
3. Pendekatan berbasis risiko AS5 SOx.

Sebagian besar dampak SOx tergantung pada aturan terperinci yang dirilis oleh
PCAOB untuk ditafsirkan undang-undang.

5.1 KEY SARBANES‐OXLEY ACT (SOx) ELEMENTS

Judul I: Dewan Pengawas Akuntansi Perusahaan Publik

Undang-undang SOx berisi aturan baru untuk auditor eksternal. Sebelum SOx, orang
Amerika Institut Akuntan Publik Bersertifikat (AICPA) memiliki tanggung jawab menetapkan
pedoman untuk semua auditor eksternal dan kantor akuntan publik mereka melalui administrasi
dari ujian Akuntan Publik Bersertifikat (CPA) dan pembatasan keanggotaan AICPA untuk BPA.
Judul II: Independensi Auditor
Auditor internal dan eksternal adalah sumber daya yang terpisah dan independen,
dengan eksternal auditor yang bertanggung jawab untuk menilai kewajaran keuangan perusahaan
yang dipublikasikan laporan, sementara auditor internal melayani manajemen di berbagai bidang
lainnya.
Selain larangan menyediakan layanan audit internal outsourcing, SOx melarang kantor
akuntan publik dari menyediakan layanan lain, termasuk: Desain dan implementasi sistem
informasi keuangan, Jasa pembukuan dan laporan keuangan, Fungsi manajemen dan sumber
daya manusia, Layanan terlarang lainnya
Judul III: Tanggung Jawab Perusahaan
Ini adalah area di mana internal auditor harus memiliki tingkat minat dan peran yang
lebih besar. Sebelum SOx, perusahaan mengajukan laporan keuangan mereka kepada SEC dan
investor, tetapi pejabat perusahaan yang bertanggung jawab yang "menandatangani" laporan-
laporan itu dapat membantah hal itu mereka tidak benar-benar bertanggung jawab secara pribadi
untuk mereka jika terjadi kesalahan. Petugas penandatanganan harus menyatakan bahwa:
Petugas penandatangan telah meninjau laporan, berdasarkan pengetahuan petugas penandatangan
itu, laporan keuangan tidak mengandung informasi yang tidak benar atau menyesatkan, sekali

1
lagi berdasarkan pengetahuan petugas penandatangan, laporan keuangan cukup mewakili kondisi
keuangan dan hasil operasi perusahaan, petugas penandatangan bertanggung jawab, petugas
penandatangan telah mengungkapkan kepada auditor, komite audit, petugas penandatangan telah
mengindikasikan dalam laporan apakah ada kontrol internal atau perubahan lain yang dapat
secara signifikan mempengaruhi kontrol tersebut, termasuk korektif tindakan, setelah tanggal
evaluasi pengendalian internal

5.2 KINERJA BAGIAN 404 TINJAUAN DI BAWAH AS5

Bagian SOx 404 membutuhkan persiapan dari laporan kontrol internal tahunan sebagai bagian
dari mandat SEC 10-K perusahaan laporan Tahunan. Selain laporan keuangan dan pengungkapan
10-K lainnya, Bagian 404 persyaratan membutuhkan dua elemen informasi dalam masing-
masing 10-K ini:
1. Pernyataan manajemen formal mengakui tanggung jawab mereka untuk membangun dan
mempertahankan struktur dan prosedur pengendalian internal yang memadai untuk
laporan keuangan
2. Suatu penilaian, pada akhir tahun fiskal terbaru, dari keefektifan struktur dan prosedur
pengendalian internal perusahaan untuk pelaporan keuangan
Proses-proses ini biasanya dipertimbangkan dalam hal siklus akuntansi dasar dan termasuk:
● Siklus pendapatan
● Siklus pengeluaran langsung
● Siklus pengeluaran tidak langsung.
● Siklus penggajian
● Siklus persediaan
● Fixed assets cycle.
● Siklus TI umum

5.3 AT5 ATURAN DAN AUDIT INTERNAL

AS5 tidak termasuk persyaratan rinci standar AS2 sebelumnya untuk mengevaluasi
proses evaluasi manajemen sendiri dan mengklarifikasi bahwa internal audit kontrol tidak
memerlukan pendapat tentang kecukupan proses manajemen. Sebagai contoh, AS5 berfokus
pada dimensi multilokasi risiko dalam suatu perusahaan dan mengurangi persyaratan bahwa
auditor eksternal harus menguji "sebagian besar" dari operasi perusahaan atau posisi keuangan.
Ini harus memungkinkan pengurangan pekerjaan audit keuangan.

5.4 DAMPAK TINDAKAN SARBAN ‐ OXLEY

SOx adalah hukum yang penting, dan setiap auditor internal harus memiliki
pemahaman umum kontennya sebagai persyaratan CBOK. Melampaui hanya pemahaman
umum ini, Bagian 404 SOx tentang tinjauan kontrol akuntansi internal harus diterima perhatian
dan pengertian audit yang paling internal. Dalam Bagian 404, suatu perusahaan adalah
bertanggung jawab untuk meninjau, mendokumentasikan, dan menguji akuntansi internalnya
sendiri kontrol, dengan hasil ulasan tersebut kemudian diteruskan ke eksternal perusahaan
auditor, yang ditugasi meninjau dan membuktikan pekerjaan itu sebagai bagian dari mereka
penelaahan atas laporan keuangan yang dilaporkan.

2
 CHAPTER 6: COBIT AND OTHER ISACA GUIDANCE
6.1 Pengenalan Cobit
COBIT (awalnya ditulis sebagai CobiT) ialah akronim yang semakin diakui ditandai oleh
banyak auditor internal dan eksternal dan profesional TI. COBIT adalah kerangka kontrol
internal yang penting dapat berdiri sendiri, dan sebagai alat pendukung untuk
mendokumentasikan dan memahami baik kondisi internal COSO maupun Sox troli. Meskipun
penekanan asli COBIT adalah berorientasi pada IT, kerangka kerjanya telah diperluas, dan
auditor internal di banyak perusahaan saat ini setidaknya harus memiliki pemahaman tentang
kerangka kerja COBIT dan penggunaannya sebagai alat untuk mendokumentasikan, mengkaji,
dan memahami kontrol internal SOx. Pengetahuan umum tentang COBIT haruslah suatu
Prinsip-prinsip kerangka kerja COBIT sering digambarkan sebagai pentagon yang
mencakup lima area luas dari kontrol internal. Ini menunjukkan lima area penekanan utama
COBIT yang diatur di sekitar konsep inti penting tata kelola TI:
1. Penyelarasan strategis..
2. Nilai pengiriman.
3. Manajemen risiko.
4. Manajemen sumber daya.
5. Pengukuran kinerja.

6.2 KERANGKA KERJA COBIT

Konsep kontrol internal yang penting saat ini, COBIT mendefinisikan tata kelola TI
sebagai serangkaian bidang utama mulai dari menjaga fokus pada penyelarasan strategis hingga
pentingnya pengukuran risiko dan kinerja saat mengelola sumber daya TI. COBIT memiliki
tujuan untuk mencakup semua kontrol internal operasi perusahaan, ini terutama menyediakan
kerangka kerja komprehensif yang dirancang untuk membantu perusahaan dalam mencapai
tujuan mereka untuk tata kelola dan manajemen TI perusahaan. Secara sederhana, ini membantu
perusahaan menciptakan nilai optimal dari TI dengan menjaga keseimbangan antara menyadari
manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. COBIT memiliki
tujuan untuk memungkinkan TI untuk diatur dan dikelola secara holistik untuk seluruh
perusahaan, dengan tanggung jawab penuh pada bisnis end-to-end dan fungsi fungsional TI,
dengan mempertimbangkan kepentingan terkait TI dari pemangku kepentingan internal dan
eksternal yang terkait dengan TI. COBIT bersifat umum dan bermanfaat untuk perusahaan dari
semua ukuran, baik komersial, nirlaba, atau di sektor publik.

6.3 PRINSIP 1: MEMENUHI KEBUTUHAN PEMANGKU KEPENTINGAN

Prinsip pertama COBIT hampir jelas, yang menyatakan bahwa suatu perusahaan dan
manajemen utamanya harus menyadari bahwa usaha mereka ada untuk menciptakan nilai bagi
para pemangku kepentingan mereka, apakah mereka investor, pelanggan, karyawan, pengguna,
atau orang lain. Akibatnya, apapun perusahaan, komersial atau tidak, harus memiliki konsep
penciptaan nilai ini sebagai utama tujuan manajemen dan tata kelola. Ini adalah pernyataan yang
terdengar jelas sayangnya tidak selalu benar. Sering kali, pemimpin perusahaan di semua
tingkatan mempertahankannya prioritas pribadi dan organisasi di depan mereka yang memenuhi
kepentingan yang lebih besar dari perusahaan secara keseluruhan.

3
6.4 PRINSIP 2: PENUTUPAN USAHA AKHIR UNTUK AKHIR
COBIT memberikan pandangan holistik dan sistemik mengenai tata kelola dan
manajemen TI perusahaan berdasarkan sejumlah faktor pendukung. Istilah holistic dari COBIT
adalah salah satu istilah yang sering digunakan oleh akademisi tetapi tidak oleh auditor internal
karena mereka membahas kemajuan tinjauan mereka, atau oleh banyak manajer perusahaan. Ini
mengacu pada mengambil pandangan yang mencakup segala hal berdasarkan sifat, fungsi, dan
sifat-sifat komponen dan interaksinya.

6.5 PRINSIP 3: KERANGKA TERINTEGRASI TUNGGAL

COBIT adalah kerangka kerja tunggal dan terintegrasi karena sejalan dengan relevan
lainnya saat ini standar dan kerangka kerja, seperti ITIL, dan memungkinkan perusahaan untuk
menggunakan COBIT sebagai kerangka tata kelola dan manajemen yang menyeluruh integrator.
Ini lengkap dalam cakupan perusahaan, memberikan dasar untuk berintegrasi secara efektif
kerangka kerja lain, standar, dan praktik. Kerangka kerja tunggal menyeluruh berfungsi sebagai
sumber bimbingan yang konsisten dan terintegrasi dalam agnostik nonteknis dan teknologi
bahasa umum

6.6 PRINSIP 4: MEMUNGKINKAN PENDEKATAN HOLISTIK

Enabler adalah faktor-faktor yang, secara individu dan kolektif, mempengaruhi apakah sesuatu
akan berfungsi — dalam hal ini, tata kelola dan manajemen atas perusahaan IT. Enabler
didorong oleh tujuan yang mengalir dari prinsip 3, di mana tujuan terkait IT tingkat tinggi
Definisikan apa yang harus dicapai oleh para pendukung yang berbeda.
6.7 PRINSIP 5: MEMISAHKAN TATA KELOLA DARI PENGELOLAAN
Prinsip COBIT yang tersisa dan kelima berfokus pada pentingnya terpisah tetapi terkait
konsep manajemen dan tata kelola dalam perusahaan yang berorientasi pada IT. COBIT
Kerangka kerja membuat perbedaan yang jelas antara tata kelola dan manajemen. Ini dua disiplin
ilmu meliputi berbagai jenis kegiatan, memerlukan organisasi yang berbeda struktur, dan
melayani tujuan yang berbeda. Perbedaan ini adalah kunci dari pandangan COBIT tentang
pemerintahan dan manajemen.
6.8 MENGGUNAKAN COBIT UNTUK MENILAI KONTROL INTERNAL
Sementara kontrol internal COSO dibangun sekitar hanya satu model kerangka kerja dan
beberap pedoman umum untuk mengevaluasi dan menilai kontrol internal ini, ada serangkaian
materi publikasi yang luas dan terperinci yang mendukung kontrol internal COBIT penilaian. Di
bagian ini, kami memberikan ringkasan terbatas dari beberapa panduan COBIT ance bahan
untuk memberikan auditor internal flor COBIT, tetapi profesional yang tertarik mungkin ingin
berkonsultasi dengan situs web ISACA untuk informasi lebih lanjut dan untuk meminta salinan
lengkap bahan pendukung. Versi yang dapat diunduh gratis untuk anggota ISACA atau bisa
dibeli dengan biaya nominal.
COBIT membagi langkah-langkah yang diperlukan untuk mengevaluasi kontrol dan proses TI
menjadi apa COBIT memanggil beberapa area domain:

4
1. Mengevaluasi, Mengarahkan, dan Memantau (EDM), 2. Menyelaraskan, Merencanakan, dan
Mengatur (APO), 3. Build, Acquire, and Implement (BAI), 4. Memberikan, Layanan, dan
Dukungan (DSS), 5. Monitor, Evaluate, dan Menilai (MEA)
6.9 PEMETAAN COBIT KE KONTROL INTERNAL COSO
Kerangka kerja kontrol internal COSO menyatakan bahwa kontrol internal adalah suatu proses
didirikan oleh dewan direksi, manajemen senior, dan orang lain dan entitas yang dirancang untuk
memberikan jaminan yang masuk akal tentang pencapaian yang disebutkan tujuan. Meskipun
memiliki tujuan yang serupa, COBIT mendekati kontrol TI dengan melihat informasi bukan
hanya informasi keuangan COSO yang diperlukan untuk mendukung bisnis persyaratan dan
sumber daya serta proses TI terkait.
CHAPTER 7 ENTERPRISE RISK MANAGEMENT: COSO ERM
7.1 MANAJEMEN RISIKO FUNDAMENTAL
Setiap perusahaan ada untuk memberikan nilai bagi para pemangku kepentingannya,
tetapi nilai itu dapat terkikis melalui kejadian tak terduga di semua tingkatan perusahaan dan
dalam semua kegiatan, mulai dari operasi sehari-hari hingga menetapkan strategi untuk beberapa
upaya di masa depan tetapi tidak pasti.
(1) Risiko Identifikasi
Tim manajemen perusahaan kemudian harus mengambil daftar potensi yang lebih lengkap ini
risiko perusahaan dan tanyakan pada diri mereka sendiri pertanyaan-pertanyaan berikut:
(2) Penilaian Risiko Utama
(a) Probabilitas dan Ketidakpastian, (b) Saling ketergantungan risiko, (c) Risiko Ranking
(3) Analisis Risiko Kuantitatif:
(a) Nilai yang diharapkan dan Perencanaan Respon, (b) Pemantauan Risiko
7.2 : COSO ERM: Enterprise Risk Management
COSO Enterprise Risk Management adalah suatu kerangka kerja untuk membantu perusahaan
untuk memiliki definisi yang konsisten dari risiko mereka. Hal ini juga merupakan alat penting
untuk memahami dan meningkatkan SOx pengendalian internal.
7.3 ELEMEN KUNCI COSO ERM
Kerangka kerja COSO ERM, seperti yang ditunjukkan dalam Tampilan 7.5, telah
menjadi model di seluruh dunia untuk menggambarkan dan mendefinisikan kontrol internal, dan
telah menjadi dasar untuk membangun Sox Bagian 404 kepatuhan.
COSO ERM
(1) Komponen Lingkungan Internal
Lingkungan internal COSO ERM komponen terdiri dari unsur-unsur berikut: filosofi
manajemen risiko, risk appetite, sikap dewan direksi, integritas dan nilai etika, komitmen
terhadap kompetensi, struktur organisasi, penugasan wewenang dan tanggung jawab, standar
sumber daya manusia
5
(2) Pengaturan Tujuan COSO ERM
COSO ERM menekankan bahwa pernyataan misi merupakan elemen penting untuk
menetapkan tujuan; Ini adalah pernyataan tujuan formal dan formal untuk membangun strategi
fungsional tertentu. Seringkali hanya sebuah pernyataan sederhana dan sederhana, sebuah
pernyataan misi harus merangkum tujuan perusahaan dan keseluruhan sikapnya terhadap risiko.
(3) Identifikasi Peristiwa COSO ERM
Peristiwa adalah insiden atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya..
(4) Penilaian Risiko COSO ERM
Risiko-risiko ini harus dinilai dari dua perspektif: kemungkinan risiko terjadi, dan potensi
dampaknya; risiko yang melekat, risiko residu
(5) Elemen Respons Risiko COSO ERM
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, respons risiko COSO
ERM proses membutuhkan peninjauan yang seksama terhadap estimasi kemungkinan risiko dan
dampak potensial, dengan pertimbangan diberikan pada biaya dan manfaat yang terkait, untuk
mengembangkan risiko yang sesuai strategi respons, mengikuti salah satu dari empat strategi
risiko dasar: penghindaran, pengurangan, berbagi, penerimaan.
(6) Kegiatan Kontrol ERM COSO
Aktivitas kontrol ERM adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan mengidentifikasi respons risiko. Komponen aktivitas kontrol dari COSO ERM
seharusnya terkait erat dengan strategi dan tindakan respons risiko yang telah dibahas
sebelumnya.
(6) COSO ERM Informasi dan Komunikasi
Komponen COSO ERM ini merupakan rangkaian yang terkait dengan risiko yang
terpisah yang menghubungkan COSO lainnya Komponen ERM, seperti digambarkan dalam
Tampilan 7.9 yang menunjukkan arus informasi lintas Komponen COSO ERM.
(7) Pemantauan ERM COSO
Ditempatkan di dasar tumpukan komponen kerangka ERM, pemantauan ERM diperlukan
untuk menentukan bahwa semua komponen ERM yang terpasang bekerja secara efektif.
7.4 DIMENSI LAIN DARI COSO ERM: ENTERPRISE TUJUAN RISIKO
Komponen-komponen strategis, operasi, pelaporan, dan tujuan risiko kepatuhan penting
tujuan manajemen risiko operasional, melaporkan tujuan manajemen risiko, tujuan risiko
kepatuhan hukum dan peraturan
7.5 RISIKO TINGKAT ENTITAS
Dimensi ketiga kerangka kerja COSO ERM memanggil risiko untuk dipertimbangkan
pada tingkat organisasi atau entitas. Kerangka kerja Exhibit 7.2 COSO ERM menunjukkan

6
empat divisi atau irisan dalam dimensi kerangka kerja ini: tingkat entitas, divisi, unit bisnis, dan
anak perusahaan risiko. Risiko Meliputi Seluruh Organisasi & Risiko Tingkat Unit Bisnis
7.6 MENEMPATKAN SEMUA BERSAMA: RISIKO AUDIT DAN PROSES ERM COSO
Mudah bingung dengan kontrol internal COSO, kerangka kerja ERM COSO
menguraikan risiko pendekatan manajemen yang berlaku untuk semua industri dan mencakup
semua jenis risiko.