INTERNAL AUDIT
CHAPTER 5, 6 & 7 PERTEMUAN KE III
IMPORTANCE OF INTERNAL CONTROLS
Disusun Oleh :
041911535015
SOx ini memperkenalkan serangkaian proses yang benar berubah untuk audit
eksternal dan memberikan tanggung jawab pemerintahan baru untuk eksekutif senior dan
anggota dewan. SOx juga mendirikan PCAOB, aturan pengaturan kewenangan sesuai dengan
SEC bahwa isu-isu standar audit keuangan dan memantau tata auditor eksternal.
1. Title I: Public Company Accounting Oversight Board
Undang-undang Sox mulai dengan aturan baru yang signifikan untuk auditor
eksternal. Sebelum SOx, American Institute Akuntan Publik (AICPA) memiliki pedoman
pengaturan merespon untuk semua auditor eksternal dan perusahaan publik akuntansi melalui
administrasi uji Akuntan Publik Bersertifikat (BPA) dan pembatasan atas keanggotaan
AICPA untuk CPA.
2. Title II : Auditor Independence
Konflik yang terjadi di Enron merupakan isu pembentukan Sox. Fungsi audit internal
perusahaan Enron dioutsource pada auditor eksternalnya, yaitu Arthur Andersen. Hal ini
sangat memengaruhi independensi dari Andersen. Terlebih investigator pada lingkungan
internal audit sangat sulit untuk mengangkat permasalahan ke komite audit mengenai auditor
eksternal mereka.
a. Limitations on Internal Auditor Services
Sox Section 201 melarang kantor akuntan publik yang terdaftar dari kinerja secara
kontemporer antara audit dan jasa nonaudit pada klien. Larangan termasuk mengaudit
internal, area konsultasi, dan perencanaan keuangan pekerja senior.
b. External Audit Partner Rotation
Partner akuntan publik tidak boleh memimpin suatu perikatan lebih dari lima tahun.
c. External Auditor Reports to Audit Commitees
Auditor eksternal kini diharuskan untuk melaporkan dasar semua kebijakan akuntansi,
praktik yang digunakan, langkah alternative dan laporan keuangan yang didiskusikan
oleh manajema, dan pendekatan yang dipilih oleh auditor eksternal.
d. Conflict of Interest and Mandatory Rotations of External Audit Firms
Section 206 melarang auditor eksternal untuk menyediakan jasa audit kepada
perusahaan dimana CEO, CFO, CAO yang diikutkan sebagai anggota kantor akuntan
publik pada waktu audit sampai akhir tahun.
3. Sox Title III : Corporate Responsibility
Title III menjelaskan perubahan besar peraturan baru untuk komite audit. Ini merupakan
area di mana auditor internal harus memiliki tingkat kepentingan yang lebih besar.
Walaupun komite audit pada umumnya terdiri dari direktur independen, ada banyak
pengecualian, Sox memperkenalkan berbagai aturan tata kelola perusahaan yang meliputi
dewan dan komite audit mereka.
❖ AUDIT COMMITTEE GOVERNANCE RULES
Semua perusahaan yang terdaftar harus memiliki komite audit terdiri dari direktur
independen saja, perusahaan audit eksternal bertanggung jawab langsung kepada komite
audit atas kompensasi perusahaan, pengawasan pekerjaan audit, dan resolusi dari setiap
perselisihan audit
Sebelum SOx, perusahaan mengajukan laporan keuangan mereka dengan SEC dan
investor tetapi dalam hal terjadi kesalahan,pegawai perusahaan yang bertanggung jawab
menandatangani laporan tersebut bisa membantah mereka tidak bertanggung jawab
secara pribadi.
SOx membuatnya melanggar hukum untuk setiap pejabat, direktur, atau bawahan terkait
untuk mengambil tindakan dari aturan SEC, untuk "menipu, mempengaruhi, memaksa,
memanipulasi, atau menyesatkan”.
COBIT adalah akronim yang semakin dikenal oleh banyak auditor internal dan eksternal serta
profesional TI. COBIT adalah kerangka kontrol internal penting yang dapat berdiri sendiri,
tetapi juga merupakan alat pendukung penting untuk mendokumentasikan dan memahami
kontrol internal COSO dan SOx. Meskipun penekanan awal COBIT adalah berorientasi pada
TI, kerangka kerja telah diperluas, dan auditor internal di banyak perusahaan saat ini
setidaknya harus memiliki pemahaman tentang kerangka kerja COBIT dan penggunaannya
sebagai alat untuk mendokumentasikan, meninjau, dan memahami pengendalian internal
SOx. Pengetahuan umum tentang COBIT harus menjadi persyaratan CBOK auditor internal.
Standar dan kerangka kerja COBIT dikeluarkan dan diperbarui secara berkala oleh IT
Governance Institute dan organisasi profesional yang berafiliasi erat dengan Information
Systems Audit and Control Association (ISACA). ISACA pada awalnya dikenal sebagai
Electronic Data Processing Auditors Association (EDPAA), sebuah kelompok profesional
yang dimulai pada tahun 1967 oleh auditor internal yang merasa organisasi profesinya.
Proses TI, aplikasi perangkat lunak dan perangkat keras pendukungnya merupakan
komponen kunci di perusahaan mana pun saat ini. Baik bisnis ritel kecil dengan kebutuhan
untuk melacak inventaris dan membayar karyawannya, semuanya memerlukan serangkaian
proses TI yang saling berhubungan dan seringkali kompleks yang terkait erat dengan operasi
bisnis mereka. COBIT memberikan pendekatan alternatif untuk mendefinisikan dan
menggambarkan pengendalian internal yang memiliki lebih banyak penekanan TI daripada
kerangka pengendalian internal COSO yang baru direvisi. Lima prinsip dasar COBIT, dengan
persyaratan bisnis yang mendorong permintaan akan sumber daya TI dan sumber daya
tersebut yang memulai proses TI dan informasi perusahaan secara sirkular berkelanjutan.
Bagian berikut akan membahas masing-masing dari lima prinsip COBIT, mulai dari prinsip 1
memenuhi kebutuhan pemangku kepentingan, hingga prinsip 5 tentang memisahkan tata
kelola dari manajemen. Tata kelola TI sekarang menjadi konsep kunci COBIT yang tidak
terlalu ditekankan sebagai elemen pengendalian internal yang penting baik dalam kerangka
kerja COSO asli atau di SOx. Konsep pengendalian internal yang penting saat ini, COBIT
mendefinisikan tata kelola TI sebagai serangkaian area utama mulai dari menjaga fokus pada
penyelarasan strategis hingga pentingnya pengukuran risiko dan kinerja saat mengelola
sumber daya TI.
Sementara COBIT memiliki tujuan untuk mencakup semua kontrol internal operasi
perusahaan, COBIT terutama menyediakan kerangka kerja komprehensif yang dirancang
untuk membantu perusahaan dalam mencapai tujuan mereka untuk tata kelola dan
manajemen TI perusahaan. Sederhananya, ini membantu perusahaan menciptakan nilai
optimal dari TI dengan menjaga keseimbangan antara mewujudkan manfaat dan
mengoptimalkan tingkat risiko dan penggunaan sumber daya.
Lima prinsip ini telah diekstraksi dan diringkas dari dokumentasi yang diterbitkan ISACA.2
Pemahaman masing-masing penting untuk menggunakan COBIT dalam mengevaluasi dan
memahami pengendalian internal perusahaan. Auditor internal harus mempertimbangkan
untuk menggunakan COBIT dan versi 5 saat meninjau dan menilai pengendalian internal di
lingkungan yang sangat berorientasi pada TI.
Prinsip pertama COBIT menyatakan bahwa suatu perusahaan dan manajemennya harus
mengakui bahwa perusahaan mereka dapat menciptakan nilai bagi pemangku kepentingan,
seperti investor pelanggan, karyawan, pengguna, ataupun orang lain. Penciptaan nilai,
sebagaimana didefinisikan dalam COBIT, berarti mewujudkan berbagai manfaat dengan
biaya sumber daya, risiko, dan pemanfaatan sumber daya yang optimal. Manfaat ini dapat
mengambil banyak bentuk, termasuk keuangan untuk perusahaan komersial atau layanan
publik untuk entitas pemerintah. COBIT meminta pemangku kepentingan perlu diubah
menjadi tindakan yang dapat ditindaklanjuti, strategi yang menerjemahkan kebutuhan
pemangku kepentingan ke dalam tujuan yang terkait dengan perusahaan dan TI yang spesifik
dan disesuaikan, yang disebut COBIT sebagai tujuan yang memungkinkan. COBIT
mendefinisikan ini sebagai proses mengidentifikasi kebutuhan TI dan manajemen dan
kemudian membangun tujuan dari kebutuhan tersebut. Balanced scorecard adalah alat
penting yang harus menjadi bagian dari CBOK auditor internal. COBIT menyarankan bahwa
seperangkat tujuan perusahaan pertama harus ditetapkan, diikuti dengan latihan serupa untuk
menetapkan tujuan TI. Proses penetapan tujuan ini mencerminkan orientasi TI berat COBIT
meskipun protes menjadi alat evaluasi pengendalian internal manajemen secara keseluruhan.
Ketika memulai tinjauan mengikuti prinsip- prinsip COBIT , auditor internal harus
melangkah mundur dan mengembangkan pemahaman tentang kebutuhan keuangan,
pelanggan, internal, dan perusahaan dari perusahaan.
Sebagai langkah terakhir dalam menerapkan prinsip pertama ini, COBIT meminta tim yang
menerapkan proses ini untuk mengalirkan tujuan yang telah ditetapkan ini ke dalam tujuan
enabler COBIT. Kaskade tujuan COBIT ini penting untuk memungkinkan definisi prioritas
untuk implementasi, peningkatan, dan jaminan tata kelola TI perusahaan berdasarkan tujuan
strategis perusahaan dari risiko terkait. Dalam praktiknya, kaskade tujuan ini harus membantu
perusahaan untuk menentukan tujuan dan sasaran yang relevan dan nyata di berbagai tingkat
tanggung jawab.
Sistem tata kelola mengacu pada semua cara dan mekanisme yang memungkinkan banyak
pemangku kepentingan dalam suatu perusahaan memiliki suara yang terorganisir dalam
mengevaluasi kondisi dan opsi; pengaturan arah; dan memantau kepatuhan, kinerja, dan
kemajuan terhadap rencana, untuk memenuhi tujuan perusahaan tertentu. Ini semua mengacu
pada satu set utama kegiatan kemudi. Sarana dan mekanisme di sini termasuk kerangka kerja,
prinsip, kebijakan, sponsorship, struktur, dan mekanisme keputusan, serta peran dan
tanggung jawab, proses, dan praktik untuk menetapkan arah dan memantau kepatuhan dan
kinerja yang selaras dengan tujuan keseluruhan. Ini adalah definisi tata kelola TI yang agak
besar dan luas, tetapi kita harus selalu ingat bahwa di sebagian besar perusahaan, tata kelola
adalah tanggung jawab dewan direksi di bawah kepemimpinan CEO dan ketua. Seringkali
dibedakan dari tata kelola, manajemen memerlukan penggunaan sumber daya, orang, proses,
praktik, dan sebagainya secara bijaksana untuk mencapai tujuan yang teridentifikasi. Ini
adalah sarana atau instrumen yang digunakan badan tata kelola untuk mencapai hasil atau
tujuan.
Manajemen bertanggung jawab atas pelaksanaan dalam arah yang ditetapkan oleh badan atau
unit pemandu. Manajemen adalah tentang perencanaan, pembangunan, pengorganisasian, dan
pengendalian kegiatan operasional untuk menyelaraskan dengan arah yang ditetapkan oleh
badan tata kelola. Dari definisi tata kelola dan manajemen, jelas bahwa keduanya terdiri dari
berbagai jenis kegiatan, dengan tanggung jawab yang berbeda; namun, mengingat peran tata
kelola untuk mengevaluasi, mengarahkan, dan memantau—seperangkat interaksi diperlukan
antara tata kelola dan manajemen untuk menghasilkan sistem tata kelola yang efisien dan
efektif. Interaksi ini, menggunakan struktur enabler, ditampilkan pada tingkat tinggi dalam
Tampilan 6.6. COBIT menekankan bahwa tata kelola dan manajemen adalah jenis kegiatan
yang berbeda, dengan tanggung jawab yang berbeda. Namun, mengingat peran tata Kelola
untuk mengevaluasi, mengarahkan, dan memantau seperangkat interaksi diperlukan antara
tata kelola dan manajemen untuk menghasilkan sistem tata kelola yang efisien dan efektif.
Interaksi ini, dengan menggunakan struktur yang memungkinkan, kemudian dikaitkan
dengan proses tinjauan pengendalian internal tertentu, kekuatan sebenarnya dari kerangka
kerja COBIT.
Konsep dan pemahaman seorang profesional tentang risiko mungkin sangat berbeda dari
orang lain, meskipun keduanya bekerja untuk perusahaan yang sama dan di bidang yang
serupa. Hal ini terutama berlaku untuk manajer dan auditor internal yang bekerja untuk
meningkatkan kontrol internal COSO dan kepatuhan terkait SOx; belum ada pemahaman
yang konsisten tentang apa yang dimaksud dengan konsep risiko ini. Khususnya untuk
mendukung pemahaman tentang pengendalian internal COSO dan SOx, auditor internal perlu
memiliki pemahaman yang baik tentang manajemen risiko di tingkat perusahaan dan
bagaimana hal itu memengaruhi keterampilan mereka untuk membangun dan
mengembangkan proses pengendalian internal yang efektif.
7.1 RISK MANAGEMENT FUNDAMENTALS
Manajemen risiko adalah konsep terkait asuransi di mana individu atau perusahaan biasanya
menggunakan mekanisme asuransi untuk memberikan perisai atau perlindungan dari risiko
tersebut.
Bagian berikut akan secara singkat mensurvei beberapa pendekatan manajemen risiko
modern yang mendasar dengan tujuan membantu menetapkan prosedur manajemen risiko
perusahaan yang lebih efektif. Proses manajemen risiko yang efektif memerlukan empat
langkah:
Risk Identification
Cara yang baik untuk memulai proses identifikasi risiko adalah memulai dengan bagan
perusahaan tingkat tinggi yang mencantumkan tingkat perusahaan serta unit operasi. Masing-
masing unit tersebut mungkin memiliki fasilitas di beberapa lokasi global dan juga dapat
terdiri dari beberapa jenis operasi yang berbeda. Setiap fasilitas yang terpisah kemudian akan
memiliki departemen atau fungsinya sendiri. Beberapa fasilitas ini mungkin terkait erat satu
sama lain, sementara yang lain mewakili sedikit lebih banyak daripada investasi perusahaan.
Sebuah tugas yang sulit dan terkadang rumit, inisiatif seluruh perusahaan harus diluncurkan
untuk mengidentifikasi semua risiko di berbagai bidang individu. Jenis latihan ini dapat
memberikan hasil yang menarik dan/atau mengganggu. Misalnya, manajer senior tingkat
perusahaan mungkin menyadari beberapa risiko kewajiban produk, tetapi supervisor garis
depan di unit operasi mungkin melihat risiko yang sama dari perspektif yang sama sekali
berbeda. Anggota perusahaan yang berbeda pada tingkat yang berbeda akan melihat beberapa
risiko yang sama dari sudut pandang yang berbeda. Manajer pemasaran mungkin khawatir
tentang strategi penetapan harga pesaing atau risiko aktivitas penetapan harga yang akan
membuat perusahaan melanggar undang-undang pembatasan perdagangan. Untuk memiliki
pemahaman yang lebih baik tentang risiko yang dihadapi suatu perusahaan, seringkali yang
terbaik adalah memperluas daftar ini untuk menetapkan satu set yang lebih lengkap. Tim
manajemen perusahaan kemudian harus mengambil daftar potensi risiko perusahaan yang
lebih lengkap ini dan mengajukan pertanyaan kepada diri mereka sendiri di sepanjang baris:
· Apakah risiko umum di seluruh perusahaan atau unik untuk satu kelompok bisnis?
· Akankah perusahaan menghadapi risiko ini karena peristiwa internal atau eksternal?
· Risiko terkait, sehingga satu risiko dapat menyebabkan risiko lain terjadi?
Berapa kemungkinan risiko ini terjadi selama periode ? Dengan menggunakan rentang skor 1
sampai 9, berikan skor tebakan terbaik sebagai berikut:
· Skor 1 jika melihat hampir tidak ada peluang risiko itu terjadi selama periode tersebut.
· Skor 9 jika merasa peristiwa itu hampir pasti akan terjadi selama periode tersebut.
· Skor 2 hingga 8 tergantung di mana Anda merasa kemungkinan jatuh dalam kisaran ini.
Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus memikirkan kemungkinan
dan kejadian risiko yang diperkirakan individu dalam hal probabilitas dua digit mulai dari
0,01 hingga 0,99.
Risk Interdependencies
Independensi risiko harus dipertimbangkan dan dievaluasi di seluruh struktur organisasi.
Setiap entitas harus memperhatikan risiko di semua tingkat organisasi tetapi hanya benar-
benar memiliki kendali atas risiko dalam lingkupnya sendiri. Jatuhnya tahun 2002 dari kantor
akuntan Arthur Andersen setelah runtuhnya Enron adalah contohnya. Setiap unit kota-demi-
kota dan negara-demi-negara dari kantor akuntan publik yang pernah dihormati itu memiliki
prosedur penilaian risikonya sendiri, mengikuti standar perusahaan. Namun, peristiwa risiko
di salah satu kantor operasi, Houston, menyebabkan perusahaan itu runtuh di seluruh dunia.
Sebuah kantor yang beroperasi di daerah lain, seperti Toronto, mungkin bahkan tidak
sepenuhnya mengantisipasi risiko seperti itu di Houston yang jauh. Intinya di sini adalah
bahwa risiko seringkali sangat saling bergantung dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risikonya sendiri tetapi dapat dikenakan konsekuensi
dari peristiwa risiko pada unit di atas atau di bawah dalam struktur organisasi.
Risk Ranking
Langkah selanjutnya adalah mengambil estimasi signifikansi dan kemungkinan yang telah
ditetapkan, menghitung peringkat risiko, dan mengidentifikasi risiko paling signifikan di
seluruh entitas yang ditinjau.
Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali perusahaan memiliki
setidaknya beberapa rencana awal untuk langkah-langkah tindakan yang diperlukan jika
mereka mengalami salah satunya. memperkirakan dampak biaya dari timbulnya beberapa
risiko yang teridentifikasi dan kemudian menerapkan biaya tersebut ke probabilitas faktor
risiko untuk memperoleh nilai risiko yang diharapkan. Ini sering merupakan latihan yang
tidak memerlukan studi biaya terperinci dengan banyak tren dan perkiraan historis yang
mendukung. Sebaliknya, perkiraan biaya yang diharapkan harus dilakukan oleh orang-orang
garis depan di berbagai tingkat perusahaan yang akan memiliki tingkat pengetahuan yang
baik tentang area atau implikasi risiko.
Enterprise Risk Management adalah kerangka kerja untuk membantu perusahaan memiliki
definisi risiko yang konsisten. Ini juga merupakan alat penting untuk memahami dan
meningkatkan kontrol internal SOx.
COSO ERM Kerangka kerja COSO ERM, seperti yang ditunjukkan pada Tampilan 7.5, telah
menjadi model di seluruh dunia untuk menggambarkan dan mendefinisikan pengendalian
internal, dan telah menjadi dasar untuk menetapkan kepatuhan SOx Bagian 404. Mungkin
karena beberapa anggota tim yang sama awalnya terlibat dengan kerangka pengendalian
internal COSO dan ERM, kerangka kerja COSO ERM, pada pengamatan pertama, terlihat
sangat mirip dengan kerangka pengendalian internal COSO. Kerangka kerja COSO ERM ini
ditunjukkan pada Tampilan 7
Tingkat ini mendefinisikan dasar untuk semua komponen lain dalam model ERM perusahaan,
mempengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana kegiatan bisnis
yang berhubungan dengan risiko terstruktur, dan bagaimana risiko diidentifikasi dan
ditindaklanjuti. Lingkungan internal COSO ERM komponen terdiri dari elemen-elemen
berikut
Melihat bagian depan atau wajah kubus COSO ERM, ada delapan level atau faktor, dengan
lingkungan internal yang terletak di bagian atas. Ini mirip dengan internal COSO yang
direvisi kerangka kerja kontrol. Lingkungan internal harus dianggap sebagai batu penjuru
untuk COSO ERM. Kembali ke ketika jembatan dibangun dari batu bata, batu penjuru
dipegang lengkungan bata naik dari setiap sisi rentang, menjaga jembatan keseluruhan
bersama-sama. Komponen batu penjuru ini juga mirip dengan kotak di bagian atas bagan
organisasi yang mencantumkan chief executive officer sebagai kepala fungsi yang ditunjuk.
Tingkat ini mendefinisikan dasar untuk semua komponen lain dalam model ERM perusahaan,
mempengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana kegiatan bisnis
yang berhubungan dengan risiko terstruktur, dan bagaimana risiko diidentifikasi dan
ditindaklanjuti. Lingkungan internal COSO ERM komponen terdiri dari elemen-elemen
berikut:
Intinya di sini adalah bahwa perusahaan harus menentukan strategi terkait risiko dan Tujuan.
Dalam pedoman tersebut, ia harus memutuskan selera dan toleransinya untuk risiko tersebut.
Artinya, itu harus menentukan tingkat risiko yang bersedia diterima, dan diberikan aturan
toleransi risiko itu, seberapa jauh ia bersedia menyimpang dari mea-sures.
Peristiwa adalah insiden atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya. Sedangkan sebuah
kecenderungan auditor internal adalah memikirkan peristiwa dalam arti negatif - menentukan
apa yang mereka juga bisa positif. Banyak perusahaan saat ini memiliki perfor yang kuat- alat
pemantauan mance di tempat, dengan proses pemantauan biaya, anggaran, jaminan kualitas,
kepatuhan, dan sejenisnya. Namun, melampaui satu meter pada produksi jalur perakitan,
proses pemantauan harus mencakup:
● External economic events.
● Natural environmental events.
● Political events.
● Social factors.
● Internal infrastructure events.
● Internal process–related events.
● External and internal technological events.
Perusahaan perlu mendefinisikan dengan jelas peristiwa risikonya yang signifikan dan
kemudian memiliki processes di tempat untuk memantau mereka untuk mengambil tindakan
yang sesuai yang diperlukan. Ini adalah jenis proses berpikiran maju yang seringkali sulit
dikenali di banyak negara. perusahaan, tetapi melihat peristiwa risiko potensial internal dan
eksternal ini dan memutuskan yang membutuhkan perhatian lebih lanjut bisa menjadi proses
yang sulit. Beberapa adalah kebutuhan mendesak, yang lain diarahkan di masa depan. Bahan
pendukung COSO ERM menunjukkan bahwa suatu perusahaan harus menetapkan proses
untuk meninjau risiko yang berpotensi signifikan dan kemudian mempertimbangkan
beberapa dari pendekatan berikut: