RESUME INTERNAL AUDIT

CHAPTER 5, 6 & 7

PERTEMUAN 3

Disusun oleh :

Agiel Shintia Miftahul Jannah 041911535012

PROGRAM STUDI S1 – AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

PSDKU UNIVERSITAS AIRLANGGA DI BANYUWANGI

2022
CHAPTER 5
SARBANES OXLEY AND BEYOND

Sarbanes Oxley Act (SOX) adalah hukum AS yang berlaku pada tahun 2002 untuk
memperbaiki proses pelaporan audit keuangan dan mandat dewan direktur yang baru,
akuntan publik, dan praktIk tata kelola perusahaan lainnya. Ini memiliki dampak besar pada
bisnis pertama di Amerika Serikat dan sekarang di seluruh dunia. Sementara audit baru
SOX dan aturan pengendalian internal telah banyak berubah dalam praktik auditor
eksternal, SOX juga berdampak besar pada auditor internal. Sebuah pemahaman umum
tentang SOX, dengan penekanan pada aturan 404 pengendalian akuntansi Bagian internal
perusahaan, harus menjadi kunci badan umum pengetahuan (CBOK) Persyaratan untuk
semua auditor internal.
1. Key Sarbanes-Oxley Act Elements
• Judul I: Badan Pengawas Akuntansi Perusahaan Publik.
SOx Title I mendefinisikan praktik audit PCAOB untuk auditor eksternal. Proses audit dan
tata kelola perusahaan lainnya telah mengubah bagaimana auditor internal
mengkoordinasikan pekerjaan mereka dengan auditor eksternal. PCAOB juga
mengeluarkan peraturan dari waktu ke waktu untuk mendukung undang-undang dasar
SOx.
• Judul II: Independensi Auditor
Auditor internal outsourcing dimulai pada akhir tahun 1980an mengikuti jalur penalaran
yang sama ini. Perusahaan audit eksternal mulai menawarkan untuk mengambil alih fungsi
audit internal klien yang ada.
• SOx Judul III: Tanggung Jawab Perusahaan
Judul III menjelaskan perubahan peraturan baru yang utama bagi komite audit. Ini adalah
area dimana auditor internal harus memiliki tingkat kepentingan dan peran yang lebih
tinggi. Meskipun komite audit umumnya terdiri dari direktur independen, ada banyak
pengecualian. SOx memperkenalkan berbagai aturan tata kelola yang mencakup dewan
direksi dan komite audit mereka.

• Judul IV: Pengungkapan Keuangan yang Disempurnakan

 Judul IV SOX dirancang untuk memperbaiki beberapa masalah pengungkapan pelaporan
keuangan, untuk memperketat peraturan benturan kepentingan bagi perwira dan direksi
perusahaan, untuk mengamanatkan penilaian manajemen terhadap pengendalian internal,
untuk meminta kode etik perwira senior, dan lainnya.
• Judul V: Analis Konflik Kepentingan
Judul V dirancang untuk memperbaiki beberapa analis sekuritas. Investor mengandalkan
rekomendasi analis sekuritas selama bertahun-tahun, namun seringkali para analis ini
terkait dengan rumah pialang besar, dan menganalisa dan merekomendasikan sekuritas
kepada investor dan pemberi kerja lembaga keuangan mereka
• Judul VI sampai X: Akuntabilitas Penipuan dan Kejahatan Kerah Putih
Judul SOx VIII dan IX tampaknya sangat sensitif terhadap kegagalan Enron dan kematian
Arthur Andersen. Pada saat itu, meskipun Andersen tampak sangat bersalah atas usaha
untuk memecahkan rekor akuntansi perusahaan, Andersen pada awalnya berargumen
bahwa ini hanya mengikuti prosedur yang telah ditetapkan dan tidak melakukan kesalahan
apapun. Pengadilan akhirnya menemukan Andersen tidak bersalah atas persekongkolan
kriminal, namun perusahaan tersebut sudah tidak ada lagi. Judul VIII SOx telah
menetapkan peraturan dan hukuman khusus untuk penghancuran catatan audit perusahaan.
• Judul XI: Akuntabilitas Penipuan Perusahaan
Judul SOx terakhir ini mencakup tanggung jawab perusahaan atas pelaporan keuangan
yang tidak benar. Disini SEC diberi wewenang untuk memberlakukan pembekuan
sementara atas pengalihan dana perusahaan ke petugas dan pihak lain di perusahaan yang
tunduk pada penyelidikan SEC. Gelar ini diberlakukan untuk memperbaiki pelanggaran
yang dilaporkan di mana beberapa perusahaan yang diselidiki karena kecurangan finansial
sekaligus memberikan pembayaran tunai yang besar kepada individu. Korporasi yang
bermasalah harus mempertahankan sejumlah dana sampai masalah teratasi.

2. Performing Section 404 Reviews under AS 5

Pada section 404, sebuah perusahaan bertanggungjawab untuk melakukan review,
mendokumentasi, dan menguji pengendalian internalnya. Awal pertengahan 2007, section
404 ini dubah menjadi AS 5, yang merupakan pendekatan audit lebih berisiko yang lebih
baik penggunaannya olehh internal auditor dalam melakukan penilaian.
3. AS Rules and Internal Audit
Selama AS 5 menjadi standar bagi auditor external yang menjamin laporan keuangan yang
dipublikasi, aturan baru juga sangat penting bagi internal auditor dan manajemen
keuangan. AS 5 memperkenalkan aturan berbasis resiko dengan menekankan pada
kefektifan dari kontrol tingkat perusahaan yang lebih beorientasi pada fakta dan keadaan
perusahaan. Dengan tambahan, audit standar ini meminta auditor ekternal untuk
mempetimbangkan termasuk mereview sesuai dengan laporan auditor internal pada review
laporan keuangan audit mereka.
4. Impact of the Sarbanes-Oxley Act
SOx dapat memberikan banyak perubahan pada perusahaan, baik di Amerika Serikat
maupun seluruh dunia. Aturan – aturan dan petanggungjawaban dari eksternal dan internal
auditor dapat berubah, dan perusahaan dengan teliti melihat pengendalian internal dan etika
bisnis dari banyak pespektif.
CHAPTER 6
COBIT and Other ISACA Guidance 1. INTRODUCTION TO COBIT
COBIT (awalnya ditulis sebagai CobiT) adalah kerangka kerja pengendalian internal
penting yang dapat berdiri sendiri, tetapi juga merupakan alat pendukung penting untuk
mendokumentasikan dan memahami kontrol internal COSO dan SOx. Meskipun
penekanan asli COBIT adalah berorientasi pada IT, kerangka kerjanya telah diperluas, dan
auditor internal di banyak perusahaan saat ini setidaknya harus memiliki pemahaman
tentang kerangka kerja COBIT dan penggunaannya sebagai alat untuk
mendokumentasikan, meninjau, dan memahami kontrol internal SOx.
2. COBIT FRAMEWORK
Proses TI dan aplikasi perangkat lunak pendukung serta perangkat perangkat kerasnya
merupakan komponen utama dalam perusahaan apa pun saat ini. Apakah bisnis ritel kecil
dengan kebutuhan untuk melacak inventarisnya dan membayar karyawan, atau perusahaan
Fortune 500, semua memerlukan serangkaian proses TI yang saling terkait dan seringkali
rumit yang terkait erat dengan operasi bisnis mereka. Yaitu, proses bisnis dan sumber daya
TI pendukungnya bekerja dalam hubungan berbagi informasi yang erat. TI tidak dapat dan
tentu saja tidak boleh memberi tahu operasi bisnis apa jenis proses dan sistem TI yang
harus mereka pertimbangkan untuk diimplementasikan, tetapi TI memberikan informasi
untuk membantu memengaruhi keputusan bisnis. Pada masa-masa awal sistem komputer,
manajer TI kadang-kadang merasa mereka punya banyak jawaban dan mempromosikan
solusi sistem untuk bisnis mereka, kadang-kadang dengan hasil yang sangat
kontraproduktif. Namun, hubungan ini telah berubah hari ini dan operasi TI dan bisnis
umumnya harus memiliki hubungan timbal balik yang erat antara persyaratan dan
informasi bersama

3. PRINCIPLE 1: MEETING STAKEHOLDER NEEDS

Pertama COBIT hampir jelas, menyatakan bahwa suatu perusahaan dan manajemen
utamanya harus mengakui bahwa perusahaan mereka ada untuk menciptakan nilai bagi
para pemangku kepentingan mereka, apakah mereka investor, pelanggan, karyawan,
pengguna, atau lainnya. Akibatnya, perusahaan apa pun, komersial atau tidak, harus
memiliki konsep penciptaan nilai ini sebagai tujuan manajemen dan tata kelola utama. Ini
adalah pernyataan yang terdengar jelas yang sayangnya tidak selalu benar. Terlalu sering,
 para pemimpin perusahaan di semua tingkatan menjaga prioritas pribadi dan organisasi
mereka di atas mereka yang memenuhi kebaikan yang lebih besar dari keseluruhan
perusahaan. Penciptaan nilai, sebagaimana didefinisikan dalam COBIT, berarti
mewujudkan berbagai manfaat dengan biaya sumber daya yang optimal, risiko, dan
pemanfaatan sumber daya.
4. PRINCIPLE 2: COVERING THE ENTERPRISE END TO END
COBIT menyatakan bahwa ini membahas tata kelola dan manajemen informasi dan
teknologi terkait dari perspektif ujung ke ujung perusahaan-bukan-ekspresi yang sangat
umum bagi sebagian besar auditor internal. Ini berarti bahwa COBIT memerlukan integrasi
tata kelola TI perusahaan, dan bahwa sistem tata kelola untuk TI perusahaan diusulkan oleh
COBIT harus berintegrasi dengan mulus dalam sistem tata kelola apa pun. COBIT sejalan
dengan pandangan tentang tata kelola TI yang mencakup semua fungsi dan proses yang
diperlukan untuk mengatur dan mengelola informasi perusahaan dan teknologi terkait di
mana pun informasi itu dapat diproses. Mengingat ruang lingkup perusahaan yang
diperluas ini, COBIT juga membahas semua layanan TI internal dan eksternal yang
relevan, serta proses bisnis internal dan eksternal. COBIT memberikan pandangan holistik
dan sistemik tentang tata kelola dan manajemen TI perusahaan berdasarkan sejumlah
enabler.
5. PRINCIPLE 3: A SINGLE INTEGRATED FRAMEWORK
COBIT adalah kerangka kerja tunggal dan terintegrasi karena sejalan dengan standar dan
kerangka kerja lain yang relevan saat ini, seperti ITIL®, dibahas pada Bab 19, dan
memungkinkan perusahaan untuk menggunakan COBIT sebagai tata kelola kerangka kerja
dan integrator kerangka kerja manajemen yang menyeluruh. Ini lengkap dalam cakupan
perusahaan, memberikan dasar untuk mengintegrasikan secara efektif kerangka kerja lain,
standar, dan praktik. Kerangka kerja tunggal menyeluruh berfungsi sebagai sumber
bimbingan yang konsisten dan terintegrasi dalam bahasa umum nonteknis,
teknologiagnostik. COBIT menyediakan arsitektur sederhana untuk menyusun bahan
panduan dan menghasilkan rangkaian produk yang konsisten. Ini memiliki tujuan
mengintegrasikan pengetahuan yang sebelumnya tersebar di berbagai kerangka kerja
seperti COSO.
6. PRINCIPLE 4: ENABLING A HOLISTIC APPROACH
Enabler adalah faktor-faktor yang, secara individu dan kolektif, mempengaruhi apakah
sesuatu akan berhasil — dalam hal ini, tata kelola dan manajemen atas IT perusahaan.
Enabler didorong oleh tujuan yang mengalir dari prinsip 3, di mana tujuan terkait TI tingkat
tinggi menentukan apa yang harus dicapai oleh enabler yang berbeda.
7. PRINCIPLE 5: SEPARATING GOVERNANCE FROM MANAGEMENT
Prinsip COBIT yang tersisa dan kelima berfokus pada pentingnya konsep manajemen dan
tata kelola yang terpisah namun terkait dalam perusahaan berorientasi IT. Kerangka kerja
COBIT membuat perbedaan yang jelas antara tata kelola dan manajemen. Dua disiplin ilmu
ini meliputi berbagai jenis kegiatan, memerlukan struktur organisasi yang berbeda, dan
melayani tujuan yang berbeda. Perbedaan ini merupakan kunci pandangan COBIT tentang
tata kelola dan manajemen.
8. USING COBIT TO ASSESS INTERNAL CONTROLS
Kontrol internal COSO dibangun hanya di sekitar model kerangka kerja tunggal dan
beberapa panduan umum untuk mengevaluasi dan menilai kontrol internal ini, ada
serangkaian materi yang luas dan terperinci yang mendukung kontrol internal COBIT
penilaian. Pada bagian ini, kami memberikan ringkasan terbatas dari beberapa materi
panduan COBIT untuk memberikan auditor internal sedikit variasi COBIT, tetapi para
profesional yang tertarik mungkin ingin berkonsultasi dengan situs web ISACA untuk
informasi lebih lanjut dan untuk meminta salinan penuh dari materi pendukung. Versi yang
dapat diunduh gratis untuk anggota ISACA atau dapat dibeli dengan biaya nominal.
9. MAPPING COBIT TO COSO INTERNAL CONTROLS
Kerangka kerja pengendalian internal COSO menyatakan bahwa pengendalian internal
adalah suatu proses - ditetapkan oleh dewan direksi, manajemen senior, dan personel lain
dari entitas - yang dirancang untuk memberikan jaminan yang wajar mengenai pencapaian
tujuan yang dinyatakan. Walaupun memiliki tujuan yang serupa, COBIT mendekati kontrol
TI dengan melihat informasi — tidak hanya informasi keuangan COSO — yang diperlukan
untuk mendukung persyaratan bisnis dan sumber daya serta proses TI terkait. Tujuan
pengendalian COSO mencakup keefektifan, efisiensi operasi, pelaporan keuangan yang
andal, dan kepatuhan terhadap hukum dan peraturan.
CHAPTER 7

ENTERPRISE RISK MANAGEMENT : COSO ERM 1.

MANAJEMEN RISIKO FUNDAMENTAL

a) Risiko Identifikasi
Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin mempengaruhi
keberhasilan perusahaan, mulai dari yang lebih besar atau lebih signifikan bisnis secara
keseluruhan risiko ke risiko kurang penting terkait dengan proyek-proyek individu atauyang
lebih kecil unit bisnis. Proses identifikasi risiko memerlukan dipelajari, pendekatan yang
disengaja untuk melihat potensi risiko di setiap daerah operasi dan kemudian
mengidentifikasiyang lebih area risiko signifikan yang dapat mempengaruhi setiap operasi
dalam jangka waktu yang wajar.
b) Kunci Penilaian Risiko
Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah berikutnya adalah
untuk menilai kemungkinan mereka dan signifikansi relatif. Berbagai pendekatan dapat
digunakan di sini, mulai dari yang terbaik-kira pendekatan kualitatif untuk beberapa rinci,
kuantitatif sangat matematika analisis. Idenya adalah untuk membantu memutuskan mana
dari serangkaianberpotensi berisiko acara harus memberikan manajemen paling perlu
khawatir. Manajer yang bertanggung jawab harus menilai risiko ini menggunakan
pendekatan kuesioner.
c) Kuantitatif Analisis Risiko

• Nilai Yang Diharapkan Dan Penanggulangan Perencanaan

Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali perusahaan
memiliki setidaknya beberapa rencana awal untuk tindakan yang diperlukan jika
salah satu risiko terjadi. Idenya adalah untuk memperkirakan dampak biaya
menimbulkan beberapa risiko diidentifikasi dan kemudian menerapkan bahwa
biaya untuk probabilitas faktor risiko untuk mendapatkan nilai yang diharapkan
atau biaya risiko. Sering latihan ini tidak memerlukan studi biaya rinci dengan
banyak pendukung tren historis dan perkiraan. Sebaliknya, perkiraan biaya yang
 diharapkan harus dilakukan oleh orang-orang garis depan di berbagai tingkatan dari
perusahaan yang memiliki pengetahuan tentang daerah atau risiko implikasi.

• Risiko Pemantauan

Identifikasi risiko kunci tidak pernah bisa menjaditunggal, proses yang mantan.
Lingkungan sekitarnya risiko yang teridentifikasi akan segera berubah sekitarnya
perubahan kondisi. Untuk beberapa risiko, kondisi bisa berubah sehingga risiko
menjadi ancaman yang lebih besar. Sebagai contoh, manajemen mungkin telah
mengidentifikasi risiko politik potensial di beberapa negara kurang berkembang,
namun peristiwa sering terjadi dengan cepat, dan perubahan politik di negara yang
sama dapat membuat kekhawatiran mereka bahkan berisiko.

2. COSO ERM: ENTERPRISE RISK MANAGEMENT

Tujuan dan sasaran yang terkait dengan ERM adalah nilai kecil kecuali mereka dapat
diatur dan dimodelkan bersama-sama dengan cara yang manajemen dapat melihat
berbagai aspek tugas dan memahami-setidaknya semacam-bagaimana mereka
berinteraksi dan berhubungan dengan cara multidimensi. Ini adalah kekuatan yang nyata
dari COSO pengendalian internal kerangka model.

3. ELEMEN KUNCI COSO ERM

A. Komponen Lingkungan Internal
B. Pengaturan Obyektif
C. Agenda Peristiwa
D. Penilaian Resiko
Risiko ini harus dinilai dari dua perspektif:
1. Resiko Inherent
2. Resiko Residual
E. Respon Resiko
Respon risiko ini dapat ditangani dengan empat cara dasar berikut ini:
a. Penghindaran (Avoidance)
b. Pengurangan (Reduction)
c. Berbagi (Sharing)
 d. Penerimaan (Acceptance)
F. Kegiatan Pengendali
G. Informasi dan Komunikasi
H. Pemantauan
• Dimensi Lain COSO ERM: Tujuan Resiko Perusahaan
A. Tujuan Manajemen Risiko Operasi
Pengidentifikasian tujuan risiko tingkat operasi ini seringkali memerlukan
pengumpulan dan analisis informasi terperinci, terutama untuk perusahaan besar yang
mencakup beberapa area geografis, lini produk, atau proses bisnis. Manajer langsung unit
perorangan biasanya memiliki pemahaman terbaik tentang risiko operasional mereka, dan
informasi tersebut dapat hilang saat dikonsolidasikan untuk pelaporan tingkat tinggi.
Tujuan risiko ini mencakup keandalan laporan perusahaan terhadap data keuangan
dan non keuangan internal dan eksternal. Pelaporan yang akurat sangat penting untuk
kesuksesan sebuah perusahaan dalam banyak dimensi. Laporan berita sering merinci
penemuan pelaporan keuangan perusahaan yang tidak akurat dan mengakibatkan dampak
pasar saham bagi entitas yang menjalin hubungan. Pelaporan akurat yang sama tidak dapat
menyebabkan masalah di banyak daerah.
B. Tujuan Resiko Kepatuhan Hukum dan Peraturan
COSO ERM merekomendasikan agar risiko terkait kepatuhan dipertimbangkan
untuk masing-masing komponen kerangka risiko, baik dalam konteks lingkungan internal,
penetapan tujuan, atau pemantauan risiko, maupun di seluruh perusahaan. Materi panduan
ERM tidak menawarkan banyak informasi tambahan mengenai tujuan kepatuhan ini selain
untuk menyatakan bahwa tujuan ini mengacu pada kesesuaian dengan undang-undang dan
peraturan perundang-undangan. Ini adalah elemen penting dari kerangka kerja manajemen
risiko yang perlu dikomunikasikan dan dipahami.
4. RISIKO TINGKAT ENTITAS
Sebuah perusahaan dengan empat divisi operasi utama dan dengan beragam unit bisnis
dibawahnya harus memiliki kerangka kerja ERM yang menggambarkan keseluruhan unit
ini. Karena risiko ini penting untuk keseluruhan organisasi, mereka harus dipertimbangkan
dalam basis unit-per-unit ke serendah-rendahnya tingkat yang dibutuhkan untuk membuat
perusahaan tersebut dapat memahami dan mengelola risiko yang dihadapinya. COSO ERM
 tidak mengkhususkan seberapa kecil risiko tingkat unit ini harus dipisahkan, dan
kepentingan dan materialitas unit bisnis individu harus dipertimbangkan.
5. MENGGABUNGKAN SEMUANYA
Kerangka COSO ERM yang dijelaskan disini membahas pendekatan manajemen risiko
yang dapat diterapkan semua industri dan mencakup semua jenis risiko. Dengan fokusnya
pada mengenali selera perusahaan akan risiko dan kebutuhan untuk menerapkan
manajemen risiko dalam konteks pengaturan strategi secara keseluruhan, COSO ERM
memiliki beberapa perbedaan mendasar dari kebanyakan model risiko yang telah
digunakan sampai saat ini. COSO ERM belum telah digunakan cukup lama untuk
menunjuk pada serangkaian perusahaan sukses yang secara terbuka menggunakannya.
Namun dengan penekanan AS 5 pada risiko, kita akan mendengar lebih lanjut tentang hal
itu kedepannya. Auditor internal khususnya, harus menetapkan tujuan CBOK untuk
mempelajari lebih lanjut tentang pentingnya kerangka kerja ini.