BAB 12
Piagam Audit Internal dan
Membangun Fungsi Audit Internal
Bab ini membahas langkah-langkah untuk membangun fungsi audit internal yang efektif, termasuk
deskripsi posisi audit internal dan struktur organisasi yang khas.
Fungsi audit internal akan mendasarkan banyak upayanya pada pendefinisian dan pemahaman alam
semesta auditnya (jumlah entitas potensial yang dapat diaudit dalam perusahaan), seperti yang telah
dibahas dalam Bab 10. Tidak peduli apa pun industri, lokasi geografis, atau ukuran perusahaan, semua
departemen atau fungsi audit internal harus mengikuti beberapa prosedur praktik baik yang serupa.
Sebagian besar tema Buku Pengetahuan Umum (CBOK) buku ini mencakup bidang teknis audit
internal, seperti tinjauan kontrol aplikasi teknologi informasi (TI) atau panduan untuk menilai hasil bukti
audit. Bab ini dan bab lainnya di Bagian Empat membahas langkah-langkah untuk meluncurkan dan
mengelola fungsi audit internal yang efektif. Ketika Victor Brink meluncurkan edisi pertama buku ini tidak
lama setelah Perang Dunia II, banyak perusahaan telah mendengar potensi keuntungan dari audit
internal dan ingin mempelajari lebih lanjut tentang bagaimana membangun fungsi semacam itu di
perusahaan mereka sendiri.
Edisi pertama Brink's Modern Internal Auditing membantu meluncurkan profesi audit internal, tetapi dunia
audit internal profesional saat ini jauh lebih kompleks. Meskipun masih terdapat perusahaan baru yang
belum memiliki fungsi audit internal, banyak perusahaan di Amerika Utara, negara-negara Uni Eropa,
dan negara-negara besar di Asia telah membentuk fungsi audit internal.
Bab ini mengulas langkah-langkah yang diperlukan untuk memulai fungsi audit internal yang efektif,
termasuk pentingnya piagam resmi yang disahkan oleh komite audit dan membangun staf audit internal
yang efektif. Kami juga meninjau kebijakan dan prosedur audit internal yang penting serta langkah
pertama untuk meninjau entitas yang dapat diaudit perusahaan. Materi ini akan membantu perusahaan
pemula yang baru meluncurkan fungsi audit internal yang mengikuti beberapa praktik terbaik yang
direkomendasikan.
273
Machine Translated by Google
Kepala fungsi audit internal umumnya dikenal sebagai chief audit executive (CAE). Seorang
manajer senior dan calon CAE yang ditantang untuk membentuk fungsi audit internal baru dihadapkan
pada berbagai pilihan, tergantung pada keseluruhan bisnis perusahaan, struktur geografis dan
logistiknya, risiko pengendalian yang dihadapinya, dan budaya perusahaan secara keseluruhan.
Apakah struktur perusahaan dengan persyaratan komite audit atau jenis perusahaan lain, hampir
selalu ada kebutuhan dan alasan untuk membentuk fungsi audit internal. Bagian ini membahas
beberapa elemen yang diperlukan untuk membangun dan mengelola organisasi audit internal yang
efektif.
Persyaratan utama untuk setiap organisasi yang efektif adalah pemimpin yang kuat; untuk audit
internal, pemimpin tersebut adalah CAE yang memahami kebutuhan organisasi secara keseluruhan
dan potensi risiko pengendaliannya serta potensi kontribusi yang dapat diberikan oleh audit internal.
Orang ini harus mendapat dukungan dari komite audit dan manajemen senior. Sebagian besar
perusahaan besar saat ini memiliki banyak unit yang sering tersebar di seluruh dunia dan dengan
banyak aktivitas bisnis yang berbeda. Bahkan jika ditempatkan secara geografis di satu lokasi,
perusahaan yang lebih besar hampir selalu memiliki banyak fungsi khusus dengan risiko pengendalian
yang mungkin memerlukan penekanan audit internal yang terpisah. Departemen audit internal yang
efektif harus diatur dengan cara melayani manajemen senior dan komite audit dengan memberikan
layanan audit terbaik dan paling hemat biaya ke seluruh organisasi. Kami mempertimbangkan manfaat
dan kesulitan memiliki organisasi audit internal terpusat atau desentralisasi serta beberapa alternatif
struktur organisasi audit internal.
Seperti sebelumnya, bab ini mengacu pada contoh hipotetis perusahaan, Global Com puter
Products. Produsen dan distributor perangkat lunak dan perangkat keras TI yang relatif kecil ini, yang
juga disebutkan di bab lain, berkantor pusat di Amerika Serikat tetapi dengan beberapa operasi di
seluruh dunia. Kami berasumsi di sini bahwa perusahaan didirikan belum lama ini, tidak termasuk
dalam persyaratan pendaftaran SOx karena ukurannya, dan tidak pernah memiliki fungsi audit internal
yang efektif. Manajemen dan komite audit yang baru dibentuk telah memutuskan bahwa Global perlu
meluncurkan fungsi audit internal yang efektif.
otoritas otorisasi diperlukan. Karena fungsi internal harus melapor kepada komite audit dewan dalam
struktur perusahaan, komite audit tersebut biasanya harus mengesahkan hak dan tanggung jawab
melalui dokumen atau resolusi otorisasi resmi — biasanya disebut piagam audit internal.
Tidak ada persyaratan tetap untuk dokumen otorisasi semacam itu, tetapi sebuah
piagam audit internal harus menegaskan audit internal:
Piagam ini, kemudian, adalah dokumen otorisasi yang dapat digunakan oleh auditor internal ketika
seorang manajer di unit organisasi yang terpisah dan kadang-kadang jauh mempertanyakan mengapa
auditor internal meminta untuk meninjau dokumen tertentu atau untuk mendapatkan akses ke beberapa
fasilitas perusahaan. Piagam tersebut menyatakan bahwa manajemen senior—dewan komite audit
direktur—memiliki akses ke catatan perusahaan. Lebih penting lagi, piagam tersebut memberikan
otorisasi tingkat tinggi untuk fungsi audit internal perusahaan.
Tidak ada format tetap untuk isi piagam. Standar audit internal dari Institute of Internal Auditors (IIA),
seperti yang dibahas dalam Bab 8, mengacu pada perlunya piagam audit internal, tetapi situs web IIA
(www.theiia.org) tidak memberikan banyak panduan khusus. Pencarian Web umum untuk piagam audit
internal menyediakan berbagai contoh yang diposting, tetapi ini terutama berasal dari lembaga pemerintah
dan akademis. Tampilan 12.1 adalah contoh piagam audit internal untuk perusahaan contoh Produk
Komputer Global kami. Ini dengan jelas menguraikan wewenang audit internal serta tanggung jawab
seperti mengembangkan rencana audit berbasis risiko dan menerbitkan laporan audit tepat waktu. Semua
ini dibahas di bab lain sebagai bagian dari CBOK audit internal.
Piagam audit internal tidak lebih dari sekadar dokumen yang tampak mengesankan kecuali ada
fungsi audit internal yang kuat untuk meluncurkan dan melakukan aktivitas audit internal utama ini:
memahami area di perusahaan mana pun yang harus menjadi kandidat untuk tinjauan audit internal,
membangun organisasi dan tim audit internal, dan menetapkan prosedur pendukung untuk mengizinkan
audit internal tersebut.
Sementara piagam audit internal adalah otorisasi penting untuk meluncurkan fungsi audit internal yang
baru, banyak jika tidak sebagian besar fungsi audit internal saat ini memiliki piagam yang mungkin telah
dikembangkan dan disetujui di masa lalu namun belum ditinjau dan diperbarui baru-baru ini. Jika ada,
CAE harus secara berkala meninjau piagam yang ada dan menyampaikannya kepada komite audit untuk
menegaskan kembali pemahaman anggota tentang peran dan tanggung jawab audit internal.
Standar
Internal Audit mengikuti standar dan praktik profesional yang diterbitkan oleh Institute of Internal Auditors serta
Information Technology Governance Institute.
276
Machine Translated by Google
Operasi perusahaan dan masalah risiko. Selain mengelola fungsi audit internal, CAE
harus memiliki pengetahuan tentang semua aspek operasi perusahaan, baik masalah
keuangan, logistik, maupun operasional.
Sumber daya manusia dan administrasi audit internal. CAE bertanggung jawab
atas staf audit internal dan harus membangun organisasi yang efektif serta merekrut
dan memimpin tim audit internal yang efektif.
Hubungan dengan komite audit dan manajemen. CAE adalah juru bicara audit
internal untuk komite audit dan semua tingkat manajemen perusahaan.
Tata kelola perusahaan, akuntansi, dan masalah peraturan. Baik itu SOx, akuntansi,
masalah keuangan, atau masalah peraturan lainnya yang berdampak pada perusahaan,
CAE setidaknya harus memiliki pemahaman dan pengetahuan umum.
Membangun dan administrasi tim audit internal. Berapa pun besarnya tim, CAE
bertanggung jawab untuk membangun fungsi audit internal yang efektif yang dihormati
oleh penerima layanan audit internal.
Teknologi. CAE harus memiliki pemahaman umum tentang bagaimana teknologi
digunakan di dalam perusahaan serta bagaimana penerapannya untuk mempromosikan
layanan audit internal.
Perencanaan audit berbasis risiko dan keunggulan proses. CAE harus memahami
proses penilaian risiko, karena diterapkan pada operasi perusahaan, dan juga harus
dapat memikirkan operasi dalam hal proses utama.
Keterampilan negosiasi dan manajemen hubungan. CAE sering akan terlibat dengan
isu-isu yang diangkat oleh tim audit internal dan terkadang manajemen yang bermusuhan,
yang mungkin mengambil pengecualian terhadap temuan dan rekomendasi audit
internal. CAE seringkali harus menegosiasikan penyelesaian yang tepat untuk masalah
ini sebagai bagian dari membangun tim audit internal yang efektif.
Peran asurans dan konsultasi audit internal. Meskipun peran ini terkadang menjadi
kabur, CAE harus selalu menekankan kepada tim audit internal dan manajemen
perbedaan antara peran terpisah dalam menyediakan layanan asurans audit internal
dan memberikan layanan konsultasi.
Standar praktik profesional audit internal. CAE harus ahli dalam standar IIA ini dan
harus membantu menerapkannya pada semua aspek kegiatan audit internal.
Machine Translated by Google
CAE memiliki tugas penting dalam memimpin departemen audit internal yang efektif dan
memberikan layanan audit internal kepada perusahaan. Meskipun banyak anggota tim audit internal
mungkin memiliki pengetahuan yang lebih kuat atau lebih terspesialisasi dalam beberapa bidang,
CAE adalah orang kunci yang mewakili audit internal untuk perusahaan.
Kami mungkin terlalu sering bersikeras bahwa sertifikasi seperti CPA, CIA, atau auditor sistem
informasi bersertifikat (CISA) merupakan persyaratan untuk jenis posisi audit internal tertentu.
Sementara sertifikasi tentu saja merupakan ukuran keterampilan yang ditunjukkan, CAE yang
membangun organisasi audit internal yang efektif harus selalu mempertimbangkan keterampilan dan
bakat kandidat untuk posisi manajer audit internal daripada hanya inisial nama mereka. Misalnya,
seorang anggota staf audit internal mungkin telah bergabung dengan grup audit internal perusahaan
dengan gelar sarjana ekonomi. Jika dia bergabung dengan departemen audit internal, memperoleh
CIA, dan bekerja dengan baik dalam audit pengendalian internal akuntansi dan keuangan, kurangnya
CPA seharusnya tidak menghalangi orang tersebut untuk menjadi kandidat manajer audit internal yang
melakukan tinjauan keuangan.
Fungsi sumber daya manusia perusahaan dapat memberlakukan persyaratan di sini, tetapi CAE
harus bersikeras bahwa deskripsi posisi yang sesuai tersedia untuk semua anggota tim manajemen
audit internal. Tim harus disusun sedemikian rupa sehingga semua anggota staf audit internal dapat
mengenali persyaratan untuk berpindah dari satu tingkat ke tingkat berikutnya. Misalnya, pengawas
lapangan audit internal harus memahami dengan jelas persyaratan tambahan untuk naik ke tingkat
manajer auditor internal jika posisi tersebut tersedia dan terbuka.
Tanggung Jawab
Pekerjaan Manager, Financial Internal Audit memiliki tanggung jawab untuk membantu Chief Audit
Executive (“Direktur”), dalam memberikan bimbingan dan pengawasan terhadap Departemen Audit Internal
(“Departemen”). Selain itu, Manajer, Audit Internal Keuangan bertanggung jawab untuk: (1) melaksanakan
bagian audit keuangan/operasional dari Rencana Audit Tahunan Departemen, (2) membantu Direktur dalam
mempersiapkan pembaruan rutin aktivitas audit internal keuangan kepada Komite Audit, ( 3) memberikan
saran dan nasihat tentang sistem, inisiatif, dan layanan baru yang sedang dikembangkan dari perspektif
pengendalian internal, (4) membantu Direktur dalam koordinasi kegiatan audit internal keuangan, termasuk
penilaian pengendalian internal Sarbanes-Oxley Section 404, dengan pihak independen akuntan publik
terdaftar, (5) secara efektif dan efisien mengelola sumber daya fungsi audit internal keuangan, (6) merekrut,
melatih, dan mengembangkan tim audit internal keuangan secara profesional, dan (7) mengawasi kualitas
pekerjaan yang dilakukan oleh tim audit internal keuangan, memastikan kepatuhan dengan standar yang
berlaku.
Pengetahuan dan pengalaman yang kuat dengan aturan dan persyaratan peraturan yang memengaruhi
profesi audit internal dan akuntansi (misalnya, Sarbanes-Oxley Act)
Berorientasi detail dengan kemampuan analitis dan pemecahan masalah yang
kuat Keterampilan kepemimpinan, manajemen, dan administrasi
yang solid Pengetahuan bisnis berbasis luas termasuk praktik dan prosedur keuangan/
operasional dari perspektif operasi perusahaan Keterampilan
interpersonal, komunikasi, dan presentasi yang kuat
Gelar Bachelor of Science di bidang Administrasi Bisnis dengan jurusan Akuntansi atau Keuangan
Minimal tujuh tahun pengalaman audit internal progresif dan/atau akuntan publik Baik Sertifikasi
Akuntan
Publik (CPA) dan penunjukan Auditor Internal Bersertifikat (CIA) .
program gelar, seperti di bidang keuangan, akuntansi, ekonomi, atau sistem informasi, dapat
memberikan calon auditor internal yang baik. Sumber yang sangat baik untuk kandidat tersebut adalah
perguruan tinggi yang menawarkan program gelar audit internal tingkat sarjana khusus. Program di
Louisiana State University1 adalah contoh yang sangat baik dari program pelatihan audit internal yang
dianggap baik. Siswa di sana menerima gelar sarjana dalam audit internal.
Kandidat untuk posisi audit internal tingkat awal tidak perlu hanya memiliki gelar akuntansi, titik
masuk tipikal bersejarah bagi banyak auditor internal, tetapi harus memiliki kemampuan yang kuat
untuk memahami sistem TI dan alur proses ditambah dengan keterampilan berbicara dan menulis
yang luar biasa . Bahkan pada tingkat staf, calon auditor internal harus menjadi seseorang yang dapat
dengan cepat meninjau proses yang seringkali kompleks, menilai potensi kelemahan, dan kemudian
mengomunikasikan kekhawatiran tersebut kepada manajemen audit internal dan manajemen
perusahaan secara keseluruhan.
Tampilan 12.3 adalah deskripsi posisi untuk auditor internal operasional tingkat awal. Kandidat
jenis ini tidak harus memiliki akuntansi seperti CPA yang kuat
Machine Translated by Google
Tanggung Jawab
Pekerjaan Sebagai anggota departemen audit internal Korporat dan di bawah arahan manajer audit
internal yang ditugaskan, staf auditor internal bertanggung jawab untuk merencanakan,
mengembangkan, melaksanakan, melaporkan, dan menindaklanjuti penugasan audit internal tertentu sesuai
petunjuk. Tanggung jawab staf auditor internal harus dilaksanakan sesuai dengan prosedur departemen
audit internal, mengikuti Standar IIA untuk Praktik Profesional Audit Internal.
Pendidikan Pengetahuan
dan Keterampilan: Gelar BS atau setara dengan pengalaman dan pendidikan.
Keterampilan Interpersonal: Diperlukan tingkat kepercayaan dan diplomasi yang signifikan,
selain kesopanan dan kebijaksanaan yang normal. Pekerjaan melibatkan kontak pribadi yang luas
dengan orang lain dan/atau biasanya bersifat pribadi atau sensitif. Pekerjaan mungkin
melibatkan memotivasi atau mempengaruhi orang lain. Kontak luar menjadi penting dan membina
hubungan baik dengan entitas lain (perusahaan dan/atau individu).
diperlukan.
Keahlian lain
Pengetahuan umum tentang prosedur akuntansi dan audit serta kemampuan untuk bekerja
secara independen
Pengetahuan tentang spreadsheet dan perangkat lunak pengolah kata; mampu mengoperasikan
komputer laptop dan peralatan kantor umum
Mampu bekerja secara mandiri
dan keterampilan audit, melainkan seseorang yang dapat memahami dan menganalisis proses bisnis,
melakukan pengujian, mengembangkan dokumentasi deskriptif, dan membuat rekomendasi yang
sesuai. Posisi audit operasional tingkat staf ini dapat menjadi slot tingkat awal ke dalam fungsi audit
internal. Tentu saja, jika seorang kandidat baru memiliki gelar dalam audit internal, telah lulus setidaknya
sebagian dari ujian CPA atau CIA, atau melakukan beberapa pekerjaan audit internal di perusahaan
lain, dia harus dibawa ke tingkat yang sedikit lebih senior.
Ke mana arah posisi entry level seperti itu? Auditor internal seringkali harus memiliki pengetahuan
khusus di bidang akuntansi dan keuangan atau bidang khusus lainnya. Banyak dari pengetahuan ini
dapat diperoleh melalui program seminar pelatihan yang kuat atau pengalaman kerja. Seperti yang
dibahas nanti dalam bab ini, fungsi audit internal
Machine Translated by Google
harus menerapkan program pelatihan yang kuat dan berkelanjutan untuk semua anggota fungsi
audit internal.
Menemukan dan merekrut auditor internal dengan keterampilan dan pengetahuan sistem
informasi terkadang merupakan sebuah tantangan. Seringkali sulit untuk menemukan profesional
dengan keterampilan teknis yang sesuai dan kemudian mengidentifikasi kandidat yang lebih
baik. Manajer perekrutan audit internal atau CAE yang berasal dari latar belakang keuangan dan
akuntansi berorientasi CPA terkadang mengalami kesulitan dalam mengidentifikasi kandidat
yang tepat. Tentu saja, jika fungsi audit internal telah menetapkan fungsi audit sistem informasi,
wawancara tingkat sejawat untuk proses perekrutan akan sangat membantu. Suatu perusahaan
dapat mencari kandidat yang telah mencapai kredensial auditor sistem informasi bersertifikat
(CISA). Ini dan kredensial profesional auditor internal lainnya dibahas dalam Bab 27.
Selain persyaratan pengendalian auditor internal sistem informasi TI yang diuraikan dalam
Tampilan 12.4, setiap anggota fungsi audit internal—dari CAE hingga auditor staf junior—harus
memiliki tingkat pengetahuan CBOK yang mencakup prosedur pengendalian internal TI. Dengan
penggunaan perangkat otomatis dan Web yang hampir meluas saat ini, pengetahuan semacam
itu cukup umum, tetapi beberapa auditor internal yang kompeten terkadang cenderung
menghindari masalah teknis TI. Dalam bab penutup buku ini, Bagian 34.1 menguraikan
seperangkat persyaratan pengetahuan sistem informasi CBOK untuk semua auditor internal.
Catatan: Teknologi informasi meresap dalam bisnis dan menjangkau berbagai pilihan dan teknologi. Namun,
auditor internal sistem informasi diharapkan memiliki setidaknya pengetahuan kerja tingkat tinggi di bidang-
bidang berikut:
Arsitektur sistem komputer, dengan penekanan pada penggunaan Web, konfigurasi client-server,
dan proses operasi layanan TI telekomunikasi,
dengan penekanan pada manajemen masalah, kontrol akses, dan manajemen aplikasi umum
Proses desain layanan TI, dengan penekanan pada
kontinuitas, kapasitas, dan proses manajemen keamanan informasi Proses tata kelola
dan strategi layanan, termasuk proses manajemen
keuangan TI yang penting.
Teknik pemrograman atau pengkodean yang cukup untuk menyusun dan menerapkan
prosedur audit berbantuan komputer yang sesuai dengan lingkungan perusahaan Minat dan
rasa ingin tahu yang berkelanjutan untuk memahami dan menjelajahi konsep teknologi yang
lebih baru dan berkembang, seperti virtualisasi manajemen penyimpanan
aktivitas audit internal, dapat terdapat posisi khusus lainnya dalam peran pendukung auditor internal.
Banyak tergantung pada bagaimana tanggung jawab audit internal telah didefinisikan melalui piagamnya.
Misalnya, standar IIA menentukan peran di mana auditor internal dapat bertindak sebagai konsultan
internal untuk perusahaan mereka dan kapan mereka dapat bertindak sebagai auditor internal tingkat
penjaminan. Beberapa perusahaan mungkin ingin memperluas peran tersebut dan membangun praktik
konsultasi internal penuh sebagai bagian dari aktivitas audit internal. Bab 28 membahas peran auditor
internal sebagai konsultan perusahaan.
Demikian pula, ada cabang lain dari audit internal yang disebut audit kualitas. Auditor internal ini
lebih berorientasi pada lantai pabrik produksi dan mengikuti serangkaian standar pelengkap dari American
Society for Quality di Amerika Serikat. Auditor kualitas secara tradisional beroperasi sebagai fungsi yang
benar-benar terpisah dari auditor internal yang berorientasi pada IIA. Namun, kami mulai melihat integrasi
yang lebih besar antara kedua fungsi audit ini. Audit penjaminan mutu dibahas dalam Bab 31.
Selain spesialis audit internal, perusahaan mungkin ingin menambahkan personel pendukung
lainnya ke grup audit internal untuk tugas-tugas seperti pemantauan dan pengorganisasian dokumentasi
pengendalian internal; grup audit internal yang lebih besar mungkin membutuhkan staf hanya untuk
mendukung komputer laptop dan sumber daya lain yang dibutuhkan oleh grup secara keseluruhan.
Profesional lain ini mendukung keseluruhan misi audit internal untuk ditinjau
Machine Translated by Google
dan membantu meningkatkan pengendalian internal di perusahaan: tujuan sebenarnya dari fungsi audit internal
yang efektif di perusahaan.
waktu.
Jika fungsi audit internal terutama berbasis di kantor pusat, tim auditor internal kantor pusat akan memiliki
tanggung jawab untuk mengunjungi lokasi untuk melakukan audit mereka. Pendekatan ini mendorong operasi
audit internal yang lebih konsisten tetapi dapat mengakibatkan biaya perjalanan dan penjadwalan. Selain itu,
terkadang mempertahankan tim auditor internal yang bersedia melakukan banyak perjalanan merupakan
tantangan. Tidak ada jawaban sederhana di sini, dan bagian selanjutnya membahas strategi untuk membangun
fungsi audit internal yang efektif.
Meskipun jenis perencanaan terpusat ini terdengar sangat efisien bagi kaum idealis, sebagian besar
masyarakat saat ini tahu bahwa perencanaan yang sangat terpusat seperti itu tidak akan berhasil. Unit ekonomi
besar merasa sulit, jika bukan tidak mungkin, untuk mengembangkan rencana terpusat yang sesuai untuk
menentukan persyaratan atau menetapkan aturan untuk semua orang dengan benar. Terlalu banyak orang
menghabiskan waktu memproses dokumen persetujuan, dan pengguna akhir layanan tidak melihat banyak nilai
dari proses tersebut. Kami juga melihat yang serupa
Machine Translated by Google
contoh kegagalan perencanaan pusat ketika pemerintah federal AS mencoba mengatur harga dan
mengalokasikan pasokan bensin pada akhir tahun 1970-an. Hasilnya adalah harga tinggi, antrean
panjang karena kelangkaan lokal, dan sepasukan birokrat mencoba menulis dan menulis ulang
peraturan. Harga turun dan pasokan minyak meningkat hanya setelah kontrol pusat dihapuskan pada
awal 1980-an. Saat ini, banyak perusahaan yang dulunya sangat tersentralisasi telah menekan otoritas
pengambilan keputusan dan mendesentralisasikan banyak proses mereka. Perusahaan besar modern
sangat terdesentralisasi, dengan masing-masing unit operasi bertanggung jawab untuk membuat
sebagian besar keputusan bisnisnya, termasuk mengamankan pembiayaannya sendiri.
Apakah fungsi audit internal diatur untuk keseluruhan perusahaan atau tidak, keputusan utamanya
adalah apakah keputusan audit internal individu harus dibuat di tingkat yang lebih rendah atau lokal,
berlawanan dengan keputusan yang membutuhkan persetujuan dari otoritas pusat. Untuk audit
internal, jenis keputusan dan tindakan yang terlibat dapat mencakup modifikasi prosedur audit yang
diperlukan, prosedur yang diperlukan untuk melaporkan jenis kekurangan, negosiasi yang diperlukan
untuk mengambil tindakan atas temuan audit, cara melaporkan temuan audit, dan tindak lanjut auditor
internal atas tindakan korektif diambil untuk memperbaiki kekurangan yang dilaporkan. Argumen atau
manfaat yang mendukung desentralisasi umumnya meliputi:
Membebaskan personel dari keputusan kecil sehingga mereka dapat menangani hal-hal yang
lebih penting. Manajemen senior tidak selalu perlu meninjau atau membuktikan detail yang
kurang signifikan ini dan dapat terperosok dalam detail tingkat rendah, kehilangan keputusan
strategi audit manajemen yang penting secara keseluruhan.
Personil unit lokal seringkali memiliki pemahaman yang lebih baik tentang masalah lokal. Daripada
meringkas situasi masalah dan meneruskannya ke tingkat yang lebih tinggi untuk pengambilan
keputusan, manajemen unit lokal seringkali dapat bertindak secara langsung dan dengan cara
yang lebih cepat dan cerdas.
Keterlambatan dalam menyampaikan keputusan untuk persetujuan dapat dihindari. Personel unit
lokal seringkali lebih termotivasi untuk memecahkan masalah di tingkat organisasi mereka sendiri
dan seringkali akan memiliki kesempatan untuk mengembangkan keputusan yang lebih tepat.
Kelompok audit internal unit lokal yang membuat keputusan di tingkat lokal sering dipandang
lebih hormat oleh personel unit lokal lainnya. Meskipun pengamatan ini mendukung struktur
terdesentralisasi, ada juga argumen kuat yang mendukung fungsi audit internal terpusat atau kantor
pusat yang melakukan audit internal di seluruh perusahaan, termasuk:
Kerangka kerja kontrol internal Committee of Sponsoring Organizations (COSO) dan aturan SOx
(lihat Bab 3 dan 4) sangat mempromosikan pentingnya pesan tone-at-the-top dari manajemen
senior di berbagai tingkatan. Perusahaan audit internal terpusat dapat berada dalam posisi yang
kuat untuk menyampaikan pesan manajemen senior tersebut ke unit lapangan yang sedang
ditinjau.
Grup audit terpisah mungkin tidak mengetahui implikasi penuh dari beberapa kebijakan dan
keputusan perusahaan. Hal ini terutama terjadi ketika hubungan komunikasi ke grup audit internal
jarak jauh lemah. Auditor lapangan perusahaan yang terdesentralisasi mungkin memiliki masalah
dalam menjelaskan alasan di balik keputusan kebijakan pusat tertentu atau mengalami kesulitan
dalam mengomunikasikan keputusan tersebut secara memadai. Grup audit terpusat dapat
melakukan pekerjaan yang lebih baik di sini.
Machine Translated by Google
Perusahaan audit internal terpusat umumnya merasa lebih mudah mempertahankan bentuk
seragam, standar seluruh perusahaan. Standar ini dapat ditetapkan melalui kebijakan dan prosedur
umum audit internal yang kuat dan melalui pesan yang dikomunikasikan melalui email, panggilan
konferensi, dan alat lainnya.
Fungsi audit internal yang terdesentralisasi terkadang dapat membentuk loyalitas yang terlalu kuat
kepada unit pelaporan lokal mereka. Manajer audit lokal dapat menjadi lebih loyal kepada manajer
pabrik atau divisi di mana fungsi audit lokal berada daripada kepada CAE.
Sementara diskusi ini mengasumsikan bahwa fungsi audit internal sangat tersentralisasi atau sangat
terdesentralisasi, ada banyak posisi di antara dan variasi lain di mana beberapa urusan didelegasikan
dan yang lainnya tidak. Banyak fungsi audit internal dapat mempertahankan fungsi khusus tertentu di
kantor pusat, melapor ke CAE, dengan unit audit operasional lainnya di divisi atau kantor pusat unit.
Tidaklah praktis untuk menyarankan satu solusi terbaik untuk alternatif ini, dan CAE harus memiliki
tanggung jawab untuk mengatur audit internal dengan cara yang paling sesuai dengan kebutuhan
perusahaan.
Organisasi perusahaan yang kompleks seringkali memiliki pengaruh terhadap cara pengorganisasian
audit internal. Jenis khusus desentralisasi otoritas ada, misalnya, ketika kelompok audit internal yang
terpisah adalah unit dari keseluruhan perusahaan yang bukan bagian dari fungsi audit internal biasa atau
pusat. Fungsi audit internal yang terpisah ini, yang mungkin merupakan hasil dari restrukturisasi atau
akuisisi, seringkali melapor langsung kepada manajemen masing-masing anak perusahaan dan divisi.
Seringkali di sini fungsi audit internal pusat hanya berfungsi sebagai penasehat; banyak pertimbangan
administratif yang dibahas dalam bab ini tidak terlibat langsung.
Situasi ini dapat terjadi ketika perusahaan A mungkin memiliki 55% dari perusahaan B, dengan 45%
lainnya dipegang oleh pihak lain. Perusahaan B juga mungkin memiliki komite audit dan CAE sendiri.
Namun, 55% kepemilikan A atas B berarti bahwa CAE A juga bertanggung jawab atas fungsi audit di B.
CAE untuk perusahaan induk (A dalam contoh) harus memiliki perhatian profesional khusus
mengenai efektivitas kelompok audit internal semiotonom yang melampaui kepentingan normal dalam
efektivitas semua operasi perusahaan. Hubungan khusus ini biasanya dapat dilihat pada bagan
perusahaan audit internal yang lengkap, yang menunjukkan kelompok-kelompok lain ini melapor ke CAE
pusat berdasarkan garis putus-putus. Dalam situasi ini, keberadaan tanggung jawab grup audit internal
semiotonom kepada manajemen lokal tidak menghalangi kantor pusat atau departemen audit internal
induk untuk membuat tinjauan tambahan atas anak perusahaan dan divisi tersebut, sebagaimana
diperlukan.
Fungsi audit internal pusat tidak dapat bertanggung jawab atas hasil audit internal di seluruh
perusahaan kecuali memiliki akses dan kontrol lini atas semua pekerjaan audit internal tambahan. CAE
pusat memiliki tanggung jawab untuk membuat hubungan pelaporan garis putus-putus ke grup audit
internal lainnya sekuat atau selemah yang diperlukan, mengingat pertimbangan perusahaan secara
keseluruhan.
pengontrol. Ini adalah ide yang baik hari ini untuk CAE, dengan persetujuan komite audit, untuk
meninjau piagam audit internal saat ini dan organisasinya, dan untuk membuat perubahan yang
diperlukan. Meskipun mungkin terdapat banyak variasi kecil, fungsi audit internal umumnya diatur
dalam salah satu dari empat cara berikut: jenis audit yang dilakukan; kesesuaian audit internal dengan
struktur umum perusahaan; organisasi audit berdasarkan wilayah geografis; dan kombinasi pendekatan
ini dengan staf kantor pusat.
Penugasan staf nonaudit dan informal juga dimungkinkan.
(i) ORGANISASI AUDIT INTERNAL BERDASARKAN JENIS AUDIT Audit internal dapat diatur
berdasarkan jenis audit yang akan dilakukan. Departemen audit dapat dibagi menjadi tiga kelompok
spesialis: sistem informasi atau auditor TI, spesialis audit keuangan, dan auditor operasional murni.
Pendekatan ini bertumpu pada logika bahwa auditor internal individu mungkin paling efektif jika diberi
tanggung jawab untuk bidang di mana mereka memiliki keahlian dan pengalaman, mengingat bahwa
efisiensi sering dicapai melalui spesialisasi. Masalah dan risiko pengendalian yang berkaitan dengan
area audit tertentu seringkali paling baik ditangani dengan menugaskan auditor internal yang memiliki
keahlian khusus yang diperlukan. Misalnya, suatu perusahaan mungkin memiliki sejumlah kantor
penjualan distrik dan regional yang semuanya memiliki jenis operasi yang sama. Bahwa dalam fungsi
audit internal mungkin ingin mengembangkan grup audit internal khusus yang tidak melakukan apa-
apa selain mengaudit kantor penjualan ini. Manfaat praktis di sini bisa sangat besar.
Pada saat yang sama, manajemen audit internal harus menyadari bahwa ada kelemahan dari
pendekatan jenis audit ini. Jika ada beberapa jenis audit di lokasi lapangan tertentu, setiap spesialis
auditor internal mungkin perlu melakukan perjalanan ke lokasi tersebut. Biaya tambahan dalam waktu
dan uang ini harus jelas diimbangi dengan efisiensi tambahan yang diperoleh dari beberapa auditor
internal spesialis. Tampilan 12.5 adalah bagan organisasi yang menggambarkan organisasi audit
khusus audit internal.
Ini menunjukkan kelompok audit khusus untuk operasional, keuangan, dan TI serta tim untuk proyek
audit internal khusus. Risiko dengan jenis pendekatan audit khusus adalah bahwa auditor internal
spesialis mungkin menghabiskan terlalu banyak waktu di area mereka sendiri dan kehilangan gambaran
besar dalam keseluruhan persyaratan proses audit. Hal ini terutama berlaku untuk bidang teknis, audit
TI, di mana auditor mungkin menghabiskan terlalu banyak waktu untuk hal teknis
Administratif
Staf pendukung
Audit Operasional Audit Operasional Audit Keuangan Sistem Informasi Proyek Khusus
Pengawas, Internasional Supervisor, Domestik Pengawas Staf Pemeriksa Staf Pemeriksa
masalah kontrol dan kehilangan risiko kontrol-kekhawatiran yang signifikan. Seringkali sangat sulit bagi
CAE untuk membentuk tim auditor terintegrasi dengan jenis pendekatan ini.
Meskipun definisi tugas audit yang ketat dan spesifik dapat meningkatkan efisiensi dan
memungkinkan audit yang lebih efektif dan terspesialisasi, berbagai penugasan membuat auditor
internal tidak terbiasa dan melakukan tinjauan audit dengan cara yang terlalu mekanis. Di sini, staf
audit waspada dan termotivasi dengan baik serta dapat membawa pendekatan baru terhadap masalah
lama—sesuatu yang seringkali memberikan hasil yang baik.
Penugasan campuran untuk masing-masing auditor internal memberikan yang terbaik untuk pertumbuhan
dan pengembangan profesional. Mereka membantu menciptakan konsep auditor terintegrasi.
Pendekatan audit terpadu ini mempromosikan kesempatan pendidikan dan pelatihan yang memadai
untuk semua anggota staf audit.
Pada keseimbangan, keuntungan apa pun melalui spesialisasi audit mungkin lebih dari diimbangi
oleh faktor-faktor yang baru saja dibahas. Manajemen audit internal menghadapi bahaya bahwa
keuntungan ini akan tampak lebih besar daripada yang sebenarnya. Pendekatan spesialis harus
digunakan dengan hati-hati dan hanya ketika perusahaan sangat membutuhkan auditor dengan
kemampuan unik. Dalam banyak kasus, jenis audit internal atau struktur organisasional ini bertentangan
dengan tujuan untuk mencapai kualitas upaya audit yang maksimal, terutama karena perhatian audit
internal bergerak lebih jauh dari meninjau prosedur tingkat rendah dan menuju masalah manajerial
yang lebih luas.
Keuntungan dari pendekatan ini adalah bahwa manajemen yang bertanggung jawab atas berbagai
operasi dan personel operasional lainnya dapat mengembangkan hubungan kerja yang lebih efektif
dengan personel audit internal. Grup audit internal yang terpisah harus berbicara dalam bahasa operasi
tertentu dan dapat menjadi lebih berguna bagi masing-masing grup manajemen. Audit internal juga
dapat mengembangkan hubungan kerja yang lebih efektif dengan manajer yang bertanggung jawab di
semua tingkatan. Namun demikian, ada kerugian tertentu untuk bentuk struktur perusahaan audit
internal ini, serupa dengan pendekatan jenis audit yang baru saja dibahas. Sama seperti sistem
informasi terpisah dan auditor manufaktur mungkin melakukan perjalanan ke dan melakukan audit
pada area umum yang sama, di sini divisi manufaktur dan auditor divisi keuangan masing-masing dapat
diminta untuk meninjau area umum yang sama jika beberapa divisi operasi berlokasi di sana. Meskipun
unit operasi perusahaan seringkali terpisah dan otonom, pendekatan ini dapat mengakibatkan duplikasi
perjalanan lapangan, berkurangnya motivasi staf audit internal, dan berkurangnya kesempatan untuk
pengembangan manajemen.
perusahaan, dan anggota tim audit internal yang ditugaskan di sana mungkin merasa peluang karier
mereka terhambat. Bahaya potensial lainnya dengan pendekatan ini adalah bahwa kelompok audit
internal yang terpisah dapat mengembangkan aliansi yang terlalu dekat dengan personel divisi atau
staf yang mereka audit, yang berisiko merusak independensi dan objektivitas masing-masing auditor
internal.
Efektivitas pendekatan struktur organisasi audit internal ini lebih kontroversial daripada yang
pertama kali muncul, dan metode tersebut harus digunakan dengan hati-hati. Bahkan perusahaan
yang sangat besar, dengan banyak unit operasi yang berbeda, mungkin merasa lebih efektif untuk
memiliki kelompok pusat auditor perusahaan yang melakukan tinjauan mereka di semua unit, bukan
per lini bisnis. Perusahaan dengan beberapa grup audit internal, masing-masing melayani lini bisnis
yang terpisah, mungkin mengalami kesulitan untuk melakukan audit di seluruh perusahaan yang
berbicara dengan suara yang sama, tidak peduli seberapa kuat kebijakan dan prosedur audit internal
pusat.
Keuntungan dan kerugian dari pendekatan area audit internal serupa dengan dua struktur
organisasi pertama yang dibahas sebelumnya. Pada keseimbangan, pendekatan geografis seringkali
tampak terbaik dan biasanya digunakan dalam praktik.
Jumlah kantor audit terpisah yang akan didirikan akan bergantung pada ruang lingkup operasi
perusahaan. Di beberapa perusahaan, mungkin terdapat sejumlah kantor audit terpisah di negara asal,
dengan operasi internasional berlokasi di satu kantor terpisah, seringkali di lokasi lepas pantai yang
menonjol. Perusahaan dengan jumlah operasi internasional yang besar dan beragam mungkin memiliki
beberapa kantor audit internal internasional.
(iv) PENGGUNAAN STAF AUDIT INTERNAL KANTOR PUSAT Tiga pendekatan untuk mengorganisir
kegiatan audit internal yang baru saja dibahas harus selalu didukung oleh beberapa fungsi kantor
pusat. Minimal, ini dapat terdiri dari CAE dan staf pendukung administrasi yang sangat terbatas,
dengan perluasan fungsi audit internal pusat di atas minimum ini tergantung pada pekerjaan apa yang
didelegasikan kepada komponen lini dan jenis layanan audit internal yang disediakan oleh satuan
pusat.
Dalam situasi tipikal, semua atau hampir semua laporan audit dapat ditinjau dan disetujui di kantor
pusat. Hal-hal lain yang memerlukan perhatian terpusat, seperti kebijakan dan prosedur audit internal
yang umum, dapat dikembangkan, atau setidaknya diselesaikan dan didistribusikan, oleh fungsi audit
internal kantor pusat. Mungkin juga ada beberapa pekerjaan perencanaan dan administrasi yang harus
atau sebaiknya dilakukan di kantor pusat perusahaan. Sebagian besar kegiatan ini akan memerlukan
beberapa dukungan administratif. Kegiatan lain dapat dilakukan sebagian oleh CAE tetapi biasanya
memerlukan bantuan audit internal profesional tambahan, yang mungkin disediakan oleh satu atau
lebih manajer audit internal kantor pusat atau personel perencanaan dan administratif lainnya. Biasanya
CAE akan menginginkan satu individu memiliki wewenang untuk bertindak saat dia tidak ada, sehingga
memastikan kelangsungan operasi yang diperlukan.
Machine Translated by Google
Dengan perusahaan yang sangat terdesentralisasi di mana sebagian besar aktivitas audit internal
dilakukan berdasarkan divisi, menurut jenis audit, atau menurut wilayah geografis, fungsi audit internal
sentral ini dapat dilihat sebagai jenis fungsi overhead korporat pusat yang berkontribusi pada
pengeluaran. unit operasi tetapi memberikan nilai yang kecil.
Meskipun CAE melapor kepada komite audit dan berbicara kepada manajemen senior, keduanya
mungkin mempertanyakan seberapa familiar eksekutif audit tersebut dengan aktivitas audit lapangan
atau unit operasi. Fungsi audit internal terpusat mungkin tidak terlalu efektif jika tidak menambah nilai
upaya audit internal secara keseluruhan.
(v) TUGAS NONAUDIT DAN STAF INFORMAL Auditor internal sering diminta oleh manajemen senior
untuk melakukan audit keuangan atau operasional khusus atau kegiatan konsultasi, meskipun kegiatan
tersebut kadang-kadang menjadi bagian dari kegiatan perusahaan sehari-hari yang biasa mereka
lakukan. tidak memenuhi uji audit internal yang sebenarnya.
Ini sering merupakan proyek gugus tugas dengan durasi terbatas, seperti memecahkan masalah
pengendalian inventaris secara keseluruhan. Auditor internal yang ditugaskan dapat ditarik dari
penugasan audit reguler mereka untuk berpartisipasi dalam proyek dan kemudian kembali ke audit
internal setelah selesai.
Meskipun aktivitas tersebut dapat menunda penyelesaian rencana audit dan menyebabkan
berbagai masalah pengendalian perusahaan, proyek khusus jangka pendek ini umumnya baik untuk
audit internal secara keseluruhan dan untuk masing-masing auditor yang ditugaskan.
Keinginan manajemen senior untuk mengikutsertakan audit internal dalam suatu proyek khusus
menunjukkan dukungan terhadap profesionalisme semua anggota perusahaan audit internal. CAE
harus secara aktif mendorong jenis proyek ini secara berkala untuk memberikan pengalaman tambahan
kepada staf dan mungkin mempersiapkan mereka untuk posisi lain di dalam perusahaan.
Masalah yang berbeda muncul ketika manajemen meminta audit internal untuk mengambil
beberapa fungsi nonaudit secara teratur dan berulang. Ilustrasinya adalah tanggung jawab untuk
meninjau dan menyetujui pengeluaran kas saat ini sebelum pengeluaran tersebut benar-benar
dilakukan. Manajemen dapat berasumsi bahwa karena audit internal memiliki keterampilan pengendalian
khusus tertentu, itu adalah fungsi yang paling cocok di perusahaan untuk melakukan tugas-tugas
khusus ini. Jenis proyek khusus yang sedang berlangsung ini umumnya mengambil sumber daya dari
aktivitas audit internal reguler dan bahkan dapat membahayakan independensi audit internal. CAE
harus dengan tegas menolak penugasan yang sedang berlangsung tersebut. Dengan asumsi bahwa
audit internal tidak memiliki alternatif selain menerima penugasan tersebut, pendekatan organisasi
yang direkomendasikan adalah memisahkan aktivitas tambahan ini dari aktivitas audit internal normal
dan melakukan tinjauan berkala oleh grup audit internal reguler. Sebisa mungkin, situasi seperti ini
harus dihindari. Tanggung jawab ganda cenderung melanggar waktu untuk aktivitas manajemen audit
internal. Selain itu, ada bahaya yang sangat nyata bahwa tanggung jawab ganda akan melemahkan
citra CAE di mata orang lain dalam perusahaan.
Pembahasan tentang pengaturan organisasi audit internal ini terutama membahas jenis struktur
formal dan panduan penting untuk operasi yang efisien.
Di beberapa perusahaan, berbagai jenis hubungan timbal balik di departemen audit internal dapat
melintasi garis organisasi yang telah ditetapkan. Keterkaitan semacam itu bersifat informal dan terjadi
seperlunya untuk memenuhi kebutuhan operasional saat ini. Mereka ada di bawah semua jenis
pengaturan formal. Dalam batas yang masuk akal, pengaturan organisasi informal ini melayani tujuan
operasional yang berguna dan sering kali mengarah pada modifikasi perusahaan formal yang
diperlukan. Namun, jika dibawa terlalu jauh, mereka bisa
Machine Translated by Google
merusak efektivitas misi dasar audit internal. Oleh karena itu, hal yang penting adalah mengenali
kebutuhan mereka tetapi menjaga mereka dalam batas-batas yang masuk akal.
Itu selalu penting untuk menekankan perubahan sifat audit internal atau kebutuhan organisasi
seiring dengan perubahan struktur seluruh perusahaan. Ketika operasi perusahaan berubah, baik dari
segi ukuran maupun fungsinya, pendekatan organisasi yang diikuti oleh audit internal seringkali juga
perlu dinilai kembali. Dalam analisis terakhir, pengaturan organisasi adalah alat untuk mencapai tujuan,
bukan tujuan itu sendiri. Meskipun penilaian ulang ini dapat dan harus dilakukan secara berkelanjutan,
persiapan anggaran audit internal tahunan memberikan peluang yang sangat baik untuk melakukan
evaluasi ulang perusahaan yang lebih lengkap.
Poin keseluruhan kami di sini adalah bahwa tidak ada struktur organisasi yang optimal untuk
setiap fungsi audit internal dan bahwa CAE, dengan nasihat dari komite audit, harus mengembangkan
rencana organisasi yang sesuai dengan tujuan keseluruhan audit internal, sebagaimana didefinisikan
dalam piagamnya, dan memberikan layanan audit internal yang efektif dan efisien kepada perusahaan.
Faktor utama dalam membangun fungsi audit internal semacam itu adalah memiliki pemahaman
tentang alam semesta auditnya, atau jumlah entitas yang dapat diaudit potensial, aktivitas utama, atau
unit lain yang dapat dikenai audit internal individual.
Piagam audit internal dan dokumen otorisasi audit internal dasar lainnya. Materi sudah
dibahas sebelumnya di bab ini.
Aturan etika dan kode etik perusahaan. Aturan di seluruh perusahaan ini, yang secara khusus
berdampak pada auditor internal, dibahas di Bab 24.
Aturan dan prosedur departemen audit internal. Ini adalah aturan berbaris atau der yang
mencakup semuanya, mulai dari kebijakan liburan hingga kesopanan saat bekerja.
Standar audit internal. Ini adalah pedoman untuk melakukan semua dalam audit internal.
Beberapa poin kunci dan referensi untuk lebih banyak bahan termasuk persyaratan untuk menguji
bukti (Bab 9), mendokumentasikan hasil audit (Bab 10), dan menyiapkan laporan audit internal
(Bab 17).
Meskipun banyak materi latar belakang tentang cara melakukan audit internal dapat ditemukan
dalam materi referensi, seperti buku ini, fungsi audit internal harus
Machine Translated by Google
mendokumentasikan materi ini dengan cara yang mudah dipahami oleh seluruh anggota
departemen audit internal. Contoh kami di sini adalah dalam format kertas, meskipun kami
biasanya mengharapkan untuk menemukan materi ini dalam format soft-copy sebagai file read-
only yang terletak di komputer laptop auditor internal.
Sebagai contoh prosedur audit internal, Exhibit 12.6 adalah halaman prosedur untuk
menyiapkan program audit, diambil dari perusahaan contoh Global Computer Products. Prosedur
audit akan bervariasi tergantung pada filosofi dan keahlian teknis dari departemen audit. Namun,
untuk mencapai cakupan yang efektif, prosedur audit harus konsisten dengan kompleksitas
aktivitas yang direview.
Selain itu, audit internal harus menetapkan standar untuk kertas kerja audit, komunikasi
terkait, dan kebijakan retensi. Auditor harus memastikan bahwa kertas kerja disusun dengan
baik, ditulis dengan jelas, dan membahas semua area dalam ruang lingkup audit. Mereka harus
berisi bukti yang cukup dari tugas yang dilakukan dan mendukung kesimpulan yang dicapai.
Prosedur formal sebaiknya memastikan bahwa manajemen dan komite audit menerima ringkasan
temuan audit yang secara efektif mengomunikasikan hasil audit. Laporan audit lengkap harus
tersedia untuk ditinjau oleh komite audit. Kebijakan harus menetapkan periode retensi kertas
kerja yang sesuai. Tentu saja, semua standar departemen audit internal harus didasarkan pada
Standar Praktik Profesional Audit Internal IIA , sebagaimana dibahas dalam Bab 8.
Auditor yang bertanggung jawab untuk setiap tinjauan yang ditugaskan harus mengumpulkan dokumentasi pendukung
dan bertemu dengan manajer yang sesuai untuk melengkapi dan mendokumentasikan:
Proses penilaian risiko untuk menggambarkan dan menganalisis risiko yang melekat pada lini bisnis yang dipilih.
Auditor harus memutakhirkan penilaian risiko setidaknya setahun sekali, atau lebih sering jika perlu, untuk
mencerminkan perubahan pada pengendalian internal atau proses kerja dan untuk memasukkan lini bisnis baru.
Tingkat risiko harus menjadi salah satu faktor paling signifikan yang dipertimbangkan saat menentukan
frekuensi audit.
Rencana audit, berdasarkan rencana tahunan yang disetujui komite audit, merinci proses penganggaran
dan perencanaan audit internal. Rencana tersebut harus menjelaskan tujuan audit, jadwal, kebutuhan staf, dan
pelaporan. Rencana audit ini harus ditetapkan dengan menggabungkan hasil penilaian risiko dan sumber daya
yang diperlukan untuk menghasilkan waktu dan frekuensi audit internal yang direncanakan. Auditor internal harus
melapor kepada komite audit untuk mendapat persetujuan secara periodik status audit terencana versus audit
aktual dan setiap perubahan pada rencana audit tahunan.
Siklus audit yang mengidentifikasi frekuensi audit. Auditor biasanya menentukan frekuensi dengan melakukan
penilaian risiko terhadap area yang akan diaudit. Sementara staf dan ketersediaan waktu dapat mempengaruhi
siklus audit, mereka tidak boleh menjadi faktor utama dalam mengurangi frekuensi audit untuk area berisiko
tinggi.
Pengembangan program kerja audit yang disetujui yang menetapkan ruang lingkup dan sumber daya yang
diperlukan untuk setiap area audit, termasuk pemilihan prosedur audit, luas pengujian, dan dasar kesimpulan.
Program audit yang terencana dengan baik dan terstruktur dengan baik sangat penting untuk manajemen risiko
yang kuat dan untuk pengembangan sistem pengendalian internal yang komprehensif.
Machine Translated by Google
Bab ini telah mengeksplorasi beberapa langkah awal yang penting untuk membangun dan
mempertahankan fungsi audit internal yang efektif. Dimulai dengan piagam otorisasi yang disetujui komite
audit, CAE atau kepala audit internal yang ditunjuk harus membangun organisasi audit internal yang
efektif yang melayani semua aspek perusahaan. Audit internal juga perlu menjadi sumber daya yang
efektif untuk perusahaan secara keseluruhan dengan praktik operasi yang ditetapkan sendiri, deskripsi
posisi, serta kebijakan dan prosedur yang sesuai.
Namun, audit internal bukanlah praktik konsultasi luar dengan koneksi sehari-hari; itu akan selalu menjadi
fungsi internal dan dengan demikian harus menjadi bagian dari perusahaan itu dalam hal gaya operasi
dan kepatuhan terhadap peraturan perusahaan, seperti jam kerja atau bahkan pakaian bisnis. Namun
demikian, meskipun audit internal adalah bagian dari suatu perusahaan, kita tidak boleh lupa bahwa audit
internal selalu independen, unik, dan istimewa.
Audit internal unik dan istimewa karena, dengan pengecualian CEO dan kadang-kadang penasihat
umum, biasanya satu-satunya unit yang melapor langsung ke komite audit. Setiap karyawan, tidak peduli
berapa banyak level yang diturunkan pada bagan organisasi, secara teoritis pada akhirnya melaporkan
ke dewan yang sama; audit internal adalah salah satu dari sedikit fungsi dengan akses langsung. Audit
internal memiliki posisi yang unik di setiap perusahaan karena memiliki hak—dan bahkan kewajiban—
untuk menilai risiko, menjadwalkan tinjauan di setiap tempat operasi, dan kemudian melaporkan hasil
tinjauan tersebut dan meminta tindakan korektif bila perlu. Peran penting ini membutuhkan perhatian dan
rasa hormat profesional dari semua anggota audit internal.
Tema utama di seluruh buku ini adalah pentingnya badan pengetahuan audit internal, CBOK. Kami
biasanya memikirkan CBOK audit internal ini dalam hal aspek audit internal yang lebih teknis, seperti
persyaratan SOx, yang dibahas dalam Bab 4, atau deteksi dan pencegahan penipuan, yang dibahas
dalam Bab 25. Namun, bab ini menyoroti area yang berbeda. kebutuhan CBOK audit internal, termasuk
pengetahuan tentang piagam audit internal dan pemahaman tentang membangun organisasi audit internal
yang efektif. Pemahaman tentang konsep-konsep ini merupakan keterampilan CBOK yang penting bagi
auditor internal di semua tingkatan.
Catatan