Pada tahun 2004, Komite Sektor Publik (PSC) merekomendasikan agar IA-CM dikembangkan untuk

memperkuat pentingnya audit internal dalam tata kelola dan akuntabilitas sektor publik. Hal ini
mengakui bahwa audit internal dapat bervariasi secara signifikan dari satu negara ke negara lain karena
perbedaan dalam praktik manajemen, proses, dan budaya pemerintah tertentu.

PSC mengidentifikasi perlunya model universal yaitu IA sektor public kegiatan-kegiatan tersebut dapat
digunakan sebagai alat penilaian mandiri dan pengembangan untuk menilai kemajuan mereka dan
menentukan kebutuhan pelatihan dan peningkatan kapasitas. Pada saat yang sama, pemerintah di
semua tingkat – nasional, regional (provinsi atau negara bagian), dan lokal (kabupaten atau kota) –
mengakui pentingnya audit internal dalam meningkatkan perekonomian, efisiensi, dan efektivitas di
semua tingkatan. dari administrasi sektor publik. Jelas terdapat kebutuhan akan model tata kelola sektor
publik yang universal yang mencakup audit internal.

Pada bulan September 2006, Institute of Internal Auditors Research Foundation (IIARF) menyetujui
proyek pengembangan IA-CM yang akan digunakan secara global untuk membantu mengembangkan
audit internal sektor publik dengan memperkuat kapasitas dan meningkatkan efektivitasnya. Model ini
didasarkan pada adaptasi Model Kematangan Kemampuan Perangkat Lunak dari Institut Rekayasa
Perangkat Lunak yang dikembangkan sebagai alat untuk menilai kemampuan organisasi dalam
membangun aplikasi perangkat lunak dan Laporan Teknis yang lebih baru

Tujuan:

Tujuan akhir dari proyek penelitian ini adalah untuk mengembangkan IA-CM untuk digunakan secara
global sebagai dasar penerapan dan pelembagaan audit internal yang efektif di sektor publik.
Penyelidikan utama dimaksudkan untuk mengeksplorasi dan mengidentifikasi:

• Karakteristik keseluruhan pada setiap tingkat kemampuan aktivitas IA dan organisasi yang
didukungnya.

• Elemen-elemen yang membentuk aktivitas IA dan area proses utama pada setiap tingkat
kemampuan dan dalam setiap elemen.

• Kegiatan dan praktik setiap area proses utama yang perlu berfungsi secara efektif dan

tujuan yang sesuai yang perlu dicapai untuk pindah ke tingkat berikutnya.

Phase:

Fase 1 (2006-2007):

Fase 1 mengidentifikasi karakteristik setiap level, elemen aktivitas IA, dan area proses utama (KPA) di
setiap level dan setiap elemen. Tinjauan literatur dan dokumentasi yang ekstensif dilakukan bersama
dengan masukan melalui kelompok fokus dan lokakarya dari lebih dari 50 profesional audit internal dari
lebih dari 20 negara.)

Fase 2 (2007-2009):

Tahap 2 dibangun berdasarkan hasil Tahap 1 dengan mengekang dan menguraikan kelima tingkat
kemampuan, membedakannya lebih lanjut, dan mengevaluasi aspek-aspek setiap tingkat yang
berkontribusi terhadap kemampuan untuk melaksanakan tingkat berikutnya.

Fase 2 mengkonfirmasi kesesuaian setiap level dan KPA dalam elemen audit internal dengan:

 Mengidentifikasi aktivitas IA di kehidupan nyata yang memberikan contoh pada setiap tingkat,
dan membandingkan seluruh elemen untuk memastikan bahwa contoh tersebut benar-benar
mewakili model
 Memvalidasi, melalui interaksi dan komunikasi yang luas dengan kegiatan IA di seluruh dunia,
bahwa kegiatan, keluaran dan hasil penting yang diidentifikasi dalam KPA dalam setiap elemen
di setiap tingkat merupakan dasar dan memberikan kemampuan untuk berfungsi secara efektif,
dan bahwa mereka menetapkan landasan (atau sistemik) kapasitas untuk melanjutkan ke
tingkat berikutnya

DEFINISI

IA-CM adalah kerangka kerja yang mengidentifikasi dasar-dasar yang diperlukan untuk audit internal
yang efektif di sektor publik. Hal ini menggambarkan jalur evolusi yang harus diikuti oleh organisasi
sektor publik dalam mengembangkan audit internal yang efektif untuk memenuhi kebutuhan tata kelola
organisasi dan harapan profesional. IA-CM menunjukkan langkah-langkah dalam kemajuan dari tingkat
audit internal yang khas pada organisasi yang kurang mapan menuju kemampuan audit internal yang
kuat dan efektif yang umumnya dikaitkan dengan organisasi yang lebih matang dan kompleks.

IA-CMnya adalah:

• sarana komunikasi — dasar untuk mengomunikasikan apa yang dimaksud dengan audit internal yang
efektif dan bagaimana audit internal tersebut bermanfaat bagi organisasi dan pemangku
kepentingannya, serta untuk mendukung pentingnya audit internal audit internal kepada pengambil
keputusan.

• kerangka penilaian — kerangka kerja untuk menilai kemampuan aktivitas IA terhadap standar dan
praktik audit internal profesional, baik sebagai penilaian mandiri atau eksternal penilaian.

• peta jalan untuk perbaikan yang teratur — peta jalan untuk membangun kemampuan yang
menguraikan langkah-langkah yang dapat diikuti organisasi untuk membangun dan memperkuat
aktivitas IA-nya.
IA-CM menyediakan alat yang dapat digunakan oleh organisasi sektor publik untuk:

• Menentukan persyaratan audit internal sesuai dengan sifat, kompleksitas, dan risiko yang terkait
dengan operasinya.

• Menilai kemampuan audit internal yang ada terhadap persyaratan yang telah ditentukan.

• Mengidentifikasi kesenjangan yang signifikan antara persyaratan tersebut dan kemampuan audit
internal yang ada dan berupaya mengembangkan tingkat kemampuan audit internal yang sesuai.

IA-CM merupakan kerangka penguatan atau peningkatan internal mengaudit melalui banyak langkah
evolusi kecil. Langkah-langkah ini telah disusun menjadi lima tingkat kemampuan progresif. Model ini
mengilustrasikan tahapan di mana aktivitas IA dapat berkembang seiring dengan pendefinisian,
penerapan, pengukuran, pengendalian, dan peningkatan proses dan praktiknya.

Perbaikan dalam proses dan praktik pada setiap tahap memberikan landasan untuk maju ke tingkat
kemampuan berikutnya. Oleh karena itu, ini merupakan pendekatan “building block” untuk membangun
audit internal yang efektif dalam suatu organisasi. Premis mendasar yang mendasari IA-CM adalah
bahwa suatu proses atau praktik tidak dapat diperbaiki jika tidak dapat diulangi.
Setiap tingkat kemampuan menggambarkan karakteristik dan kemampuan suatu aktivitas IA pada
tingkat tersebut. Ketika ukuran atau kompleksitas suatu organisasi atau risiko yang terkait dengan
operasinya meningkat, kebutuhan akan kemampuan audit internal yang lebih canggih juga meningkat.
Model ini berupaya untuk mencocokkan sifat dan kompleksitas suatu organisasi dengan kemampuan
audit internal yang diperlukan untuk mendukungnya. Dengan kata lain, jika organisasi memerlukan
tingkat kecanggihan yang lebih tinggi dalam praktik audit internal, aktivitas IA biasanya akan berada
pada tingkat kemampuan yang lebih tinggi. Tingkat kemampuan audit internal sering kali dikaitkan
dengan struktur tata kelola organisasi di mana ia berada

Enam elemen penting berikut diidentifikasi untuk kegiatan IA:

1. Pelayanan dan Peran Audit Internal.

2. Manajemen Sumber Daya Manusia.

3. Praktek Profesional.

4. Manajemen Kinerja dan Akuntabilitas.

5. Hubungan dan Budaya Organisasi.

6. Struktur Tata Kelola

Empat elemen pertama — Layanan dan Peran Audit Internal, Manajemen Sumber Daya Manusia, Praktik
Profesional, serta Manajemen Kinerja dan Akuntabilitas — terutama berkaitan dengan manajemen dan
praktik aktivitas IA itu sendiri. Dua elemen terakhir — Hubungan Organisasi dan Budaya serta Struktur
Tata Kelola — juga mencakup hubungan aktivitas IA dengan organisasi yang didukungnya serta
lingkungan internal dan eksternal.

Proses, yang disebut sebagai Key Process Area (KPA) dalam IA-CM, berkaitan dengan enam elemen dan
dapat ditemukan dalam setiap tingkat kemampuan. Warna hijau tua pada Gambar I.3 mengidentifikasi
elemen-elemen di mana kegiatan IA mungkin memiliki lebih banyak peluang untuk secara mandiri
membentuk dan melembagakan KPA, hingga dan termasuk yang terdapat di Level 3 – Terintegrasi.
Deskripsi ringkasan elemen ditemukan.

1. Peran dan pelayanan internal audit

Peran yang diharapkan dari aktivitas IA – untuk memberikan penilaian yang independen dan obyektif
guna membantu organisasi dalam mencapai tujuannya dan meningkatkan operasi – sampai taraf
tertentu ditemukan di sebagian besar aktivitas IA di sektor publik. Namun, cara untuk mencapai peran
ini atau layanan yang diberikan berbeda-beda di setiap yurisdiksi dan lingkungan. Layanan yang
diberikan biasanya didasarkan pada kebutuhan organisasi dan wewenang, ruang lingkup, dan kapasitas
aktivitas IA.

Layanan mencakup penyediaan aktivitas jaminan dan konsultasi/penasihat dan dapat terdiri dari audit
transaksi, kepatuhan, sistem, proses, operasi, kinerja/nilai manfaat uang, informasi dan teknologi
terkait, serta laporan dan sistem keuangan.

Fokus audit yang paling luas “mempertimbangkan aktivitas tata kelola organisasi, yang dapat membantu
organisasi mencapai tujuan dan sasaran prioritasnya serta meningkatkan kerangka tata kelolanya,
termasuk kode etiknya. Fokus audit yang paling sempit melibatkan pengujian kesalahan transaksi
individual atau kepatuhan terhadap ketentuan kontrak, kebijakan, peraturan, atau undang-undang.
Ruang lingkup pekerjaan auditor dapat bervariasi antara kedua ekstrem ini dan mencakup aktivitas
seperti meninjau pengendalian internal, proses, dan sistem untuk mengidentifikasi kelemahan sistemik
dan mengusulkan perbaikan operasional.

Layanan dapat dilakukan oleh aktivitas IA itu sendiri, bersumber bersama dengan penyedia layanan
eksternal, atau dialihdayakan.

2. Manajemen SDM

Manajemen sumber daya manusia adalah proses menciptakan lingkungan kerja yang memungkinkan
orang untuk melakukan yang terbaik dari kemampuan mereka. Manajemen sumber daya manusia
adalah sistem yang dimulai ketika suatu pekerjaan didefinisikan sesuai kebutuhan. Manajemen sumber
daya manusia meliputi:
Mengidentifikasi atribut tertentu dan mengembangkan uraian tugas yang jelas untuk setiap tingkat
auditor internal.

• Merekrut orang-orang yang tepat melalui proses seleksi yang tepat. Mengidentifikasi persyaratan
pekerjaan dan tujuan kerja berdasarkan standar kinerja, hasil, dan ukuran.

• Memberikan orientasi yang efektif, pendidikan berkelanjutan, pengembangan profesional, dan

pelatihan.

• Memberikan pembinaan berkelanjutan dan umpan balik berkelanjutan, serta melakukan diskusi
pengembangan kinerja secara berkala.

• Merancang sistem kompensasi dan pengakuan yang efektif yang memberikan penghargaan kepada
masyarakat atas kontribusi mereka.

• Memberikan peluang promosi dan pengembangan karir yang tepat

3. Praktek Professional

Praktik profesional mencerminkan keseluruhan latar belakang kebijakan, proses, dan praktik yang
memungkinkan aktivitas IA dilakukan secara efektif dan dengan kecakapan serta kehati-hatian
profesional. Hal ini mengacu pada kapasitas aktivitas IA untuk menyelaraskan diri dengan prioritas
organisasi dan strategi manajemen risiko serta berkontribusi terhadap perbaikan berkelanjutan pada
aktivitas IA dan organisasi. Hal ini mencakup pengembangan dan pemeliharaan “program pemastian dan
peningkatan kualitas yang mencakup seluruh aspek aktivitas audit internal.

4. Manajemen Kinerja dan akuntabilitas

Manajemen kinerja dan akuntabilitas mengacu pada informasi

diperlukan untuk mengelola, melaksanakan, dan mengendalikan operasi aktivitas IA dan

mempertanggungjawabkan kinerja dan hasilnya. Hal ini mengacu pada identifikasi dan komunikasi
informasi yang cukup dan relevan untuk memungkinkan orang melaksanakan tanggung jawab yang
diberikan kepada mereka.

Unsur ini mencakup pengembangan dan pengelolaan sistem informasi yang relevan serta informasi
kinerja keuangan dan non-keuangan (operasional dan program). Ini mencakup prosedur untuk
mengelola dan melindungi integritas data dan untuk menghasilkan dan menyajikan informasi dan hasil
yang sesuai bila diperlukan. Hal ini mengacu pada pelaporan efektivitas kegiatan IA kepada pemangku
kepentingan terkait dan masyarakat. Hal ini terutama mengacu pada informasi manajemen, yang juga
dapat ditemukan terintegrasi dan berasal dari elemen audit internal lainnya.
 5. Hubungan dan budaya organisasi

Hubungan dan budaya organisasi mengacu pada struktur organisasi dan manajemen internal serta
hubungan dalam aktivitas IA itu sendiri. Hal ini juga mengacu pada posisi aktivitas IA dalam infrastruktur
administratif dan rezim manajemen organisasi serta hubungannya dengan unit lain dalam organisasi.

Dalam infrastruktur administratif, hal ini mencakup bagaimana kebijakan, proses, dan praktik organisasi
diinterpretasikan dan mungkin berdampak pada kemampuan aktivitas IA untuk mencapai tujuannya
secara efektif, termasuk kapasitasnya untuk mengakses informasi dan orang-orang yang dibutuhkan
dalam melaksanakan pekerjaannya. Hal ini mencakup hubungan CAE dengan manajemen senior dan
sebagai bagian dari tim manajemen serta kemampuan untuk memberikan nasihat dan mempengaruhi
manajemen tingkat atas serta mengembangkan hubungan yang efektif dan berkelanjutan.

Elemen ini mengacu pada hubungan internal organisasi serta budaya dan lingkungan internal, dan
bagaimana hubungan dan budaya organisasi ini dapat berdampak pada pemangku kepentingan utama
dan pihak lain.

di luar organisasi, termasuk masyarakat. Hal ini juga mengacu pada hubungan aktivitas IA dengan
kelompok peninjau lainnya, termasuk auditor eksternal atau legislative

6. Strukture tata kelola

Struktur tata kelola secara umum mengacu pada kombinasi proses dan struktur yang diterapkan oleh
dewan (badan pengelola organisasi) untuk memberikan informasi, mengarahkan, mengelola, dan
memantau aktivitas organisasi menuju pencapaian tujuannya.

Struktur pemerintahan meliputi administratif dan fungsional

melaporkan hubungan aktivitas IA. Hal ini mencakup pelaporan CAE

hubungannya dengan badan pengelola dan bagaimana aktivitas IA berada dalam struktur organisasi dan
rezim tata kelola. Hal ini mencakup cara-cara yang menjamin independensi dan objektivitas kegiatan IA;
misalnya, melalui mandat formal, kewenangan hukum, dan/atau mekanisme pengawasan seperti
komite audit. Hal ini juga mengacu pada kebijakan dan proses yang ditetapkan untuk memberikan
wewenang, dukungan, dan sumber daya yang diperlukan bagi aktivitas IA untuk melaksanakan tugasnya
dan berkontribusi terhadap efektivitas dan independensinya.

Elemen Keterangan
Pelayanan dan Perannya – untuk memberikan penilaian yang independen dan obyektif guna
Peran Audit membantu organisasi dalam mencapai tujuannya dan meningkatkan
Internal. operasinya – sampai taraf tertentu ditemukan di sebagian besar aktivitas IA di
sektor publik.
Sarana atau layanan yang diberikan berbeda-beda di setiap yurisdiksi dan
lingkungan. Layanan yang diberikan biasanya didasarkan pada kebutuhan
 organisasi dan wewenang, ruang lingkup, dan kapasitas aktivitas IA.
Layanan mencakup penyediaan jaminan dan nasihat dan dapat berupa audit
atas transaksi, kepatuhan, sistem, proses, operasi, kinerja/nilai manfaat uang,
informasi dan teknologi terkait, serta laporan dan sistem keuangan.
Layanan dapat dilakukan oleh aktivitas IA itu sendiri, bersumber bersama
dengan penyedia layanan eksternal, atau dialihdayakan

Manajemen Sumber Proses menciptakan lingkungan kerja yang memungkinkan orang untuk
Daya Manusia melakukan yang terbaik dari kemampuan mereka. Prosesnya dimulai ketika
suatu pekerjaan didefinisikan sesuai kebutuhan.
Manajemen sumber daya manusia meliputi:
• Mengidentifikasi atribut khusus dan mengembangkan deskripsi
pekerjaan yang jelas.
• Merekrut orang-orang yang tepat melalui proses seleksi yang tepat.
• Mengidentifikasi persyaratan pekerjaan dan tujuan kerja berdasarkan
standar kinerja, hasil, dan ukuran.
• Memberikan orientasi yang efektif, pendidikan berkelanjutan,
pengembangan profesional, dan pelatihan.
• Memberikan pembinaan berkelanjutan dan umpan balik
berkelanjutan.
• Merancang sistem kompensasi dan pengakuan yang efektif.
 • Memberikan peluang promosi dan pengembangan karir yang sesuai.

Praktek Profesional Mencerminkan latar belakang penuh kebijakan, proses, dan praktik yang
memungkinkan aktivitas IA dilakukan secara efektif dan dengan kemahiran
serta kehati-hatian profesional. Mengacu pada kapasitas aktivitas IA untuk
menyelaraskan diri dengan prioritas organisasi dan strategi manajemen risiko
serta berkontribusi terhadap perbaikan berkelanjutan pada aktivitas IA dan
organisasi. Termasuk pengembangan dan pemeliharaan program penjaminan
dan peningkatan kualitas

Manajemen Kinerja Mengacu pada informasi yang dibutuhkan untuk mengelola, menjalankan, dan
dan Akuntabilitas mengendalikan operasi aktivitas IA serta memperhitungkan kinerja dan
hasilnya. Mengacu pada identifikasi dan komunikasi informasi yang memadai
dan relevan untuk memungkinkan orang melaksanakan tanggung jawab yang
ditugaskan kepada mereka.
Meliputi pengelolaan sistem informasi yang relevan dan informasi kinerja
keuangan dan non-keuangan (operasional dan program).
Mencakup prosedur untuk mengelola dan melindungi integritas data serta
menghasilkan dan menyajikan informasi dan hasil yang sesuai bila diperlukan.
Mengacu pada pelaporan efektivitas kegiatan IA kepada pemangku
kepentingan terkait dan masyarakat

Hubungan dan Mengacu pada struktur organisasi dan manajemen internal serta hubungan
Budaya Organisasi. dalam aktivitas IA itu sendiri.
Mencakup hubungan CAE dengan manajemen senior, dan sebagai bagian dari
 tim manajemen.
Mengacu pada hubungan aktivitas IA dengan unit lain dalam organisasi, baik
dalam infrastruktur administratif maupun sebagai bagian dari rezim
manajemen.
Mencakup bagaimana kebijakan, proses, dan praktik organisasi
diinterpretasikan dan mungkin berdampak pada kapasitas aktivitas IA untuk
mengakses informasi dan orang-orang yang diperlukan dalam pelaksanaan
pekerjaannya.
Mengacu pada hubungan internal serta budaya dan lingkungan internal
organisasi, dan bagaimana hubungan tersebut serta budaya organisasi dapat
berdampak pada pemangku kepentingan utama dan pihak lain di luar
organisasi.
Mengacu pada hubungan dengan kelompok peninjau lainnya, termasuk
auditor eksternal atau auditor legislatif, jika berlaku

Struktur dan tata Mencakup hubungan pelaporan (administratif dan fungsional) CAE, dan
kelola bagaimana aktivitas IA berada dalam struktur organisasi dan tata kelola
entitas.
Mencakup cara-cara yang menjamin independensi dan objektivitas kegiatan
IA; misalnya, melalui mandatnya, kewenangan yang ditetapkan undang-
undang, dan/atau badan pengawas seperti komite audit.
Mengacu pada kebijakan dan proses yang ditetapkan untuk mendukung dan
menyediakan sumber daya bagi kegiatan IA dan dengan demikian
berkontribusi terhadap efektivitas dan independensinya.

IACM Matrix
Sumbu vertikal mewakili tingkat kemampuan — dengan kemampuan aktivitas IA yang meningkat dari
bawah ke atas. Unsur-unsur audit internal disajikan pada sumbu horizontal. KPA untuk setiap level untuk
setiap elemen diidentifikasi dalam kotak yang relevan untuk level yang sesuai.

Bayangan pada matriks satu halaman IA-CM menggambarkan tingkat atau pengaruh aktivitas IA
terhadap elemen-elemen tersebut. Secara khusus, jika dilihat dari kiri ke kanan, kemampuan kegiatan IA
itu sendiri untuk secara mandiri membentuk dan melembagakan KPA semakin menurun. Misalnya,
aktivitas IA kemungkinan besar akan memiliki kendali lebih besar atas peran dan layanannya
dibandingkan struktur tata kelolanya. Demikian pula, aktivitas IA berpotensi memiliki kemampuan yang
lebih kecil untuk melembagakan KPA secara independen seiring dengan meningkatnya tingkat
kemampuan pada matriks dari Tingkat 2 menjadi 5.

Pergeseran ini terjadi karena organisasi dan lingkungan akan cenderung meningkatkan p.engaruhnya
terhadap apakah kegiatan IA mampu melembagakan KPA pada tingkat kemampuan yang lebih tinggi.

Selain itu, untuk berpindah dari Tingkat 1 ke Tingkat 2 memerlukan prasyarat tertentu, seperti struktur
tata kelola yang matang dan kerangka pengelolaan keuangan, pengendalian, dan akuntabilitas, serta
stabilitas pemerintahan, budaya organisasi yang reseptif, dan pendorong utama audit internal. .

Ringkasnya, kegiatan IA kemungkinan besar akan memiliki kendali lebih besar dalam menciptakan dan
melembagakan KPA yang terdapat pada elemen dan level yang berwarna hijau tua.
KPA

Setiap tingkat kemampuan terdiri dari satu atau lebih KPA. Ini terkait dengan enam elemen audit
internal.

KPA merupakan building block utama yang menentukan kapabilitas suatu aktivitas IA. Mereka
mengidentifikasi apa yang harus ada dan dipertahankan pada tingkat kemampuan tersebut sebelum
aktivitas IA dapat maju ke tingkat berikutnya. Ketika suatu aktivitas IA telah melembagakan seluruh KPA
yang terkait dengan tingkat kemampuan audit internal tertentu, aktivitas tersebut dapat dianggap telah
mencapai tingkat tersebut. Dengan kata lain, seluruh KPA di setiap elemen sampai dengan level tersebut
harus dikuasai dan dilembagakan ke dalam budaya kegiatan IA agar audit internal dapat mencapai level
tertentu.

Berdasarkan definisinya, KPA dinyatakan dalam suatu elemen pada tingkat kemampuan tunggal. Namun
terdapat hubungan antar KPA yang mencakup seluruh elemen dan tingkat kemampuan.

Setiap KPA terdiri dari tujuan, kegiatan penting, keluaran, hasil, dan praktik pelembagaan

tujuan: Tujuan KPA merangkum hasil atau keadaan yang diinginkan yang harus ada untuk KPA tersebut.
Negara harus dilaksanakan secara efektif dan langgeng. Sejauh mana tujuan telah tercapai merupakan
indikator seberapa besar kemampuan yang telah dibangun oleh aktivitas IA pada tingkat kemampuan
tersebut. Tujuannya menandakan ruang lingkup dan maksud masing-masing KPA.

kegiatan penting: Setiap KPA mengidentifikasi sekelompok kegiatan terkait yang bila dilakukan secara
kolektif akan mencapai tujuan. Pada gilirannya, kegiatan-kegiatan tersebut menghasilkan output dan
outcome.

keluaran dan hasil: Keluaran jangka pendek dan hasil jangka panjang tertentu dikaitkan dengan setiap
KPA.

Praktik pelembagaan: Praktik tertentu harus dikuasai dan dilembagakan ke dalam kegiatan IA untuk
mencapai KPA tertentu. Model ini tidak dimaksudkan untuk memberikan petunjuk mengenai bagaimana
suatu proses harus dilaksanakan, namun lebih kepada apa yang harus dilakukan. Praktik pelembagaan
aktivitas IA tertentu akan bervariasi tergantung pada lingkungan eksternal, sifat dan kompleksitas
organisasi, serta atribut aktivitas IA.

Untuk tujuan ilustrasi dan kejelasan, beberapa contoh praktik pelembagaan diberikan untuk setiap KPA.
Contoh-contoh yang diberikan mengidentifikasi berbagai cara penerapan KPA, namun tidak
dimaksudkan untuk bersifat preskriptif atau menyeluruh.
Pada Tingkat 1 – Awal, audit internal bersifat ad hoc atau tidak terstruktur, hanya sedikit proses yang
didefinisikan, dan praktik yang dilakukan tidak konsisten. Audit tunggal dan/atau peninjauan dokumen
dan transaksi secara terpisah dapat dilakukan. Audit kemungkinan besar terbatas pada audit transaksi;
artinya, memeriksa keteraturan dan keakuratan transaksi ekonomi individu, atau audit kepatuhan dasar