BAB 1: SIGNIFICANCE OF INTERNAL AUDITING IN ENTERPRISES TODAY:

AN UPDATE

1.1 Internal Auditing History and Background

IA di Abad Permulaan (3500 SM)
• 3000 SM Di zaman Mesopotamia, terdapat tanda-tanda kecil seperti titik, silang, centang (check
marks) yang dibuat di samping angka-angka transaksi keuangan sebagai sistem verifikasi.
• Masyarakat Mesir, Cina, Persia, & Yahudi menerapkan sistem yang sama dengan Mesopotamia.
Orang-orang Mesir, misalnya mensyaratkan adanya saksi dalam transaksi penyerahan padi ke
lumbung desa & mensyaratkan adanya dokumen yang sah untuk transaksi tersebut.
• Masyarakat Yunani mementingkan prosedur otorisasi & verifikasi. Namun sistem kontrolnya bisa
dikatakan cukup aneh yaitu mempekerjakan budak sebagai petugas pencatat yang dinilai lebih efektif
karena berada dibawah sumpah sehingga dapat dilakukan penyiksaan.
• Kerajaan Romawi Kuno menerapkan “sistem dengar laporan” yang merupakan verifikasi secara lisan.
Pada akhirnya tugas mendengarkan tersebut memunculkan istilah “audit” yang berasal dari bahasa
Latin auditus (“mendengarkan”). Salah satu contoh penerapannya quaestors (“pihak penanya”) akan
memeriksa laporan gubernur untuk mendeteksi kecurangan dan penyalahgunaan dana.
IA di Abad Pertengahan
• Jatuhnya Kerajaan Romawi menyebabkan sistem moneter dan internal kontrol pun ikut hancur.
Akhirnya para penguasa meminta bukti penerimaan yang menjadi hak mereka
• Pada abad ke-13 di Italia lahir system pembukuan berpasangan (double entry), yaitu setiap
transaksi dicatat baik sisi debit maupun kredit yang membantu para pengusaha mengontrol
transaksi dengan para pelanggan dan pemasok serta membantu mereka mengawasi pekerjaan para
karyawan.
IA di Masa Revolusi Industri
• Perusahaan-perusahaan di Inggris memperkerjakan akuntan untuk memeriksa catatan
keuangannya bukan hanya sekedar “mendengarkan”, namun melakukan verifikasi audit kemudian
berkembang menjadi verifikasi tertulis dan perbandingan angka-angka yang tertera pada jurnal dan
bukti dokumen.
IA di Zaman Modern
• Pada abad ke-19, orang Inggris menginvestasikan dananya di perusahaan Amerika Serikat dan
menginginkan adanya verifikasi independen atas investasi .
• Para auditor di Inggris membawa metode dan prosedur audit yang kemudian diadaptasi untuk
kepentingan mereka sendiri.
• Munculnya Undang-undang Perusahaan Inggris menyebabkan pentingnya pertanggungjawaban
kepada investor.
• Setelah PD 2 Victor Brink mengembangkan konsep Internal Audit yang sekarang (versi
modernnya) dikembangkan oleh Roebert Mueller.
• Pemisahan pemilik dan pengelola
• IA saat ini dan masa mendatang membantu manajemen dari segi efektifitas, efisiensi, ekonomisasi.
IA di Indonesia
✓ UU No 9 Tahun 2003 tentang BUMN
✓ UU No 4 Tahun 2007 tentang PT
✓ POJK no 56/POJK.04/2015 tentang Pembentukan dan Pedoman Penyusun Unit IA

1.2 Mission of Internal Audit

International Professional Practices Framework (IPPF) adalah kerangka kerja konseptual yang
mengatur pedoman resmi praktik auditor internal yang dikeluarkan oleh Institute of Internal Auditor. Pedoman
dalam IPPF meliputi Pedoman Wajib (Mandatory Guidance) dan Pedoman yang Disarankan (Strongly
Recommended Guidance).
Misi internal audit adalah mengartikulasi apa tujuan dan cita – cita yang ingin dicapai oleh audit
internal dalam sebuah organisasi. Pembaharuan IPPF ini menunjukkan bagaimana praktisi Internal Audit
harus memanfaatkan seluruh kerangka untuk memfasilitasi kemampuan mereka untuk mencapai misi.
 Dengan tercapainya misi, maka dapat diharapkan dapat meningkatkan dan melindungi nilai – nilai
organisasi dengan menyediakan berbagai praktik kerja berbasis resiko dan jaminan objektif, mengoptimalkan
saran dan rekomendasi, dan penguatan wawasan.

1.3 Organization of this Book

Auditor internal yang berpengalaman memiliki jawaban yang berbeda mengenai pengalaman sebagai
internal auditor. Belum ada aturan minimum tentang pengetahuan audit internal yang diakui. Artinya, belum
ada Common Body of Knowledge (CBOK) yang diterbitkan untuk profesional audit internal. Di dalam buku
ini, di chapter selanjutkan akan dijelaskan mengenai Common Body of Knowledg).

BAB 2: AN INTERNAL AUDIT COMMON BODY OF KNOWLEDGE

2.1 What Is a CBOK? Experiences from Other Professions

• Adalah tingkat minimum kemampuan yang dibutuhkan untuk kinerja yang efektif dalam profesi
tersebut.
• CBOK berfokus pada pengetahuan minimal yang dibutuhkan oleh setiap profesi dalam disiplin
ilmunya agar berkinerja secara efektif.
• Untuk auditor internal, CBOK akan mencakup berbagai bidang praktek internal audit khusus tetapi
harus dikaitkan dengan pengetahuan manajemen umum dan praktek disiplin serta area aplikasi
pengetahuan.
• Internal Auditor merupakan suatu profesi dalam ilmu pengetahuan
• Konsep mempelajari audit internal sbg suatu profesi dlm rangka menjalankan profesinya tidak boleh
menyimpang dari SPAI (Standar Profesi Audit Internal) yang terdiri dari Kode Etik, Standar Atribut
dan Standar Kinerja.

Komponen studi CBOK memberikan gambaran yang kaya informasi tentang bagaimana profesi
berkembang dan bagaimana itu sedang dipraktekkan dan dilihat di seluruh dunia. Proyek studi CBOK dapat
mengungkapkan:
• Kepatuhan terhadap dan kecukupan IPPF.
• Status aktivitas audit internal dalam organisasi.
• Kegiatan dan jenis audit yang sedang dilakukan.
• Alat dan teknik yang digunakan oleh auditor internal.
• Keterampilan dan pengetahuan yang dimiliki oleh auditor internal

2.2 What Does an Internal Auditor Need to Know?

Auditor internal yang berpengalaman biasanya terspesialisasi dalam beberapa area dan memliliki
tingkatan yang lebih besar dari pengetahuan spesifik industri. Bagaimanapun perusahan manufaktur untuk
peralatan industri berat atau yang menyediakan beberapa jasa financial, sorang auditor internal seharusnya
mengembangkan kemampuan dan pengetahuan untuk spesifik area itu.
Pengetahuan tersebut bisa didapat dari membaca publikasi industri-spesifik, saat menghadiri
pertunjukan perdagangan , atau hanya mendengar , dan lebih banyak mendengar. Setelah memperbanyak
pengetahuan tentang industri-spesifik , seorang auditor internal dapat menggunakan beberapa pengetahuan
untuk menggabungkan anatara prinsip-prinsip audit, sebagai kelayakan.

2.3 An Internal Auditing CBOK

Cakupan CBOK:
• Pentingnya pengendalian internal
• Perencanaan dan kinerja audit internal
• Mengkoordinasikan dan mengelola aktivitas audit internal
• Audit internal dan tata kelola perusahaan
• Sertifikasi auditor internal
• Konvergensi audit internal

2.4 Another Attempt: The IIA Research Foundation’s CBOK

Objek yang dapat menggambarkan dan mendiskripsikan internal auditing practices yaitu:
• Pengetahuan dan kemampuan dalam proses internal auditor
• Kemampuan / skill dan tingkat peorganisasian yang digunakan untuk melatih internal audit dalam
kerjanya
• Kewajiban yang dapat ditunjukkan internal auditor
• Struktur organisani internal auditor
• Beberapa tipe indutri yang dapat melatih internal audit
• Regulasi lingkungan di beberapa negara

Modern Internal Auditing didukung banyak oleh IIARF CBOK dimana dibutuhkan seorang internal
audit CBOK untuk mendefinisikan lebar jangkauan dari aktivitas dimana auditor – auditor internal
memerlukan kemampuan dan pemahaman dan tujauan utama kita adalah sebuah pendekatan.IIARF CBOK
tidak mengajak auditor internal melakukann peraktek terbaik , tetapi menjelaskan jangkauan kegiatan internal
audit dan bagaimana mereka melakukanya.

2.5 Essential Internal Audit Knowledge Areas

Kita mengenal bahwa profesi dari internal auditi memiliki cakupan yang luas. IIA telah
mengumumkan rencana untuk membangun dan memperluas IIARF CBOK itu sendiri dalam beberapa tahun
ke depan. Bagaimanapun pulikasi terbaru IIARF CBOK menemukan bahwa akhir-akhir ini auditor internal
tidak mengikuti IIA standard, IIA mereview penemuan-penemuan ini dan hanya menerbitkan materi dasar
untuk kedepan. Laporan praktek ini menunjukan pengetahuan auditor internal secara nyata.

Bab 3 : The COSO Internal Control Framework

3.1 Memahami Kontrol Internal

definisi pengendalian internal menurut COSO Internal Control 1992 sebagai berikut:
Pengendalian internal adalah sebuah proses, yang dilakukan oleh dewan direksi, manajemen, dan
personil lainnya, yang dirancang untuk memberikan keyakinan memadai mengenai pencapaian tujuan
dalam kategori berikut:
• Efektivitas dan efisiensi operasi
• Keandalan pelaporan keuangan
• Kepatuhan terhadap hukum dan peraturan yang berlaku

3.2 Revisi Bisnis Kerangka Kerja COSO dan Perubahan Lingkungan Operasional
COSO tidak memiliki wewenang untuk mengeluarkan standar seperti yang ditemukan dalam
peraturan pemerintah atau pedoman organisasi profesional. Konsep kerangka kerja COSO ini telah menjadi
dasar bagi entitas penetapan standar di bidang atau persyaratan lain. Sarbanes-Oxley Act (SOx) mengharuskan
perusahaan untuk memiliki sistem pengendalian internal yang efektif yang konsisten dengan kerangka
pengendalian internal COSO.
 Masing-masing perubahan COSO mengharuskan perusahaan untuk mengevaluasi implikasi ini pada
sistem pengendalian internnya dengan penekanan pada pelaporan keuangan eksternal, dan untuk merancang
dan menerapkan tanggapan yang tepat sehingga sistem pengendalian internal dapat disesuaikan dan tetap
efektif sepanjang waktu. Kontrol internal seharusnya dievaluasi dan dinilai sebagai bagian dari kerangka
pengendalian internal COSO setelah versi 1992 yang asli.

3.3 Kerangka Pengendalian Internal COSO yang Ditinjau

Tiga kategori tujuan pengendalian internal - operasi, pelaporan, dan kepatuhan - diwakili oleh kolom
yang berada di atas dalam diagram ini. Sisi depan dari diagram kubus COSO ini memiliki beberapa komponen
atau level kunci pengendalian internal:
1. Kontrol lingkungan
2. Penilaian risiko
3. Aktivitas pengendalian internal
4. Informasi dan komunikasi
5. Kegiatan pemantauan

3.4 COSO INTERNAL CONTROL PRINCIPLES

Selain three-dimensional elementnya, kerangka kerja COSO yang telah direvisi sekarang menyusun
seperangkat prinsip yang mendukung lima komponen internal control. Jika dahulu(versi 1992) secara implisit
mencerminkan beberapa prinsip internal control inti, sekarang versi revisi secara eksplisit mendefinisikan 17
prinsip yang merepresentasikan konsep fundamental yang terkait dengan lima komponen internal control. Hal
ini dilakukan untuk meningkatkan pemahaman manajemen atas pelaksanaan internal control secara efektif.
Komponen dan prinsip yang telah ditetapkan akan menciptakan suatu kriteria dan point of focus yang akan
membantu manajemen dalam menilai apakah komponen internal control ada, berfungsi dan beroperasi secara
bersamaan dalam organisasi. Setiap point of focus dipetakan secara langsung pada salah satu dari 17 prinsip
dan masing-masing prinsip dipetakan secara langsung pada masing-masing dari lima komponen.

3.5 COSO INTERNAL CONTROL COMPONENTS: THE CONTROL ENVIRONMENT

Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang menjadi dasar dalam
pelaksanaan internal control di seluruh organisasi. Terdapat lima prinsip yang terkait dengan komponen ini
yaitu:
▪ Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika
▪ Parameter-parameter yang menjadikan dewan komisaris mampu melaksanakan tanggung jawab tata
kelola
▪ Struktur organisasi serta pembagian wewenang dan tanggung jawab.
▪ Organisasi menetapkan komitmen dalam merekrut, mengembangkan, dan mempertahankan individu
yang kompeten dalam rangka pencapaian tujuan.
▪ Kejelasan ukuran kinerja, insentif, dan imbalan untuk mendorong akuntabilitas kinerja.
Lingkungan pendendalian yang dihasilkan akan berdampak luas terhadap sistem internal control secara
keseluruhan.
3.6 COSO INTERNAL CONTROL COMPONENTS: RISK ASSESSMENT
Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan menganalisis
risiko untuk mencapai tujuan. COSO 2013 merumuskan definisi risiko sebagai kemungkinan suatu peristiwa
akan terjadi dan berdampak merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa bersifat
internal ataupun eksternal. Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang
telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola.Terdapat empat
prinsip yang berkaitan dengan komponen ini yaitu:
▪ Organisasi menentukan tujuan yang spesifik sehingga memungkinkan untuk dilakukan identifikasi dan
penilaian risiko yang terkait dengan tujuan.
▪ Organisasi mengidentifikasi risiko yang terkait dengan pencapaian tujuan di seluruh entitas dan
menganalisis risiko untuk menjadi dasar bagaimana risiko akan diperlakukan.
▪ Organisasi mempertimbangkan potensi fraud dalam penilaian risiko.
▪ Organisasi mengidentifikasi dan menilai perubahan yang akan memengaruhi sistem pengendalian
internal secara signifikan.

Risk Identifinternal controlation and Analysis

Risiko dianalisis dengan mempertimbangkan kemungkinan (likelihood) dan dampaknya (impact) sebagai
dasar untuk menentukan bagaimana cara mengelolanya.
Risk Response Strategies
Manajemen memilih respon dari risiko (avoidance, reduction, sharing, acceptance) dan merancang aksi yang
dapat menyesuaikan risiko dengan selera dan toleransi risiko organisasi.

3.7 COSO INTERNAL CONTROL COMPONENTS: INTERNAL CONTROL ACTIVITIES

Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan prosedur
untuk membantu memastikan dilaksanakannya arahan manajemen dalam rangka meminimalkan risiko atas
pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada semua tingkat organisasi, pada berbagai tahap
proses bisnis, dan pada konteks lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif atau
detektif, dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah otorisasi dan
persetujuan, verifikasi, rekonsiliasi, dan review kinerja. Dalam memilih dan mengembangkan kegiatan
pengendalian, biasanya melekat konsep pemisahan fungsi (segregation of duties). Jika pemisah fungsi tersebut
dianggap tidak praktis, manajemen harus memilih dan mengembangka altenatif kegiatan pengendalian sebagai
kompensasinya. Terdapat tiga prinsip dalam komponen ini yaitu:
▪ Memilih dan mengembangkan kegiatan pengendalian
▪ Memilih dan mengembangkan kontrol umum atas teknologi.
▪ Menyebarkan melalui kebijakan dan prosedur.

3.8 COSO INTERNAL CONTROL COMPONENTS: COMMUNICATION AND INFORMATION

Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung
pencapaian tujuan. Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan
dan berkualitas, baik yang berasal dari sumber internal maupun eksternal, untuk mendukung komponen-
komponen pengendalian internal lainnya berfungsi sebagaimana mestinya. Komunikasi sebagaimana yang
dimaksud dalam kerangka pengendalian internal COSO adalah proses iteratif dan berkelanjutan untuk
memperoleh, membagikan, dan menyediakan informasi. Komunikasi internal harus menjadi sarana diseminasi
informasi di dalam organisasi, baik dari atas ke bawah, dari bawah ke atas, maupun lintas fungsi.Terdapat tiga
prinsip dalam komponen ini yaitu:
▪ Organisasi memperoleh dan menggunakan informasi yang berkualitas dan relevan dalam rangka
mendukung fungsi dari komponen lain dalam internal control.
▪ Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan tanggung jawab internal
control dalam rangka mendukung fungsi dari komponen lain dari internal control.
▪ Organisasi berkomunikasi dengan pihak eksternal terkait hal yang mempengaruhi fungsi dari
komponen lain dalam internal control.
3.9 COSO INTERNAL CONTROL COMPONENTS: MONITORING ACTIVITIES
Kegiatan pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari
keduanya yang digunakan untuk memastikan masing-masing komponen pengendalian intern ada dan
berfungsi sebagaimana mestinya. Evaluasi berkelanjutan dibagun di dalam proses bisnis pada tingkat yang
berbeda-beda guna menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodic, bervariasi
lingkup dan frekuensinya tergantung pada hasil penilian risiko, efektivitas evaluasi berkelanjutan, dan
pertimbangan manajemen lainnya.Terdapat dua prinsip dalam komponen ini yaitu:
▪ Organisasi memilih, mengembangkan, dan melaksanakan evaluasi berkelanjutan dan/atau terpisah
untuk memastikan seluruh komponen IC ada dan berfungsi.
▪ Organisasi mengevaluasi dan mengomunikasikan defisiensi IC pada pihak yang bertanggung jawab
agar diambil tindakan korektif.

3.10 THE COSO FRAMEWORK’S OTHER DIMENSIONS

Seperti yang telah dijelaskan sebelumnya bahwa dalam kerangka internal control COSO terdapat tiga dimensi
dalam seluruh pengendalian internal yakni:
▪ Keandalan dalam laporan keuangan
▪ Kepatuhan kepada hukum dan aturan yang berlaku
▪ Efektifitas dan efisiensi dalam operasional
Dimanapun dimensi tersebut diterapkan dalam perusahaan, seluruh pengendalian internal COSO harus
dipertimbangkan ketepatannya dalam perusahaan berdasarkan tiga dimensi diatas. Dengan demikian auditor
internal dapat menilai keefektifan pengendalian internal.

Bab 4 : The 17 COSO Internal Control Principles

4.1 COSO INTERNAL CONTROL FRAMEWORK PRINCIPLES
Auditor internal harus mengembangkan pemahaman tentang prinsip-prinsip ini sebagai CBOK.
Konsep ini harus membantu auditor internal untuk mengembangkan dan melakukan tinjauan pengendalian
internal mereka secara lebih baik

4.2 PRINSIP MENGENDALIKAN LINGKUNGAN 1: INTEGRITAS DAN NILAI ETIKA

Prinsip pertama lingkungan pengendalian COSO meminta perusahaan untuk menunjukkan komitmen
terhadap integritas dan nilai etika. Sejarah dan budaya perusahaan sering memainkan peran utama dalam
membentuk lingkungan pengendalian internal ini. Ketika sebuah perusahaan secara historis memiliki
penekanan manajemen yang kuat untuk menghasilkan produk yang bebas dari kesalahan, ketika manajemen
senior terus menekankan pentingnya produk berkualitas tinggi, dan ketika pesan ini dikomunikasikan ke
semua tingkat, ini menjadi faktor lingkungan pengendalian perusahaan besar.
Kode Etik perusahaan harus berupa dokumen hidup. Ini memiliki nilai kecil jika telah dikembangkan,
disampaikan kepada semua pemangku kepentingan yang memiliki banyak kerenggangan, dan kemudian
diarsipkan dan dilupakan setelah peluncuran awal itu. Jika ada kode etik baru atau bahkan revisi utama dari
kode yang ada, perusahaan harus melakukan upaya besar untuk mengirimkan salinan kode tersebut kepada
semua karyawan dan pemangku kepentingan. Langkah penting adalah secara formal menyajikan kode etik
baru kepada manajer puncak perusahaan, dan khususnya perwira keuangan
Kode etik perusahaan mencakup serangkaian perilaku yang diharapkan. Selain menerbitkan kode etik
dan mendapatkan penerimaan pemangku kepentingan, juga perlu mekanisme untuk melaporkan pelanggaran
kode dan untuk menyelidiki dan menangani pelanggaran tersebut.Kode etik menggambarkan serangkaian
peraturan untuk tindakan yang diharapkan dalam perusahaan. Ketika pelanggaran ditemukan, masalahnya
harus diselidiki dan tindakan dilakukan secara konsisten, tidak peduli peringkat para pemangku kepentingan.

4.3 PRINSIP MENGENDALIKAN LINGKUNGAN 2: PERAN DARI JAJARAN DIREKSI

Direksi independen harus memiliki hubungan dekat dengan manajemen senior untuk memastikan
operasi perusahaan yang efektif dan sukses dan lingkungan pengendalian internal yang kuat. Dewan direksi
dan komite auditnya harus mengidentifikasi dan memahami harapan para pemangku kepentingan, termasuk
pelanggan, karyawan, investor, dan masyarakat umum, serta persyaratan hukum dan peraturan perusahaan.
Harapan ini seharusnya membantu membentuk tujuan perusahaan dan tanggung jawab pengawasan dewan
direksi.
Dewan direksi harus meninjau dan menyetujui kebijakan dan praktik yang mendukung kinerja
pengendalian internal di seluruh perusahaan dalam pertemuan rutin antara manajemen dan dewan direksi.
Proses dan struktur yang sangat relevan dengan komite audit dewan adalah mereka yang memberikan
pengawasan terhadap sistem pengendalian internal, dan usaha bersama dewan pengurus dan manajemen senior
dapat menunjukkan bahwa prinsip lingkungan pengendalian internal ini hadir dan berfungsi.

4.4 PRINSIP MENGENDALIKAN LINGKUNGAN 3: KEWENANGAN DAN KEBUTUHAN

TANGGUNG JAWAB
Manajemen harus menetapkan, dengan pengawasan dewan, struktur, garis pelaporan, dan wewenang
dan wewenang yang tepat untuk mencapai tujuan pengendalian internnya. Harus ada struktur organisasi yang
ada untuk merencanakan, melaksanakan, mengendalikan, dan menilai secara berkala kegiatan perusahaan
secara keseluruhan. Tujuan lingkungan pengendalian ini adalah untuk menyediakan akuntabilitas dan arus
informasi yang jelas di dalam dan di keseluruhan perusahaan dan seluruh subunitnya.
Untuk menentukan bahwa prinsip pengendalian internal perusahaan ini berfungsi, manajemen dan
dewan direksi harus mempertimbangkan beberapa unit operasi, badan hukum, lokasi geografis, dan penyedia
layanan alih daya di perusahaan tersebut untuk mendukung pencapaian tujuan pengendalian internal ini.

4.5 PRINSIP MENGENDALIKAN LINGKUNGAN 4: KOMITMEN UNTUK TENAGA KERJA

YANG BERKOMPETEN
Perusahaan harus menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan
individu yang kompeten sesuai dengan tujuannya. Prinsip lingkungan kontrol COSO ini meminta kebijakan
dan tindakan yang memenuhi syarat para pemangku kepentingan untuk melaksanakan tanggung jawab yang
ditugaskan, dan memerlukan keahlian dan keahlian yang relevan, yang sebagian besar diperoleh dari
pengalaman profesional, pelatihan, dan sertifikasi. Komitmen terhadap kompetensi dinyatakan dalam sikap
dan perilaku individu dalam melaksanakan tanggung jawab seseorang.
Prinsip lingkungan pengendalian ini meminta perusahaan untuk menentukan persyaratan kompetensi
mereka sesuai kebutuhan untuk mendukung pencapaian tujuan pengendalian internal mereka, dengan
pertimbangan yang diberikan kepada:
• Pengetahuan, keterampilan, dan kebutuhan pengalaman
• Sifat dan tingkat penilaian dan keterbatasan wewenang untuk diterapkan posisi tertentu
• Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman
• Trade-off antara tingkat pengawasan dan tingkat kompetensi yang dipersyaratkan dari karyawan
individu
Dalam semua kasus, manajemen harus mengambil langkah untuk menerapkan prinsip kontrol. Hal ini
penting bagi auditor internal, yang sebagai bagian dari tinjauan mereka harus mencari apa yang telah dilakukan
unit perusahaan untuk menerapkan beberapa prinsip pengendalian internal.

4.6 PRINSIP MENGENDALIKAN LINGKUNGAN 5: MEMEGANG TANGGUNG JAWAB ORANG

Manajemen dan dewan direksi harus menetapkan mekanisme untuk mengkomunikasikan dan meminta
pertanggungjawaban individu atas kinerja tanggung jawab pengendalian internal di seluruh organisasi dan
melaksanakan tindakan perbaikan jika diperlukan. Prinsip pengendalian internal COSO ini menekankan
bahwa manajemen dan semua tingkat perusahaan harus membuat orang bertanggung jawab atas manajemen
pengendalian internal serta semua kekuatan dan kelemahan terkait. Ini adalah konsep penting yang sering kita
abaikan, dan prinsip pengendalian internal yang penting.

4.7 PRINSIP PENILAIAN RISIKO 6: MENENTUKAN TUJUAN YANG TEPAT

Penilaian risiko, elemen kunci dalam kerangka pengendalian internal COSO, didefinisikan di sini
sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan mempengaruhi pencapaian beberapa
tujuan perusahaan secara negatif. Pengelolaan risiko pengendalian internal mempengaruhi kemampuan
perusahaan untuk berhasil, bersaing secara efektif di industrinya, mempertahankan kekuatan finansial dan
reputasi positifnya, dan menjaga kualitas keseluruhan produk, layanan, dan orang-orangnya. Manajemen dan
juga audit internal harus bertanya pada diri sendiri situasi potensial apa yang perlu dikhawatirkan dalam waktu
yang relatif dekat. Ini bisa menjadi dasar untuk menetapkan satu set tujuan risiko.

4.8 PRINSIP PENILAIAN RISIKO 7: MENGIDENTIFIKASI DAN MENGANALISIS RISIKO

Manajemen perusahaan dengan dukungan audit internal harus berusaha untuk mengidentifikasi semua
kemungkinan risiko pengendalian internal yang mungkin berdampak pada perusahaan. Proses identifikasi
risiko memerlukan pendekatan yang dipelajari dan disengaja untuk melihat potensi risiko di setiap area operasi
dan kemudian mengidentifikasi area risiko yang lebih signifikan yang dapat mempengaruhi setiap operasi
dalam jangka waktu yang wajar.
Prinsip identifikasi dan analisis risiko COSO meminta pertimbangan semua orang risiko dalam
perusahaan. Selain itu, proses ini harus mempertimbangkan risiko internal dan eksternal yang berasal dari
penyedia layanan outsource, pemasok utama, dan mitra saluran yang secara langsung atau tidak langsung
memengaruhi pencapaian tujuan perusahaan. Dalam melakukan penilaian risiko ini, manajemen harus
mempertimbangkan tingkat perubahan dalam menentukan frekuensi proses penilaian risiko. Sementara
penilaian risiko adalah proses dinamis, perusahaan harus menggunakan kombinasi penilaian risiko
berkelanjutan dan periodik. Audit internal dapat memainkan peran penting di sini baik dalam perencanaan
audit internal berbasis risiko dan "batuan di darat" mengidentifikasi area risiko potensial sebagai bagian dari
audit internal di lokasi lapangan.

4.9 PRINSIP PENILAIAN RISIKO 8: MENGEVALUASI RISIKO FRAUD

Penilaian risiko fraud adalah proses yang harus dilakukan perusahaan untuk menentukan pemaparan
terhadap kecurangan internal dan eksternal. Penilaian harus meninjau operasi dan pengendalian, termasuk
kebijakan dan prosedur, untuk menentukan di mana kesenjangan ada yang memungkinkan seseorang atau
sekelompok orang melakukan kecurangan terhadap perusahaan tersebut. Penilaian risiko penipuan kemudian
harus melihat bidang utama perusahaan untuk menentukan apakah tindakan telah dilakukan yang akan
mengingatkan manajemen terhadap kecurangan atau untuk secara efektif mencegah eksekusi kecurangan.
Setiap perusahaan memiliki tingkat risiko dan teknik mitigasi yang berbeda tergantung pada industri mereka.
Auditor internal mengalami banyak masalah kesadaran dan kecurangan potensial isu dalam perjalanan
tinjauan terjadwal mereka. Mereka juga biasanya terlibat dalam ulasan tingkat transaksi yang jauh lebih rinci
daripada rekan audit eksternal mereka dan melihat dokumen atau transaksi yang dapat dipertanyakan lebih
sering. Jika manajemen merasa mungkin ada kecurangan potensial dalam perusahaan, langkah pertama hampir
selalu menghubungi audit internal, yang juga akan memiliki hubungan dan komunikasi dengan departemen
hukum perusahaan. Mereka dapat mendiskusikan potensi kekhawatiran di sana dan mendapatkan pendapat
singkat tentang apakah beberapa perhatian memerlukan lebih banyak perhatian. Jika ada tanda kuat adanya
kecurangan aktif, hukum perusahaan hampir selalu siap untuk terjun ke masalah dan bantuan

4.10 PRINSIP PENILAIAN RISIKO 9: MENGIDENTIFIKASI PERUBAHAN YANG

MEMPENGARUHI KONTROL INTERNAL
Prinsip penilaian risiko bernilai kecil jika perusahaan melakukan analisis ekstensif untuk
mengidentifikasi risiko namun pada dasarnya tidak melakukan tindakan untuk mengurangi risiko yang
teridentifikasi. Perusahaan harus mengembangkan strategi manajemen risiko sebagai bagian dari proses
manajemen risiko mereka. Strategi manajemen risiko membahas bagaimana perusahaan bermaksud untuk
menilai risiko yang teridentifikasi, merencanakan tanggapan, dan memantau risiko tersebut - membuat
eksplisit dan transparan persepsi risiko bahwa perusahaan secara rutin menggunakan keputusan investasi dan
operasional. Strategi identifikasi dan analisis risiko merupakan bagian penting dari manajemen risiko
perusahaan.
Manajemen harus mengembangkan strategi respons risiko umum untuk setiap risikonya dengan
menggunakan pendekatan yang dibangun di sekitar salah satu dari keempat strategi umum ini. Dengan
demikian, sebaiknya mempertimbangkan biaya versus manfaat setiap respons risiko potensial untuk
menyesuaikannya dengan keseluruhan selera risiko perusahaan secara keseluruhan.

4.11 CONTROL ACTIVITIES PRINCIPLE 10: SELECTING CONTROL ACTIVITIES THAT

MITIGATE RISKS
Prinsip aktivitas kontrol COSO yang penting ini menyatakan bahwa, sebagai bagian dari lingkungan
pengendalian intern secara keseluruhan, perusahaan harus memilih dan mengembangkan kegiatan
pengendalian yang berkontribusi terhadap mitigasi risiko pengendalian internal terhadap pencapaian tujuan
mereka ke tingkat yang dapat diterima. Kegiatan pengendalian mencakup tindakan yang memastikan bahwa
tanggapan terhadap risiko yang dinilai, serta arahan manajemen lainnya - seperti menetapkan kode etik
perusahaan - dilakukan dengan benar dan tepat waktu.
Karena setiap perusahaan memiliki serangkaian tujuan dan pendekatan penerapannya sendiri, akan selalu ada
perbedaan dalam tujuan, risiko, tanggapan, dan aktivitas pengendalian terkait mereka.
Faktor-faktor yang spesifik perusahaan dapat mempengaruhi aktivitas pengendalian yang diperlukan untuk
mendukung sistem pengendalian internal mereka:
■ Lingkungan dan kompleksitas perusahaan serta sifat dan ruang lingkup operasinya, baik fisik maupun fisik,
semuanya dapat mempengaruhi aktivitas pengendalian perusahaan.
■ Perusahaan yang sangat teratur umumnya memiliki respon risiko dan aktivitas pengendalian yang lebih
kompleks daripada entitas yang kurang diatur.
■ Ruang lingkup dan sifat respons risiko dan aktivitas pengendalian untuk perusahaan multinasional dengan
operasi beragam umumnya membahas struktur pengendalian internal yang lebih kompleks daripada
perusahaan domestik yang aktivitasnya kurang bervariasi.
■ Perusahaan dengan sistem perencanaan sumber daya perusahaan yang cukup canggih.
■ Perusahaan dengan operasi desentralisasi dan penekanan pada otonomi daerah dan inovasi menghadirkan
lingkungan kontrol yang berbeda daripada yang lain yang operasinya konstan dan sangat terpusat.
Pemilihan dan pengembangan kegiatan pengendalian perusahaan yang kuat yang mengurangi risiko
keseluruhan merupakan prinsip pengendalian internal COSO yang penting. Bagi auditor internal, ini akan
mengarah pada pengembangan dan pelaksanaan audit internal yang efektif.

4.12 CONTROL ACTIVITIES PRINCIPLE 11: SELECTING AND DEVELOPING TECHNOLOGY

CONTROLS
COSO menggunakan istilah teknologi dalam prinsip ini, dan bisa mencakup bidang manufaktur robotika,
instrumen pengujian farmasi, dan pengembangan produk video elektronik yang berorientasi konsumen. Semua
produk teknologi dan lebih melampaui apa yang biasanya kita sebut sistem TI, dan banyak masalah dan
masalah pengendalian internal mereka benar-benar berada di luar jangkauan banyak auditor internal.
Ada berbagai jenis kontrol TI teknis, manajemen, dan tata kelola yang mencakup segala hal mulai dari
kebijakan manajemen TI tingkat tinggi untuk mengendalikan proses aplikasi spesifik dan bahkan berjalan di
perangkat genggam. Poin kami di sini adalah bahwa ada satu prinsip pengendalian internal COSO yang
membahas pentingnya pengendalian TI, namun perusahaan memiliki tantangan untuk memilih dan
mengembangkan kontrol TI yang sesuai.

4.13 CONTROL ACTIVITIES PRINCIPLE 12: POLICIES AND PROCEDURES

Yang ketiga dari prinsip-prinsip kegiatan pengendalian COSO mengharuskan perusahaan melakukan
kegiatan pengendaliannya melalui kebijakan dan prosedur. Kebijakan aktivitas pengendalian menentukan dan
menetapkan apa yang diharapkan, dan prosedur memasukkan kebijakan tersebut ke dalam tindakan.
Sementara perusahaan biasanya memiliki banyak kebijakan dan prosedur untuk mencapai tujuannya, kegiatan
pengendalian harus dimulai yang secara khusus berkaitan dengan kebijakan dan prosedur tersebut dan
berkontribusi terhadap mitigasi risiko untuk pencapaian tujuan pada tingkat yang dapat diterima.
Kebijakan yang diterbitkan perusahaan harus memiliki elemen berikut:
■ Tujuan kebijakan. Harus ada pernyataan tingkat tinggi yang menguraikan maksud atau tujuan kebijakan
tingkat tinggi.
■ Lokasi dan penerapan. Harus ada definisi apakah kebijakan tersebut hanya berlaku untuk beberapa unit atau
bersifat global.
■ Peran dan tanggung jawab. Deskripsi harus mencakup semua orang yang terlibat dalam polis.
Sebuah prosedur tidak akan berguna jika dilakukan dengan cara hafalan, tanpa fokus yang tajam dan
terus berlanjut terhadap risiko kebijakan yang diarahkan. Elemen kunci dari prinsip aktivitas pengendalian ini
adalah bahwa perusahaan harus menerapkan kebijakan yang menetapkan prosedur yang diharapkan dan
relevan untuk mencerminkan kebijakan ini. Prinsip kegiatan pengendalian ini menuntut langkah-langkah
tindakan sebagai berikut:
■ Menetapkan kebijakan dan prosedur untuk mendukung penerapan arahan manajemen.
■ Menetapkan tanggung jawab dan akuntabilitas untuk melaksanakan kebijakan dan prosedur.
■ Lakukan dengan menggunakan personil yang kompeten.
■ Lakukan pada waktu yang tepat.
■ Lakukan tindakan perbaikan bila sesuai.
■ Menilai ulang kebijakan dan prosedur.

4.14 INFORMATION AND COMMUNICATION PRINCIPLE 13: USING RELEVANT, QUALITY

INFORMATION
 Suatu perusahaan harus memperoleh dan menggunakan informasi yang relevan dan berkualitas untuk
mendukung fungsi komponen pengendalian internalnya. Informasi diperlukan bagi perusahaan untuk
melaksanakan tanggung jawab pengendalian internalnya dalam mendukung tercapainya tujuan. Mendapatkan
informasi yang relevan memerlukan manajemen untuk mengidentifikasi dan menentukan persyaratan
informasi pada tingkat detail dan spesifik kota yang kuat. Mengidentifikasi kebutuhan informasi adalah proses
yang berulang dan berulang yang terjadi selama kinerja sistem pengendalian internal yang efektif.
Informasi dari Sumber yang Relevan
Informasi internal dan eksternal diterima dari berbagai sumber dan dalam berbagai bentuk dan format.
Dalam mengelola informasi mereka dari sumber eksternal, manajemen harus mempertimbangkannya dalam
kerangka cakupan kegiatan, aktivitas, dan sumber data yang komprehensif yang tersedia secara internal dan
dari sumber terpercaya, dan memilih yang paling relevan dan berguna bagi struktur organisasi saat ini, bisnis
model, atau tujuan.
Pengolahan Data melalui Sistem Informasi
Sistem informasi mencakup kombinasi antara orang, proses, dan teknologi yang mendukung proses
dasar bisnis atau fundamental yang dikelola secara internal maupun yang didukung melalui hubungan dengan
penyedia layanan outsource dan pihak eksternal lainnya.
Informasi dapat diperoleh melalui berbagai bentuk, termasuk input manual atau kompilasi, atau
melalui penggunaan proses TI seperti antarmuka pemrograman aplikasi link otomatis. Volume informasi yang
dapat diakses oleh perusahaan menyajikan peluang dan risiko. Akses yang lebih besar terhadap informasi
umumnya akan meningkatkan kontrol internal. Sifat dan tingkat kebutuhan informasi, kompleksitas dan
volume informasi ini, dan ketergantungan pada pihak eksternal memengaruhi rentang kecanggihan sistem
informasi, termasuk tingkat penyebaran teknologi.
Sistem informasi yang dikembangkan dengan terintegrasi, proses yang memungkinkan teknologi
memberi peluang bagi perusahaan untuk meningkatkan efisiensi, kecepatan, dan aksesibilitas informasi
kepada pengguna. Selain itu, sistem informasi semacam itu dapat meningkatkan kontrol internal atas risiko
keamanan dan privasi yang terkait dengan informasi yang diperoleh dan dihasilkan oleh perusahaan.
Mencapai keseimbangan yang tepat antara keuntungan dan biaya untuk mendapatkan dan mengelola
informasi dan sistem pendukung merupakan pertimbangan utama dalam membangun sistem informasi yang
sesuai dengan kebutuhan perusahaan.

4.15 INFORMATION AND COMMUNICATION PRINCIPLE 14: INTERNAL

COMMUNICATIONS
Suatu perusahaan harus secara internal mengkomunikasikan informasi pengendalian internal, termasuk tujuan
dan tanggung jawabnya, untuk mendukung berfungsinya komponen pengendalian internal lainnya. Disahkan
oleh manajemen senior, komunikasi informasi ini harus disampaikan ke semua elemen di seluruh perusahaan
dan meliputi:
■ Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
■ Peran dan tanggung jawab manajemen dan personil lainnya dalam melakukan proses pengendalian internal
tersebut
■ Harapan perusahaan untuk berkomunikasi atas, bawah, dan melintasi hal-hal yang signifikan terkait dengan
pengendalian internal, termasuk contoh kelemahan, kemunduran, atau ketidakpatuhan
Komunikasi Pengendalian Internal
Komunikasi pengendalian internal dimulai dengan penyampaian dan komunikasi tujuan. Semua
personil juga harus menerima pesan yang jelas dari manajemen senior bahwa tanggung jawab pengendalian
internal mereka harus ditangani secara serius. Melalui komunikasi tujuan dan sub-tujuan, personil harus
memahami bagaimana peran, tanggung jawab, dan tindakan mereka berhubungan dengan pekerjaan orang lain
di perusahaan, tanggung jawab mereka untuk pengendalian internal, dan apa yang dianggap sebagai perilaku
yang dapat diterima dan tidak dapat diterima.
Selain itu, informasi yang dibagikan melalui komunikasi internal membantu manajemen dan personil
lainnya untuk mengenali masalah atau masalah potensial, menentukan penyebabnya, dan melakukan tindakan
korektif. Komunikasi antara manajemen dan dewan direksi memberikan informasi yang dibutuhkan kepada
dewan pengawas untuk pengendalian internal.
Komunikasi Internal di luar Normal Channels
Agar informasi mengalir, turun, dan melintasi perusahaan, harus ada saluran komunikasi terbuka dan
kemauan yang jelas untuk dilaporkan dan didengarkan. Manajemen dan personil lainnya harus percaya bahwa
atasan mereka benar-benar ingin mengetahui masalah pengendalian internal dan mereka akan menangani hal
tersebut jika diperlukan. Dalam beberapa keadaan, diperlukan jalur komunikasi yang terpisah untuk
membentuk mekanisme kegagalan-aman untuk komunikasi anonim atau rahasia bila saluran normal tidak
berfungsi atau tidak efektif.
Pemangku kepentingan perusahaan harus sepenuhnya memahami bagaimana saluran komunikasi ini
beroperasi dan bagaimana mereka secara sadar dilindungi untuk penggunaannya. Kebijakan dan prosedur
harus dilakukan agar semua komunikasi melalui saluran ini dinilai, diprioritaskan, dan diselidiki. Prosedur
eskalasi harus dilakukan untuk memastikan bahwa komunikasi yang diperlukan akan dilakukan kepada
anggota dewan yang ditunjuk, kepala audit internal, atau kepala etika, jika ada fungsi semacam itu, siapa yang
bertanggung jawab untuk memastikan bahwa penilaian tepat waktu dan tepat , investigasi, dan tindakan yang
tepat dilakukan.
Metode Komunikasi
Kejelasan dan keefektifan informasi yang dikomunikasikan penting untuk memastikan agar pesan-
pesan ini diterima sebagaimana mestinya. Bentuk komunikasi aktif seperti pertemuan tatap muka sering kali
lebih efektif daripada bentuk pasif seperti mengirim e-mail atau posting Web. Evaluasi berkala terhadap
efektivitas praktik komunikasi perusahaan membantu memastikan bahwa metode ini berhasil.
Manajemen harus memilih metode komunikasi yang tepat, dengan mempertimbangkan khalayak, sifat
persyaratan komunikasi, ketepatan waktu, biaya, dan keamanan dan privasi serta persyaratan hukum atau
peraturan. Saat memilih metode atau format untuk komunikasi, manajemen harus mempertimbangkan
lingkungan tempat pesan dikirim, persyaratan mereka untuk menyampaikan komunikasi kepada pihak internal
terutama pihak eksternal dimana pesan terkait dengan kepatuhan terhadap undang-undang dan peraturan.

4.16 INFORMATION AND COMMUNICATION PRINCIPLE 15: EXTERNAL

COMMUNICATIONS
Prinsip COSO penting yang harus ditetapkan dan diterapkan perusahaan adalah kebijakan dan prosedur
yang memfasilitasi komunikasi eksternal yang efektif. Komunikasi dengan pihak eksternal memungkinkan
orang lain untuk memahami kejadian, aktivitas, dan keadaan lain yang mungkin mempengaruhi bagaimana
mereka berinteraksi dengan perusahaan.
Masalah kompleksitas komunikasi dapat timbul antara perusahaan dan pihak eksternal melalui
penyedia layanan dan pengaturan outsourcing lainnya, usaha patungan dan aliansi, dan transaksi lainnya yang
menciptakan saling ketergantungan antara kedua belah pihak.

4.17 MONITORING PRINCIPLE 16: INTERNAL CONTROL EVALUATIONS

Kegiatan pemantauan menilai apakah tujuan pengendalian internal COSO ada dan berfungsi. Suatu
perusahaan harus menggunakan proses evaluasi yang berkelanjutan dan terpisah untuk memastikan apakah
prinsip pengendalian internal yang ditetapkan.
Ketika pemantauan dirancang dan dilaksanakan dengan tepat, perusahaan harus diuntungkan karena
lebih mungkin untuk:
■ Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat waktu
■ Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam pengambilan keputusan
■ Menyiapkan laporan keuangan yang akurat dan tepat waktu
■ Berada dalam posisi untuk memberikan kodifikasi atau pernyataan berkala mengenai efektivitas
pengendalian internal
Seiring waktu, pemantauan yang efektif dapat menyebabkan efisiensi organisasi dan mengurangi biaya
yang terkait dengan pelaporan publik mengenai pengendalian internal, karena masalah terkait pemantauan
diidentifikasi dan ditangani secara proaktif dan bukan reaktif.

4.18 MONITORING PRINCIPLE 17: COMMUNICATING INTERNAL CONTROL DEFICIENCIES

Perusahaan harus mengkomunikasikan defisiensi pengendalian internalnya pada waktu yang tepat
kepada semua pihak yang bertanggung jawab untuk mengambil tindakan perbaikan, termasuk manajemen
senior dan dewan direksi. Perusahaan harus mengidentifikasi hal-hal yang berkaitan dengan pemantauan yang
layak mendapat perhatian baik yang mewakili kelemahan potensial maupun nyata dalam beberapa aspek
sistem kontrol internal perusahaan dan yang berpotensi mempengaruhi kemampuan perusahaan untuk
mencapai tujuannya secara negatif. Selain itu, perusahaan harus berusaha untuk mengidentifikasi peluang
untuk meningkatkan efisiensi pengendalian internalnya
 BAB 6 : COBIT AND OTHER ISACA GUIDANCE

6.1 Introduction to COBIT

Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA
(Information Systems Audit and Control Association) pada tahun 1996, dan yang terakhir ini adalah Cobit
versi 5 yang di rilis baru-baru saja.
COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset
pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan
pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan
yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas
dan nilai sertamenyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.
COBIT berorientasi proses, dimana secara praktis COBIT dijadikan suatu standar panduan untuk
membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan IT. COBIT memberikan
panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga
dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.
COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur proses
organisasi, mereka yang organisasinya sangat bergantung pada kualitas, kehandalan dan penguasaan teknologi
informasi. Terdapat 5 cakupan COBIT, yaitu:
1. Strategic allignment
2. Value delivery
3. Risk management
4. Resource management
5. Performance management

COBIT 5 principles:
• Meeting Stakeholder Needs
COBIT 5 terdiri atas proses-proses dan enabler untuk mendukung penciptaan nilai bisnis melalui
penerapan IT. Sebuah perusahaan dapat menyesuaikan COBIT 5 dengan konteks perusahaan tersebut
• Covering the Enterprise End-to-End
COBIT 5 mengintegrasikan pengelolaan IT perusahaan terhadap tatakelola perusahaan. Hal ini
dimungkinkan karena
✓ COBIT 5 mencakup seluruh fungsi dan proses yang ada di perusahaan.
COBIT 5 tidak hanya fokus pada fungsi IT, tapi menjadi teknologi dan informasi tersebut
sebagai aset yang berhubungan dengan aset-aset lain yang dikelola semua orang di dalam
sebuah perusahaan.
✓ COBIT 5 mempertimbangkan seluruh enabler dari governance dan management terkait IT
dalam sudut pandang perusahaan dan end-to-end. Artinya COBIT 5 mempertimbangkan
seluruh entitas di perusahaan sebagai bagian yang saling mempengaruhi.
• Applying a Single Integrated Framework
COBIT 5 adalah framework yang membahas high level terkait governance dan management dari IT
perusahaan. COBIT 5 menyediakan panduan high level dan panduan detailnya disediakan oleh
standar-standar terkait lainnya.
• Enabling a Holistic Approach
Governance dan management IT perusahaan yang efektif dan efisien membutuhkan pendekatan yang
bersifat menyeluruh, yaitu mempertimbangkan komponen-komponen yang saling
berinteraksi. COBIT 5 mendefiniskan sekumpulan enabler untuk mendukung implementasi
governance dan management sistem IT perusahaan secara komprehensif.
• Separating Governance from Management
COBIT 5 memberikan pemisahan yang jelas antara management dan governance. Kedua hal ini
meliputi aktivitas yang berbeda,membutuhkan struktur organisasi yang berbeda dan melayani tujuan
yang berbeda.
Menurut COBIT 5, governance memastikan kebutuhan, kondisi dan pilihan dari stakeholder
dievaluasi untuk menentukan objektif dari perusahaan yang akan disepakati untuk dicapai. Governance
memberikan arah bagi penentuan prioritas dan pengambilan keputusan. Selain itu, governance juga
 me-monitor kinerja dan kesesuaian terhadap objektif yang telah disepakati.
Sementara, management meliputi aktivitas merencanakan, membangun, menjalankan dan me-
monitor aktivitas yang diselaraskan dengan arahan yang ditetapkan oleh organisasi governance untuk
mencapai objektif dari perusahaan.

6.2 COBIT Framework

Proses TI dan aplikasi perangkat lunak pendukung dan perangkat keras merupakan komponen kunci
dalam perusahaan apa pun saat ini. Artinya, proses bisnis dan sumber daya TI mendukung mereka bekerja
dalam hubungan saling berbagi informasi. TI menyediakan informasi untuk membantu mempengaruhi
keputusan bisnis. Auditor internal harus memahami kebutuhan dan persyaratan berbagi informasi di kedua
belah pihak. TI memiliki tanggung jawab atas serangkaian area proses terkait lainnya yang diaudit melalui
pedoman audit yang ditetapkan, diukur dengan serangkaian langkah indikator kinerja dan kegiatan, dan dibuat
efektif melalui serangkaian tujuan kegiatan. Semua ini menjadi bagian dari COBIT, kerangka pengendalian
termasuk proses TI dan bisnis.
COBIT menyediakan pendekatan alternatif untuk mendefinisikan dan mendeskripsikan pengendalian
internal, penekanan TI lebih banyak daripada kerangka pengendalian internal COSO yang baru direvisi.
Pengendalian internal atas sumber daya TI sangat didasarkan pada keefektifan dan saling ketergantungan
terhadap efisiensi komponen TI. Konsep pengendalian internal yang penting saat ini, COBIT mendefinisikan
tata kelola TI sebagai serangkaian bidang utama mulai dari menjaga fokus pada keberpihakan strategis dengan
kepentingan baik pengukuran risiko dan kinerja saat mengelola sumber daya TI.
COBIT memiliki tujuan untuk mencakup semua pengendalian internal operasi perusahaan, terutama
menyediakan kerangka komprehensif yang dirancang untuk membantu perusahaan mencapai tujuan untuk tata
kelola dan pengelolaan TI perusahaan. COBIT juga memiliki tujuan memungkinkan TI diatur dan dikelola
secara holistik untuk keseluruhan perusahaan, mengambil dalam bisnis end-to-end penuh dan bidang
fungsional tanggung jawab TI, mengingat kepentingan IT terkait pemangku kepentingan internal dan
eksternal. COBIT adalah alat yang penting dan berguna dan sumber referensi untuk auditor internal.

6.3 Principle 1:Meeting Stakeholder Needs

Prinsip pertama COBIT menyatakan bahwa perusahaan dan manajemen utamanya harus menyadari
bahwa perusahaan mereka ada untuk menciptakan nilai bagi stakeholders. Akibatnya, setiap perusahaan harus
memiliki konsep penciptaan nilai ini sebagai tujuan manajemen dan tata kelola utama.
Penciptaan nilai berarti menyadari berbagai manfaat pada biaya sumber daya, risiko, dan pemanfaatan
sumber daya yang optimal. Kebutuhan stakeholder diterjemahkan ke dalam Goals Cascade menjadi tujuan
yang lebih spesifik, dapat ditindaklajuti dan disesuaikan, dalam konteks: tujuan perusahaan (Enterprise Goal),
tujuan yang terkait IT (IT-related Goal), dan tujuan yang akan dicapai enabler (Enabler Goal). Sistem tata
kelola harus mempertimbangkan seluruh stakeholder ketika membuat keputusan mengenai penilaian manfaat,
resource dan risiko.

6.4 Principle 2: Covering The Enterprise End to End

COBIT meminta sistem tata kelola perusahaan TI yang diusulkan oleh COBIT harus mengintegrasikan
secara mulus dalam sistem pemerintahan manapun. COBIT sejalan dengan pandangan mengenai tata kelola
TI yang mencakup semua fungsi dan proses yang diperlukan untuk mengatur dan mengelola informasi
perusahaan dan teknologi terkait di mana pun informasi tersebut dapat diproses.
COBIT memberikan pandangan holistik dan sistemik mengenai tata kelola dan pengelolaan
perusahaan TI berdasarkan sejumlah enabler. Ini mengacu pada mengambil semua hal yang mencakup segala
sesuatu berdasarkan sifat, fungsi, dan sifat komponen dan interaksinya. Keseluruhan gagasan di sini bertujuan
untuk penciptaan nilai COBIT atas realisasi, risiko, dan pengoptimalan sumber dana harus mendorong
beberapa pemodal tata kelola.
Informasi adalah salah satu kategori enabler COBIT, model dimana COBIT 5 menetapkan enabler dan
memungkinkan setiap pemangku kepentingan untuk menetapkan persyaratan informasi dan siklus pemrosesan
informasi yang lengkap dan lengkap, sehingga menghubungkan bisnis dan kebutuhannya akan informasi yang
memadai dan Fungsi TI, dan mendukung fokus bisnis dan konteks.
 Enabler pemerintahan adalah sumber organisasi untuk tata kelola, seperti kerangka kerja, prinsip,
struktur, proses, dan praktik, melalui atau terhadap tindakan mana yang diarahkan dan tujuan dapat dicapai.
Kurangnya sumber daya atau enabler dapat mempengaruhi kemampuan perusahaan untuk menciptakan nilai.

6.5 Principle 3: A Single Integrated Framework

COBIT adalah kerangka kerja tunggal dan terpadu yang sejalan dengan arus lainnya yang relevan dan
memungkinkan perusahaan untuk menggunakan COBIT sebagai kerangka tata kelola dan manajemen yang
menyeluruh. Integrator Ini lengkap dalam cakupan perusahaan, memberikan dasar untuk mengintegrasikan
kerangka kerja, standar, dan praktik lain secara efektif. COBIT menyediakan rancangan sederhana untuk
menyusun bahan panduan dan menghasilkan rangkaian produk yang konsisten. Ini memiliki tujuan untuk
mengintegrasikan pengetahuan yang sebelumnya tersebar di berbagai kerangka kerja seperti COSO.

6.6 Principle 4: Enabling A Holistic Approach

Enabler adalah faktor yang secara individu dan kolektif mempengaruhi apakah sesuatu akan berhasil
dalam kasus ini. Kelas dan klasifikasi enabler:
1. Prinsip, kebijakan, dan kerangka kerja
Untuk menerjemahkan perilaku yang diinginkan menjadi panduan praktis untuk manajemen sehari-
hari
2. Struktur organisasi
Entitas pembuat keputusan utama dalam sebuah perusahaan.
3. Budaya, etika, dan perilaku
Sebagai faktor keberhasilan dalam pemerintahan dan kegiatan manajemen
4. Informasi
Informasi diperlukan untuk menjaga agar organisasi tetap berjalan dan diatur dengan baik
5. Pelayanan, infrastruktur, dan aplikasi
Menyediakan perusahaan dengan teknologi informasi pengolahan dan jasa
6. Keterampilan profesional pribadi dan kompetensi
Dibutuhkan untuk penyelesaian semua kegiatan dan untuk membuat keputusan yang benar dan
mengambil tindakan korektif.

6.7 Principle 5: Separating Governance From Management

Prinsip kelima COBIT berfokus pada pentingnya konsep manajemen dan tata kelola yang terpisah
namun terkait dalam perusahaan yang berorientasi pada TI. Kerangka kerja COBIT membedakan antara tata
kelola dan manajemen dengan jelas.
Sistem tata kelola mengacu pada semua sarana dan mekanisme yang memungkinkan banyak
pemangku kepentingan dalam suatu perusahaan memiliki pendapat yang terorganisir dalam mengevaluasi
kondisi dan pilihan; mengatur arah; dan memantau kepatuhan, kinerja, dan kemajuan terhadap rencana, untuk
memenuhi tujuan perusahaan tertentu. Di sebagian besar perusahaan, tata kelola adalah tanggung jawab dewan
direksi di bawah kepemimpinan CEO dan ketua.
Manajemen memerlukan penggunaan sumber daya, orang, proses, praktik, dan sebagainya untuk
mencapai tujuan yang teridentifikasi. Manajemen adalah tentang perencanaan, pembangunan,
pengorganisasian, dan pengendalian kegiatan operasional agar sesuai dengan arahan yang ditetapkan oleh
badan pemerintahan.
COBIT menekankan bahwa tata kelola dan manajemen adalah jenis kegiatan yang berbeda, dengan
tanggung jawab yang berbeda. Namun, mengingat peran pemerintahan - untuk mengevaluasi, mengarahkan,
dan memantau - serangkaian interaksi diperlukan antara tata kelola dan manajemen untuk menghasilkan
sistem pemerintahan yang efektif dan efektif. Interaksi ini, dengan menggunakan struktur enabler, kemudian
dikaitkan dengan proses tinjauan pengendalian internal spesifik, kekuatan nyata dari kerangka COBIT.

6.8 Using COBIT to Assess Internal Controls

Sementara kontrol internal COSO dibangun hanya dengan satu model kerangka kerja dan beberapa
panduan umum untuk mengevaluasi dan menilai pengendalian internal ini, ada serangkaian materi publikasi
yang komprehensif dan rinci yang mendukung penilaian pengendalian internal COBIT.
COBIT membagi langkah-langkah yang diperlukan untuk mengevaluasi pengendalian dan proses TI
ke dalam apa yang COBIT sebut lima wilayah domain:
 1. Evaluate, Direct, and Monitor (EDM)
2. Align, Plan, and Organize (APO)
3. Build, Acquire, and Implement (BAI)
4. Deliver, Service, and Support (DSS)
5. Monitor, Evaluate, and Assess (MEA)

Kumpulan kategori kontrol tujuan pengendalian yang serupa telah ditetapkan untuk setiap kategori
proses COBIT. Tujuan dari proses pengendalian yang terperinci namun cukup spesifik adalah membantu
membuat kasus bisnis untuk implementasi dan peningkatan tata kelola dan pengelolaan TI. Tujuan mereka
adalah untuk mengenali kedua titik nyeri khas dan kejadian pemicu mereka, dengan tujuan keseluruhan untuk
menciptakan lingkungan yang tepat untuk operasi dan implementasi TI.
COBIT mendefinisikan satu set dari 17 sasaran terkait TI yang dapat dipetakan ke masing-masing proses
ini, dengan tujuan dibagi ke dalam kategori yang diberi label Corporate, Customer, Internal, dan satu yang
disebut Learning and Growth.
Kerangka kerja COBIT mungkin tampak terlalu rinci untuk auditor internal dan sering tampak terlalu
rumit dengan berbagai tujuan dan sasarannya. Nilai optimal hanya dapat direalisasikan dari penggunaan
COBIT jika diadopsi dan disesuaikan dengan lingkungan masing-masing perusahaan. Setiap pendekatan
implementasi juga perlu mengatasi tantangan spesifik, termasuk mengelola perubahan pada budaya dan
perilaku.

6.9 Mapping COBIT to COSO Internal Controls

Kerangka pengendalian internal COSO menyatakan bahwa pengendalian internal adalah proses - yang
dibentuk oleh dewan direksi, manajemen senior, dan personil lainnya - yang dirancang untuk memberikan
keyakinan memadai mengenai pencapaian tujuan yang telah ditetapkan.
Tujuan pengendalian COSO meliputi efektivitas, efisiensi operasi, pelaporan keuangan yang andal,
dan kepatuhan terhadap peraturan perundang-undangan. Peran utamanya adalah untuk pengendalian internal
fidusia dan keuangan. Di sisi lain, sementara ISACA dan ITGI mengakui dan membuat referensi eksplisit
mengenai peran pengendalian internal keuangan COSO, mereka memperluas peran COBIT untuk memenuhi
persyaratan kualitas dan keamanan dalam kategori efektivitas, efisiensi, confidentiality, integritas,
ketersediaan, kepatuhan yang berlebihan, dan reliabilitas informasi. Kategori ini membentuk dasar tujuan
pengendalian COBIT di dalam lima wilayah domainnya.
COSO dan COBIT melayani khalayak yang berbeda. Sementara target pemirsa COSO bersifat umum
dan ditujukan kepada manajemen senior, COBIT lebih ditujukan untuk manajemen TI, pengguna TI, dan
auditor internal dan eksternal TI. Baik COSO dan COBIT melihat kontrol internal sebagai proses keseluruhan
entitas, namun COBIT secara khusus berfokus pada kontrol TI. Perbedaan ini berlaku untuk menentukan dan
menentukan cakupan ruang lingkup masing-masing kerangka kontrol.
 BAB 7: ENTERPRISE RISK MANAGEMENT: COSO ERM

7.1 Risk Management Fundamental

Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu mekanisme
untuk menyediakan suatu perlindungan dari timbulnya suatu resiko. Dalam upaya pencapaian nilai itu, setiap
organisasi sama-sama menghadapi ketidakpastian. Ketidakpastian ini mengandung risiko yang sangat
potensial untuk menghilangkan kesempatan pencapaian tujuan perusahaan. Untuk mengurangi bahaya dari
suatu resiko, maka harus ada jaminan untuk meminimalkan resiko atau paling tidak resiko tersebut dihilangkan
dari setiap aktifitas organisasi. Suatu proses manajemen risiko yang efektif memerlukan empat langkah:
1. IDENTIFIKASI RISIKO
Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin mempengaruhi
keberhasilan perusahaan. Cara yang baik untuk memulai proses identifikasi risiko adalah dengan
memulai dari manajemen tingkat atas korporasi maupun unit operasi. Masing-masing unit mungkin
memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari beberapa dan berbagai jenis operasi.
Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk lebih menentukan risiko
spesifik yang dihadapi berbagai unit perusahaan.

2. KUNCI PENILAIAN RISIKO (KEY RISK ASSESSMENT)

Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah berikutnya adalah untuk menilai
kemungkinan relatif yang signifikan, baik pendekatan kualitatif ataupun kuantitatif. Hal ini dapat membantu
memutuskan mana dari serangkaian resiko yang paling berpotensi terhadap peristiwa yang paling
menghawatirkan manajemen. Manajer bertanggungjawab terhadap penilaian resiko dengan menggunakan
pendekatan kuesioner:
1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?”
2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
Menggunakan skor dari 1 sampai 9. Kuisioner ini harus diedarkan ke orang-orang yang ada dalam
manajemen tersebut untuk menilai masing-masing risiko yang teridentifikasi.
(i) Probabilitas dan Ketidakpastian
Ketika beberapa risiko telah teridentifikasi, manajemen harus mengestimasi kemungkinan terjadinya risiko
tersebut secara individu yang berskala mulai dari 0,01 sampai 0,99. Sedangkan ketika kondisi dimana ada 2
risiko yang teridentifikasi yang memiliki skala yang sama yaitu 0,6. Kemungkinan kedua risiko tsb terjadi
adalah:
Probability (Event 1) + Probability (Event 2) = Probability (Both Events)
(ii) Interdependensi Risiko
Independensi risiko memang sangat penting dan harus dipertimbangkan dan dievaluasi pada struktur
organisasi, karena risiko seringkali dapat menjadi sangat independen dalam suatu perusahaan. Setiap unit
operasi bertanggung jawab untuk mengelola risikonya sendiri tetapi konsekuensi dari risiko tsb dapat
mempengaruhi unit diatas dan di bawahnya dalam struktur organisasi.
(iii) Risk Ranking
Langkah berikutnya adalah estimasi signifikansi resiko, estimasi probabilitas terjadinya resiko tersebut,
meranking risiko tsb dan mengidentifikasi risiko yang paling signifikan. Risiko dengan ranking tertinggi
disebut dengan driver risk atau risiko utama dari semua risiko yang telah diidentifikasi. Maka, organisasi harus
berfokus pada risiko utama ini dan bagaimana cara mengelolanya.

3. ANALISIS RESIKO KUANTITATIF

(i) Expected Value and Response Planning
Terdapat sedikit hasil dalam mengindentifikasi resiko yang signifikan kecuali apabila
perusahaan telah memiliki perencanaan awal untuk tindakan yang diperlukan jika salah satu resiko
terjadi. Ide pokoknya adalah untuk mengestimasi dampak biaya dari timbulnya beberapa resiko yang
teridentifikasi dan kemudian menerapkan biaya itu untuk probabilitas factor resiko yang berasal dari
nilai yang diharapkan atau biaya dari resiko tersebut.
(ii) Risk Monitoring
Proses mengidentifikasi resiko sering dilakukan dalam jangka awaktu satu tahun atau seperempat
tahun. Setelah salah satu resiko teridentifikasi, perusahaan harus mengawasi resiko tersebut dan
membuat penyesuaian berkala jika diperlukan. Pengawasan resiko dapat dilakukan oleh pemilik
 perusahaan atau pihak independen. Auditor internal merupakan sumber yang memiliki kredibilitas dan
baik dalam memantau status dari resiko yang teridentifikasi. Informasi dalam melakukan pengawasan
dapat didapatkan melalui survey ataupun review tatap muka. Proses pengawasan yang akurat
merupakan komponen esensial dalam manajemen resiko.

7.2 COSO ERM : Enterprise Risk Management

COSO ERM merupakan kerangka yang dapat membantu perusahaan dalam memberikan definisi yang
jelas tentang resiko. Selain itu, COSO ERM juga berguna dalam memahami dan mengembangkan internal
control SOx. Kerangka COSO ERM diawali dengan mendefinisikan manajemen resiko perusahaan, yaitu
:
“ERM merupakan sebuah proses, yang dipengaruhi oleh dewan direksi entitas, manajemen
dan personel lainnya, diterapkan dalam pengaturan strategi di seluruh perusahaan, yang
dirancang untuk mengidentifikasi kejadian potensial yang dapat memengaruhi entitas, dan
mengelola resiko menjadi resiko yang dapat diterima, untuk memberikan keyakinan sehubungan
dengan pencapaian tujuan entitas.”
Poin – poin penting yang mendukung definisi kerangka kerja COSO ERM:
▪ ERM adalah proses
▪ Proses ERM diimplementasikan oleh orang – orang di perusahaan
▪ ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan
▪ Konsep risk apetite yang dipertimbangkan
▪ ERM menyediakan jaminan yang wajar tapi tidak positif terhadap pencapaian tujuan
▪ ERM dirancang untuk mencapai tujuan

7.3 Elemen Kunci COSO ERM

Gambar di atas merepresentasikan Kerangka Konsep COSO ERM, yang bertujuan untuk memberikan
model bagi perusahaan dalam mempertimbangkan dan memahami aktivitas berkaitan risiko mereka di
berbagai tingkatan sebagaimana dampak komponen risiko ini mempengaruhi satu sama lain. Adapun
komponen-komponen COSO ERM Framework terdiri dari :
a) 4 Kolom di bagian atas menunjukkan tujuan strategis resiko perusahaan
b) 8 baris horizontal mengenai komponen-komponen resiko
c) Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan.
Walaupun bentuknya hamper serupa, COSO ERM Framework tidak hanya sekedar pembaruan dan
perkembangan / revisi dari COSO Internal Controls Framework.
a. Internal Environment
Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur: (1) Filosofi Manajemen Risiko,
(2) Risk Appetite, (3) Sikap dewan direksi, (4) Integritas dan nilai-nilai etika, (5) Komitmen terhadap
kompetensi, (6) Struktur organisasi, (7) Penugasan wewenang dan tanggung jawab, (8) Standar Sumber daya
manusia
b. Menetapkan Tujuan
Di samping lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian sasaran strategis,
sesuai dengan misi terhadap operasional, pelaporan, dan kepatuhan kegiatan. COSO ERM menetapkan tujuan
COSO ERM dimulai dengan misi keseluruhan, untuk (1) mengembangkan sasaran strategis untuk mendukung
pemenuhan yang misi, (2) menetapkan strategi untuk mencapai tujuan, (3) mendefinisikan tujuan yang terkait,
dan (4) mendefinisikan selera risiko untuk menyelesaikan strategi itu.
c. Identifikasi Peristiwa
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan
pencapaian tujuannya. Banyak perusahaan saat ini memiliki kinerja perangkat monitoring yang kuat untuk
memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya. Proses pemantauan harus mencakup:
(1) Peristiwa ekonomi eksternal, alam, dan politik, (2) faktor social, (3) peristiwa infrastruktur internal, (4)
proses internal, (5) teknologi internal maupun eksternal.
d. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek peristiwa terkait risiko
potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari dua perspektif:
kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari proses penilaian risiko,
juga perlu mempertimbangkan risiko yang melekat:
▪ Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah ukuran dari
anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari kegiatannya. Risiko inheren
di luar kendali manajemen dan biasanya berasal dari faktor eksternal.
▪ Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko ancaman dan
penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual.
e. Respon Risiko
Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur mengenai
tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat ditangani dalam salah satu dari
empat cara dasar:
1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu.
Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari ketergantungan pada satu baris
kunci produk
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui pembelian asuransi,
tetapi teknik berbagi risiko lainnya juga tersedia.
4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan selfinsures dengan
mengambil tindakan untuk mengurangi risiko potensial.
f. Kegiatan Pengendalian
ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko yang memadai, perusahaan harus
memilih kontrol aktivitas yang diperlukan untuk memastikan bahwa risiko tanggapan dijalankan secara tepat
waktu dan efisien. Setelah melalui risiko identifikasi kejadian COSO ERM, penilaian, dan respon proses,
risiko pemantauan memerlukan empat langkah:
• Mengembangkan pemahaman yang kuat tentang risiko yang signifikan dan buat prosedur
pengendalian untuk memantau atau memperbaikinya.
• Buat prosedur pengujian tipe bor kebakaran untuk menentukan apakah prosedur pengendalian terkait
risiko tersebut berjalan efektif.
• Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja secara efektif dan
seperti yang diharapkan.
• Lakukan penyesuaian atau perbaikan seperlunya untuk memperbaiki proses pemantauan risiko.
Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah untuk mengidentifikasi
dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol daerah-daerah pengendalian internal:
• Pemisahan tugas. Intinya, orang yang melakukan transaksi seharusnya bukan orang yang sama yang
memberi otorisasi terhadap transaksi tersebut.
• Jalur audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah dilacak
kembali ke transaksi yang menciptakan hasil tersebut
• Keamanan dan integritas. Proses pengendalian harus memiliki prosedur pengendalian yang tepat
sehingga hanya orang yang berwenang yang dapat meninjau atau memodifikasinya.
 • Dokumentasi. Proses harus didokumentasikan dengan tepat.
g. Informasi dan Komunikasi
Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari satu
komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan proses yang
jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari web kompleks sistem
informasi operasional dan keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi lebih
kompleks untuk proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung
meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.
h. Monitoring
Monitoring dapat meliputi jenis kegiatan:
• Implementasi mekanisme pelaporan manajemen yang berkelanjutan seperti untuk posisi kas, penjualan
unit, dan data keuangan utama.
• Proses pelaporan waspada terkait risiko periodik yang memantau aspek kunci dari kriteria risiko yang
ditetapkan, termasuk tingkat kesalahan atau item yang dapat diterima yang ditahan.
• Laporan status terkini dan periodik mengenai temuan dan rekomendasi terkait risiko dari laporan audit
internal dan eksternal
• Informasi terkait risiko yang diperbarui dari sumber seperti tren industri peraturan yang direvisi
pemerintah, dan berita ekonomi umum.

7.4 Other Dimension of Coso ERM : Enterprise Risk Objectives

a. Tujuan Manajemen Risiko Operasional
Ada banyak jenis risiko operasi yang dapat berdampak pada suatu perusahaan. tujuan risiko tingkat
operasi meminta identifikasi risiko untuk setiap unit usaha atau komponennya. Pengidentifikasian tujuan
risiko tingkat operasi ini seringkali memerlukan pengumpulan dan analisis informasi terperinci.
b. Melaporkan Tujuan Manajemen Risiko
Tujuan ERM ini mencakup keandalan pelaporan perusahaan, termasuk
pelaporan internal dan eksternal atas data keuangan dan non finansial. Tidak peduli industri apa, perusahaan
menghadapi risiko utama dari pelaporan yang tidak akurat di unit atau area manapun.
c. Tujuan Resiko Kepatuhan Hukum dan Regulatory
Perusahaan harus mematuhi berbagai undang-undang dan peraturan pemerintah yang diberlakukan
atau industri. COSO ERM merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan untuk masing-
masing komponen kerangka risiko, baik dalam konteks lingkungan internal, penetapan tujuan, atau
pemantauan risiko, dan juga seluruh perusahaan.

7.5 Entity Level Risks

Risiko COSO ERM harus diidentifikasi dan dikelola dalam setiap unit organisasi yang signifikan,
termasuk risiko secara keseluruhan entitas melalui unit bisnis individual. manajemen harus menentukan
tingkat risiko organisasi pada tingkat detail yang mencakup semua risiko yang signifikan dan dapat dikelola
a. Risiko Meliputi Seluruh Organisasi
b. Resiko Tingkat Unit Bisnis

7.6 Putting It All Together: Auditing Risks and Coso ERM Process
COSO ERM menyediakan platform yang sangat baik untuk mempertimbangkan keseluruhan
lingkungan risiko perusahaan. Sementara COSO ERM sering diabaikan saat melihat masalah pengendalian
internal lainnya, auditor internal harus memiliki pemahaman umum CBOK tentang kerangka kerja penting
ini. Dengan fokus pada kerangka kerja COSO ERM serta praktik manajemen risiko yang baik secara umum,
audit internal dapat memberikan layanan kepada perusahaan mereka dengan merencanakan dan melakukan
tinjauan terhadap proses manajemen risiko tingkat perusahaan. Selain itu, setiap tinjauan audit internal
terhadap proses ERM perusahaan harus direncanakan melalui pendekatan perencanaan proyek audit internal
berbasis risiko seperti yang dibahas pada Bab 16, dengan menggunakan beberapa alat berikut
1. Proses flowcharting
Sebagai bagian dari proses ERM yang teridentifikasi, flow chart proses dapat berguna dalam
menggambarkan bagaimana manajemen risiko beroperasi di perusahaan. Ini membutuhkan melihat
dokumentasi yang disiapkan untuk proses yang berkaitan dengan risiko
2. Tinjauan bahan risiko dan pengendalian
 Proses ERM sering menghasilkan hasil yang besar volume bahan panduan, prosedur
terdokumentasi, format laporan, dan seperti. Mungkin sering ada nilai audit internal untuk meninjau
risiko dan kontrol bahan dari perspektif efektivitas.
3. Benchmarking
Benchmarking disini adalah prosesnya melihat fungsi di lingkungan lain untuk menilai operasi
dan operasinya mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik
4. Kuesioner
Metode yang baik untuk mengumpulkan informasi mengenai efektivitas ERM dari Beragam
orang, kuesioner dapat dikirim ke pemangku kepentingan yang ditunjuk permintaan informasi spesifik
Ini sering merupakan teknik audit internal yang berharga

Bab 8 : Melaksanakan Audit Internal yang Efektif

8.1 MEMULAI DAN MELAKUKAN INTERNAL AUDIT

Justifikasi untuk memulai dan meluncurkan audit internal adalah:
1. Reorganisasi perusahaan, termasuk peristiwa ancaman hukum atau fisik. Akuisisi sebuah bisnis
baru atau penjualan unit operasi saat ini sering menciptakan kebutuhan mendesak akan pekerjaan
audit internal. Juga, ketika perusahaan tiba-tiba menghadapi tuduhan hukum yang besar atau
masalah semacam itu.
2. Permohonan resmi komite audit. Komite audit dewan bertanggung jawab atas fungsi audit
internal dan menyetujui rencana internal tahunan. Rencana itu seharusnya menjadi pendorong
utama kegiatan audit internal.
3. Permintaan untuk menjadwalkan audit oleh manajemen senior atau auditor eksternal.
Meskipun ada rencana yang disetujui oleh komite audit, anggota dewan pengurus, manajemen
senior, atau perusahaan audit eksternal dapat meminta audit internal yang mencakup beberapa
kegiatan. Dalam kasus seperti ini, audit internal dapat menyesuaikan rencana yang telah disetujui
untuk memungkinkan tinjauan yang diminta.
4. Perlu dilakukan audit tindak lanjut berdasarkan hasil audit sebelumnya. Terkadang saat
audit terjadwal selesai, akan ada kebutuhan untuk menggali lebih dalam dan mengeksplorasi
temuan secara lebih rinci. Audit khusus harus dijadwalkan untuk mencakup area ini secara lebih
rinci karena jadwal dan sumber audit internal memungkinkan.
5. Audit khusus dilakukan atas permintaan manajemen unit atau lokal. Tim audit internal,
bekerja di berbagai lokasi, sering menerima permintaan untuk audit tambahan atau lebih rinci di
beberapa daerah. CAE harus memeriksa permintaan dan rencana audit tersebut karena sesuai
dengan jadwal audit internal saat ini atau menjadi kandidat untuk rencana audit internal tahun
berikutnya.
6. Area auditable lainnya yang diidentifikasi di audit universe, namun tidak dalam rencana audit
internal tahunan yang disetujui. Jadwal audit universe menggambarkan semua entitas yang dapat
diaudit potensial dalam suatu perusahaan. Jika fungsi audit internal memiliki beberapa waktu
luang - dan biasanya tidak pernah terjadi - audit internal dengan prioritas rendah dapat
dijadwalkan.

8.2 PENGORGANISASIAN DAN PERENCANAAN INTERNAL AUDIT

Pemahaman secara umum terhadap standard audit yang ditetapkan oleh Institute of Internal
Auditors’ (IIA’s) atau International Standards for the Professional Practice of Internal Auditing, penting
dalam menyusun atau mengorganisir serta merencanakan suatu audit intern. Internal audit juga
merupakan proses yang membutuhkan pengorganisasian dan menajemen dari fungsi internal audit,
dimana diperlukan keterlibatan yang cukup dari berbagai disiplin ilmu dan keahlian yang saling
melengkapi. Sebelum melaksanakan suatu audit internal, diperlukan adanya kelengkapan yang
diperlukan, antara lain:
• Sebuah rencana efektif dari organisasi dan sebuah piagam untuk melaksanakan aktivitas audit
internal.
• Sebuah rencana audit tahunan atau jangka panjang
• Standar dan pendekatan efektif untuk menampilkan semua internal audit.
8.3 KEGIATAN PENYEDIAAN AUDIT INTERNAL
Setiap proyek atau tugas audit internal harus direncanakan dengan hati-hati sebelum dimulai. Audit
harus dimulai sebagai elemen terjadwal dalam proses perencanaan dan penilaian risiko audit internal
melalui permintaan khusus manajemen atau komite audit atau sebagai tanggapan terhadap kejadian yang
tidak direncanakan, seperti ditemukannya penipuan, peraturan baru, atau kejadian ekonomi tak terduga.
Beberapa audit internal akan menjadi pembaruan atau pengulangan tinjauan yang dilakukan pada periode
sebelumnya.
Perencanaan dan penjadwalan audit internal individu seringkali menjadi tantangan karena adanya
kejadian tak terjadwal, permintaan dari manajemen, atau situasi seperti hasil yang tidak menguntungkan
dari audit lain dapat menyebabkan perubahan dalam rencana penjadwalan audit internal. Meskipun
begitu, audit yang direncanakan dengan benar akan selalu menghasilkan hasil audit yang lebih baik dan
dapat memperoleh penghematan waktu dan upaya yang signifikan dengan perencanaan dan persiapan
kerja yang memadai.
Sebagian besar kegiatan audit internal ini harus dilakukan sebelum mengunjungi lokasi audit atau
memulai audit internal. Kegiatan persiapan penting ini meliputi penentuan tujuan, cakupan, dan prosedur
atau program audit untuk digunakan dalam audit individual.

Menentukan Tujuan Audit

Audit internal pada umumnya harus menetapkan rencana kegiatan audit internal yang biasanya
mencakup periode tahun fiskal. Rencana jangka panjang ini didasarkan pada permintaan manajemen dan
audit, kemampuan staf audit, sifat dari pekerjaan audit sebelumnya, sumber daya yang tersedia, dan risiko
umum yang dihadapi perusahaan. Keseluruhan rencana audit ini harus mencakup tujuan tingkat tinggi
untuk setiap audit yang direncanakan serta pemahaman tentang lingkungan risiko sekitarnya.
Pernyataan obyektif tingkat tinggi harus ditetapkan untuk setiap audit yang direncanakan individu
dan juga harus memiliki informasi yang cukup untuk memberi tahu auditee, manajemen, dan pihak lain
mengenai audit internal yang sedang dilakukan saat meluncurkan audit internal di beberapa wilayah.

Penjadwalan Audit dan Perkiraan Waktu

Perkiraan waktu awal ditetapkan dan kerangka waktu ditetapkan untuk melakukan setiap audit.
Namun, perubahan sering dilakukan pada rencana tahunan ini selama tahun berjalan karena meningkatnya
persyaratan sumber daya dari audit lain yang sedang berlangsung, cakupan audit yang direvisi, perubahan
personil, dan prioritas manajemen lainnya.
Selain rencana tahunan dan revisi yang diperlukan, jadwal audit individu harus disiapkan.
Bergantung pada sifat audit yang dilakukan dan ukuran staf audit, jadwal individual ini dapat mencakup
satu bulan, seperempat, atau periode yang lebih lama. Untuk kelompok audit internal yang lebih besar,
jadwal audit terperinci harus disiapkan untuk keseluruhan departemen audit dan juga auditor individual
dan ditinjau setidaknya setiap bulan untuk mengubah atau menyesuaikan perubahan.
Jenis rencana yang sama dapat direorganisasi untuk menunjukkan tugas proyek untuk setiap auditor
selama beberapa bulan periode. Sebagai alat kontrol, rencana audit terperinci dapat berfungsi sebagai alat
untuk rekonsiliasi hari auditor yang ada dengan persyaratan audit terjadwal.
Jumlah dan tingkat staf yang dibutuhkan untuk berbagai audit bergantung pada evaluasi sifat dan
kompleksitas proyek audit serta kemampuan auditor internal dan batasan waktu. Proyek audit harus
dipecah menjadi tugas individu untuk membuat perkiraan jam kerja proyek audit ini. Estimasi
keseluruhan kemudian lebih dapat diandalkan dan dapat dijadikan tolok ukur untuk membandingkan
aktual dengan kinerja audit yang dianggarkan.
Keterampilan dan kebutuhan pengembangan auditor harus dipertimbangkan dalam memilih
personel untuk setiap tugas proyek audit. Setelah menentukan segmen audit individual, talenta yang
dibutuhkan untuk melakukan tugas audit harus ditentukan.
Internal Audit Preliminary Surveys
Berikut ini adalah item yang harus dikaji ulang, jika tersedia, selama internal audit preliminary surveys:
• Review workpapers sebelumnya
Tujuan dan cakupan audit sebelumnya, workpaper audit, dan program audit harus ditinjau untuk
mendapatkan kesamaan/ kecocokan dengan pendekatan yang digunakan dan hasil audit tersebut.
• Mengetahui jumlah waktu dari audit sebelumnya
 Setiap masalah internal yang ditemui dapat membantu menentukan perencanaan sumber daya
yang dibutuhkan. Hasil pengujian yang telah dilakukan sebelumnya harus ditinjau ulang,
memutuskan apakah ada yang harus dikurangi, dieliminasi, diperluas, atau dilakukan secara
bergiliran dalam audit di masa depan.
• Review laporan audit sebelumnya
Temuan audit sebelumnya dan signifikansinya harus selalu dipertimbangkan, termasuk sejauh
mana komitmen manajemen untuk melakukan tindakan korektif.
• Rekomendasi tindakan perbaikan signifikan
Perhatian juga harus ditujukan ke item yang dipersengketakan dari laporan sebelumnya.
• Organisasi entitas
Auditor internal harus memperoleh bagan organisasi dari entitas audit yang direncanakan untuk
memahami struktur dan tanggung jawabnya. Perhatian khusus harus diberikan pada area yang
berpotensi terjadi masalah pemisahan tugas.
• Materi audit terkait lainnya
Pendukung data dari audit terkait yang telah selesai, direncanakan, atau dalam proses juga harus
dipelajari.

8.4 STARTING THE INTERNAL AUDIT

Langkah pertama dalam memulai sebagian besar audit internal adalah menginformasikan kelompok
atau organisasi untuk diaudit−auditee−bahwa audit internal telah dijadwalkan, kecuali saat penyelidikan
terkait kecurangan, di mana audit internal umumnya akan muncul di situs auditee tanpa pemberitahuan
sebelumnya. Pemberitahuan tentang audit internal yang direncanakan ini disebut engagement letters, yang
berisi:
1. Addressee (penerima), yakni manager yang terkait dengan unit yang akan diaudit
2. Tujuan dan ruang lingkup audit yang direncanakan
3. Tanggal mulai yang diharapkan dan durasi audit yang direncanakan
4. Orang yang bertanggung jawab untuk melakukan peninjauan
5. Kebutuhan persiapan awal
6. Salinan dari engagement letter
Berdasarkan keseluruhan tujuan audit, laporan keuangan, statistik, dan lainnya yang berkaitan
dengan entitas yang diaudit juga harus diminta terlebih dahulu sebagai bagian dari memo keterlibatan.
Tingkat manajemen yang tepat juga harus disalin dalam memo keterlibatan ini.
Setelah audit telah terjadwal dan manajemen auditee diinformasikan, tim audit yang ditugaskan
harus siap untuk mulai bekerja di lokasi auditee. Tahap audit ini disebut kerja lapangan. Audit internal
selanjutnya akan melakukan survei lapangan untuk memperbaiki pemahaman tim audit yang ditugaskan
mengenai area yang akan ditinjau dan juga untuk membuat dokumentasi audit pendahuluan mengenai
prosedur tersebut.

Survei Lapangan Audit Internal

Sebuah survei merupakan hal yang sangat penting dalam menentukan arah, ruang lingkup, dan
sejauh mana upaya audit. Seorang auditor tidak bisa melakukan sesuatu dengan tergesa – gesa tanpa
tujuan atau tanpa tujuan yang jelas. Elemen informasi berikut harus dikumpulkan oleh para auditor dan
anggota tim lainnya selama survei lapangan: (1) Struktur organisasi, (2) Prosedur manual, (3) Laporan –
laporan, (4) Observasi pribadi, (5) Diskusi dengan orang penting (personil kunci)

Mendokumentasikan Survei Lapangan Audit Internal

Pada umumnya, survei lapangan akan menempati satu atau dua hari pertama dalam lokasi audit.
Untuk tinjauan besar, survei dapat dilakukan selama kunjungan terpisah sebelum pengujian terperinci dan
kerja sekuritas auditor. Dalam kasus tersebut, pekerjaan yang dilakukan dan ringkasan data yang
dikumpulkan melalui survei lapangan harus didokumentasikan di dalam lembar kerja audit.

Kesimpulan Survei Lapangan Auditor

Tujuan dari survei lapangan adalah untuk mengkonfirmasi asumsi yang diperoleh dari perencanaan
audit awal, dalam rangka mengembangkan pemahaman tentang sistem dan proses kunci.
8.5 MENGEMBANGKAN DAN MEMPERSIAPKAN PROGRAM AUDIT
Program audit sebagai panduan atau pedoman untuk melaksanakan prosedur audit yang digunakan
untuk:
• Melihat keefektifan audit internal
• Apakah langkah-langkah dalam audit program tersebut sudah dilaksanakan seluruhnya
• Memikirkan resiko yang terjadi dalam setiap kegiatan operasional perusahaan
Format Program Audit dan Persiapannya
Program audit adalah prosedur tentang langkah - langkah pengujian yang akan dilakukan oleh
auditor. Program ini diselesaikan setelah survei awal lapangan dan sebelum memulai audit aktual.
Program audit harus mengidentifikasi kawasan yang akan diteliti lebih lanjut dan area sensitif yang
memerlukan penekanan audit. Audit internal membuat jenis program audit terperinci lebih spesifik.
Auditor juga bertanggung jawab untuk survei lapangan. Dalam mengembangkan program audit, auditor
internal harus mencoba memilih langkah audit yang tepat dan menghasilkan bentuk bukti audit yang
andal.
Program internal audit bergantung pada jenis audit yang direncanakan, program mengikuti satu dari
tiga format umum:
• satu set prosedur audit umum
• prosedur audit yang rinci instruksi untuk auditor, atau
• daftar periksa untuk tinjauan kepatuhan

Bukti Audit
Auditor internal harus mengumpulkan bukti audit untuk mendukung evaluasi auditor. Terdapat
beberapa jenis bukti yang bisa bermanfaat dalam mengembangkan kesimpulan audit. Auditor internal
akan menghadapi berbagai tingkat bukti audit dan harus berusaha merancang prosedur audit dan
mengandalkan bukti audit terbaik yang ada. Berikut adalah beberapa jenis bukti terbaik untuk klasifikasi
material yang berbeda :
KLASIFIKASI KUAT LEMAH
BUKTI

Prosedur dan teknik audit Pengamatan / Konfirmasi Penyelidikan sederhana

Asal bukti Buktinyata Statistik yang mendasar
Hubungan dengan auditee Dokumen Eksternal Dokumen Internal Auditee
Bentuk bukti audit Ditulis dengan tanda tangan Komentarlisan
Tiruan bukti Dokumentasi formal Informal (yaitu, Catatan)
Letak bukti Berhubungan dengan area yang Bahan pendukung
diaudit
Sumber Bukti Audit Produk Kerja Audit Internal Bahan Pendukung Lainnya

8.6 PERFORMING THE INTERNAL AUDIT

Memahami bagaimana melakukan audit internal benar-benar merupakan kunci audit internal
CBOK. Sebuah engagement letter menguraikan pengaturan untuk audit internal yang direncanakan.
Namun, dalam kebanyakan kasus, manajemen audit harus memulai peninjauan dengan engagement letter
formal ini yang mengingatkan manajemen lokal dan garis atas tinjauan yang direncanakan, yang
memungkinkan mereka menyesuaikan jadwal mereka jika sesuai. Dalam beberapa kasus, manajemen
auditee dapat meminta penundaan karena sejumlah alasan. Dengan pengecualian situasi kecurangan
potensial, manajemen audit internal harus selalu berusaha bersikap fleksibel di sini.
Auditor internal yang ditugaskan juga memiliki beberapa pekerjaan sebelum kerja lapangan aktual.
Jika ada survei lapangan terpisah, hasil tersebut harus ditinjau ulang, seandainya ada berkas kerja
permanen audit. Untuk audit yang lebih besar dengan beberapa auditor, penugasan program audit harus
dilakukan terlebih dahulu. Untuk perikatan di luar kota, pengaturan perjalanan dan penginapan harus
dilakukan sesuai dengan kebijakan perusahaan. Audit internal bertanggung jawab kepada komite audit
dan manajemen senior untuk melaporkan status struktur pengendalian internal perusahaan. Kunjungan
lapangan tidak boleh ditunda atau dihilangkan karena biaya perjalanan ke lokasi terpencil.

Internal Audit Initial Fieldwork Procedures

Audit internal dapat menyebabkan gangguan dan masalah dalam operasi sehari-hari dari organisasi
auditee. Auditor yang bertanggung jawab dan anggota tim audit harus memulai dengan bertemu dengan
personel manajemen auditee yang sesuai untuk menjelaskan rencana awal audit, termasuk area yang akan
diuji, laporan khusus atau dokumentasi yang dibutuhkan, dan personil yang akan diwawancarai.
Jika jenis masalah potensial terjadi, auditor yang bertanggung jawab harus bertemu dengan
manajemen auditee untuk membahas masalah dan menemukan solusinya. Jika manajemen lokal
tampaknya tidak kooperatif, auditor yang bertanggung jawab mungkin harus menghubungi manajemen
audit internal untuk menyelesaikan masalah pada tingkat yang berbeda. Jika komponen kunci dari audit
yang direncanakan hilang, seperti file data yang hilang, manajemen audit harus mengembangkan strategi
yang direvisi untuk mengatasi masalah tersebut. Ini mungkin termasuk:
• Merevisi prosedur audit untuk melakukan tes tambahan di area lain.
• Audit lengkap tanpa kehilangan file data.
• Selesaikan bagian audit lainnya dan atur ulang kunjungan berikutnya untuk melakukan tes.

Audit Fieldwork Technical Assistance

Survei lapangan atau proses pengembangan program audit mungkin telah mengidentifikasi
kebutuhan bantuan teknis khusus untuk melakukan audit internal. Namun, masalah kompleks lainnya
yang memerlukan dukungan teknis mungkin timbul dalam proses kerja lapangan audit. Jika masalah
teknis tidak familiar bagi tim audit, auditor yang bertanggung jawab harus meminta bantuan secepatnya.
Supervisor atau spesialis audit internal mungkin harus meneliti masalah audit atau teknis untuk
memberikan jawabannya.
Pesan penting yang harus dikomunikasikan oleh manajemen audit kepada staf adalah bahwa semua
masalah audit teknis harus dipusatkan pada auditor yang bertanggung jawab untuk penyelesaian secepat
mungkin. Persyaratan biaya dan waktu tambahan yang disebabkan oleh masalah teknis ini harus
didokumentasikan. Jika masalah teknis tidak dapat segera diselesaikan, mungkin perlu menjadwal ulang
audit atau merevisi strategi, seperti yang dijelaskan sebelumnya.

Audit Management Fieldwork Monitoring

Tujuan kunjungan ini adalah untuk meninjau kembali pekerjaan yang sedang berjalan dan untuk
membantu menyelesaikan masalah yang dihadapi. Manajemen audit harus memanfaatkan kesempatan ini
untuk memahami setiap masalah yang berkembang dalam audit dan menyarankan perubahan yang sesuai.
Ini juga merupakan saat yang tepat bagi manajemen untuk memulai peninjauan ulang atas surat-surat
kerja audit yang telah selesai. Laporan kerja audit internal melaporkan pekerjaan yang dilakukan dan
memberikan kaitan antara prosedur yang didokumentasikan dalam program audit dan hasil uji audit.
Anggota manajemen audit yang mengunjungi lokasi lapangan harus meluangkan waktu untuk
meninjau dan menyetujui lembar kerja dan lembar temuan awal kemudian disiapkan. Komentar tinjauan
amplas ini harus didokumentasikan, mencakup bidang-bidang seperti pekerjaan tambahan atau penjelasan
yang diperlukan, dan menyarankan penyesuaian terhadap program audit jika sesuai. Tinjauan manajemen
biasanya tidak akan menghasilkan perubahan besar pada pendekatan audit. Namun, manajemen audit
internal seringkali dapat membawa beberapa panduan tambahan atau pemahaman terhadap audit dalam
proses.

Potential Audit Findings

Kapanpun auditor menemukan hal yang berpotensi sebagai temuan/ kelemahan dari sistem
pengendalian, maka uraian kondisi dimaksud dan rekomendasi perbaikan harus segera dipersiapkan.
Uraian dimaksud sering dimuat dalam audit preliminary finding sheet. Meskipun isi temuan audit
pendahuluan dapat bervariasi tergantung pada kebutuhan audit internal tertentu, temuan audit awal
biasanya memiliki elemen berikut:
• Identifikasi temuan. nomor identifikasi audit dan deskripsi temuan potensial. Kondisi yang
terjadi.
 • Referensi kondisi/temuan pada dokumentasi kerja. Deskripsinya umumnya singkat namun
cukup untuk memberi pemahaman kepada manajemen setempat tentang kondisi yang ditemukan.
• Usulan/rekomendasi perbaikan dari auditor. Lembar kerja audit harus berisi referensi silang
ke langkah dalam program audit yang memprakarsai komentar, dan juga dokumentasi
didokumentasikan di dalam lembar kerja audit.
• Hasil diskusi tentang temuan dengan pihak manajemen. Auditor yang bertanggung jawab
harus mendiskusikan semua temuan potensial secara informal dengan manajer yang secara
langsung bertanggung jawab atas masalah ini. Hasil percakapan ini harus didokumentasikan di
sini.
• Rekomendasi yang telah disepakati untuk dilaksanakan olehmanajemen. Berdasarkan
percakapan dengan manajemen, auditor yang bertanggung jawab harus menyertakan komentar
mengenai disposisi temuan yang direkomendasikan. Mungkin direkomendasikan untuk
dimasukkan dalam laporan audit, dijatuhkan karena berbagai alasan, atau ditangguhkan sampai
informasi lebih lanjut dapat dikumpulkan.

Audit Program and Schedule Modifications

Program audit adalah keseluruhan panduan untuk melakukan audit internal. Dikembangkan dari
data survei pendahuluan dan dari audit internal masa lalu yang ada dalam arsip, hal itu mungkin akan
mengalami penyesuaian selama tinjauan ulang. Auditor harus responsif terhadap bukti baru, perubahan
dalam sistem pendukung, dan perubahan kondisi lainnya. Pada tahap awal audit, mungkin perlu untuk
mengalihkan sebagian dari tugas staf yang direncanakan dan juga memodifikasi beberapa langkah
program audit. Tentu saja, auditor yang bertanggung jawab di lapangan harus selalu mendapatkan
persetujuan dari manajemen audit sebelum melakukan perubahan tersebut.
Kebutuhan akan modifikasi program audit paling sering terjadi ketika audit internal telah
mengembangkan program audit umum untuk digunakan dalam tinjauan unit serupa namun tidak identik.
Perubahan sering diperlukan dalam jadwal dan rencana audit seiring berjalannya waktu kerja. Beberapa
fleksibilitas harus diperhitungkan dalam rencana untuk memenuhi persyaratan yang tidak terduga. Selama
penugasan audit lapangan, situasi dapat ditemui yang mempengaruhi kemajuan auditnya, seperti masalah
atau kejadian tak terduga, kebutuhan untuk memodifikasi atau menjatuhkan segmen program audit,
penemuan area baru untuk ditinjau, atau mengubah personil audit

Reporting Preliminary Audit Findings to Management

Penemuan audit potensial harus diriview oleh management unit selama pelaksanaan audit untuk
menentukan apakah mereka memang fakta dan berpengaruh signifikan.

8.7 WRAPPING UP THE FIELD ENGAGEMENT INTERNAL AUDIT

Audit internal harus dikelola dengan cara yang sama seperti proyek besar yang membutuhkan waktu
personil dan sumber daya lainnya dan menghasilkan penyampaian yang pasti. Kedua sumber daya
personil dan biaya lainnya harus direncanakan dan dianggarkan pada tingkat yang terperinci. Kinerja
aktual audit harus dicatat dan diukur terhadap anggaran waktu dan biaya yang ditetapkan untuk
menganalisis dan memperbaiki varians yang signifikan. Tonggak proyek yang tidak dapat ditentukan,
seperti penyelesaian pekerjaan lapangan atau draft laporan audit, juga harus dilacak terhadap rencana.
Tentu saja, produk kerja audit internal yang paling penting adalah laporan audit formal, dengan temuan
dan rekomendasinya, yang disampaikan ke auditee setelah selesai peninjauan dan juga komite audit.
Audit internal individu harus dianggarkan dengan waktu dan biaya lainnya yang diukur terhadap
rencana tersebut. Tidak peduli seberapa besar atau kecilnya fungsi audit internal suatu perusahaan, sistem
pelaporan kinerja proyek audit harus ditetapkan. Laporan ini harus didasarkan pada ringkasan waktu dari
staf audit yang ditugaskan serta komentar dari auditor yang bertanggung jawab di lokasi tersebut.
Informasi tersebut dapat mencakup informasi seperti waktu yang dianggarkan dan aktual sampai saat ini,
perkiraan waktu untuk menyelesaikan, dan deskripsi singkat tentang kemajuan terhadap program audit.
Data ini dapat dikumpulkan oleh auditor pengawas di lokasi lapangan dan dikirim ke departemen audit
internal pusat. Auditor yang bertanggung jawab harus bertanggung jawab untuk menjelaskan varians yang
signifikan dalam kinerja audit aktual versus anggaran.
Waktu yang dihabiskan untuk proyek audit individual harus diringkas lebih lanjut oleh manajemen
audit internal untuk memberikan gambaran umum tentang semua audit yang direncanakan atau sedang
 dalam proses. Jendela tiga bulan seringkali merupakan periode waktu yang baik untuk merencanakan
kegiatan di masa depan, mengingat berbagai permintaan manajemen senior dan faktor lain yang dapat
mempengaruhi rencana audit internal.
Setiap kenaikan anggaran waktu audit harus dipantau secara hati-hati, dan alasannya varians dan
juga rencana tindakan perbaikan harus diidentifikasi. Pemantauan proyek audit menunjukkan bahwa audit
tidak dimulai tepat waktu atau berada di luar parameter anggaran.

8.8 PERFORMING AN INDIVIUAL INTERNAL AUDIT

Apakah anggota staf audit internal, auditor bawaan yang ditunjuk lebih senior, atau anggota tim
manajemen audit internal, profesional harus memiliki pemahaman yang memadai untuk menilai risiko
dan merencanakan audit internal, untuk mengunjungi lokasi audit dan mulai engagement, menyiapkan
kertas kerja yang mendokumentasikan kegiatan audit tersebut, dan untuk meringkas hasil persiapan
laporan audit internal penutup.

Bab 10: Testing, Assessing, and Evaluating Audit Evidence

10.1 GATHERING APPROPRIATE AUDIT EVIDENCE

Auditor internal membuat penilaian tentang masalah audit atau memenuhi tujuan audit mereka melalui
tinjauan terperinci mengenai apa yang disebut bukti audit. Artinya, auditor internal biasanya tidak dapat
melihat setiap item di area audit concern untuk mengembangkan bukti untuk mendukung audit. Pendekatan
ini jauh lebih sulit. Audit internal dihadapkan pada populasi besar untuk diperiksa, ratusan, ribuan, atau bahkan
lebih. Sebaliknya, auditor harus memeriksa kumpulan file sampel atau laporan yang terbatas untuk
mengembangkan kesimpulan audit mengenai keseluruhan kumpulan atau populasi data.
Audit sampling memiliki dua cabang utama: statistik dan nonstatistical. Statistik sampling adalah
metode berbasis matematika untuk memilih barang representatif yang mencerminkan karakteristik seluruh
populasi. Dengan menggunakan hasil tes audit pada item sampel secara statistik, auditor internal kemudian
dapat mengungkapkan opini terhadap keseluruhan kelompok. Pengambilan sampel nonstatistik, yang juga
disebut sampling judgmental, tidak didukung oleh teori matematika dan tidak memungkinkan auditor internal
mengungkapkan pendapat yang tepat secara statistik pada seluruh populasi. Meskipun demikian, sampling
nonstatistical atau judgmental seringkali merupakan alat audit yang bermanfaat.

10.2 AUDIT ASSESSMENT AND EVALUATION TECHNIQUES

Sampling juga merupakan ungkapan yang sering disalahgunakan oleh auditor internal. Terlalu sering,
auditor internal akan dihadapkan pada arsip arsip yang berisi ratusan dokumen untuk ditinjau, dan auditor
akan mengeluarkan satu atau dua item dari depan dan melakukan prosedur audit berdasarkan pilihan terbatas
ini. Meskipun pemeriksaan dua item ini mungkin sesuai untuk pengamatan audit, auditor internal seringkali
tidak boleh menarik kesimpulan untuk keseluruhan populasi atau isi laci lemari arsip berdasarkan sampel
terbatas tersebut. Untuk secara efektif mengembangkan jenis kesimpulan ini, auditor internal memerlukan
proses di mana mereka harus:
• Memahami jumlah populasi item yang menjadi perhatian dan mengembangkan rencana sampling
formal mengenai populasi barang;
• Membuat sampel dari populasi berdasarkan rencana seleksi sampel.
• Mengevaluasi item sampel terhadap tujuan audit; dan
• Mengembangkan kesimpulan untuk keseluruhan populasi berdasarkan hasil sampel audit.

Langkah-langkah ini merupakan proses pengambilan sampel audit. Audit sampling adalah proses
untuk memeriksa kurang dari 100% item dalam saldo akun atau kelas transaksi untuk tujuan menggambar
beberapa bentuk kesimpulan untuk keseluruhan populasi berdasarkan hasil audit sampel. Audit sampling
seringkali menjadi pilihan yang sangat menarik dan efektif bagi auditor internal dan harus menjadi persyaratan
CBOK.
Sampling audit formal adalah alat yang ampuh, dan dengan beberapa studi dan praktik, auditor internal
dapat dengan mudah dan efektif mulai menggunakan sampling audit. Kapan pun auditor internal perlu menarik
kesimpulan berdasarkan populasi beberapa item namun tidak ingin memeriksa keseluruhan populasi, sampling
audit dapat mengenalkan audit yang lebih baik dan lebih efisien. Alasan berikut mendorong penggunaan
sampling audit dan sampling statistik:
 • Kesimpulan dapat ditarik mengenai keseluruhan populasi data.
• Hasil sampel adalah objektif dan dapat dipertahankan.
• Mengurangi sampling mungkin diperlukan melalui penggunaan sampling audit.
• Pengambilan sampel statistik bahkan bisa memberikan akurasi yang lebih besar daripada tes 100%.
• Cakupan audit beberapa lokasi seringkali lebih mudah.
• Prosedur pengambilan contoh bisa mudah diterapkan.

Terlepas dari kelebihan sampling audit, auditor internal harus selalu mengingat bahwa informasi yang
tepat tidak dapat diperoleh mengenai populasi item berdasarkan hanya sampel, entah itu judgmental atau
statistik. Hanya melalui pengujian 100% dan mengikuti prosedur audit yang baik, auditor internal dapat
memperoleh informasi yang tepat. Dengan sampling judgment nonstatistical, informasi hanya didapat
mengenai barang-barang yang diperiksa. Dengan sampling statistik, terlepas dari jumlah item yang diperiksa,
informasi positif dapat diperoleh mengenai semua item dalam populasi dalam tingkat kepercayaan statistik.

10.3 INTERNAL AUDIT JUDGMENTAL SAMPLING

Meskipun kami biasanya mendukung pendekatan sampling audit yang lebih statistik untuk banyak
audit internal, sampling judgment nonstatistik seringkali juga merupakan prosedur audit internal yang sangat
tepat dalam banyak situasi. Sesuai namanya, pendekatan ini mengharuskan auditor internal untuk
menggunakan penilaian terbaiknya untuk merancang dan memilih sampel. Judgemental sampling memerlukan
auditor internal untuk memilih sampel item yang representatif dalam populasi data atau transaksi untuk
tinjauan audit. Bagi auditor internal, metode untuk pemilihan sampel yang penilaian mungkin memerlukan
banyak bentuk, termasuk:
• Seleksi persentase tetap
• Pemilihan atribut yang ditentukan. Seleksi semua atau sebagian item yang aktif selama jangka waktu
tertentu
• Pilihan nilai besar. Sebuah pilihan untuk review audit hanya item dengan besar saldo yg signifikan.
• Pemilihan wilayah yang ditunjuk. Pemeriksaan hanya item yang tersedia.
• Pilihan atribut pilihan lainnya. Ulasan hanya item sensitif atau item dengan beberapa atribut perhatian
audit lainnya.

10.4 STATISTICAL AUDIT SAMPLING: AN INTRODUCTION

Pengambilan sampel audit statistik adalah alat yang memungkinkan auditor internal memproyeksikan
hasil sampel audit yang benar secara statistik atas seluruh populasi dengantingkat akurasi yang sangat kuat.
Pemahaman umum tentang konsep probabilitas dan statistik merupakan hal yang penting dan langkah awal
untuk menggunakan sampling statistik. auditor internal harus memiliki pemahaman tentang perilaku semua
sampel yang mungkin diambil dari suatu populasi.
1. Rata-rata adalah rata-rata sederhana dari nilai item dalam suatu populasi. Ini dihitung
dengan menambahkan jumlah total dalam populasi yang diminati dan kemudian membagi jumlah ini
dengan jumlah item yang diamati dalam populasi.
2. Median adalah nilai tengah bila semua item dalam populasi diberi peringkat berdasarkan nilai, yang
terkecil sampai yang terbesar atau sebaliknya
3. Modus adalah jumlah atau nilai yang paling sering terjadi dalam suatu populasi
4. Range adalah perbedaan antara nilai terbesar dan terkecil dalam suatu populasi
5. Varian adalah ukuran penyebaran suatu distribusi, dan dihitung sebagai Penyimpangan kuadrat rata-
rata dari masing-masing bilangan dari meannya
6. Standar Deviasi adalah ukuran variabilitas nilai untuk masing-masing sampel dalam suatu populasi
Standar deviasi membantu auditor mengetahui berapa banyak variasi nilai yang ada di sekitar titik rata-
rata atau titik pusat

10.5 DEVELOPING A STATISTICAL SAMPLING PLAN

 Sebagai langkah awal pengambilan sampel audit, auditor internal harus mengembangkan rencana
sampling yang memungkinkan setiap item dalam populasi memiliki probabilitas seleksi yang sama. Rencana
tersebut harus berusaha menghilangkan bias dalam pemilihan item untuk memastikan bahwa mereka mewakili
total populasi. Auditor internal sering dihadapkan pada tantangan di sini untuk memahami sejumlah besar
data, baik catatan inventaris, riwayat pembayaran piutang, lokasi fisik aktual aset, atau jenis bukti audit
lainnya. Pengambilan sampel statistik memungkinkan auditor internal untuk menarik sampel representatif dari
data ini yang memungkinkan kesimpulan audit atas keseluruhan populasi data. Namun, auditor internal harus
memahami sifat data yang akan ditinjau saat mengembangkan strategi seleksi sampel atau rencana audit ini,
termasuk:
▪ Populasi yang akan dijadikan sampel harus didefinisikan secara jelas.
▪ Populasi harus dibagi atau dikelompokkan menjadi beberapa kelompok jika ada variasi utama di antara
item populasi.
▪ Setiap item dalam populasi harus memiliki kesempatan yang sama untuk dipilih dalam sampel.
▪ Tidak boleh ada bias dalam membuat seleksi sampel dari populasi.
Ada empat metode umum untuk memilih sampel audit: nomor acak, interval, stratifikasi, dan seleksi
cluster. Dua yang terakhir juga sering disebut sebagai jenis pengambilan sampel, namun teknik ini lebih tepat
diidentifikasi sebagai teknik seleksi opsional.
Random Number Audit Sample Selection
Item di sini harus dipilih secara acak. Secara teori, auditor internal akan menempatkan semua item dari
populasi dalam sebuah wadah, mencampurnya secara menyeluruh, dan secara independen menarik masing-
masing barang untuk sampel dari wadah.
Interval Selection Audit Sample Selection
Ini memerlukan pemilihan item individual berdasarkan interval seragam dari item dalam total populasi.
Teknik ini sangat berguna untuk pengambilan sampel unit moneter, di mana auditor internal akan
mengembangkan sampel dengan memilih setiap item ke-n dalam populasi, seperti dari daftar inventaris.
Diperlukan adanya populasi yang cukup homogen, dalam hal jenis barang, dan tidak ada bias dalam
pengaturan populasi yang akan menghasilkan sampel yang tidak representatif secara statistik.
Stratified Selection Audit Sample Selection
Populasi dibagi menjadi dua atau lebih subkelompok atau strata, masing-masing subkelompok ditangani
secara terpisah sebagai populasi terpisah. Pemilihan stratifikasi adalah perpanjangan teknik seleksi acak atau
interval, karena keduanya dapat diterapkan pada strata populasi yang lebih kecil. Dengan mengurangi
variabilitas, stratifikasi dapat menurunkan standar deviasi dan membantu mengurangi ukuran sampel.
Cluster Selection Audit Sample Selection
Sampel dibuat dengan memilih subkelompok atau kelompok secara sistematis dari total populasi.
Pemilihan klaster berguna bila item diajukan di rak atau laci, dan secara fisik lebih mudah memilih
subkelompok berdasarkan area rak fisik atau laci panel individu karena item pada bagian tertentu dari area rak
atau laci yang ditunjuk pada dasarnya serupa sifatnya dan sampel yang dipilih akan mewakili. Namun,
variabilitas dalam sampel individu seringkali kurang dari variabilitas di antara sampel. Untuk mengimbangi
variabilitas yang lebih rendah ini, biasanya menggunakan sampel yang lebih besar saat menerapkan
pendekatan pemilihan cluster. Variasi pendekatan seleksi cluster, yang disebut multistage sampling,
melibatkan pengambilan sampel kelompok individu daripada memeriksa sampel secara keseluruhan.

10.6 AUDIT SAMPLING APPROACHES

Auditor internal dapat mengambil beberapa pendekatan sampling audit tergantung pada tujuan audit,
apakah akan didasarkan pada pengujian kepatuhan, pengendalian laporan keuangan, atau pada kondisi khusus
apapun.
Attribute sampling digunakan untuk mengukur tingkat atau tingkat kemunculan berbagai kondisi atau
atribut - dengan kata lain, untuk menilai pengendalian internal. Atribut sampling sering mengukur kepatuhan
terhadap kebijakan, prosedur, atau standar yang ditetapkan, dan dapat menjadi ujian kuat untuk pengendalian
internal.
Variable sampling berkaitan dengan ukuran populasi tertentu, seperti saldo akun atau pengujian pada
item sampel individual. Di sini fokus auditor adalah pada "seberapa banyak" yang bertentangan dengan fokus
sampling atribut ya atau tidak. Tujuan dari variabel sampling adalah untuk memperkirakan jumlah perkiraan
proyek untuk beberapa akun atau penyesuaian terhadap akun berdasarkan sampel statistik auditor.
 Discovery sampling, digunakan ketika auditor internal ingin menarik sampel dari sejumlah besar data
tanpa proses statistik yang terkait dengan variabel dan atribut sampling.

Attribute Sampling Procedure

Attribute sampling adalah proses menarik sampel untuk memperkirakan proporsi beberapa karakteristik
atau atribut minat pada suatu populasi. Dalam uji attribute-sampling, audit internal harus memperkirakan
tingkat kesalahan yang diharapkan dalam populasi yang diambil sampelnya, berdasarkan harapan manajemen,
tes audit lainnya, atau hanya asumsi audit internal. Seiring dengan memperkirakan tingkat kesalahan yang
diharapkan, audit internal harus menentukan batas presisi yang dapat diterima dan tingkat kepercayaan yang
diinginkan untuk sampel.
Seperti yang diperkirakan, tingkat kesalahan dalam sampel biasanya lebih tinggi atau lebih rendah dari
tingkat kesalahan yang diperkirakan sebelumnya. Jika lebih rendah, auditor internal telah menetapkan bahwa
kondisi yang diuji aman dalam batas yang dipilih. Jika sampel menunjukkan tingkat kesalahan yang lebih
tinggi, auditor harus menentukan apakah hasilnya memuaskan dan tindakan lebih lanjut, jika ada, diperlukan.
Kunci sampling atribut yang berarti adalah mengambil sampel yang tepat dan benar mengembangkan
kesimpulan audit berdasarkan hasil sampel.

Performing an Attribute Sampling Test

Atribut sampling berguna saat auditor internal dihadapkan dengan sejumlah item yang agak banyak
untuk diperiksa dan ingin menguji apakah kontrol tertentu bekerja atau tidak berfungsi. Auditor harus terlebih
dahulu menentukan apa yang harus dievaluasi atau sifat spesifik dari tes kepatuhan yang harus dilakukan, sifat
unit sampling, dan karakteristik populasi. Pengambilan sampel atribut adalah jenis tes audit ya-tidak ada
dimana item atau atribut sampel harus benar atau tidak benar. Ukuran populasi dan juga toleransi auditor
terhadap kesalahan akan mempengaruhi jumlah item yang akan dijadikan sampel.
Selain itu, audit internal harus memiliki pemahaman yang jelas tentang jumlah dan lokasi barang yang
akan dijadikan sampel. Auditor pertama-tama harus membuat beberapa perkiraan awal, berdasarkan
pengamatan dan audit lainnya, dari apa yang diharapkan dari hasil sampel dan kemudian menarik sampel audit
aktual berdasarkan harapan tersebut. Parameter sampling atribut ini adalah:
• Tingkat kesalahan maksimum yang dapat ditoleransi. Ini adalah tingkat kesalahan yang akan
diizinkan oleh auditor internal sambil tetap menerima keseluruhan kontrol internal.
• Tingkat kepercayaan yang diinginkan. ukuran kepercayaan auditor terhadap hasil sampel.
• Perkiraan tingkat kesalahan populasi. auditor internal memperkirakan tingkat kesalahan dalam
populasi dan kemudian mengambil sampel statistik untuk mengkonfirmasi atau menolak asumsi
tersebut. Untuk menghitung ukuran sampel, auditor internal juga perlu memperkirakan tingkat
kejadian kesalahan yang diharapkan dalam populasi. Perkiraan ini, bersama dengan tingkat
kepercayaan dan tingkat kesalahan maksimum yang dapat ditoleransi, menentukan ukuran sampel.
• Ukuran sampel awal. Tiga faktor sebelumnya, bersamaan dengan beberapa faktor koreksi statistik,
tentukan ukuran sampel yang diperlukan.

Selecting the Sample to Perform Audit Procedures

Prosedur sampling acak yang dijelaskan sebelumnya dapat digunakan untuk memilih item yang akan
ditinjau. Beberapa atribut juga dapat diuji dengan menggunakan kumpulan item sampel yang sama. Konsep
yang perlu diingat adalah bahwa auditor internal akan melakukan pengujian jenis “ya” atau “tidak” terpisah
untuk masing-masing atribut individual pada masing-masing item dalam sampel.
Dokumentasi workpapers harus menjelaskan semua item yang dipilih sebagai bagian dari attributes test.
Perangkat lunak Spreadsheet berguna di sini untuk mencatat hasil tes audit, namun prosedur audit internal
harus dilakukan dengan hati-hati. Jika audit gagal mengenali kondisi kesalahan pada item sampel yang dipilih,
fakta tersebut akan merusak/ menghilangkan kesimpulan yang dicapai sebagai bagian dari keseluruhan
sampel.
Auditor internal mungkin mencari beberapa kondisi kesalahan namun kemudian menemukan kesalahan
lain yang tidak termasuk dalam rancangan uji asli. Jika signifikan, audit internal mungkin ingin
mendefinisikan ulang keseluruhan attributes test
.
Evaluating the Results of the Attributes Sampling Test
 Sebelum benar-benar memilih dan mengevaluasi item sampel, auditor internal akan membuat asumsi
awal mengenai tingkat kesalahan maksimum yang dapat ditolerir, keandalan, dan tingkat kepercayaan, serta
tentang berapa banyak kesalahan kepatuhan yang dapat ditolerir terhadap menilai apakah kontrol sudah
memadai. Langkah kunci berikutnya adalah mengevaluasi hasil sampel terhadap asumsi-asumsi tersebut untuk
menentukan apakah ada masalah pengendalian internal. Auditor internal sekarang harus menilai tingkat
kesalahan aktual dari item sampel dan menghitung batas presisi atas berdasarkan kesalahan sampel tersebut.
Batas presisi itu, yang dihitung berdasarkan sampel sebenarnya, harus kurang dari atau sama dengan batas
presisi yang diinginkan yang ditetapkan pada awal latihan sampel agar auditor dapat melaporkan hasil yang
baik dari sampel.
Ketika hasil sampling atribut ternyata tidak menguntungkan, terkadang manajemen mungkin
mengklaim bahwa audit internal hanya melihat beberapa item yang sangat tidak biasa dan bahwa sisa populasi
tidak seburuk itu. Peningkatan ukuran sampel akan memiliki efek penurunan batas presisi atas yang dihitung,
dengan asumsi bahwa auditor tidak menemukan sejumlah besar kesalahan tambahan. Namun, audit internal
harus mempertimbangkan biaya relatif dan manfaat dari pendekatan ini. Pendekatan yang lebih baik adalah
melaporkan masalah pengendalian internal berdasarkan hasil saat ini dan untuk memperluas ukuran sampel
dalam tinjauan audit berikutnya.

10. 8 ATTRIBUTES SAMPLING ADVANTAGES AND LIMITATIONS

Beberapa auditor internal merasa teknik ini memiliki beberapa hambatan untuk penggunaannya,
termasuk:
▪ Attributes sampling computations bersifat kompleks. Tinjauan aktual dan analisis hasil sampel bisa
sangat kompleks dan mungkin memerlukan penggunaan perangkat lunak sampling yang kompleks.
▪ Definisi atribut yang tepat mungkin berbeda. Pemilihan atribut yang akan diuji didasarkan pada
penilaian auditor atau permintaan manajemen. Namun, auditor mungkin telah melewatkan satu atau
atribut penting lainnya saat menganalisis data.
▪ Atribut hasil sampel mungkin salah tafsir. Dengan benar disajikan, hasil dari sampel atribut
dinyatakan sangat tepat. Meskipun demikian, orang mungkin mendengar hasil ini dan menafsirkannya
secara tidak benar.
▪ Data yang tidak sempurna membutuhkan koreksi. Teori dasar seputar sampel atribut
mengasumsikan bahwa populasi data mengikuti distribusi normal, tanpa komplikasi yang tidak biasa
lainnya.
Terlepas dari masalah ini, atribut sampling melengkapi audit internal dengan alat yang sangat kuat untuk
menilai pengendalian internal dalam populasi data yang besar melalui evaluasi sampel terbatas. Sampel atribut
tindak lanjut akan memungkinkan audit internal untuk melihat data lebih lanjut dan kembali membuat
pernyataan kuat tentang status kontrol internal yang mengelilingi daerah tersebut dalam sengketa.

10.9 MONETARY UNIT SAMPLING

Monetary unit sampling adalah teknik untuk menentukan apakah sebuah akun keuangan dinyatakan
secara wajar, dan ini adalah metode yang bagus untuk memperkirakan jumlah akun berlebih. Teknik ini
disebut sampling satuan dolar atau probabilitas sebanding dengan ukuran (PPS) sampling. Konsepnya adalah
bahwa setiap dolar atau satuan mata uang dalam rekening diperlakukan sebagai anggota populasi dan masing-
masing memiliki kesempatan untuk memilih. Seperti yang dinyatakan, unit sampling adalah setiap unit mata
uang daripada unit fisik, seperti faktur atau cek gaji.

Melakukan Uji Sampling Unit Moneter

Jumlah dolar yang akan diperiksa dalam populasi menentukan ukuran sampel auditor. Uji coba unit
moneter memerlukan empat hal yang diketahui mengenai akun yang akan dijadikan sampel:
1. Persentase maksimum dari nilai populasi yang tercatat bahwa auditor akan mentoleransi kesalahan. Ini
adalah batas presisi atas yang sama yang dibahas sebelumnya untuk atribut sampling.
2. Tingkat confidence yang diharapkan.
3. Tingkat kesalahan yang diharapkan untuk kesalahan sampling.
4. Total nilai tercatat akun yang akan dievaluasi.

Item pertama dalam daftar adalah nilai dolar dari populasi yang mungkin mengandung kesalahan yang
diijinkan dibagi dengan nilai buku yang tercatat dari populasi. Ukuran sampel unit moneter kemudian
digunakan untuk menghitung interval moneter dengan membagi nilai buku tercatat dari akun dengan ukuran
sampel untuk menentukan interval nth setiap dolar. Interval ini menetapkan batas seleksi untuk item yang
lebih besar dan semua item lebih besar dari atau sama dengan interval ini akan dipilih. Setiap item yang
diwakili oleh dolar terpilih kemudian dievaluasi oleh auditor untuk menentukan apakah dinyatakan benar.
Auditor menghitung jumlah yang benar untuk setiap akun yang dipilih dan mencatat jumlah tersebut dan
jumlah diaudit yang benar. Ini akan menunjukkan berapa banyak setiap akun dilebih-lebihkan.

Mengevaluasi Hasil Sampel Unit Moneter

Pengambilan sampel unit moneter adalah pendekatan yang efektif untuk mengevaluasi saldo akun
untuk menentukan apakah hal tersebut telah dibesar-besarkan. Karena setiap dolar di setiap item dalam akun
akan tunduk pada pemilihan sampel, item yang terlalu banyak dapat ditemukan selama proses pengambilan
sampel. Evaluasi hasil sampling unit moneter untuk memperkirakan total error pada akun adalah proses yang
lebih kompleks. Ide dasarnya adalah mendokumentasikan jumlah tercatat dan jumlah yang diaudit untuk setiap
item yang dipilih dan kemudian menghitung persentase kesalahan masing-masing. Batas presisi atas dihitung
untuk setiap item kesalahan untuk menentukan jumlah penyesuaian audit yang disarankan.

Keuntungan dan Keterbatasan Unit Moneter

Keuntungan terpenting dari pengambilan sampel unit moneter adalah berfokus pada item unit bernilai
lebih besar dalam suatu populasi. Sampel murni acak bisa memotong barang dengan nilai dolar besar
berdasarkan pilihan acak. Karena unit sampling moneter memilih item sampel yang sebanding dengan nilai
dolar mereka, ada sedikit risiko untuk gagal mendeteksi kesalahan material karena semua unit dolar besar
tunduk pada pemilihan berdasarkan ukuran masing-masing. Setiap item dalam populasi yang lebih besar dari
interval moneter akan selalu dipilih. Meskipun manajemen akan mengharapkan audit internal untuk
mengambil sampel acak yang tidak bias, mungkin akan mengungkapkan kekhawatiran jika audit melewati
beberapa item bernilai besar menggunakan teknik seleksi sampel lainnya. Keuntungan lain adalah jika tidak
ditemukan kesalahan dalam sampel awal dan tingkat kesalahan yang diharapkan sangat rendah, ukuran sampel
yang relatif kecil dapat digunakan. Auditor internal dapat dengan mudah menentukan kemungkinan berlebih-
lebihan dan membatasi ukuran sampel dalam keadaan ini. Pengambilan sampel unit moneter juga menarik
karena pemilihan item bersifat komputasi.
Kelemahan utama dari unit sampling moneter adalah prosedurnya bukan sekadar menguji pernyataan
meridian laporan keuangan. Dokumen atau transaksi yang hilang adalah masalah umum pada sistem yang
tidak terkontrol dengan baik, dan jika item hilang populasi, prosedur sampling unit dolar tidak akan
mendeteksi barang yang hilang. Mereka tidak dapat dijadikan sampel. Jadi, auditor internal tidak dapat
memproyeksikan nilai populasi dengan menggunakan unit sampling moneter. Kelemahan dari metode ini
adalah nol atau nilai negatif menyebabkan masalah karena tidak mungkin item tersebut dijadikan sampel. Lain
masalahnya, nilai total buku harus diketahui untuk membuat perhitungan interval. Metode ini tidak dapat
memberikan perkiraan nilai populasi yang tidak diketahui. Akhirnya, karena mengambil unit moneter adalah
konsep yang relatif baru untuk auditor internal, jumlahnya lebih sedikit. Program pelatihan tersedia
dibandingkan dengan metode tradisional seperti atribut sampling.

10.10 OTHER AUDIT SAMPLING TECHNIQUES

Multistage Sampling
Teknik ini melibatkan pengambilan sampel pada beberapa tingkatan. Sampel acak pertama kali dipilih untuk
beberapa kelompok unit dan kemudian sampel acak lain ditarik dari dalam populasi unit yang pertama kali
dipilih.
Replicated Sampling
Variasi sampling multistage ini yang membutuhkan penggambaran dari satu sampel acak secara keseluruhan
dengan ukuran X, yang terdiri dari Y sub sampel acak terpisah dengan ukuran X/Y.
Bayesian Sampling
Teknik ini merupakan teknik yang jarang digunakan atau jarang disebutkan dalam literatur sampling audit,
namun teknik ini memiliki potensi yang besar. Bayesian sampling memungkinkan auditor untuk
menyesuaikan asumsi sampel dan faktor probabilitas berdasarkan hasil audit sebelumnya.

10.11 MAKING EFFICIENT AND EFFECTIVE USE OF AUDIT SAMPLING

Dimana kesalahan ditemukan, auditor internal pada umumnya dihadapkan pada keputusan berikut untuk
sampai pada kesimpulan audit:
• Mengisolasi kesalahan (error)
• Hanya melaporkan item yang diperiksa
• Melakukan audit 100%
• Memproyeksikan hasil sample
Teknik berikut juga akan memudahkan penggunaan sampling audit untuk prosedur audit:
• Menggabungkan langkah – langkah audit
• Menggunakan sampel pendahuluan

Bab 12: Control Self‐Assessments and Internal AuditBenchmarking

12.1 PENTINGNYA CONTROL SELF-ASSESSMENTS (CSA)

Konsep Control Self-Assessments (CSA) ada kaitannya dengan sistem pengendalian intern organisasi.
Cara – cara audit intern konvensional diragukan efektivitasnya untuk memenuhi ketentuan pengendalian
internal. Maka dari itu dicari cara alternatif untuk memperoleh gambaran kondisi pengendalian intern
perusahaan yang lebih baik, yaitu melalui metode CSA.

12.2 CSA MODEL

CSA adalah proses yang dirancang untuk membantu departemen dalam perusahaan untuk menilai dan
kemudian mengevaluasi pengendalian internal mereka. CSA adalah proses perbaikan berkelanjutan yang
serupa dengan metode yang dijelaskan dan digunakan oleh penjaminan mutu. Konsep tersebut meminta
sebuah tim untuk membangun dan memperbaiki lingkungan pengendalian mereka dengan menetapkan tujuan
dan sasaran mengenai pengendalian tersebut, kemudian melakukan penilaian risiko untuk lebih memahami
risiko pengendalian yang ditunjuk tersebut, untuk menerapkan kegiatan pengendalian untuk mengurangi risiko
yang teridentifikasi, dan kemudian memantau kinerja kontrol yang lebih baik. Ini adalah proses yang terus-
menerus.

12.3 LAUNCHING THE CSA PROCESS

Proses CSA menilai dan memeriksa keefektifan proses pengendalian internal bukan oleh tim orang
luar seperti konsultan, atau bahkan auditor internal, namun oleh orang-orang dari dalam fungsi yang dinilai.
Tujuan CSA adalah untuk memberikan keyakinan memadai bahwa tujuan bisnis pengendalian internal yang
baik akan terpenuhi. Konsep CSA mensyaratkan selfassessment kontrol.
Proses CSA bekerja dengan sangat baik ketika perusahaan memiliki beberapa unit bisnis yang
pengendalian internalnya tidak sama dengan operasi lainnya. Terlepas dari siapa yang bertindak sebagai
pemimpin atau fasilitator, proyek CSA harus memperbaiki lingkungan pengendalian perusahaan dengan
melibatkan pemangku kepentingan yang lebih sadar akan tujuan departemen mereka yang spesifik dan peran
kontrol internal dalam mencapai tujuan dan sasaran. Konsep dasar di balik proses CSA adalah memotivasi
anggota unit perusahaan untuk merancang dan menerapkan proses pengendalian internal mereka sendiri dan
kemudian terus memperbaikinya.
Sebagai langkah awal yang baik untuk memulai proses CSA untuk suatu perusahaan, CAE atau
beberapa orang yang memimpin prakarsa tersebut perlu menawarkan dan memaparkan konsep CSA kepada
manajemen senior. Manfaat potensial dari proses CSA adalah:
▪ Meningkatkan cakupan pelaporan pengendalian internal selama periode tertentu
▪ Menargetkan pekerjaan yang berkaitan dengan pengendalian internal dengan menempatkan fokus
yang lebih besar pada item berisiko tinggi dan tidak biasa yang ditemukan dalam tinjauan CSA ini
▪ Meningkatkan efektivitas tindakan perbaikan yang direkomendasikan oleh audit internal dengan
mentransfer kepemilikan dan tanggung jawab pengendalian internal kepada karyawan yang beroperasi
Tiga pendekatan CSA adalah facilitated team meeting workshops, kuesioner, dan analisis manajemen.
Facilitated team meeting workshops mengumpulkan informasi pengendalian internal dari tim kerja yang
mungkin mewakili beberapa tingkat dalam suatu perusahaan. Pendekatan berbasis kuesioner menggunakan
survei yang biasanya didasarkan pada jawaban sederhana ya/ tidak atau tidak memiliki tanggapan. Pemilik
proses menggunakan hasil survei untuk menilai struktur kontrol mereka. Pendekatan ketiga, analisis yang
diproduksi oleh manajemen, benar-benar merupakan jenis analisis internal audit.
Performing the Facilitated CSA Review
Konsep dasar di balik tinjauan CSA mengenai sistem pengendalian internal atau prosesnya adalah
mengatur sekelompok orang, melintasi berbagai tingkat perusahaan dan dari beberapa unit, dan kemudian
secara kolektif mengumpulkan informasi lengkap tentang pengendalian internal untuk sistem atau proses yang
dipilih. Idenya adalah memilih sampel perwakilan pemangku kepentingan di seluruh perusahaan untuk
bertemu dan mendiskusikan operasi dan kontrol sistem yang dipilih.
Team workshop yang difasilitasi mengumpulkan informasi dari tim kerja yang mewakili berbagai
tingkat di unit bisnis atau fungsi. Format workshop mungkin didasarkan pada tujuan, risiko, kontrol, atau
proses. Masing-masing memiliki kelebihan yang berbeda tergantung pada area pengendalian internal yang
ditinjau. Langkah-langkah perencanaan untuk mengatur tinjauan CSA ini harus dikembangkan menjadi
rencana perusahaan CSA. Berdasarkan serangkaian materi CSA yang diterbitkan oleh IIA, 1 sesi CSA yang
difasilitasi dapat mengikuti empat format pertemuan berikut:
1. Objective‐based CSA‐facilitated sessions.
Sesi ini berfokus pada cara terbaik untuk mencapai tujuan bisnis, seperti pelaporan keuangan yang
akurat. Workshop dimulai dengan tim mengidentifikasi kontrol yang ada saat ini untuk mendukung
tujuan sistem dan kemudian menentukan sisa risiko yang tersisa jika kontrol tidak bekerja. Tujuan dari
format lokakarya ini adalah untuk memutuskan apakah prosedur pengendalian bekerja secara efektif
dan bahwa risiko yang tersisa berada dalam tingkat yang dapat diterima.
2. Risk‐based CSA‐facilitated sessions.
Sesi ini berfokus pada tim CSA yang mencatat risiko untuk mencapai tujuan pengendalian internal.
Workshop dimulai dengan mencantumkan semua rintangan, hambatan, ancaman, dan eksposur yang
mungkin dapat mencegah pencapaian tujuan dan kemudian memeriksa prosedur pengendalian untuk
menentukan apakah cukup untuk mengelola risiko kunci yang teridentifikasi. Tujuan dari workshop
ini adalah untuk menentukan risiko residual yang signifikan.
Sesi ini akan mencoba mengidentifikasi risiko signifikan di tingkat departemen, aktivitas, atau proses.
Untuk setiap risiko yang teridentifikasi, kelompok harus mendiskusikan potensi kemungkinan
terjadinya dan dampak potensial. Risiko tersebut dengan kemungkinan terjadinya yang wajar dan
dampak potensial yang besar akan diidentifikasi sebagai signifikan.
3. Control‐based CSA‐facilitated sessions.
Sesi ini berfokus pada seberapa baik kontrol di tempat bekerja. Format ini berbeda dari dua sesi
sebelumnya karena fasilitator mengidentifikasi risiko dan kontrol utama sebelum awal workshop.
Selama sesi CSA, tim kerja menilai seberapa baik pengendalian mengurangi risiko dan mendorong
tercapainya tujuan. Tujuan dari workshop ini adalah untuk menghasilkan analisis kesenjangan antara
bagaimana kontrol bekerja dan seberapa baik manajemen mengharapkan kontrol tersebut bekerja.
4. Process‐based CSA‐facilitated sessions.
Sesi ini berfokus pada kegiatan terpilih yang merupakan elemen dari rangkaian proses. Proses adalah
serangkaian kegiatan terkait yang dimulai dari awal sampai akhir, seperti berbagai langkah dalam
pembelian, pengembangan produk, atau penciptaan pendapatan. Jenis workshop ini biasanya
mencakup identifikasi tujuan keseluruhan proses dan berbagai langkah peralihan. Tujuan dari
workshop ini adalah untuk mengevaluasi, memperbarui, memvalidasi, memperbaiki, dan bahkan
merampingkan keseluruhan proses dan aktivitas komponennya.

Performing the Quistonnaire berdasarkan CSA Review

Sebuah tinjauan yang difasilitasi oleh CSA dapat bersifat sulit dan memakan waktu, tidak peduli apakah
itu risiko relatif-, pengendalian internal-, atau berbasis proses. Dalam banyak kasus, format kuesioner bisa
menjadi cara yang efektif untuk mengumpulkan informasi pengendalian internal. Kuesioner disiapkan untuk
mencakup proses atau sistem yang diminati dan kemudian didistribusikan ke sekelompok pemangku
kepentingan terpilih untuk mendapatkan pemahaman tentang risiko dan kontrol di area yang diminati.
Kuesioner akan memberikan penilaian menyeluruh terhadap kesehatan proses dan pengendalian internal. Ini
adalah cara efektif untuk mengumpulkan data latar belakang CSA dasar.

Performing the Management‐Produced Analysis CSA Review

Sebagai alternatif untuk survei atau lokakarya yang difasilitasi, analisis yang diproduksi oleh
manajemen sangat mirip dengan jenis tinjauan operasional yang akan dilakukan auditor internal. Ini adalah
salah satu dari tiga pendekatan analisis CSA yang disarankan oleh IIA, di mana manajemen menghasilkan
sebuah studi staf mengenai proses bisnis - hampir sebuah penelitian.
Pendekatan analisis yang dihasilkan oleh manajemen, walaupun didukung oleh IIA sebagai satu dari
tiga pendekatan CSA yang disarankan, sulit dilakukan untuk perusahaan biasa. Ini menunjukkan sebuah
tinjauan "akademis" oleh seseorang di perusahaan itu, diikuti oleh beberapa penelitian komparatif untuk
analisis selanjutnya. Kami umumnya tidak menyarankan IIA ini mendukung pendekatan alternatif.

12.4 EVALUATING CSA RESULTS

Analisis CSA, terutama jika mencakup banyak proses atau sistem, akan menghasilkan sejumlah besar
data. Beberapa mungkin mendukung kekuatan proses yang ada, yang lain akan menunjuk pada kelemahan
pengendalian internal yang membutuhkan koreksi, dan yang lainnya mungkin mengarah ke area yang
membutuhkan penelitian lebih lanjut. Dalam banyak kasus, pekerjaan akan memvalidasi integritas dan kontrol
sistem dan proses yang ditinjau.
Hasil review CSA akan serupa dengan tinjauan COSO tentang akuntansi internal kontrol-metode
disiplin dan menyeluruh untuk mengevaluasi kontrol internal yang signifikan. CSA memberikan cara untuk
tinjauan untuk mendapatkan pemahaman yang lebih baik tentang banyak kontrol lunak yang mengelilingi
banyak proses atau sistem. Dokumentasi yang dipublikasikan atau wawancara review pengawasan terfokus
mungkin menunjukkan bahwa beberapa kontrol ada.
Melalui CSA, audit internal dan staf operasional dapat berkolaborasi untuk menghasilkan penilaian
pengendalian internal dalam suatu operasi. Sinergi ini membantu audit internal membantu fungsi pengawasan
manajemen dengan meningkatkan kuantitas dan kualitas informasi yang ada.

12.5 BENCHMARKING AND INTERNAL AUDIT

Benchmarking adalah salah satu konsep profesional yang sering disalahgunakan. Benchmarking
adalah "praktik terbaik” di mana perusahaan mengevaluasi berbagai aspek prosesnya sendiri dalam kaitannya
dengan praktik terkait, biasanya di perusahaan rekan mereka yang lain. Setelah melakukan analisis dan
perbandingan seperti itu, perusahaan dapat mengembangkan rencana bagaimana menerapkan praktik terbaik
lainnya, biasanya dengan tujuan meningkatkan beberapa aspek kinerja. Benchmarking bisa menjadi alat
manajemen yang hebat karena bisa mengatasi apa yang oleh beberapa konsultan disebut "paradigma
kebutaan."
Pendekatan perbandingan penting bagi auditor internal dari dua perspektif. Pertama, penggunaan
benchmark dapat menjadi rekomendasi audit internal yang sangat kuat saat meninjau operasi di beberapa
daerah. Auditor internal sering mengamati kelemahan pengendalian internal yang jelas di beberapa daerah,
namun mungkin tidak memiliki kedalaman di suatu area untuk membuat rekomendasi perbaikan pengendalian
internal yang komprehensif. Rekomendasi yang kuat, bagaimanapun, adalah audit internal untuk
merekomendasikan agar beberapa unit operasi menggunakan studi benchmarking untuk mencapai praktik
terbaik di beberapa wilayah.
Auditor internal juga perlu melakukan benchmarking untuk memperbaiki praktik audit internal mereka
sendiri. IIA telah mempromosikan konsep "Progress through Sharing" untuk memperbaiki praktik audit
internal sejak didirikan pada akhir 1940an. Banyak gagasan kemudian dibagi melalui presentasi dan diskusi
informal di pertemuan IIA, namun IIA ada di seluruh dunia saat ini, dengan banyak mencari data dan informasi
ini untuk berbagi, dan alat-alat Internet tersedia untuk mempromosikan sharing tersebut. IIA telah
meluncurkan apa yang disebutnya Global Audit Information Network (GAIN), alat pembanding untuk berbagi
gagasan terbaik dan mempromosikan praktik terbaik audit internal.
1. Implementing Benchmarking to Improve Processes. Proses baru ini pada dasarnya adalah fungsi tipe
layanan dengan hampir tidak takut memberikan rahasia dagang. Langkah-langkah berikut menggambarkan
bagaimana penulis ini meluncurkan studi benchmarking yang berhasil untuk sebuah unit atasannya beberapa
tahun yang lalu.
2. Tetapkan satu set calon mitra yang mungkin bersedia berpartisipasi. Nama dan kontak dapat
dikumpulkan melalui pertemuan dan konferensi profesional.
3. Kembangkan tujuan dan sasaran spesifik untuk studi benchmark. Langkah ini mendefinisikan apa
yang ingin kita pelajari dari penelitian kita. Survei benchmarking biasanya dirancang untuk memungkinkan
perusahaan lain membual tentang beberapa praktik terbaik.
4. Bersihkan masalah hukum dan kerahasiaan. Dalam studi benchmarking, kami akan meminta perusahaan
lain untuk memberi kami beberapa informasi rahasia perusahaan, dan dengan mengajukan pertanyaan-
pertanyaan ini, kami mengakui bahwa kami mungkin mengalami defisit di area yang sedang kami kaji.
Prosesnya harus ditinjau ulang dengan sumber hukum perusahaan untuk menghindari jebakan.
5. Menghubungi calon mitra benchmarking. Setelah semua pekerjaan pendahuluan, kita harus
menghubungi peserta potensial untuk penelitian ini. Ini sering bekerja paling baik bila kontak pribadi
profesional telah ditetapkan. Kami harus menguraikan proyek benchmarking yang kami usulkan dengan
tujuan sebagai berikut:
a. Tujuan studi benchmarking kami-apa yang ingin kita pelajari?
b. Mengapa kita memilih peserta potensial ini?
c. Informasi spesifik apa yang kami cari, bagaimana kami akan mengumpulkannya (mis., Kuesioner),dan
berapa banyak waktu yang dibutuhkan?
d. Pernyataan kuat tentang kerahasiaan - kami tidak akan mengungkapkan atau mengkompromikan
apapuninformasi perusahaan.
e. Tawaran untuk memberikan sesuatu sebagai hasil partisipasi. Biasanya ini adalah janji untuk
membagikan keseluruhan hasil penelitian kepada seluruh peserta.
f. Sebuah permintaan untuk sebuah pengakuan bahwa mereka akan bersedia untuk berpartisipasi.
6. Kumpulkan informasi benchmarking. Inilah langkah dimana kami mengumpulkan data pembandingan
kami dari masing-masing peserta. Meskipun biasanya mengharuskan pengiriman kuisioner wawancara yang
cukup rinci, telepon atau bahkan kunjungan lapangan merupakan kemungkinan. Idenya adalah untuk
mengetahui sebanyak mungkin tentang apa yang dilakukan peserta kami di bidang minat kami.
7. Mengumpulkan dan menggosok hasil. Setelah kami menyelesaikan survei benchmarking kami-perawatan
harus dilakukan agar tidak terlalu lama mengeluarkan barang terlalu lama-informasi survei harus dirakit dan
ditinjau untuk menjawab pertanyaan kami. Informasi rahasia mengenai nama perusahaan dan identitas lainnya
harus digandakan atau dihapus.
8. Publikasikan hasil benchmarking dan buat perubahan, jika sesuai. Seluruh tujuan dari studi
benchmarking adalah untuk melihat apa yang dilakukan orang lain sebagai praktik terbaik di area yang
diminati. Dalam penelitian penulis yang dikutip beberapa tahun yang lalu, kami menemukan bahwa kami
melakukan pekerjaan yang unggul di bidang minat, namun masih ada beberapa rekomendasi tambahan dari
penelitian ini.
Auditor internal sering kali meluncurkan studi benchmarking sebagai cara untuk melihat bagaimana
fungsi audit internal lainnya menangani beberapa praktik atau pendekatan. Di sini, fungsi audit internal dapat
memilih untuk meluncurkan studi benchmarking tentang beberapa praktik terbaik dengan bab audit internal
lainnya, bahkan di seluruh dunia. Proses sharing audit internal akan mendorong hal ini dan studi benchmarking
formal akan menambahkan beberapa dukungan terhadap hasil penelitian semacam itu.
Auditor internal sering membuat rekomendasi bahwa beberapa unit bisnis memperbaiki prosesnya
melalui benchmarking. Auditor internal dengan pemahaman tentang proses benchmarking dapat terlibat dalam
proyek konsultasi internal terpisah untuk membantu auditee mereka menetapkan prosedur benchmarking

BENCHMARKING DAN INISIATIF GAIN IIA

IIA adalah pendukung awal pendekatan benchmarking melalui moto "Progress Through Sharing" -
nya. Sementara itu adalah pendekatan yang tepat, IIA memutuskan untuk lebih baik memformalkan forum
benchmarking GAIN. Pertama kali didirikan oleh IIA pada tahun 1992, GAIN mencatat bahwa mereka
menerima sejumlah besar perhatian dan telah diformalkan dengan lebih baik dalam beberapa tahun terakhir.
IIA's GAIN adalah sebuah pengetahuan tukar forum ke:
• Membagi, membandingkan, dan memvalidasi praktik audit internal
• Jaringan dengan fungsi audit internal lainnya
• Belajar dari tantangan dan solusi dari rekan audit internal
• Memperoleh praktik audit internal terkemuka dari organisasi puncak
• Meningkatkan efektivitas dan efisiensi operasional audit internal
Data GAIN ini memberikan gambaran umum tentang banyak praktik yang penting bagi semua auditor
internal

Bab 13 : Areas to Audit :

Establishing an Audit Universe and Audit Programs
13.1DEFINISI LINGKUP DAN TUJUAN INTERNAL AUDIT UNIVERSE
Audit universe adalah kumpulan dari semua area yang tersedia untuk diaudit dalam suatu perusahaan.
Internal audit harus memahami area mana saja yang dapat diaudit. Contoh kegiatan yang bisa diaudit di
perusahaan: (1) Kebijakan, prosedur, dan praktik baik di tingkat perusahaan maupun spesifik untuk lokasi, (2)
Manufaktur, distribusi, atau unit rantai pasokan, (3) Sistem informasi tentang tingkat aplikasi infrastruktur
dan spesifikasi, (4) Kontrak utama atau lini produk, (5) Kegiatan media sosial, (6) Fungsi seperti pembelian,
akuntansi, keuangan, pemasaran, dan lain-lain
Selain itu, internal audit harus melihat unit bisnis dari entitas tersebut. Internal audit harus
mendefinisikan entitas yang dapat diaudit dengan cara dimana internal audit dapat menghemat biaya.
Dalam membangun deskripsi audit universe, CAE dan tim audit internal pendukung mungkin memulai
dengan bagan organisasi yang cukup rinci untuk menggambarkan unit entitas yang dapat diaudit. Hal ini
terkadang bisa menjadi proses yang rumit jika perusahaan memiliki banyak anak perusahaan, unit berbasis
internasional, usaha patungan, dan sejenisnya serta struktur departemen audit yang kompleks. Namun,
penekanannya harus ditempatkan pada unit dimana CAE perusahaan memiliki tanggung jawab audit internal
yang utama.
Tim internal audit seharusnya juga mendefinisikan beberapa poin penting audit untuk memastikan
konsistensinya dalam pelaksanaan audit dari semua audit internal potensial. Poin penting ini bertindak sebagai
suatu garis besar umum untuk dokumen perencanaan audit dan program kerja audit, serta membantu
menghasilkan laporan mengenai status pengendalian di dalam lingkungan pengendalian perusahaan.
Audit internal dapat menggunakan daftar yang dapat diaudit di perusahaan yang potensial ini untuk
dibagikan kepada anggota manajemen untuk pengamatan atau koreksi mereka. Jenis gambaran audit universe
dari suatu perusahaan seharusnya terus dipelihara dan diperbarui sebagai bagian dari proses perencanaan audit
internal tahunan.

13.2 ASSESSING INTERNAL AUDIT CAPABILITIES AND OBJECTIVES

Auditor internal harus mengetahui segala sesuatu tentang jenis bisnis, transaksi, kemudian
pengaruhnya terhadap keuangan. Internal audit harus realistis dalam mengembangkan daftar audit universe,
yang pertimbangan utamanya adalah pengendalian risiko (prioritas berdasarkan tingkat risiko audit).
Meskipun mungkin masih ada beberapa ketidakpastian mengenai sifat beberapa unit bisnis dan masalah
pengendalian internalnya, audit internal harus menganalisis masing-masing kandidat audit internal potensial
dengan cara:
▪ Menetapkan sasaran pengendalian tingkat tinggi untuk setiap calon audit universe
▪ Menilai risiko tingkat tinggi untuk calon audit universe
▪ Mengkoordinasi aktivitas internal audit dengan audit lainnya dan governance interest
▪ Mengembangkan sasaran pengendalian tingkat tinggi untuk audit yang ditunjuk oleh audit universe
▪ Mengembangkan daftar pertanyaan pendahuluan mengenai penilaian pengendalian untuk setiap audit
Kemudian, audit internal harus mengembangkan preliminary audit universe schedule yang akan menunjukkan
area untuk tinjauan potensial.

13.3 AUDIT UNIVERSE TIME AND RESOURCES LIMITATIONS

Komite audit harus melihat kembali daftar yang ada dalam audit universe untuk menentukan entitas
yang harus direview. Hal ini dilakukan karena keterbatasan ukuran, lingkup, dan anggaran yang dimiliki audit
internal tidak dapat melakukan review terhadap semua item yang ada di audit universe.
Langkah selanjutnya adalah melihat daftar awal audit universe untuk audit yang diperlukan tahunan
(annual) atau secara setengah tahunan (semi annual). Audit ini harus diselesaikan pada tahun berjalan.
Kemudian melihat sisa di daftar dan menentukan apakah waktu dan sumber daya memungkinkan untuk review
audit tersebut. Range waktu yang ideal adalah 3-5 tahun. Manajemen biasanya mengharapkan audit internal
melakukan audit lainnya. Dan jika memang butuh sumber daya spesialis lain, hal ini harus didokumentasikan.
Audit internal harus menyiapkan dokumen audit universe untuk periode ini. Dokumen ini harus direview oleh
anggota manajemen senior, kemudian diberikan kepada komite audit untuk persetujuan.

13.4 “SELLING” AN AUDIT UNIVERSE CONCEPT TO THE AUDIT COMMITTEE AND

MANAGEMENT
Komite audit bertanggung jawab jika ada pertanyaan mengenai mengapa audit internal memeriksa atau
tidak memeriksa beberapa area, dan CAE harus secara hati-hati dalam memberi penjelasan ringkas kepada
anggota komite audit dan menjelaskan asumsi utama. Jadwal audit keseluruhan harus disiapkan dan
diperbaharui setiap tahun untuk tinjauan dan persetujuan komite audit. Dimana komite audit menyarankan
area penekanan atau keterlibatan yang berbeda, CAE harus memulai perubahan perencanaan internal dan
melakukan penyesuaian yang sesuai dengan rencana dan jadwal audit internal tahunan. Selain itu, seringkali
audit internal meminta otorisasi untuk perubahan anggaran audit internal, tenaga kerja, atau perubahan fungsi
lainnya. Audit internal akan beroperasi di bawah anggaran perusahaan tahunan, namun komite audit dapat
melakukan perubahan di tengah-tengah - misalnya, untuk menambahkan spesialis staf audit TI yang baru ke
kelompok audit internal. Maka dari itu judul bagian ini disebut sebagai "penjualan" rencana audit ke komite
audit.
Komite audit bertanggung jawab atas semua kegiatan audit internal dan harus bergantung pada CAE
dan anggota audit internal lainnya untuk melaksanakan semua audit terjadwal ini dan melaporkan hasilnya
kembali kepada komite audit. CAE adalah orang yang sering mengkomunikasikan perubahan dalam jadwal
audit internal atau perubahan dalam penekanannya. CAE harus menjaga keseluruhan audit dan rencana
tahunan pendukung di depan komite audit dan juga meyakinkan atau "menjual" konsep permintaan
persetujuan kepada komite audit.

13.5 ASSEMBLING AUDIT PROGRAMS: AUDIT UNIVERSE KEY COMPONENTS

Audit dan informasi pendukungnya menggambarkan tujuan peninjauan tingkat tinggi audit internal di
suatu area. Audit internal harus menentukan dan mendokumentasikan beberapa tujuan tingkat tinggi untuk
setiap tinjauan yang direncanakan dan hal tersebut akan membutuhkan beberapa panduan langkah-demi-
langkah untuk melakukan internal audit secara konsisten. Untuk memberikan bantuan dan bimbingan, auditor
internal menggunakan program audit untuk melaksanakan prosedur audit internal secara konsisten dan efektif
untuk jenis audit serupa. program audit adalah serangkaian langkah yang telah ditetapkan sebelumnya yang
dilakukan oleh auditor internal. Program audit adalah alat untuk merencanakan, mengarahkan, dan
mengendalikan pekerjaan audit untuk tindakan. Bagian audit internal yang efektif harus memiliki serangkaian
program audit umum yang disiapkan untuk kegiatan audit berulang.

Audit Program Formats and their Preparation

Program audit adalah prosedur yang menjelaskan langkah-langkah dan tes yang akan dilakukan oleh
auditor internal saat melakukan kerja lapangan. Program ini harus diselesaikan setelah selesainya persiapan
dan survei awal lapangan dan sebelum memulai pelaksanaan kerja lapangan audit.
Beberapa tujuan penting dari program audit adalah:
● Program harus mengidentifikasi aspek area yang akan diperiksa lebih lanjut dan area sensitif yang
memerlukan penekanan audit.
● Program audit harus bisa memberikan panduan kepada auditor internal yang kurang berpengalaman
maupun yang sudah berpengalaman.
Ada beberapa jenis format program audit secara umum :
▪ Satuan prosedur umum audit
▪ Program dengan instrukrur terinci untuk auditor
▪ Checklist atau daftar nama untuk implikasi pemeriksaan

Tidak ada format terbaik atau yang ditetapkan untuk program audit; Namun, program tersebut harus
menjadi dokumen yang dapat digunakan auditor untuk memandu usaha mereka dan juga untuk merekam
aktivitas.
Types of Programs Obtaining Audit Evidence
Internal auditor harus mengumpulkan bukti audit yang didukung evaluasi, dimana standar bukti internal audit
adalah mencakup empat kriteria yaitu sufficient (cukup), kompeten, relevan, dan berguna. Suatu program
audit, yang dibentuk dengan baik, harus dapat menjadi petunjuk auditor dalam proses mengumpulka bukti
audit. Internal auditor akan menemukan berbagai jenis bukti yang dapat berguna dalam pengembangan
kesimpulan atau temuan audit.

13.6 AUDIT UNIVERSE AND PROGRAM MAINTENANCE

adalah gambaran umum dari semua unit audit yang memperbolehkan pemeriksaan fungsi internal
audit perusahaan. Hal ini adalah perencanaan yang menegaskan luas dan lingkup aktivitas internal audit.
Untuk beberapa tingkatan, jika dipertanyakan setelah ditemukan kenyataan bahwa mengapa tim internal audit
tidak pernah menjadwalkan pemeriksaan di beberapa area, internal audit dapat menjelaskan bahwa area
tersebut tidak termasuk annual perencanaan internal audit, karena hal tersebut tidak pernah ditetapkan sebagai
bagian deskripsi internal audit universe.
Fungsi audit internal yang efektif perlu menetapkan serangkaian program audit standar yang mencakup
semua kegiatan audit reguler mereka. Sementara beberapa audit internal dilakukan secara khusus, hampir
setiap hari, banyak lainnya mencakup kegiatan audit internal reguler yang dapat diulang setiap tahun atau
bahkan setiap tiga bulan. Audit internal perlu mengembangkan format program audit standar untuk semua
tinjauan serta prosedur standar untuk beberapa audit internal reguler dan berulang.