CH 1-13 Indo Brink's Modern Internal Auditing
CH 1-13 Indo Brink's Modern Internal Auditing
AN UPDATE
Komponen studi CBOK memberikan gambaran yang kaya informasi tentang bagaimana profesi
berkembang dan bagaimana itu sedang dipraktekkan dan dilihat di seluruh dunia. Proyek studi CBOK dapat
mengungkapkan:
• Kepatuhan terhadap dan kecukupan IPPF.
• Status aktivitas audit internal dalam organisasi.
• Kegiatan dan jenis audit yang sedang dilakukan.
• Alat dan teknik yang digunakan oleh auditor internal.
• Keterampilan dan pengetahuan yang dimiliki oleh auditor internal
Modern Internal Auditing didukung banyak oleh IIARF CBOK dimana dibutuhkan seorang internal
audit CBOK untuk mendefinisikan lebar jangkauan dari aktivitas dimana auditor – auditor internal
memerlukan kemampuan dan pemahaman dan tujauan utama kita adalah sebuah pendekatan.IIARF CBOK
tidak mengajak auditor internal melakukann peraktek terbaik , tetapi menjelaskan jangkauan kegiatan internal
audit dan bagaimana mereka melakukanya.
3.2 Revisi Bisnis Kerangka Kerja COSO dan Perubahan Lingkungan Operasional
COSO tidak memiliki wewenang untuk mengeluarkan standar seperti yang ditemukan dalam
peraturan pemerintah atau pedoman organisasi profesional. Konsep kerangka kerja COSO ini telah menjadi
dasar bagi entitas penetapan standar di bidang atau persyaratan lain. Sarbanes-Oxley Act (SOx) mengharuskan
perusahaan untuk memiliki sistem pengendalian internal yang efektif yang konsisten dengan kerangka
pengendalian internal COSO.
Masing-masing perubahan COSO mengharuskan perusahaan untuk mengevaluasi implikasi ini pada
sistem pengendalian internnya dengan penekanan pada pelaporan keuangan eksternal, dan untuk merancang
dan menerapkan tanggapan yang tepat sehingga sistem pengendalian internal dapat disesuaikan dan tetap
efektif sepanjang waktu. Kontrol internal seharusnya dievaluasi dan dinilai sebagai bagian dari kerangka
pengendalian internal COSO setelah versi 1992 yang asli.
COBIT 5 principles:
• Meeting Stakeholder Needs
COBIT 5 terdiri atas proses-proses dan enabler untuk mendukung penciptaan nilai bisnis melalui
penerapan IT. Sebuah perusahaan dapat menyesuaikan COBIT 5 dengan konteks perusahaan tersebut
• Covering the Enterprise End-to-End
COBIT 5 mengintegrasikan pengelolaan IT perusahaan terhadap tatakelola perusahaan. Hal ini
dimungkinkan karena
✓ COBIT 5 mencakup seluruh fungsi dan proses yang ada di perusahaan.
COBIT 5 tidak hanya fokus pada fungsi IT, tapi menjadi teknologi dan informasi tersebut
sebagai aset yang berhubungan dengan aset-aset lain yang dikelola semua orang di dalam
sebuah perusahaan.
✓ COBIT 5 mempertimbangkan seluruh enabler dari governance dan management terkait IT
dalam sudut pandang perusahaan dan end-to-end. Artinya COBIT 5 mempertimbangkan
seluruh entitas di perusahaan sebagai bagian yang saling mempengaruhi.
• Applying a Single Integrated Framework
COBIT 5 adalah framework yang membahas high level terkait governance dan management dari IT
perusahaan. COBIT 5 menyediakan panduan high level dan panduan detailnya disediakan oleh
standar-standar terkait lainnya.
• Enabling a Holistic Approach
Governance dan management IT perusahaan yang efektif dan efisien membutuhkan pendekatan yang
bersifat menyeluruh, yaitu mempertimbangkan komponen-komponen yang saling
berinteraksi. COBIT 5 mendefiniskan sekumpulan enabler untuk mendukung implementasi
governance dan management sistem IT perusahaan secara komprehensif.
• Separating Governance from Management
COBIT 5 memberikan pemisahan yang jelas antara management dan governance. Kedua hal ini
meliputi aktivitas yang berbeda,membutuhkan struktur organisasi yang berbeda dan melayani tujuan
yang berbeda.
Menurut COBIT 5, governance memastikan kebutuhan, kondisi dan pilihan dari stakeholder
dievaluasi untuk menentukan objektif dari perusahaan yang akan disepakati untuk dicapai. Governance
memberikan arah bagi penentuan prioritas dan pengambilan keputusan. Selain itu, governance juga
me-monitor kinerja dan kesesuaian terhadap objektif yang telah disepakati.
Sementara, management meliputi aktivitas merencanakan, membangun, menjalankan dan me-
monitor aktivitas yang diselaraskan dengan arahan yang ditetapkan oleh organisasi governance untuk
mencapai objektif dari perusahaan.
Kumpulan kategori kontrol tujuan pengendalian yang serupa telah ditetapkan untuk setiap kategori
proses COBIT. Tujuan dari proses pengendalian yang terperinci namun cukup spesifik adalah membantu
membuat kasus bisnis untuk implementasi dan peningkatan tata kelola dan pengelolaan TI. Tujuan mereka
adalah untuk mengenali kedua titik nyeri khas dan kejadian pemicu mereka, dengan tujuan keseluruhan untuk
menciptakan lingkungan yang tepat untuk operasi dan implementasi TI.
COBIT mendefinisikan satu set dari 17 sasaran terkait TI yang dapat dipetakan ke masing-masing proses
ini, dengan tujuan dibagi ke dalam kategori yang diberi label Corporate, Customer, Internal, dan satu yang
disebut Learning and Growth.
Kerangka kerja COBIT mungkin tampak terlalu rinci untuk auditor internal dan sering tampak terlalu
rumit dengan berbagai tujuan dan sasarannya. Nilai optimal hanya dapat direalisasikan dari penggunaan
COBIT jika diadopsi dan disesuaikan dengan lingkungan masing-masing perusahaan. Setiap pendekatan
implementasi juga perlu mengatasi tantangan spesifik, termasuk mengelola perubahan pada budaya dan
perilaku.
Gambar di atas merepresentasikan Kerangka Konsep COSO ERM, yang bertujuan untuk memberikan
model bagi perusahaan dalam mempertimbangkan dan memahami aktivitas berkaitan risiko mereka di
berbagai tingkatan sebagaimana dampak komponen risiko ini mempengaruhi satu sama lain. Adapun
komponen-komponen COSO ERM Framework terdiri dari :
a) 4 Kolom di bagian atas menunjukkan tujuan strategis resiko perusahaan
b) 8 baris horizontal mengenai komponen-komponen resiko
c) Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan.
Walaupun bentuknya hamper serupa, COSO ERM Framework tidak hanya sekedar pembaruan dan
perkembangan / revisi dari COSO Internal Controls Framework.
a. Internal Environment
Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur: (1) Filosofi Manajemen Risiko,
(2) Risk Appetite, (3) Sikap dewan direksi, (4) Integritas dan nilai-nilai etika, (5) Komitmen terhadap
kompetensi, (6) Struktur organisasi, (7) Penugasan wewenang dan tanggung jawab, (8) Standar Sumber daya
manusia
b. Menetapkan Tujuan
Di samping lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian sasaran strategis,
sesuai dengan misi terhadap operasional, pelaporan, dan kepatuhan kegiatan. COSO ERM menetapkan tujuan
COSO ERM dimulai dengan misi keseluruhan, untuk (1) mengembangkan sasaran strategis untuk mendukung
pemenuhan yang misi, (2) menetapkan strategi untuk mencapai tujuan, (3) mendefinisikan tujuan yang terkait,
dan (4) mendefinisikan selera risiko untuk menyelesaikan strategi itu.
c. Identifikasi Peristiwa
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan
pencapaian tujuannya. Banyak perusahaan saat ini memiliki kinerja perangkat monitoring yang kuat untuk
memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya. Proses pemantauan harus mencakup:
(1) Peristiwa ekonomi eksternal, alam, dan politik, (2) faktor social, (3) peristiwa infrastruktur internal, (4)
proses internal, (5) teknologi internal maupun eksternal.
d. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek peristiwa terkait risiko
potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari dua perspektif:
kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari proses penilaian risiko,
juga perlu mempertimbangkan risiko yang melekat:
▪ Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah ukuran dari
anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari kegiatannya. Risiko inheren
di luar kendali manajemen dan biasanya berasal dari faktor eksternal.
▪ Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko ancaman dan
penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual.
e. Respon Risiko
Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur mengenai
tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat ditangani dalam salah satu dari
empat cara dasar:
1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu.
Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari ketergantungan pada satu baris
kunci produk
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui pembelian asuransi,
tetapi teknik berbagi risiko lainnya juga tersedia.
4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan selfinsures dengan
mengambil tindakan untuk mengurangi risiko potensial.
f. Kegiatan Pengendalian
ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko yang memadai, perusahaan harus
memilih kontrol aktivitas yang diperlukan untuk memastikan bahwa risiko tanggapan dijalankan secara tepat
waktu dan efisien. Setelah melalui risiko identifikasi kejadian COSO ERM, penilaian, dan respon proses,
risiko pemantauan memerlukan empat langkah:
• Mengembangkan pemahaman yang kuat tentang risiko yang signifikan dan buat prosedur
pengendalian untuk memantau atau memperbaikinya.
• Buat prosedur pengujian tipe bor kebakaran untuk menentukan apakah prosedur pengendalian terkait
risiko tersebut berjalan efektif.
• Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja secara efektif dan
seperti yang diharapkan.
• Lakukan penyesuaian atau perbaikan seperlunya untuk memperbaiki proses pemantauan risiko.
Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah untuk mengidentifikasi
dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol daerah-daerah pengendalian internal:
• Pemisahan tugas. Intinya, orang yang melakukan transaksi seharusnya bukan orang yang sama yang
memberi otorisasi terhadap transaksi tersebut.
• Jalur audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah dilacak
kembali ke transaksi yang menciptakan hasil tersebut
• Keamanan dan integritas. Proses pengendalian harus memiliki prosedur pengendalian yang tepat
sehingga hanya orang yang berwenang yang dapat meninjau atau memodifikasinya.
• Dokumentasi. Proses harus didokumentasikan dengan tepat.
g. Informasi dan Komunikasi
Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari satu
komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan proses yang
jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari web kompleks sistem
informasi operasional dan keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi lebih
kompleks untuk proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung
meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.
h. Monitoring
Monitoring dapat meliputi jenis kegiatan:
• Implementasi mekanisme pelaporan manajemen yang berkelanjutan seperti untuk posisi kas, penjualan
unit, dan data keuangan utama.
• Proses pelaporan waspada terkait risiko periodik yang memantau aspek kunci dari kriteria risiko yang
ditetapkan, termasuk tingkat kesalahan atau item yang dapat diterima yang ditahan.
• Laporan status terkini dan periodik mengenai temuan dan rekomendasi terkait risiko dari laporan audit
internal dan eksternal
• Informasi terkait risiko yang diperbarui dari sumber seperti tren industri peraturan yang direvisi
pemerintah, dan berita ekonomi umum.
7.6 Putting It All Together: Auditing Risks and Coso ERM Process
COSO ERM menyediakan platform yang sangat baik untuk mempertimbangkan keseluruhan
lingkungan risiko perusahaan. Sementara COSO ERM sering diabaikan saat melihat masalah pengendalian
internal lainnya, auditor internal harus memiliki pemahaman umum CBOK tentang kerangka kerja penting
ini. Dengan fokus pada kerangka kerja COSO ERM serta praktik manajemen risiko yang baik secara umum,
audit internal dapat memberikan layanan kepada perusahaan mereka dengan merencanakan dan melakukan
tinjauan terhadap proses manajemen risiko tingkat perusahaan. Selain itu, setiap tinjauan audit internal
terhadap proses ERM perusahaan harus direncanakan melalui pendekatan perencanaan proyek audit internal
berbasis risiko seperti yang dibahas pada Bab 16, dengan menggunakan beberapa alat berikut
1. Proses flowcharting
Sebagai bagian dari proses ERM yang teridentifikasi, flow chart proses dapat berguna dalam
menggambarkan bagaimana manajemen risiko beroperasi di perusahaan. Ini membutuhkan melihat
dokumentasi yang disiapkan untuk proses yang berkaitan dengan risiko
2. Tinjauan bahan risiko dan pengendalian
Proses ERM sering menghasilkan hasil yang besar volume bahan panduan, prosedur
terdokumentasi, format laporan, dan seperti. Mungkin sering ada nilai audit internal untuk meninjau
risiko dan kontrol bahan dari perspektif efektivitas.
3. Benchmarking
Benchmarking disini adalah prosesnya melihat fungsi di lingkungan lain untuk menilai operasi
dan operasinya mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik
4. Kuesioner
Metode yang baik untuk mengumpulkan informasi mengenai efektivitas ERM dari Beragam
orang, kuesioner dapat dikirim ke pemangku kepentingan yang ditunjuk permintaan informasi spesifik
Ini sering merupakan teknik audit internal yang berharga
Bukti Audit
Auditor internal harus mengumpulkan bukti audit untuk mendukung evaluasi auditor. Terdapat
beberapa jenis bukti yang bisa bermanfaat dalam mengembangkan kesimpulan audit. Auditor internal
akan menghadapi berbagai tingkat bukti audit dan harus berusaha merancang prosedur audit dan
mengandalkan bukti audit terbaik yang ada. Berikut adalah beberapa jenis bukti terbaik untuk klasifikasi
material yang berbeda :
KLASIFIKASI KUAT LEMAH
BUKTI
Langkah-langkah ini merupakan proses pengambilan sampel audit. Audit sampling adalah proses
untuk memeriksa kurang dari 100% item dalam saldo akun atau kelas transaksi untuk tujuan menggambar
beberapa bentuk kesimpulan untuk keseluruhan populasi berdasarkan hasil audit sampel. Audit sampling
seringkali menjadi pilihan yang sangat menarik dan efektif bagi auditor internal dan harus menjadi persyaratan
CBOK.
Sampling audit formal adalah alat yang ampuh, dan dengan beberapa studi dan praktik, auditor internal
dapat dengan mudah dan efektif mulai menggunakan sampling audit. Kapan pun auditor internal perlu menarik
kesimpulan berdasarkan populasi beberapa item namun tidak ingin memeriksa keseluruhan populasi, sampling
audit dapat mengenalkan audit yang lebih baik dan lebih efisien. Alasan berikut mendorong penggunaan
sampling audit dan sampling statistik:
• Kesimpulan dapat ditarik mengenai keseluruhan populasi data.
• Hasil sampel adalah objektif dan dapat dipertahankan.
• Mengurangi sampling mungkin diperlukan melalui penggunaan sampling audit.
• Pengambilan sampel statistik bahkan bisa memberikan akurasi yang lebih besar daripada tes 100%.
• Cakupan audit beberapa lokasi seringkali lebih mudah.
• Prosedur pengambilan contoh bisa mudah diterapkan.
Terlepas dari kelebihan sampling audit, auditor internal harus selalu mengingat bahwa informasi yang
tepat tidak dapat diperoleh mengenai populasi item berdasarkan hanya sampel, entah itu judgmental atau
statistik. Hanya melalui pengujian 100% dan mengikuti prosedur audit yang baik, auditor internal dapat
memperoleh informasi yang tepat. Dengan sampling judgment nonstatistical, informasi hanya didapat
mengenai barang-barang yang diperiksa. Dengan sampling statistik, terlepas dari jumlah item yang diperiksa,
informasi positif dapat diperoleh mengenai semua item dalam populasi dalam tingkat kepercayaan statistik.
Item pertama dalam daftar adalah nilai dolar dari populasi yang mungkin mengandung kesalahan yang
diijinkan dibagi dengan nilai buku yang tercatat dari populasi. Ukuran sampel unit moneter kemudian
digunakan untuk menghitung interval moneter dengan membagi nilai buku tercatat dari akun dengan ukuran
sampel untuk menentukan interval nth setiap dolar. Interval ini menetapkan batas seleksi untuk item yang
lebih besar dan semua item lebih besar dari atau sama dengan interval ini akan dipilih. Setiap item yang
diwakili oleh dolar terpilih kemudian dievaluasi oleh auditor untuk menentukan apakah dinyatakan benar.
Auditor menghitung jumlah yang benar untuk setiap akun yang dipilih dan mencatat jumlah tersebut dan
jumlah diaudit yang benar. Ini akan menunjukkan berapa banyak setiap akun dilebih-lebihkan.
Tidak ada format terbaik atau yang ditetapkan untuk program audit; Namun, program tersebut harus
menjadi dokumen yang dapat digunakan auditor untuk memandu usaha mereka dan juga untuk merekam
aktivitas.
Types of Programs Obtaining Audit Evidence
Internal auditor harus mengumpulkan bukti audit yang didukung evaluasi, dimana standar bukti internal audit
adalah mencakup empat kriteria yaitu sufficient (cukup), kompeten, relevan, dan berguna. Suatu program
audit, yang dibentuk dengan baik, harus dapat menjadi petunjuk auditor dalam proses mengumpulka bukti
audit. Internal auditor akan menemukan berbagai jenis bukti yang dapat berguna dalam pengembangan
kesimpulan atau temuan audit.