BAB 14 : CHARTERS AND BUILDING THE INTERNAL FUNCTION

14.1 ESTABLISHING AN INTERNAL AUDIT FUNCTION

Tidak ada cara optimal untuk mengatur fungsi audit internal dalam perusahaan. Namun,
setiap perusahaan harus mengikuti Standar Internasional untuk Praktik Profesional Audit
Internal dan harus beroperasi di bawah International Professional Practices Framework / IPPF
dan harus mendapat dukungan dan pengakuan dari manajemen senior perusahaan. Kebutuhan
akan fungsi audit internal berasal dari persyaratan perusahaan seperti SEC dan SOx Act, atau
persyaratan hukum dari instansi pemerintah.
Seorang manajer senior, yang ditunjuk sebagai CAE, yang telah ditantang untuk
membentuk fungsi audit internal baru dihadapkan pada berbagai pilihan, tergantung pada
keseluruhan bisnis perusahaan, struktur geografis dan logistik, berbagai risiko pengendalian,
dan budaya perusahaan secara keseluruhan.
Persyaratan utama untuk organisasi yang efektif adalah pemimpin yang kuat; untuk
audit internal, pemimpin itu adalah CAE yang memahami kebutuhan keseluruhan organisasi
dan risiko pengendalian potensial serta kontribusi yang dapat dilakukan oleh audit internal.
Orang ini harus mendapat dukungan dari komite audit dan manajemen senior. Bagian audit
internal yang efektif harus diselenggarakan dengan cara yang melayani manajemen senior
dan komite audit dengan memberikan layanan audit terbaik dan paling hemat biaya kepada
keseluruhan organisasi.

14.2 AUDIT COMMITTEE AND MANAGEMENT AUTHORIZATION OF AN

AUDIT CHARTER
Piagam audit internal adalah dokumen formal yang disetujui oleh komite audit untuk
menggambarkan misi, independensi, objektivitas, ruang lingkup, tanggung jawab, wewenang,
akuntabilitas, dan standar fungsi audit internal. Audit internal memiliki kebebasan untuk
melihat berbagai catatan dan mengajukan pertanyaan di semua tingkat. Karena dalam struktur
perusahaan, fungsi audit internal melapor kepada komite audit dewan pengawas, bahwa
komite audit biasanya akan memberi wewenang hak dan tanggung jawab audit internal
melalui dokumen atau resolusi resmi atau otorisasi - yang biasanya disebut piagam audit
internal.
Tidak ada persyaratan tetap untuk dokumen otorisasi semacam itu, namun piagam audit
internal harus menegaskan audit internal:
 Kemandirian dan objektivitas
 Lingkup tanggung jawab
 Kewenangan dan akuntabilitas

Tidak ada format tetap untuk isi piagam. Piagam audit internal harus menguraikan
fungsi audit internal yang kuat untuk memulai dan melakukan kegiatan audit internal utama.
Ini termasuk memahami area di perusahaan mana pun yang harus menjadi kandidat untuk
tinjauan audit internal, membangun organisasi dan tim audit internal yang efektif, dan
menetapkan prosedur pendukung untuk memungkinkan audit internal tersebut dilakukan.

14.3 ESTABLISHING AN INTERNAL AUDIT FUNCTION

Setiap fungsi audit internal harus melibatkan seseorang untuk bertanggung jawab atas
audit internal - CAE - serta beberapa staf pendukung dan administrasi.
Role of CAE
CAE, audit internal paling senior di perusahaan, yang memiliki tanggung jawab
penuh terhadap keseluruhan fungsi audit internal. CAE dalah orang yang ditunjuk untuk
memimpin dan mengarahkan fungsi audit internal atau departemen perusahaan. Topik dan
tanggung jawab penting yang menjadi bagian dari CBOK, CAE juga tercermin dalam piagam
audit internal :
 Entreprise Operations and Risk Issues. Selain mengelola internal fungsi audit,
CAE harus memiliki pengetahuan mengenai semua aspek perusahaan operasi, tentang
masalah keuangan, operasional, atau pasar.
 Human resources and internal audit administration. CAE bertanggung jawab
untuk staf audit internal dan harus membangun organisasi yang efektif dan merekrut
dan memimpin tim audit internal yang efektif.
 Relationships with the audit committee and management. CAE adalah juru bicara
audit internal untuk komite audit dan semua tingkat perusahaan pengelolaan.
 Corporate governance, accounting, compliance, and regulatory issues. Berurusan
dengan SOx, akuntansi, masalah keuangan, atau masalah peraturan lainnya yang
berdampak pada perusahaan, CAE setidaknya memiliki pemahaman dan pengetahuan
umum.
 Internal audit team building and administration. CAE bertanggung jawab untuk
membangun fungsi audit internal yang efektif yang menerima kekaguman dan
penghormatan dari penerima layanan audit internal.
 Technology. CAE harus memiliki pemahaman umum tentang bagaimana teknologi
digunakan dalam perusahaan serta bagaimana hal itu dapat diterapkan untuk
mempromosikan layanan audit internal.
 Risk‐based audit planning. CAE harus memahami proses penilaian risiko karena
diterapkan pada operasi perusahaan, dan juga harus dapat memikirkan operasi dalam
hal proses kunci ini.
 Social media issues. Melalui penggunaan produk, alat dan proses media sosial
mengenalkan perubahan besar pada perusahaan saat ini; CAE harus memahami
perubahan ini dan bagaimana dampaknya terhadap perusahaan.
 Negotiating skills and relationship management. CAE akan sering ditarik pada
masalah yang diangkat oleh tim audit internal dan manajemen yang terkadang
berlawanan yang mengambil pengecualian terhadap temuan dan rekomendasi audit
internal. CAE sering diminta untuk menegosiasikan resolusi yang sesuai dengan isu-
isu ini sebagai bagian dari membangun tim audit internal yang efektif.
 Internal audit’s assurance and consulting roles. Meskipun peran ini terkadang
menjadi kabur, CAE harus selalu menekankan kepada tim audit internal dan
manajemen mengenai peran terpisah dalam menyediakan layanan jaminan audit
internal dan memberikan layanan konsultasi.
 International Standards for the Professional Practice of Internal Auditing. CAE
harus menjadi ahli dalam standar IIA ini, harus memahami konsep IPPF, dan harus
membantu menerapkannya pada semua aspek aktivitas audit internal.

CAE memiliki tugas penting dalam memimpin departemen audit internal yang efektif
dan memberikan layanan audit internal kepada perusahaan. Meskipun banyak anggota tim
audit internal mungkin memiliki pengetahuan yang lebih kuat atau lebih khusus di beberapa
wilayah, CAE adalah orang kunci yang mewakili audit internal terhadap perusahaan tersebut.

Internal Audit Management Responsibilities

Fungsi audit internal mungkin memiliki beberapa tingkat supervisor atau manajer
audit internal (di luar CAE) untuk memantau dan mengelola fungsi audit internal secara ketat
dan sebagai sumber daya yang menciptakan fungsi audit internal yang efektif melalui
perencanaan, pemantauan, dan pengawasan staf audit lapangan yang benar-benar melakukan
audit internal. Sementara CAE biasanya merupakan generalis audit internal dengan
pengetahuan yang baik mengenai masalah pengendalian intern perusahaan dan praktik audit
internal, manajer audit internal dan supervisor pada umumnya akan menjadi spesialis di
bidang audit keuangan internal atau keuangan internal.

Internal Audit Staff Responsibilities

Di banyak perusahaan, audit internal merupakan tempat yang sangat baik untuk dapat
menjadi anggota staf non-spesialis bagi yang baru saja lulus kuliah. Artinya, suatu
perusahaan mungkin memiliki persyaratan untuk insinyur dan akan mempekerjakan lulusan
sarjana teknik, atau mungkin memerlukan orang-orang yang memiliki keterampilan di bagian
iklan dan keterampilan komunikasi, tetapi staf entry-level kandidat audit internal dapat
datang dari berbagai macam gelar sarjana.

Staff Internal Auditor Position Description

Responsibilities
Sebagai anggota dari Departemen Audit Internal dan di bawah arahan dari Manajer Audit
Internal, seorang Staff Auditor Internal bertanggung jawab untuk merencanakan,
mengembangkan, melaksanakan, melaporkan, dan follow up tugas – tugas spesifik audit
internal seperti yang sudah diarahkan. Tanggung jawab Staff Internal/Auditor harus
dilakukan sesuai dengan prosedur dari Departemen Audit Internal, yaitu IIA International
Standards for the Professional Practice of Internal Auditing.

Specific Duties and Responsibilities

 Menyiapkan atau merevisi program audit untuk mencapai tujuan dan melakukan audit
internal sesuai dengan persetujuan program audit.
 Melakukan review dan menilai kekuatan dari pengendalian internal dan menentukan
kecukupan dari pengendalian tersebut.
 Melakukan review dan pengujian secara berkala untuk memastikan kepatuhan dengan
prosedur dan persyaratan regulasi, membuat rekomendasi untuk memperbaiki
prosedur di masa sekarang dan yang nanti akan diusulkan.
 Melakukan review dan melaporkan kemungkinan kelemahan dari pengendalian
internal, pelanggaran praktik bisnis perusahaan, kebijakan, dan prosedur.
 Melakukan tugas – tugas audit internal lain yang telah ditugaskan.
 Menghadiri rapat internal atau eksternal.

Knowledge and Skills

 Pendidikan  lulusan sarjana yang setara dengan pengalaman dan pendidikan.
 Keterampilan Interpersonal

Other Skills
 Pengetahuan umum mengenai akuntansi dan prosedur audit dan kemampuan untuk
bekerja secara independen.
 Harus memiliki keterampilan internet yang kuat.
 Harus memiliki pengetahuan kerja mengenai spreadsheets dan perangkat lunak
pengolah kata.

Information System Audit Specialist

Auditor internal spesialis Teknologi Informasi memerlukan pelatihan dan
keterampilan ekstra. Sebagian besar fungsi audit internal memerlukan setidaknya satu
spesialis pada staf audit internal dengan keterampilan pengendalian internal terkait TI yang
kuat yang mencakup area seperti keamanan sistem, pengendalian internal aplikasi, dan
manajemen operasi sistem komputer. Persyaratan keterampilan auditor internal ini di luar
posisi entry level dimana kandidat auditor entry level memiliki gelar sarjana di bidang ilmu
komputer namun sedikit lebih dari sekadar pemahaman dasar tentang spreadsheet.
Sebuah perusahaan yang memiliki aplikasinya berdasarkan perencanaan sumber daya
perusahaan serangkaian aplikasi terkait yang terkait dengan basis data yang kompleks akan
memerlukan serangkaian kemampuan khusus untuk mengaudit keahlian khusus daripada
yang akan dilakukan. sebuah perusahaan di mana sebagian besar sumber daya TI berbasis
pada aplikasi berbasis Web. Karena rentang dan luasnya teknologi IT yang selalu berubah,
auditor sistem informasi dihadapkan pada berbagai persyaratan pengetahuan.
Menemukan dan merekrut seorang auditor internal dengan ketrampilan dan
pengetahuan sistem informasi terkadang menjadi tantangan tersendiri. Seringkali sulit
mencari tenaga profesional dengan keterampilan teknis yang tepat. jika fungsi audit internal
telah membentuk fungsi audit sistem informasi per-level interview untuk proses rekrutmen
seringkali akan sangat membantu. Setiap anggota fungsi audit internal harus memiliki tingkat
pengetahuan minimal atau CBOK yang mencakup prosedur pengendalian TI.

Other Internal Auditor Specialists

Posisi audit internal yang khas berkisar dari CAE yang bertanggung jawab atas
fungsinya untuk mendukung manajer audit internal ke staf audit internal ke spesialis audit
sistem informasi. Namun, tergantung ukuran perusahaan dan keseluruhan aktivitas audit
internal. Tergantung pada bagaimana tanggung jawab audit internal yang telah ditetapkan
melalui piagamnya. Demikian pula, ada keseluruhan cabang audit internal lainnya yang
disebut audit kualitas. Ini adalah auditor internal yang cenderung lebih banyak memproduksi
lantai produksi dan mengikuti serangkaian standar pelengkap dari American Society for
Quality di Amerika Serikat. Auditor berkualitas secara tradisional telah beroperasi sebagai
fungsi yang benar-benar terpisah dari auditor internal berorientasi IIA. Namun, kita mulai
melihat integrasi yang lebih besar antara kedua fungsi audit ini, dengan auditor tersebut
termasuk sebagai bagian dari fungsi internal normal namun berfungsi sebagai spesialis.
Selain spesialis audit internal, perusahaan mungkin ingin menambahkan personil
pendukung lainnya ke kelompok audit internal untuk tugas-tugas seperti pemantauan dan
pengorganisasian dokumentasi pengendalian internal atau untuk kelompok audit internal
yang lebih besar, untuk hanya mendukung kebutuhan komputer laptop dan sumber daya
lainnya oleh keseluruhan kelompok audit internal. Para profesional lainnya akan dapat
mendukung keseluruhan misi audit internal untuk meninjau dan membantu memperbaiki
pengendalian internal di perusahaan.

BAB 15 : MANAGING THE INTERNAL AUDIT UNIVERSE AND KEY

COMPETENCIES

15.1 AUDITING IN THE WEEDS: PROBLEMS WITH REVIEWS OF

NONMAINSTREAM AUDIT AREAS
Perusahaan dari semua ukuran dan area operasi tumbuh dengan akuisisi. Ini biasanya
terjadi ketika sebuah perusahaan ingin produk, teknologi, atau bahkan orang-orang yang
berafiliasi dengan pesaing. Terkadang unit yang lebih kecil akan dibeli dengan menggunakan
uang tunai atau saham. Penggabungan ini menciptakan lingkungan pengendalian internal
yang sangat berbeda, tergantung pada budaya perusahaan pusat. Terkadang, perusahaan yang
mengakuisisi akan mengirimkan tim sumber dayanya sendiri untuk membantu dan
memperlancar penggabungan usaha. Dalam situasi lain, unit yang diakuisisi akan hampir
sepenuhnya independen dengan fungsi dan operasinya sendiri sehingga satu-satunya bukti
penggabungan tersebut adalah pengaturan pelaporan keuangan tingkat atas.

15.2 IMPORTANCE OF AN AUDIT UNIVERSE SCHEDULE: WHAT IS RIGHT

OR WRONG
Fungsi audit internal perusahaan dapat bermasalah jika tidak memiliki prosedur
perencanaan yang memadai yang didukung oleh jadwal audit universe, jadwal terlalu rinci,
mencantumkan area yang tidak akan pernah atau tidak boleh diawasi oleh internal audit
review. Tentu saja, jadwal audit universe harus mencantumkan entitas yang harus disertakan
dalam audit internal dalam rencananya dan ulasannya.
Fungsi audit internal perusahaan, yang dipimpin oleh CAE-nya, harus
mengembangkan jadwal audit universe yang tunduk pada ulasan dan persetujuan oleh komite
audit dan manajemen senior. Sekali fungsi audit internal telah menetapkan ruang lingkup area
potensial untuk ditinjau, CAE dan anggota tim audit lainnya dapat mengalihkan area audit
potensial ini ke analisis risiko dan mengembangkan keseluruhan rencana aktivitas audit
internal. Tidak ada persyaratan publikasi formal, format, atau persetujuan untuk jadwal audit
universe internal. Audit internal harus menilai audit universe saat ini saat meninjau rencana
audit tahunan dengan komite audit. CAE dan anggota tim manajemen audit internal lainnya
harus bertanggung jawab atas perubahan jadwal ini, dan setiap pembaruan harus diberikan
kepada komite audit.

15.3 IMPORTANCE OF INTERNAL AUDIT KEY COMPETENCIES

kompetensi kunci audit internal meliputi:
1. Keterampilan wawancara. Apakah mewawancarai seorang manajer unit atau
anggota staf di tingkat produksi, auditor internal harus dapat dengan mudah bertemu
dengan orang-orang ini, mengajukan pertanyaan yang sesuai, dan kemudian
mendapatkan informasi yang diinginkan.
2. Keterampilan analisis. Auditor internal harus memiliki kemampuan untuk melihat
serangkaian kejadian dan data yang kadang-kadang terputus dan untuk menarik
beberapa kesimpulan awal dari materi tersebut.
3. Pengujian dan analisis keterampilan. Terkait dengan kemampuan analisis, dapat
meninjau serangkaian kejadian atau populasi data untuk melakukan tes yang akan
menentukan apakah tujuan audit efektif adalah alat lain yang harus dimiliki oleh
auditor internal.
4. Keterampilan dokumentasi. Auditor internal harus dapat mengambil hasil
pengamatan audit serta tes dan untuk mendokumentasikan hasil tersebut, baik secara
verbal dan grafis, untuk menggambarkan lingkungan yang diamati
5. Merekomendasikan hasil dan tindakan korektif. Berdasarkan hasil pengujian dan
analisis terdokumentasi, auditor internal harus dapat mengembangkan rekomendasi
efektif untuk tindakan perbaikan.
6. Kemampuan berkomunikasi. Apakah kepada staf yang tunduk pada audit atau
untuk Manajemen senior, auditor internal harus bisa mengkomunikasikan hasilnya
dari hasil audit beserta rekomendasi untuk tindakan korektif.
7. Menegosiasikan keterampilan. Karena selalu ada perbedaan pendapat internal
temuan dan rekomendasi audit, auditor internal harus memiliki kemampuan untuk
menegosiasikan hasil akhir yang berhasil.
8. Komitmen untuk belajar. Auditor internal selalu mengalami hal yang baru
perubahan dan bahan dalam operasi perusahaan dan profesinya; mereka harus
memiliki semangat untuk belajar dan melanjutkan pendidikan mereka.
15.4 IMPORTANCE OF INTERNAL AUDIT RISK MANAGEMENT
Saat ini manajemen risiko harus dipandang sebagai persyaratan kompetensi internal
auditor internal yang penting. Manajemen risiko dibahas di Bab 7 tentang COSO ERM dan
harus dianggap sebagai proses empat langkah: (1) identifikasi risiko, (2) penilaian kuantitatif
atau kualitatif terhadap risiko yang didokumentasikan, (3) perencanaan prioritas prioritas dan
tanggapan, dan (4) pemantauan risiko. Proses ini harus diterapkan di semua tingkat
perusahaan dan sebagai bagian dari keseluruhan tinjauan audit internal.
Semua perusahaan harus mengembangkan pendekatan manajemen risiko internal.
Beberapa risiko dalam satu unit dapat berdampak langsung atau terkait dengan risiko di risiko
lainnya, namun pertimbangan risiko lainnya dapat secara efektif independen dari
keseluruhan. Auditor internal harus berusaha untuk mengidentifikasi dan memahami berbagai
risiko yang dihadapi perusahaan dalam pelaksanaan pekerjaan audit internal mereka, untuk
menilai risiko tersebut dalam hal biaya atau dampak dan probabilitasnya, untuk
mengembangkan tanggapan jika terjadi risiko, dan untuk kembangkan prosedur dokumentasi
untuk menggambarkan apa yang terjadi serta tindakan korektif yang tepat ke depan.

15.5 INTERNAL AUDITOR INTERVIEW SKILLS

Wawancara auditor internal dengan anggota manajemen auditee merupakan langkah
awal yang penting dalam proses audit internal. Berdasarkan audit universe yang telah
ditetapkan, fungsi audit internal akan merencanakan untuk melakukan peninjauan di
beberapa wilayah, baik penilaian pengendalian internal, tinjauan pengendalian operasional,
atau jenis penilaian audit lainnya.
Wawancara awal dan yang lainnya mengikuti adalah kunci dalam proses audit
internal. Mereka adalah langkah awal yang berharga untuk meluncurkan audit internal dan
mengumpulkan informasi, namun wawancara auditee yang kurang disiapkan atau
terorganisir dapat membuat audit internal begitu jauh sehingga sulit dilakukan untuk
menyelesaikan hal-hal seperti yang direncanakan atau direnungkan. Semua rapat wawancara
audit internal, baik dengan manajemen auditee maupun rekan tim, harus menerima beberapa
persiapan audit internal sebelum meluncurkan rapat.
Setelah auditor internal menjadwalkan wawancara auditee, auditor harus mulai fokus
pada persiapan wawancara. Auditor internal akan dilibatkan dalam auditee dan pertemuan
kelompok manajemen lainnya atau wawancara secara reguler dan berkelanjutan. Pertemuan
ini merupakan titik kontak untuk meluncurkan audit internal baru serta untuk meninjau status
dan melanjutkan kemajuan audit internal.
Keterampilan dan kompetensi yang sebenarnya dibutuhkan di sini adalah bahwa
auditor internal harus merencanakan secara hati-hati tujuan dan bahkan hasil yang
diharapkan dari sesi semacam itu, dan kemudian harus melakukannya secara terencana dan
tertib. Hal terakhir yang harus dilakukan oleh auditor internal profesional adalah masuk ke
manajer auditee tanpa ada peringatan dan kemudian hanya mengungkapkan beberapa
masalah auditor internal. Tujuan auditor internal tidak akan terpenuhi dalam situasi tersebut,
dan audit internal akan kehilangan kredibilitas di mata manajemen perusahaan.

15.6 INTERNAL AUDIT ANALYTICAL AND TESTING SKILLS

COMPETENCIES
Kemampuan analisis mengacu pada kemampuan untuk memvisualisasikan,
mengartikulasikan, dan memecahkan masalah dan konsep yang kompleks, dan sampai pada
keputusan yang masuk akal berdasarkan informasi yang ada. Untuk menguji kemampuan
analisis, auditor internal mungkin diminta untuk mencari ketidakkonsistenan dalam beberapa
laporan produksi, untuk memasukkan serangkaian kejadian dalam urutan yang benar, atau
untuk membaca secara kritis laporan status proyek dan mengidentifikasi potensi kesalahan.
Tinjauan analitis biasanya mengharuskan auditor internal untuk meninjau beberapa bahan
bukti audit dan kemudian menggunakan logika untuk menghilangkan masalah dan
menghasilkan solusi.Auditor internal diharapkan dapat menggunakan proses analisis secara
reguler. Agar benar-benar analitis, auditor internal perlu memikirkan semua faktor yang
terlibat dalam situasi dan kemudian mengevaluasi kelebihan dan kekurangannya untuk
mengembangkan solusi yang disarankan.
Ada banyak alat analisis agar auditor internal dapat menggunakannya untuk
mendukung tinjauan pengendalian internal. Pada tingkat yang sangat mendasar, auditor
internal dapat memeriksa apakah beberapa akun baik atau tidak disetujui atau akun juga
melakukan atau tidak seimbang. Kemampuan analitis auditor berasal dari mengumpulkan
hasil ini dan melaporkannya dalam hal ukuran statistik. Dalam kasus lain, jumlah kriteria
keputusan yang lebih besar tidak terlalu jelas, dan auditor mungkin memiliki tugas untuk
meninjau apakah paket dokumentasi terpisah untuk sekumpulan besar deskripsi produk
memadai. Sementara beberapa paket mungkin hilang, menyebabkan uji audit gagal untuk
kondisi itu, banyak paket dokumentasi lainnya mungkin hanya ada pada tempatnya.
Kemampuan analitis auditor internal adalah kompetensi utama CBOK yang dapat
membantu keputusan audit internal untuk dikembangkan secara konsisten dan teratur.
Auditor internal harus menggunakan analisis untuk menggambarkan penggunaan pendekatan
pengambilan keputusan terdokumentasi dengan baik dan baik dalam aktivitas audit internal
mereka.
Sementara auditor internal harus menggunakan pendekatan analitis untuk
mengembangkan strategi keputusan awal mereka, tantangan berikutnya dan kompetensi
utama yang dipersyaratkan adalah mengembangkan tes untuk meninjau dan menilai materi.

Pendekatan Pengujian Audit Alternatif

1. Pengamatan Fisik
Pendekatan pengujian digunakan untuk proses yang sulit untuk didokumentasikan
atau dikendalikan secara formal. Faktor-faktor ini dapat sangat penting bagi
keberhasilan organisasi bila dipertimbangkan dalam konteks yang lebih luas, seperti
penilaian semangat kerja karyawan atau nada profesional kantor. Karena daerah ini
agak subyektif, pengembangan rekomendasi audit internal bisa sulit.
2. Evaluasi Independen
Konfirmasi audit adalah contoh konfirmasi independen. Meskipun teknik ini lebih
sering terjadi pada auditor eksternal, auditor internal terkadang juga merasa berguna.
3. Tes Kepatuhan
Pengujian kepatuhan membantu menentukan apakah kontrol berfungsi sebagaimana
mestinya. Saat melakukan tes kepatuhan, auditor internal sering menggunakan satu
sampel yang luas untuk menguji beberapa item secara bersamaan. Namun, beberapa
contoh terkadang sangat efektif.
4. Eksepsi atau Uji Defisiensi
Jika sistem pelaporan menunjukkan kinerja yang kurang, pengecualian dapat ditinjau
secara rinci untuk memahami akar permasalahan dan menentukan kemungkinan
resolusi. Banyak perbaikan proses memerlukan koordinasi dengan departemen lain
atau orang-orang yang terlibat dalam proses tersebut; keterlibatan audit internal dalam
penyelesaian kekurangan seringkali memfasilitasi koordinasi semacam itu.
5. Pengujian Akurasi
Pengujian untuk akurasi membantu menentukan apakah proses yang ditinjau
mengukur atau menilai hal yang benar dan menghitung hasilnya dengan benar.
Dengan menggunakan prosedur CAATT dan mendapatkan pemahaman tentang tujuan
 pelaporan, auditor internal dapat secara efektif memverifikasi ketepatan pelaporan
sistem.
Tidak peduli metode apa yang dipilih, auditor internal harus selalu mengambil
langkah yang tepat untuk memastikan bahwa sampel yang mereka uji mewakili keseluruhan
populasi yang dianalisis.
Persyaratan lain untuk kompetensi audit internal ini adalah analisis hasil tes yang
sesuai. Setelah auditor internal memilih sampel dan melakukan tes audit internal, hasilnya
harus dianalisis. Setelah mengambil atau menarik sampel semacam itu sesuai dengan tujuan
audit yang telah ditetapkan, auditor internal kemudian harus meninjau hasil sampel untuk
kemungkinan kesalahan untuk menentukan apakah kesalahan tersebut benar-benar terjadi
dan, jika sesuai, sifat dan penyebab kesalahannya. Bagi mereka yang dinilai sebagai
kesalahan, kesalahan yang ditemukan harus diproyeksikan, jika sesuai, untuk populasi item,
jika metode pengambilan sampel berbasis statistik digunakan. Setiap kesalahan yang
mungkin terdeteksi dalam sampel harus ditinjau untuk menentukan apakah kesalahan tersebut
benar-benar terjadi. Auditor internal harus mempertimbangkan aspek kualitatif dari
kesalahan, termasuk sifat dan penyebab kesalahan dan kemungkinan dampak kesalahan pada
fase audit lainnya. Auditor internal juga harus menyadari bahwa kesalahan yang merupakan
hasil dari pemecahan proses TI biasanya memiliki implikasi yang lebih luas untuk tingkat
kesalahan daripada kesalahan manusia.
Auditor internal harus selalu berhati-hati untuk menganalisis dan mendokumentasikan
hasil sampel uji mereka. Setiap usaha harus ditujukan untuk memastikan bahwa hasil
pengujian mewakili keseluruhan populasi item yang ditinjau. Auditor internal harus
melakukan prosedur tindak lanjut yang diperlukan. Namun, proses penetapan tujuan audit,
menarik sampel barang yang diminati untuk memastikan apakah tujuan audit dipenuhi, dan
kemudian melaporkan hasil ini adalah kunci kompetensi audit internal.

15.7 INTERNAL AUDITOR DOCUMENTATION SKILLS

Auditor internal harus mempersiapkan dokumentasi yang bermakna dan bermanfaat
yang mencakup semua pekerjaan mereka, baik catatan informal dari rapat untuk mengaudit
lembar kerja atau laporan audit akhir yang diterbitkan.
Setiap auditor internal telah menerima pesan pengolah kata yang berorientasi
dokumentasi yang menjelaskan area kepentingan audit dengan semacam pesan pendukung.
Fungsi audit internal harus menetapkan beberapa standar praktik terbaik untuk dokumentasi
elektronik internal.
Tentang e-dokumentasi audit internal yang efektif, semua auditor internal harus
mengembangkan keterampilan dan kompetensi yang kuat dalam mendokumentasikan setiap
aspek pekerjaan. Auditor internal harus selalu mengingat bahwa dokumentasi di semua
tingkat akan tunduk pada ulasan atau pengungkapan lainnya seperti permintaan dari anggota
komite audit, audit eksternal, perintah pengadilan, atau bahkan tindakan pemerintah.
Dokumentasi yang kurang dipersiapkan atau tidak akurat dapat mempermalukan atau bahkan
membahayakan perusahaan dan merusak fungsi audit internal dan auditor internal.
15.8 RECOMMENDING RESULTS AND CORRECTIVE ACTIONS
Peran yang paling penting auditor internal melaporkan hasil kerja audit internal dan
mengembangkan rekomendasi yang kuat untuk tindakan perbaikan. Dalam semua kasus,
auditor internal perlu memiliki keterampilan kunci untuk merangkum hasil beberapa
pekerjaan audit, untuk mendiskusikan apa yang salah, dan untuk mengembangkan beberapa
rekomendasi untuk tindakan perbaikan yang efektif.
Saat mengembangkan laporan audit dan rekomendasinya, semua anggota tim audit
harus menetapkan kompetensi untuk menggambarkan temuan audit dan untuk memberikan
rekomendasi perbaikan. Dalam beberapa kasus, auditor staf hanya akan melalui latihan ini
sebagai bagian dari catatan kerja, namun semua auditor internal harus memikirkan sebagian
besar pekerjaan audit mereka dalam hal :
 Apa tujuan audit atau latihan ini?
 Apa yang ditemukan?
 Mengapa temuan audit tersebut salah atau tidak sesuai?
 Apa yang bisa dilakukan untuk memperbaiki kesalahan atau gangguan kontrol ini?
 Apakah rekomendasi audit internal untuk tindakan korektif?
Ini adalah review yang sangat banyak bagian dari keseluruhan proses audit internal.
Auditor internal di semua tingkatan harus mengembangkan kompetensi untuk memikirkan
sebagian besar pekerjaan mereka sesuai dengan garis tersebut. Konsep ini bisa menjadi
sangat sulit jika temuan audit mencakup area yang kompleks atau berpotensi tidak jelas.
 Penyusunan laporan audit internal yang efektif, dengan temuan dan rekomendasi yang
bermakna, merupakan area kompetensi yang sangat dibutuhkan untuk semua auditor internal.
Namun, auditor internal di semua tingkat harus mengembangkan keterampilan untuk
mendiskusikan dan menyajikan temuan audit dan rekomendasi audit internal terkait.
Auditor internal biasanya menerima, meninjau ulang, dan memiliki akses ke sejumlah
besar informasi yang berpotensi membingungkan. Oleh karena itu, sangat penting agar
kontrol keamanan yang kuat ditempatkan di semua file audit internal dan data yang
tersimpan. Auditor internal di semua tingkat harus mengembangkan keterampilan dan sikap
untuk berinteraksi dengan orang lain di perusahaan untuk mengkomunikasikan pekerjaan
mereka dan membantu orang lain di perusahaan memahami nilai audit internal.

15.9 INTERNAL AUDITOR NEGOTIATION SKILLS

Ketika befokus pada rekomendasi yang dikembangkan di dalam laporan atau selama
me-review bukti audit di lapangan, auditor internal akan mendiskusikan banyak area dimana
manajemen dan yang lainnya tidak setuju dengan asumsi auditor internal dan penemuan –
penemuan potensialnya.
Auditor Internal harus berkomunikasi dalam rangka negosiasi mengenai isu atau
pendapat, baik itu berhadapan secara langsung, melalui telepon, ataupun tulisan. Berikut
adalah beberapa elemen kunci dari proses negosiasi:
Tahap I: Memulai Negosiasi – Penawaran Awal
1. Information
Belajar sebanyak mungkin mengenai isu audit atau masalah yang didiskusikan
2. Leverage Evaluation
Sebagi permulaan, evaluasi pemicu atau kekuatan relatif negosiasi kita dan pemicu
dari pihak lain.
3. Analysis
Apa saja isu yang berkembang, hal ini penting ketika memulai review mengenai
laporan audit yang bermasalah.
4. Rapport
Membangun hubungan dengan auditee dan dengan pihak lawan. Audit internal harus
menentukan terlebih dahulu apakah pihak lawan akan kooperatif; apabila tidak, maka
pertimbangkan untuk memperkerjakan manajemen senior sebagai mediator praktikal.
5. Goals and Expectations
Tujuan berbeda dengan ekspektasi, apa yang menjadi ekspektasi dari internal audit
ketika sesi ini selesai.
6. Type of Negotiation
Bagaimana jenis negosiasinya, apakah kompetitif, kooperatif, atau tidak biasa, apakah
berhadapan langsung, melalui fax, menggunakan mediator, atau dengan cara lain.
7. Budget
Setiap negosiasi mengeluarkan biaya. Audit internal akan menghabiskan waktu staff
dan manajemen untuk bertemu dan bernegosiasi, yang mungkin dapat digunakan untu
mengerjakan pekerjaan audit lainnya.
8. Plan
Kembangkan rencana negosiasi sementara.
Tahap II: Tahap Penawaran
1. Logistics
Tentukan tempat, waktu, dan cara negosiasi. Hal ini penting apabila melibatkan
beberapa unit atau lokasi di dalam prosesnya.
2. Opening Offers
 Penawaran terbaik apa yang kita punya, apakah akan memodifikasi rekomendasi atau
tidak.
3. Subsequent Offers
Bagaimana kita menyesuaikan rencana negosiasi untuk merespon pergerakan lawan
yang tidak bisa diantisipasi.
4. Tactics
Tentukan taktik yang akan kita gunakan dan perkirakan taktik apa yang digunakan
oleh lawan.
5. Concessions
Tentukan konsesi apa yang akan dibuat dan bagaimana membuatnya.
6. Resolution
Temukan cara terbaik untuk menyelesaikan masalah. Tentukan solusi yang dapat
didiskusikan dan kreatif.
Tahap III: Tahap Penutup
1. Logistics
Tentukan cara dan waktu yang tepat untuk menutup pertemuan negosiasi. Apakah
pada saat pertemuan tersebut atau nanti setelah auditor internal menyaikan revisi
mereka.
2. Documentation
Siapkan dokumen terperinci yang menggambarkan jalannya pertemuan dengan
penekanan pad aperubahan rencana dan persetujuan kedua belah pihak.
3. Emotional Closure
Dalam emenutup pertemuan, penting untuk mengidentifikasi kepentingan dan
perubahan dari tiap pihak. Apabila kita mengabaikan surat tersebut, maka persetujuan
tersebut kemungkinan bukan yang terakhir.
4. Implementation
Meskipun audit internal setuju untuk membuat perubahan pada laporan audit mereka
dan auditee setuju untuk mengubah beberapa prakteknya, perjanjian negosiasi akan
menjadi kurnag berguna kecuali diimplementasikan dengan tepat.
15.10 AN INTERNAL AUDITOR COMMITMENT TO LEARNING
Semua auditor internal harus menanamkan komitmen untuk belajar secara konstan
dan berkelanjutan sebagai bentuk kompetensi yang paling utama. Contohnya, di tahun 2008,
SEC mengkonversikan aturan – aturan akuntansi dari GAAP menjadi IFRS. Walaupun
auditor internal tidak perlu memahami secara mendalam atas perubahan aturan akuntansi ini,
namun mereka harus mengetahui dampak – dampak yang mungkin terjadi atas perubahan
tersebut.
15.11 IMPORTANCE OF INTERNAL AUDITOR CORE COMPETENCIES
Kompetensi-kompetensi yang tersaji pada bab ini sangat penting bagi semua auditor
internal. Ketika topiknya adalah kemampuan berkomunikasi yang bagus atau kemampuan
untuk belajar pada daerah yang kurang dikuasai, hal tersbut sangat penting untuk
dipraktikkan, keakraban yang kuat, penguasaan, dan penggunaan kunci kompetensi audit
internal yang didiskusikan disini merupakan elemen yang dibutuhkan bagi setiap CBOK
auditor internal.

BAB 18 : REPORTING INTERNAL AUDIT RESULTS

18.1 THE AUDIT REPORT FRAMEWORK

Inti dari diagram ini menunjukkan tiga elemen utama dari setiap laporan audit internal:
a. Sebuah pengantar laporan untuk menjelaskan alasan untuk memulai audit dan
pentingnya pengamatan (observasi) laporan tersebut.
 b. Isi dari laporan yang menjelaskan pekerjaan audit yang dilakukan dan membahas
masalah sebab – akibat yang terkait.
c. Rekomendasi laporan. Bagian tinjauan ini meringkas premi audit internal dan
mencakup panggilan untuk bertindak.

18.2 PURPOSES AND TYPES OF INTERNAL AUDIT REPORTS

Laporan audit internal memiliki tujuan dasar untuk menggambarkan tujuan audit yang
direncanakan dan mengkomunikasikan hasil dan rekomendasi dari audit tersebut. Menurut
sifatnya, laporan audit internal umumnya kritis dalam konten mereka dan cenderung
menekankan hal – hal seperti kelemahan pengendalian internal. Di saat sangat tepat untuk
melaporkan bahwa audit internal ditinjau di beberapa area dan tidak ditemukan masalah,
mungkin ada kebutuhan untuk meninjau pendekatan penilaian resiko audit internal dan
review mereka mengikuti standar audit internal. Apakah dokumen tertulis formal diedarkan
ke manajemen tingkat senior atau presentasi informal atau bahkan verbal di akhir audit kerja
lapangan, laporan audit internal harus selalu memiliki empat komoponen dasar:
1. Tujuan audit, waktu, dan ruang lingkup review
Laporan audit harus mengikhtisarkan high-level objectives atas review, di mana
review dilakukan, dan high-level scope audit internal.
2. Deskripsi atas temuan laporan audit
Berdasarkan kondisi yang diamati dan ditemukan selama review, laporan audit harus
menjelaskan hasil dari audit.
3. Saran untuk tindakan perbaikan
Laporan audit harus mencakup rekomendasi berdasarkan temuan, untuk memperbaiki
kondisi dan penyebabnya. Tujuan dari saran ini meliputi laporan tentang perbaikan
kondisi yang diamati serta rekomendasi untuk meningkatkan operasi.
4. Dokumentasi atas perencanaan dan klarifikasi atas pandangan auditee
Merupakan bagian di mana auditee dapat secara formal menanggapi temuan – temuan
audit internal dan menyatakan rencana untuk tindakan perbaikan.

18.3 PUBLISHED AUDIT REPORTS

Dalam format apapun, laporan audit adalah dokumen laporan formal yang
menguraikan pertimbangan dan rekomendasi audit internal menyusul empat tujuan yang telah
dibahas sebelumnya. Manajemen sebelum SOx kadang-kadang membatasi audit internal dari
pembuatan laporan audit yang efektif.
Anggota komite audit dan manajemen senior menerima atau memiliki akses pada
salinan lengkap dari semua laporan audit. Meskipun hak mereka untuk meminta laporan yang
diringkas juga, namun mereka masih bertanggung jawab menerima dan memahami semua
temuan audit yang dilaporkan. Temuan pengendalian internal harus dijelaskan secara jelas
dalam laporan audit internal.

Format Laporan Audit yang Dipublikasikan

Laporan audit formal harus selalu mencakup format umum yang serupa, dimulai
dengan halaman sampul, deskripsi pekerjaan yang dilakukan, dan kemudian temuan dan
rekomendasi audit internal. Saat ini, sebuah laporan biasanya berupa dokumen berbasis Web
yang mungkin tidak akan dicetak secara formal. Namun, laporan salinan perangkat lunak
tetap harus dilindungi sedemikian rupa sehingga tidak ada seorangpun kecuali audit internal
yang dapat mengubahnya setelah rilis atau publikasi.
Laporan audit harus dimulai dengan halaman pengantar. Halaman pengantar harus
memiliki elemen berikut:
1. Report addressees and carbonees. Laporan audit harus selalu ditujukan kepada satu
orang yang bertanggung jawab menyusun laporan tanggapan, yaitu seseorang
setidaknya satu tingkat organisasi di atas auditee. Dan juga daftar mobilitas terpilih
yang ditentukan oleh audit internal yaitu manajer auditee, anggota manajemen senior,
dan orang-orang yang berkepentingan lain seperti mitra yang bertanggung jawab atas
tim audit eksternal.
2. Title of report and objectives of review. Judul singkat memberi tahu pembaca apa
yang ada dalam laporan audit dan berguna untuk laporan ringkasan. Laporan audit
harus memiliki pernyataan singkat namun jelas tentang tujuan peninjauan.
3. Audit scope and date of the fieldwork. Biasanya disertakan dengan pernyataan
tujuan audit adalah beberapa informasi yang disingkat mengenai lingkup umum audit
dan perkiraan tanggal kerja lapangan audit.
4. Locations visited and timing of audit. Halaman sampul laporan harus dengan jelas
dinyatakan saat hasil kerja lapangan audit dilakukan dan juga menyebutkan lokasi
yang dikunjungi.
5. Audit procedures performed. Paragraf singkat yang menjelaskan prosedur audit
sangat membantu pembaca laporan. Informasi ini berguna jika audit internal telah
melakukan beberapa prosedur pengujian khusus agar dapat sampai pada pendapatnya.
6. Auditor’s opinion based on the results of the review. Laporan audit internal harus
selalu memiliki penilaian yang cukup umum mengenai kecukupan keseluruhan
kontrol atau masalah lain di area yang ditinjau.

Laporan audit internal yang efektif, bagaimanapun, harus selalu menyertakan elemen
kunci berikut ini:
 A brief summary of the overall audit report. Laporan harus dimulai dengan
elemen utama audit yang dilakukan, diskusikan masalah kritis, dan kemudian
rangkum rinciannya.
 The central message of the report. Laporan harus membahas hasil kerja audit,
risiko terkait, dan pertimbangan manajemen yang harus dipertimbangkan. Harus
memahami mengapa pembaca harus memperhatikan rekomendasi auditor internal
dan juga risiko tidak mengikuti rekomendasi tersebut.
 Elements of the audit findings. Bergantung pada lingkup dan sifat audit, temuannya
dapat mencakup banyak rincian. Namun, laporan audit yang efektif harus
merangkum temuannya menggunakan teknik seperti grafik dan grafik ilustratif untuk
membantu menyampaikan pesan.
 Short, simple sentences and words the audience understands. Audit internal yang
mencakup area seperti keamanan sistem operasi TI dapat terlibat dalam beberapa area
 yang sangat teknis. Namun, laporan tersebut harus berusaha menggunakan kata-kata
dan ungkapan yang bisa dimengerti oleh kebanyakan pembaca.

Pendekatan untuk mengembangkan dan menerbitkan laporan audit internal sangat

bergantung pada sifat dan ruang lingkup audit dan menyajikan departemen audit internal,
komite audit, dan manajemen dengan berbagai alternatif. Informasi itu bisa bersifat historis
atau berhubungan dengan situasi saat ini. Ini mungkin mencakup praktik dan hasil
operasional atau mungkin menangani informasi keuangan. Laporan audit seharusnya hanya
memberikan sejumlah informasi yang diperlukan dan memadai mengenai temuan audit dan
memungkinkan pembaca memahami masalah terperinci yang terlibat.
Format laporan yang lebih umum hanya berfokus pada masalah signifikan yang
memiliki bantalan penting mengenai kelemahan pengendalian internal, kebijakan, pendekatan
operasional, pemanfaatan sumber daya, kinerja karyawan, dan hasil yang dicapai atau dapat
dicapai.
Laporan audit harus selalu mengandung unsur (1) apa yang dilakukan audit internal,
(2) saat melakukan pekerjaan, dan (3) apa yang ditemukannya. Bagian yang sangat penting
dari laporan audit internal harus menjadi temuan dan rekomendasi auditor.

Elements of an Audit Report Finding

Audit findings yang tidak tersusun dengan baik dapat membuat pembacanya
mempertanyakan apakah masalah yang terjadi dan mengapa harus dipertimbangkan.
Sedangkan laporan audit yang baik harus berisikan:
 Statement of condition (Pernyataan kondisi)
Kalimat pertama dalam laporan temuan harus menyimpulkan hasil dari review audit
internal atas area yang diperhatikan.
 What was found? (Apakah yang ditemukan?)
Temuan harus mendiskusikan antara prosedur dan hasil dari prosedur tersebut.
 Internal audit’s criteria for presenting the finding (Kriteria audit internal dalam
menyajikan temuan)
Temuan audit harus memiliki kriteria atau pernyataan mengenai apa yang seharusnya
digunakan dalam memutuskan pernyataan kondisi. Audit internal harus
mempertimbangkan: Criteria of extremes, Criteria of comparable, Criteria of element
dan Criteria of expertise
 Effect of the reported finding (Efek temuan yang dilaporkan)
Audit internal harus selalu mempertimbangkan seberapa pentingnya, ketika
menentukan apakah suatu item disertakan dalam laporan audit.
 Cause or reason for the audit deviation (Penyebab atau alasan penyimpangan audit)
Alasan adanya penyimpangan dari ketentuan, standar, atau kebijakan harus dijelaskan
dengan singkat dan sebaik mungkin.
 Internal audit’s recommendation (Rekomendasi audit internal)
Laporan temuan audit harus berisi rekomendasi sebagai tindakan perbaikan yang
tepat.
Jika tujuan audit internal adalah untuk mengevaluasi efisiensi, ekonomi, dan
efektivitas dimana manajemen telah mencapai tujuannya, maka audit internal memiliki
tanggung jawab untuk mengungkapkan kondisi memuaskan dan tidak memuaskan yang
ditemukan selama audit. Sementara kondisi yang membutuhkan perbaikan harus selalu
dijelaskan, komunikasi di sini harus menghindari penggambaran temuan audit dengan
persyaratan yang negatif. Sebaliknya, audit internal harus berusaha untuk mendorong
manajemen mengambil tindakan perbaikan yang diperlukan dan untuk menghasilkan hasil.
 Untuk memberikan tingkat keseimbangan, audit internal harus memilah-milah
berbagai data positif dan negatif yang dikumpulkan selama tinjauan ulang. Kriteria yang
digunakan dalam mengidentifikasi temuan signifikan dapat digunakan untuk melaporkan
item yang dianggap signifikan berdasarkan standar kinerja. Beberapa teknik untuk
memberikan keseimbangan laporan audit yang lebih baik adalah:
 Provide audit reports with perspective.
Temuan laporan harus mengungkapkan sesuai dengan jumlah uang yang diaudit atau dicatat
dengan total nilai kesalahan yang ditemui. Praktik ini harus sesuai dengan kebijakan audit
internal untuk mengungkapkan pencapaian serta kekurangannya.
 Report auditee accomplishments.
Prestasi auditee harus diungkapkan dalam ringkasan laporan ketika kesimpulan audit dapat
dipengaruhi oleh signifikansinya dan dalam temuan ketika pengungkapan rinci atas
pencapaian diinginkan atau perlu dilakukan.
 Show planned actions.
Dalam situasi di mana auditee telah mengambil atau telah membuat rencana untuk diambil
tindakan perbaikan sebelum penyelesaian audit, laporan audit harus mengungkapkan fakta
ini. Selain itu, langkah lain yang diambil oleh auditee dalam upaya memperbaiki kekurangan
yang dilaporkan mungkin tidak begitu jelas namun tetap harus dianggap sebagai tindakan
yang dilaporkan positif.
 Report mitigating circumstances.
Mitigating circumstances umumnya terdiri dari faktor-faktor yang berkaitan dengan masalah
atau kondisi yang dibahas dalam laporan audit dimana manajemen hanya memiliki sedikit
atau tanpa kontrol. Karena faktor-faktor ini mengurangi tanggung jawab manajemen atas
kondisinya, mereka harus dilaporkan sebagai bagian dari penyebabnya.
 Include the audit responses as part of the audit report.
Respon auditee terhadap temuan mungkin berisi informasi yang memberikan tambahan
keseimbangan pada laporan audit. Selain tindakan korektif yang direncanakan, auditee dapat
mengindikasikan pencapaian terkait lainnya atau mengutip fakta tambahan dan keadaan
lainnya.
 Improve audit report tonal quality.
Penggunaan kata-kata dan gagasan positif dan konstruktif daripada bahasa negatif akan
memberi kesan positif terhadap laporan tersebut. Jika tidak layak, laporan audit harus
menghindari ungkapan yang menunjukkan bahwa auditee "gagal dicapai", "tidak
melakukan," atau "tidak memadai," dan harus menyatakan gagasan laporan audit secara
positif dan konstruktif. Laporan audit dengan judul dan caption negatif harus dihindari karena
tidak menambah temuan dan bahkan mungkin menyalahartikan situasi aktual.

18. 4 ALTERNATIVE AUDIT REPORT FORMAT

format laporan audit berbasis teks standar yang dijelaskan di sini adalah cara yang
paling umum untuk menggambarkan pekerjaan audit, audit internal dapat menggunakan
pendekatan lain untuk menggambarkan hasil temuan dan rekomendasi auditnya. Laporan
standar tersebut menjadi catatan aktivitas tata kelola perusahaan, yang memungkinkan
perusahaan untuk mengesahkan apa yang dilakukan audit internal, apa yang ditemukannya,
dan apa yang direkomendasikan. Namun, audit internal dapat memilih untuk
mempertimbangkan beberapa pendekatan alternatif, terutama untuk laporan hasil audit
sementara. Beberapa cara alternatif yang kurang formal dan lebih disingkat dimana audit
internal dapat melaporkan hasil kerjanya meliputi :
1. laporan lisan
Mode pelaporan ini harus selalu terjadi ketika tim audit di tempat melaporkan hasil
kerjanya pada akhir konferensi penutupan lapangan kerja audit. laporan lisan mungkin
 merupakan hasil dari kebutuhan tindakan darurat, dan presentasi lisan mungkin juga
merupakan awal dari laporan tertulis yang lebih formal. Pelaporan lisan sering
berguna namun seharusnya hanya merupakan bentuk pelengkap dari pelaporan audit.
Laporan lisan seharusnya tidak menjadi pengganti laporan tertulis formal.
2. Laporan memo interim atau informal
Dalam situasi di mana dianggap perlu untuk memberi tahu manajemen mengenai
perkembangan signifikan selama audit berlangsung, atau setidaknya sebelum
pelepasan laporan reguler, audit internal mungkin ingin menyiapkan beberapa bentuk
laporan tertulis sementara. Laporan interim atau memo sering dikeluarkan untuk
mencatat hasil presentasi lisan dan untuk memanggil perhatian manajemen lokal
terhadap temuan audit potensial.
3. Laporan audit jenis kuesioner
laporan ini bisa menjadi ringkasan sementara yang berguna untuk laporan
audit formal atau berfungsi sebagai lampiran dokumen laporan formal. Format ini
bekerja paling baik dimana ruang lingkup kajian audit membahas masalah prosedural
yang cukup spesifik, dan biasanya pada tingkat operasional yang cukup rendah.
Namun, jenis laporan ini biasanya memiliki jangkauan kegunaan yang terbatas. Hal
ini sering paling baik digunakan sebagai alat edukasi untuk menginformasikan
manajemen mengenai masalah audit internal.
4. Laporan audit deskriptif reguler
Sebagian besar tugas audit harus diakhiri dengan penyusunan laporan audit
deskriptif formal. Bentuk isi laporan tertulis tersebut akan sangat bervariasi, baik
antara tugas audit individual maupun departemen audit internal individu. Keseluruhan
gagasannya adalah mewakili catatan terdokumentasi tentang pekerjaan audit internal
pada sebuah tugas.
5. Ringkasan laporan audit.
Fungsi audit internal sering menerbitkan laporan tahunan atau laporan
periodik yang meringkas berbagai laporan individual yang dikeluarkan dan
menggambarkan rentang konten mereka. Laporan ringkasan ini seringkali disiapkan
untuk komite audit atau anggota manajemen senior lainnya.

18.5 INTERNAL AUDIT REPORTING CYCLE

Pada tahap awal audit internal, seringkali diinginkan untuk mengembangkan kerangka
kerja untuk laporan akhir. Informasi dan statistik di wilayah yang diaudit dapat dikumpulkan
selama tahap survei dan disertakan dalam workpaper. Ini akan memastikan bahwa informasi
yang dibutuhkan diperoleh di awal audit, dan ini akan mencegah penundaan proses penulisan
final report. Selain itu, tujuan dan ruang lingkup peninjauan, yang ditetapkan pada awal audit,
harus disesuaikan dengan audit seiring berjalannya waktu.
Karena temuan audit dikembangkan dan diselesaikan, mereka dapat dimasukkan ke
bagian laporan yang benar, bersamaan dengan komentar oleh auditee. Laporan audit yang
diselesaikan untuk mengevaluasi dan mengomentari kecukupan pengendalian internal untuk
memenuhi kebutuhan manajemen. Proses laporan audit dimulai dengan identifikasi temuan,
penyusunan draf laporan untuk membahas temuan dan rekomendasi terkaitnya, diskusi
tentang masalah audit yang diidentifikasi dengan manajemen bersamaan dengan penyajian
laporan rancangan, penyelesaian tanggapan manajemen terhadap temuan laporan audit, dan
publikasi laporan audit formal yang mencakup wilayah yang dikaji.
Seiring temuan dikembangkan, auditor internal yang bertanggung jawab atas tinjauan
harus menganalisisnya dengan anggota manajemen auditee, meminta perspektif mereka
mengenai temuan audit yang berkembang. Kemungkinan penyebab temuan audit juga harus
didiskusikan dan informasi tambahan dikumpulkan untuk membuktikan atau membantah
kondisi laporan audit potensial.

Mempersiapkan dan Menyampaikan Laporan Audit

Setelah pekerjaan lapangan audit selesai dan audit internal telah membahas temuan
audit yang diajukannya dengan auditee, sebuah draf laporan audit umumnya harus
dipersiapkan. Rapat penutupan dan draf laporan merupakan langkah penting untuk
memvalidasi kecukupan dan keakuratan temuan audit internal yang dilaporkan dan tingkat
kesehatan rekomendasi terkait sebelum dikeluarkannya laporan audit akhir. Ini perlu
dilengkapi dengan review dan konfirmasi personil auditee. Manfaat dari validasi tambahan
yaitu memberikan pemeriksaan silang terhadap keakuratan, kelengkapan, dan kualitas kerja
audit dan membantu mempromosikan hubungan kemitraan dengan manajemen lokal yang
akan menciptakan semangat kerja sama dan komitmen untuk menyelesaikan solusi yang
memadai.
Salah satu cara terpenting yang dilakukan adalah melalui presentasi draft laporan
kepada manajemen auditee. Pada internal audit exit meeting, audit internal mungkin akan
sulit untuk menyampaikan laporan audit rancangan penuh pada akhir fieldwork exit
conference. Mungkin ada banyak pertanyaan terakhir, klarifikasi, atau keterampilan editorial
yang dibutuhkan untuk memungkinkan rancangan laporan audit disampaikan pada saat exit
conference.
Sebelum berangkat dari tim audit lapangan, audit internal mungkin telah membahas
keprihatinannya dengan manajemen lokal dalam sebuah exit conference resmi dan kemudian
menyiapkan draft laporan, termasuk komentar atau klarifikasi tambahan yang mungkin
timbul dari konferensi tersebut. Manajemen audit memiliki kesempatan untuk meninjau ulang
pekerjaan tim lapangan dan melakukan penyesuaian dengan draf laporan audit. Resiko di sini
adalah bahwa tim audit internal yang bertanggung jawab atas peninjauan akan ditarik ke arah
lain dan tidak akan menyelesaikan draf laporan audit secara tepat waktu.
Exit conference harus mencakup anggota tim audit dan manajemen lokal yang
bertanggung jawab atas area yang ditinjau. Pada konferensi tersebut, temuan utama dan
usulan rekomendasi ditinjau dan sejauh kesepakatan dicapai antara audit dan perusahaan
lokal mengenai hal-hal tertentu, sebuah kesempatan diberikan untuk menginformasikan
manajemen yang bertanggung jawab di wilayah tersebut yang ditinjau dan untuk
mendapatkan kesepakatan lebih lanjut mengenai temuan audit dan rekomendasi. Konferensi
penutup tersebut memberikan audit internal kesempatan besar untuk memastikan kebenaran
hasil audit dan memastikan modifikasi draft laporan audit sebagai pembenaran. Ini juga
merupakan kesempatan besar untuk menunjukkan layanan profesional yang dapat diberikan
oleh audit internal. Pertemuan-pertemuan ini bisa menjadi sarana utama untuk membangun
hubungan kemitraan yang baik dengan auditee yang bertujuan untuk mendapatkan
kesepakatan sebanyak mungkin sehingga laporan audit dapat menunjukkan tindakan yang
telah selesai.
Audit internal harus meminta tanggapan formal dalam waktu 14 hari setelah
diterimanya draf laporan. Manajemen auditee harus cepat dalam merespon temuan dan
rekomendasi yang disarankan dari exit conference.

Audit Report Follow-Up and Summarization

Setelah manajemen menyampaikan tanggapan laporan auditnya, audit internal harus
menggabungkan tanggapan ini dengan draf temuan dan rekomendasinya untuk mengeluarkan
laporan audit akhir yang ditujukan kepada manajemen. Begitu laporan audit akhir telah
dikeluarkan, audit internal kemudian harus menjadwalkan tinjauan tindak lanjut untuk
memastikan bahwa tindakan yang diperlukan berdasarkan audit benar-benar diambil.
 Audit internal hanya boleh memainkan peran spesifik terbatas setelah laporan audit
diluncurkan, seperti mempersiapkan diri untuk menanggapi pertanyaan, dan untuk meninjau
kembali situasi pada saat audit terjadwal berikutnya di wilayah tersebut. Tindakan korektif
tersebut kemudian diprakarsai oleh jajaran manajer atau manajer yang bertanggung jawab,
namun tanggapan dilakukan pada kelompok koordinasi. Jika ada penundaan yang tidak
semestinya dalam menangani rekomendasi tersebut, kelompok koordinasi dapat
mengeluarkan laporan status tindak lanjut. Dengan pendekatan ini, salinan tanggapan ini juga
dapat diberikan ke audit internal untuk informasi, atau audit internal dapat menjaga hubungan
dengan kelompok koordinasi.
Audit internal memiliki tanggung jawab untuk menghasilkan laporan audit yang mudah
dibaca, mudah dimengerti, dan persuasif. Tujuannya adalah untuk mengeluarkan laporan
yang akan memerintahkan perhatian para manajer yang memiliki tanggung jawab untuk
berbagai kegiatan operasional, dan untuk mendorong mereka melakukan tindakan perbaikan
yang tepat dan untuk laporan audit yang akan membangun penghormatan terhadap usaha
audit internal.
Audit internal menerima hasil akhir berdasarkan pengetahuannya tentang tindakan yang
diambil oleh auditee berdasarkan rekomendasi laporan audit internal. Pelaporan audit yang
baik menggabungkan kemampuan teknis audit internal dan kemampuan untuk
mengkomunikasikan hasil kepada orang-orang dengan cara yang terbaik untuk menjamin
penerimaan dan dukungan aktif mereka. CAE harus dilibatkan secara aktif dalam proses
laporan audit, dan semua tingkat staf audit internal harus memikirkan kebutuhan laporan
akhir. Dalam hubungan ini, masalah pengembangan laporan juga harus mendapat perhatian
yang memadai dalam program pelatihan audit internal. Laporan tersebut menjadi pernyataan
kredensial audit internal saat laporan diedarkan, dirujuk, dan diimplementasikan. Laporan
audit biasanya merupakan faktor utama dimana reputasi departemen audit internal terbentuk.

Audit Report and Workpaper Retention

Laporan audit internal formal dan workpaper merupakan dokumen penting yang
mendukung kegiatan audit internal. Prosedur harus diimplementasikan untuk menyimpan
catatan untuk setiap audit yang dilakukan sebagai bagian dari prosedur penyimpanan arsip
perusahaan secara reguler. Semua laporan audit berbasis kertas dan perangkat pendukung
harus disimpan di fasilitas penyimpanan arsip perusahaan yang aman. Meskipun sumber-
sumber eksternal memberikan referensi untuk membantu pengambilan selanjutnya, audit
internal harus menetapkan prosedur internalnya sendiri untuk melakukan cross-reference
pekerjaan audit mereka dengan judul penyimpanan item yang tersimpan. Sebagian besar
pekerjaan audit internal saat ini dikembangkan pada catatan digital berbasis komputer. Bahan
ini harus disimpan dan kemudian diunduh ke media penyimpanan yang aman.
Laporan audit internal dan perangkat lunak pendukung dapat menjadi bahan pendukung
dalam proses pengadilan atau bahkan tindakan hukum pemerintah sebelumnya. Suatu
perusahaan mungkin diminta untuk membuat catatan pekerjaan audit internalnya untuk
membuktikan, di pengadilan, apa yang mereka lakukan atau tidak lakukan di suatu daerah.
Selain itu, perintah pengadilan mungkin mengharuskan perusahaan tersebut mengungkapkan
rekaman yang mendukung beberapa masalah. Perusahaan harus berhati-hati dalam
melestarikan dan mengatur semua catatan pendukung yang mencakup banyak area. Laporan
audit internal dan perangkat lunak pendukung merupakan catatan perusahaan penting yang
tunduk pada peraturan retensi rekaman yang sama.

18.6 INTERNAL AUDIT COMMUNICATION PROBLEMS AND OPPORTUNITY

Komunikasi merupakan elemen penting dalam setiap tahap kegiatan audit internal.
Auditor internal berkomunikasi dengan orang lain melalui laporan audit formal, melalui
pertemuan tatap muka di lapangan atau pertemuan audit, dan melalui berbagai komunikasi
formal dan informal lainnya. Bila ada kesalahpahaman atau konflik dalam tugas audit atau
bila rekomendasi auditor tidak dipahami secara benar, analisis perbedaan biasanya menunjuk
pada beberapa jenis masalah komunikasi.
Komunikasi yang efektif baik secara perorangan maupun kelompok yang lebih besar
merupakan komponen kunci keberhasilan audit internal. Auditor internal harus memiliki
pemahaman yang baik tentang masalah yang terkait dengan komunikasi yang efektif dan
bagaimana mengatasinya. Auditor internal harus memahami proses ini untuk
mengidentifikasi jenis masalah yang dapat mendistorsi atau mencegah komunikasi yang
efektif. Masalah ini mempengaruhi semua langkah dalam proses komunikasi. Semua masalah
ini merupakan bagian dari kebutuhan auditor internal yang lebih besar untuk menempatkan
diri mereka dalam perspektif penerima dan untuk mempertimbangkan bagaimana sebuah
pesan akan diterima.
Kedua pihak dalam komunikasi - terutama penggerak utama - belajar dari pertanyaan
dan komentar yang dibuat oleh penerima sebagai tanggapan atas serangkaian pesan. Ini
disebut umpan balik. Bagian dari komunikasi dua arah yang efektif adalah untuk mendorong
umpan balik sehingga auditor internal memiliki basis terbaik untuk menentukan apakah
tujuan manajerial tercapai
Secara tradisional, konflik dianggap destruktif dan tidak diinginkan. Namun, bila
dikelola dengan baik, konflik dapat bermanfaat dalam mencapai kesejahteraan organisasi.
Auditor internal perlu belajar memanfaatkan konflik ke titik di mana konstruktif namun
mengendalikannya saat mengancam untuk tidak terkendali. Tanggung jawab audit internal
secara tidak terhindarkan menghasilkan situasi yang menciptakan persaingan dan potensi
konflik. Selama peninjauan, konflik sering terjadi, dan auditor yang efektif harus
menggunakan konflik ini untuk berkomunikasi dengan manajemen dan meyakinkannya untuk
melakukan tindakan yang tepat. Namun, auditor internal yang efektif perlu memahami
bagaimana mengendalikan konflik tersebut.
audit internal harus terus menerus waspada dan memperhatikan bendera merah yang
mengindikasikan potensi masalah. Idealnya, konflik tidak boleh dibiarkan berkembang ke
titik di mana tindakan langsung yang lebih dramatis ini diperlukan. Ada tantangan untuk
memanfaatkan konflik ini namun tidak membiarkannya lepas kendali sedemikian rupa
sehingga kontraproduktif.
Manajemen menginginkan stabilisasi melalui kebijakan dan prosedur pengembangan
dimana operasi distandarisasi untuk memperbaiki pengendalian internal dan untuk
memastikan penanganan terbaik dari jenis peristiwa sejenis yang berulang. Namun,
perubahan kondisi memerlukan kebijakan dan prosedur yang telah diubah. auditor internal
sering menghadapi banyak hambatan saat memberi saran perubahan, terlepas dari
kemampuan sebenarnya mereka.
Ketika membuat rekomendasi, auditor internal harus memahami bagaimana
perusahaan akan menghadapi perubahan yang disarankan tersebut. sifat dan ruang lingkup
tindakan diperlukan bergantung pada pentingnya perubahan yang direkomendasikan. Karena
semua manajer bertanggung jawab atas pengendalian internal dan pada saat bersamaan
tunduk pada mereka, dampak perbaikan kontrol yang direkomendasikan pada orang harus
dipertimbangkan dengan cermat.

18.7 AUDIT REPORTS AND UNDERSTANDING PEOPLE IN INTERNAL

AUDITING
pembuatan laporan audit internal yang efektif ini berfokus pada kepentingan semua
auditor internal sehubungan dengan hubungan mereka dengan manajemen dan satu sama lain.
Audit internal dituntut melindungi dengan tanggung jawab yang cenderung membuat orang
lain di perusahaan melihat mereka sebagai antagonis atau polisi. Namun, peran audit internal
jauh melampaui peran sempit untuk menyediakan layanan perlindungan.
Kemampuan untuk mendeskripsikan pekerjaan audit internal dan membuat
rekomendasi laporan audit yang efektif merupakan persyaratan internal audit internal CBOK.
Namun, melampaui tugas menyiapkan dan menyampaikan laporan audit internal yang efektif,
semua auditor internal harus berusaha menjadi komunikator yang hebat dan dengan sesama
tim audit internal dan semua anggota perusahaan mereka secara keseluruhan.

BAB 19: ITIL® BEST PRACTICES, THE IT INFRASTRUCTURE, AND GENERAL

CONTROLS

19.1 IMPORTANCE OF IT GENERAL CONTROLS

Auditor internal terlibat dengan prosedur TI awal - yang kemudian disebut kontrol
pemrosesan data - ketika aplikasi akuntansi pertama kali diinstal pada sistem komputer kartu
punch awal. auditor internal mungkin melihat prosedur pengendalian masukan dan aplikasi
output untuk memeriksa apakah input seimbang dengan laporan output. Auditor internal
hanya akan membahas prosedur pemrosesan program komputer yang sebenarnya.
Auditor internal harus melihat tujuan pengendalian TI ini dari perspektif yang agak
berbeda saat meninjau kontrol di lingkungan TI modern. Kontrol umum atau infrastruktur TI
mencakup semua operasi TI dan mencakup:
 Keandalan pengolahan sistem informasi. Kontrol yang baik harus dilakukan terhadap
semua operasi sistem TI. kontrol ini sering bergantung pada sifat dan pengelolaan
ukuran dan jenis sistem yang digunakan.
 Integritas data. Proses harus ada untuk memastikan tingkat integritas atas semua data
yang digunakan dalam berbagai program aplikasi.
 Integritas program. Program baru atau revisi harus dikembangkan dan dikelola
dengan cara yang terkontrol dengan baik untuk memberikan hasil pemrosesan yang
akurat.
 Kontrol pengembangan dan implementasi sistem yang tepat. Kontrol harus dilakukan
untuk memastikan perkembangan sistem informasi baru dan revisi yang tertata rapi
 Kontinuitas pengolahan Kontrol harus dilakukan untuk mendukung sistem kunci dan
memulihkan operasi jika terjadi pemadaman tak terduga - yang disebut perencanaan
pemulihan bencana dan sering dikenal saat ini sebagai perencanaan kesinambungan
bisnis.

19.2 CLIENT-SERVER AND SMALL SYSTEMS GENERAL INFORMATION

AND TECHNOLOGY CONTROLS
Auditor internal secara tradisional memiliki masalah dalam mengevaluasi kontrol
umum dalam operasi TI kecil. Namun, auditor internal terkadang masih mencari kontrol TI
secara umum dalam hal lingkungan Artinya, auditor internal mencari fisik keamanan yang
kuat, revisi yang baik, dan kontrol pemisahan tugas yang benar yang seringkali tidak ada atau
hanya sebagian diterapkan di lingkungan sistem kecil yang khas. Pendekatan yang kurang
formal ini mungkin memadai bila sistem bisnis kecil atau desktop ini digunakan terutama
untuk akuntansi kantor tunggal atau aplikasi audit berisiko rendah serupa. Kapasitas dan
kemampuan sistem kecil yang besar saat ini, pertumbuhan Internet, dan transisi ke komputasi
client-server telah membuat sistem kecil ini bagian penting dari kerangka kontrol TI. Saat
dihadapkan dengan evaluasi kontrol dalam hal kecil ini, pengaturan sistem komputer, auditor
internal terkadang kembali ke tradisional. Artinya, mereka merekomendasikan agar sistem
desktop ditempatkan di ruang terkunci atau staf pengembangan TI dua orang yang kecil
diperluas menjadi empat orang untuk memastikan pemisahan tugas dengan benar. Meskipun
mungkin ada situasi di mana kontrol semacam itu sesuai, seringkali tidak diterapkan dalam
lingkungan usaha kecil. Audit internal dapat dengan mudah kehilangan kredibilitas jika
rekomendasi kontrol mereka tidak sesuai dengan risiko yang ditemukan dalam pengaturan
sistem komputer kecil.

GENERAL KONTROL UNTUK SMALL BUSINESS SYSTEM

Sistem kecil bisa diimplementasikan dengan berbagai cara, tergantung dari
konfigurasi sistem dan ukuran perusahaan. Auditor internal harus dapat mengenali perbedaan
ini dan mengembangkan prosedur pengendalian internal umum yang sesuai untuk meninjau
kontrol umum mereka.
Sistem client-server merupakan kombinasi dari berbagai jenis dan ukuran sistem TI
yang saling berhubungan dan dapat ditemukan di semua jenis dan ukuran perusahaan. Sistem
proses atau nonbisnis mencakup berbagai jenis komputer kecil yang digunakan untuk
pembuatan, distribusi, dan berbagai aplikasi pengendalian operasional lainnya. Audit internal
akan sering menemukan mesin kontrol khusus ini di banyak area operasi perusahaan
Jika sistem TI berada di fasilitas yang aman, memiliki sistem operasi multitask, atau
memiliki staf pendukung aplikasi yang relatif besar, audit internal mungkin harus
mempertimbangkannya sebagai sistem komputer "besar" untuk tujuan perencanaan audit dan
harus meninjau ulang yang sesuai. prosedur pengendalian umum sistem yang besar. Deskripsi
atribut berbasis atribut yang sama ini bisa lebih sulit di lingkungan sistem yang kecil. Definisi
arsitektur perangkat keras komputer yang ketat seringkali tidak membantu audit internal
untuk memutuskan kapan menerapkan prosedur tinjauan pengendalian internal sistem yang
lebih kecil
Sistem kecil, yang dulunya dikenal sebagai minicomputer, telah digunakan untuk
aplikasi bisnis sejak sekitar akhir 1960an. Mereka adalah produk dari peningkatan
miniaturisasi komponen elektronik serta berbagai pendekatan yang digunakan oleh insinyur
komputer Karena harganya relatif murah, mudah digunakan, dan tidak memerlukan dukungan
yang rumit atau dukungan AC, minicomputer pernah digunakan oleh banyak usaha kecil dan
juga untuk aplikasi IT khusus.
Sementara semua sistem TI di atas harus menjadi bagian dari audit internal internal
yang bertujuan untuk meninjau kembali pengendalian internal di semua sistem TI, tinjauan
internal audit harus menekankan sistem yang digunakan untuk tujuan bisnis TI. Audit internal
akan sering bekerja di lingkungan di mana hanya sistem bisnis kecil yang digunakan,
terutama bila perusahaannya relatif kecil. Di semua perusahaan, audit internal harus meninjau
kontrol umum atas konfigurasi server. Artinya, masih ada kebutuhan untuk prosedur
keamanan, integritas, dan cadangan sistem. Jenis sistem bisnis kecil ini umumnya memiliki
karakteristik umum sebagai berikut:
 Staf IT terbatas. Sistem komputer bisnis kecil akan memiliki staf TI khusus yang
sangat terbatas. Operasi TI kecil semacam itu menciptakan risiko pengendalian karena
bergantung pada beberapa perusahaan konsultan kecil yang terpisah untuk sebagian
besar dukungan TI-nya, dan persyaratan seperti memback up file penting dapat
diabaikan. Namun, ukuran staf kecil tidak akan menciptakan masalah pengendalian
internal. Audit internal harus dapat mencari kompensasi kontrol seperti halnya saat
meninjau departemen akuntansi kecil di mana pemisahan tugas klasik kurang.
 Kemampuan pemrograman terbatas. Sistem komputer bisnis kecil yang khas
membuat ekstensif penggunaan paket perangkat lunak yang dibeli. Tanggung jawab
"pemrograman" satu-satunya perusahaan mungkin untuk memuat program pembaruan
untuk paket perangkat lunak yang dibeli, memelihara tabel parameter sistem, dan
menulis program pengambilan sederhana. Jika audit internal menemukan aktivitas
 pengembangan internal yang ekstensif, beberapa prosedur pengendalian untuk fungsi
pengembangan sistem yang besar harus dipertimbangkan.
 Kontrol lingkungan terbatas. Sistem bisnis kecil pada umumnya dapat dihubungkan
ke sistem daya normal dan beroperasi dalam kisaran suhu yang cukup luas. Karena
persyaratan terbatas ini, terkadang dipasang tanpa kontrol lingkungan yang penting,
mudah dicadangkan seperti drive cadangan, sistem catu daya berbasis baterai yang
tidak terganggu, atau pelindung arus listrik. Sementara beberapa instalasi komputer
atau server bisnis kecil mungkin ditempatkan di ruang komputer yang formal dan
terkendali, ini bukan atribut penting dari sistem ini.
 Kontrol keamanan fisik terbatas. Karena kurang membutuhkan pengendalian
lingkungan, sistem ini sering dipasang langsung di daerah-daerah terpencil. Tingkat
perhatian auditor mengenai kontrol keamanan fisik bergantung pada jenis peralatan
dan aplikasi yang diproses. Audit internal terkadang menyarankan agar keamanan
fisik diperbaiki, terutama bila aplikasi kritis sedang diproses. Namun, dalam banyak
kasus lainnya, kurangnya kontrol keamanan fisik ini seharusnya tidak menghadirkan
masalah pengendalian internal yang signifikan.
 Jaringan telekomunikasi yang luas. Hampir semua sistem desktop saat ini memiliki
koneksi nirkabel ke Internet. Data dan aplikasi bisa dengan mudah diupload atau
diunduh. Selain itu, bahan dapat dengan mudah didownload melalui perangkat USB
yang umum dan mudah digunakan. Kombinasi kontrol dan kebijakan harus dibuat
untuk melindungi perusahaan.

19.3 CLIENT-SERVER COMPUTER SYSTEMS

arsitektur client-server telah menjadi konfigurasi TI yang sangat populer di semua
ukuran perusahaan dan sistem. Di lingkungan jaringan lokal, masing-masing workstation
adalah klien, dan prosesor terpusat, yang berisi file bersama bersama dan sumber daya
lainnya, disebut server. Pengguna workstation mengirimkan permintaan dari mesin klien ke
server, yang kemudian melayani klien tersebut dengan melakukan pengolahan yang
diperlukan.
Arsitektur client-server ini melampaui sekedar workstation dan server. Sebuah
aplikasi yang query database terpusat dapat dianggap sebagai klien, sedangkan database yang
mengembangkan view dari database adalah server ke semua workstation yang meminta
layanan database. Program aplikasi dapat meminta layanan dari server komunikasi sistem
operasi.
Di banyak perusahaan saat ini, sistem pemindaian client-server-confi lainnya,
seringkali ditemukan di daerah-daerah di luar operasi IT. Sistem ini dapat digunakan untuk
pengendalian proses, pekerjaan desain otomatis, pemrosesan analisis statistik, atau banyak
aplikasi lainnya. Beberapa benar-benar didedikasikan untuk aplikasi tertentu, sementara yang
lain dapat digunakan untuk berbagai tugas dalam fungsi yang ditugaskan.
Meskipun sistem ini tidak digunakan untuk kebutuhan informasi bisnis tradisional,
seperti memelihara catatan piutang, mereka sering mendukung aplikasi penting atau
perusahaan. Masalah backup dan integritas sistem di lingkungan ini mungkin sama hebatnya
dengan bisnis tipikal pusat TI.
Tinjauan sistem TI khusus tidak disarankan untuk auditor internal yang kurang
berpengalaman. Untuk menemukan analogi kontrol dari situasi bisnis normal TI dan
menerjemahkannya ke lingkungan kontrol khusus, auditor harus cukup berpengalaman dalam
meninjau pusat bisnis TI komputer, apakah itu operasi besar atau kecil. Seiring waktu, audit
internal akan menghadapi lebih banyak operasi komputer khusus ini. Auditor internal kreatif
dapat memberikan kontribusi yang meningkat kepada manajemen dengan melakukan tinjauan
operasional atas pusat-pusat komputer ini secara periodik
19.4 SMALL SYSTEM OPERATION INTERNAL CONTROL
Auditor internal secara tradisional mencari pemisahan tugas yang tepat sebagai
prosedur pertama untuk mengevaluasi pengendalian internal dan pengendalian umum IT.
Tujuan pengendalian IT yang baik memerlukan pemisahan tanggung jawab antara pengguna
dan operator yang tepat, kontrol ini seringkali sulit dilakukan di departemen kecil. Ketika
auditor internal pertama kali mulai meninjau kontrol umum di departemen IT kecil dan
mencoba menerapkan solusi pengendalian sistem tradisional yang besar, rekomendasi awal
tersebut sulit dijual ke manajemen yang sadar biaya.
Manajer yang bertanggung jawab untuk sistem client-server kecil saat ini juga dapat
menjadi spesialis teknis utama dan mengoperasikan peralatan untuk tugas-tugas seperti
pemrosesan cadangan. Kontrol pemisahan tugas yang ditemukan di toko besar tidak ada di
lingkungan yang kecil ini, namun harus ada kompensasi tambahan, termasuk:
 perangkat lunak yang dibeli. Tugas utama mungkin hanya menginstal upgrade
perangkat lunak vendor pada sistem lokal.
 Meningkatnya perhatian manajemen terhadap laporan sistem dan aktivitas
konsultan. Meskipun manajemen perusahaan bisnis kecil mungkin hanya memiliki
sedikit pengetahuan tentang teknik TI, namun seringkali mereka harus memberi
perhatian besar pada laporan utama komputer
 Pemisahan tugas input dan pengolahan. Di hampir semua sistem IT bisnis kecil
modern, pengguna mengirimkan input data melalui workstation masing-masing dan
menerima keluaran di terminal atau printer jarak jauh mereka. Auditor internal harus
mencari beberapa tingkat kompensasi jika memungkinkan.

Bahkan dengan kontrol kompensasi ini dalam sistem bisnis kecil modern IT, audit
internal juga harus menyadari risiko dan kelemahan pengendalian potensial. Gejala
kelemahan kontrol lainnya di perusahaan IT kecil yang biasanya tidak ada di departemen
besar meliputi:
 Karyawan "Setia" yang tidak mengambil cuti pribadi mereka
 Penggunaan program khusus dan tidak berdokumen yang hanya diketahui oleh
manajer IT
 Partisipasi departemen IT langsung dalam transaksi masukan sistem, seperti
penyesuaian terhadap sistem persediaan

Risiko pengendalian mungkin menjadi pertimbangan utama ketika prosedur audit telah
mengidentifikasi kelemahan pengendalian yang signifikan dalam sistem bisnis kecil. Di
perusahaan besar, auditor internal sering mencari deskripsi posisi terdokumentasi dalam
tinjauan pengendalian internal mereka sebagai bukti kontrol manajemen yang baik mengenai
fungsi TI.
Organisasi terencana dan praktik manajemen terkait seringkali merupakan salah satu
prosedur pengendalian terkuat di perusahaan IT yang besar. Manajemen senior harus
memiliki pemahaman yang baik tentang fungsi TI, rencananya, dan tujuannya. Kontrol umum
yang sangat penting untuk perusahaan IT kecil adalah dokumentasi yang memadai mengenai
sistem dan prosedurnya.
Terkadang sebuah perusahaan besar akan mengeluarkan standar wajib yang berlaku
untuk semua unit operasinya. Sementara manajemen pusat mungkin melihat cara lain
mengenai kepatuhan lokal terhadap standar ini, audit internal sering merasa terdorong untuk
mengemukakan pelanggaran yang ditemukan di unit yang lebih kecil. Jika ada masalah
seperti itu, audit internal harus mendiskusikan masalah ini dengan kelompok manajemen IT
pusat yang bertanggung jawab atas standar tersebut.
19.5 AUDITING IT GENERAL CONTROLS FOR SMALL IT SYSTEMS
 Beberapa sistem IT kecil mungkin merupakan unit operasi terpisah dari perusahaan
besar dan memberikan dukungan untuk total perusahaan. Sistem semacam itu mungkin
memiliki banyak atribut dari sistem komputer mainframe yang lebih besar, termasuk
perusahaan IT yang terbatas namun formal, jadwal produksi, dan tanggung jawab untuk
menerapkan aplikasi baru. Namun, perusahaan sistem IT kecil seringkali tidak memiliki
fungsi khusus lainnya. Audit internal akan menemukan berbagai merek perangkat keras
komputer atau nama produk di lingkungan sistem yang kecil, namun sebagian besar akan
menjadi sistem terbuka dengan sistem operasi umum yang dapat beroperasi tanpa peduli
merek perangkat keras apa yang digunakan.
audit internal diharapkan harus memiliki tujuan pengendalian umum dengan masalah
pengendalian internal sebagai berikut:
 Sistem kontrol yang lemah terhadap akses data dan program
Ketika orang yang tidak berwenang diizinkan untuk mengakses dan
memodifikasi file komputer, kontrol umum sangat lemah, dan audit internal harus
mempertimbangkan akses terhadap data dan program untuk menjadi tujuan utama
pengendalian umum saat meninjau ulang usaha kecil TI.
Kontrol atas akses terhadap data dapat dipertimbangkan baik dari aplikasi
spesifik maupun kontrol umum. Namun, dalam sistem IT kecil, kontrol umum
seringkali memiliki kepentingan yang lebih besar daripada kontrol akses data aplikasi
tertentu karena aplikasi yang beroperasi pada sistem komputer bisnis kecil biasanya
akan beroperasi di bawah seperangkat kontrol akses data yang sama.
 Akses data yang tidak tepat melalui workstation pengguna.
Small system, serangkaian laptop terhubung melalui sistem nirkabel ataupun
sistem server yang kuat, seringkali tidak memiliki kontrol keamanan yang canggih
yang ditemukan pada sistem tipe mainframe besar. Sebaliknya, small system memiliki
identifikasi log-on / password pengguna ditambah dengan keamanan informasi
berbasis menu. Pengguna sistem biasanya memasukkan kode identifikasi log-on atau
user ID yang ditetapkan ke terminal dan menerima layar menu dengan aplikasi yang
tersedia untuk kode tersebut. Pengguna hanya bisa mengakses aplikasi yang
ditugaskan ke menu itu.
Sistem keamanan berbasis menu ini dapat memberikan kontrol yang cukup
efektif terhadap upaya akses yang tidak semestinya. Namun, mereka bisa rusak karena
informalitas dan kurangnya peraturan dan prosedur formal di banyak usaha kecil.
Kode log-on sering tidak berubah secara reguler, satu menu umum diberikan kepada
hampir semua karyawan, atau terminal dengan ID yang lebih istimewa ditinggalkan
untuk hampir semua digunakan. Untuk meninjau kontrol di bidang ini, audit internal
pertama-tama harus mendapatkan pemahaman umum tentang sistem keamanan data
yang terpasang. Langkah selanjutnya adalah memahami bagaimana sistem keamanan
itu diterapkan dan sedang digunakan. Langkah terakhir menyiratkan bahwa auditor
internal harus meluangkan waktu untuk meninjau penggunaan kontrol aplikasi di area
pengguna.
Audit internal harus meninjau keseluruhan prosedur administrasi yang
mencakup sistem keamanan. Ini bisa termasuk meninjau seberapa sering log-on
diubah, siapa yang memiliki akses ke menu administrator sistem, dan apresiasi umum
manajemen akses TI terhadap masyarakat setempat.
 Penggunaan program utilitas yang tidak sah
Sistem kecil modern sering dilengkapi dengan program utilitas yang kuat yang
dapat dengan mudah mengubah file data aplikasi apapun. Program ini dirancang
untuk digunakan dalam situasi pemecahan masalah khusus, dan seringkali hanya
menghasilkan laporan audit terbatas. Seringkali, utilitas ini berfungsi sebagai
 pengganti program pembaruan produksi normal atau digunakan oleh manajer IT untuk
pembaruan khusus ini, dan terkadang bahkan diberikan kepada pengguna.
Program utilitas ini menggunakan berbagai nama tergantung pada jenis sistem
operasi komputer. Audit internal harus memahami jenis program utilitas standar yang
tersedia untuk sistem yang sedang diperiksa. Penggunaan program tertentu paling
baik ditentukan melalui penyelidikan dan observasi.
 Data yang tidak benar dan permintaan akses program
Informalitas usaha kecil seringkali memungkinkan data diakses secara tidak benar
melalui prosedur operasi TI normal. Jenis akses ini mungkin merupakan risiko kontrol
yang lebih besar daripada akses melalui penggunaan program yang tidak semestinya.

Audit internal harus mencari kontrol untuk mencegah permintaan IT biasa tersebut.
Kontrol terbaik bisa berupa jenis "permintaan layanan data" formal yang disetujui oleh
manajemen. Selain itu, log harus mencantumkan semua aktivitas produksi IT serta nama
pemohon dan penerima laporan. Tanpa jenis sistem keamanan yang tepat untuk membatasi
akses yang tidak semestinya, seringkali relatif mudah bagi seseorang yang memiliki sedikit
pengetahuan untuk mencari dan berpotensi memodifikasi file program perpustakaan.
Audit internal mungkin juga menemukan lemahnya kontrol atas pembaruan
perpustakaan program. Satu atau dua personil di departemen IT kecil yang bertindak sebagai
administrator jaringan biasanya dapat memperbarui perpustakaan program dengan sedikit
perhatian untuk mendokumentasikan perubahan tersebut atau mendapatkan jenis otorisasi
pengelolaan atas. Selain itu, mungkin tidak akan bekerja untuk audit internal untuk
menyarankan agar manajemen secara formal meninjau dan menyetujui semua pembaruan
perpustakaan program. Metode pengendalian terbaik di sini adalah menginstal prosedur yang
memerlukan pembalakan semua perubahan atau pembaruan paket perangkat lunak ke
perpustakaan program produksi.
Kontrol jenis ini mengambil keuntungan dari kenyataan bahwa banyak sistem IT bisnis
kecil mempertahankan jumlah total hash dari ukuran program dalam satuan byte dan juga
memiliki kemampuan untuk mempertahankan beberapa bentuk tanggal atau nomor versi
dalam nama program. Audit internal kemudian dapat menyarankan sebuah sistem
pengendalian program komputer program komputer kecil sebagai berikut:
 Tetapkan konvensi penamaan program yang mencakup nomor tanggal atau versi yang
disertakan dengan nama program.
 Mintalah orang-orang yang diberi wewenang untuk membuat tabel program atau
perubahan parameter masuk ke nomor versi, tanggal, ukuran program, dan alasan
perubahan dalam daftar manual yang tunduk pada manajemen berkala.
 Memelihara setidaknya satu salinan cadangan dari perpustakaan program dan
memutar salinan file program perpustakaan untuk mengamankan disket portabel di
lokasi di luar lokasi setidaknya sekali per minggu.
 Memperkuat kontrol akses sehingga personil yang tidak berwenang tidak dapat
dengan mudah mengakses file program perpustakaan.
 Melakukan tinjauan audit internal terhadap log perubahan perpustakaan secara
periodik.

Langkah-langkah ini tidak akan memberikan kepastian lengkap bahwa semua

perubahan program telah diotorisasi; Namun, jika audit internal secara berkala meninjau
perubahan yang tercatat dan mempertanyakan perbedaan, personil sistem perusahaan
mungkin akan berhati-hati dalam melakukan dokumentasi dan mencatat perubahan program
produksi secara lebih baik dan konsisten.
19.6 MAINFRAME LEGACY SYSTEM COMPONENTS AND CONTROLS
 Profesional yang berbeda masing-masing memiliki definisi sendiri tentang sistem
komputer yang besar. Programer teknis dapat menentukan sistem komputer besar dalam hal
desain internal atau arsitektur pusat prosesor. Manajemen dapat menentukan ukuran sistem
komputer yang sama dalam hal konfigurasi peralatan dan ukuran staf TI yang diperlukan
untuk mendukungnya.

Karakteristik Sistem TI Besar

Sistem yang besar biasanya memiliki beberapa karakteristik umum. Meskipun tidak semua
karakteristik pengendalian internal TI dapat diterapkan pada setiap sistem komputer besar,
hal berikut membantu auditor internal memahami karakteristik sistem bisnis TI yang besar:
 Physical security controls. Pusat komputer yang besar dengan beberapa server dan
file data penting biasanya terletak di ruangan dengan kontrol akses terkunci dan tidak
ada jendela ke luar. Keamanan ini membantu melindungi peralatan serta program dan
data.
 Environmental control requirements. Sistem tenaga listrik khusus serta pendingin
udara khusus atau sistem pendinginan air seringkali diperlukan karena komponen
listrik miniatur yang beroperasi dengan tenaga penuh menghasilkan panas yang cukup
banyak. Sistem juga didukung generator independen untuk memberikan kekuatan
lebih jika terjadi pemadaman listrik. Kelemahan dalam pengendalian lingkungan
berpotensi mengakibatkan kegagalan dalam pengoperasian aplikasi TI utama.
 Multitask operating systems. Hampir semua komputer menggunakan beberapa jenis
sistem operasi induk untuk mengendalikan berbagai program yang dijalankan oleh
komputer dan tugas lainnya secara paralel. Sistem operasi multitask pada komputer
besar harus dikelola dan biasanya membutuhkan personil khusus, yang disebut
programer sistem.
 In-house programming capabilities. Perusahaan dengan sistem komputer besar
sering didukung oleh sistem in-house dan departemen pemrograman yang ukurannya
berkisar dari sekelompok mungkin beberapa seratus karyawan dengan kemampuan
pemrograman in-house terbatas. Pemrogram in-house hampir tidak pernah menulis
kontrol inventaris atau aplikasi penggajian khusus. Perusahaan besar dengan staf
pemrograman dan sistem analisisnya sendiri harus memiliki metodologi
pengembangan sistem yang cukup formal atau sistem pengembangan siklus hidup
(SDLC) untuk mengembangkan dan mengimplementasikan aplikasi baru.
 Extensive telecommunications networks. Semua sistem modern memiliki jaringan
telekomunikasi yang luas untuk mendukung beberapa terminal online yang ada di
seluruh perusahaan dan terhubung baik secara langsung ke sistem komputer pusat
maupun ke Internet. Jaringan juga memerlukan tenaga teknis khusus dalam
perusahaan IT untuk mengelola telekomunikasi.
 Very large or critical files. Karena kekritisan database besar, sistem TI -apa pun
konfigurasi hardware sebenarnya- mengambil karakteristik sistem yang besar.
Kebutuhan akan salinan cadangan dan integritas file penting sangat penting bagi
fungsi TI. Perusahaan harus memerlukan prosedur backup file yang kuat dan
administrator database untuk membantu memastikan keakuratan, integritas, dan
kelengkapan database.
 Input-output control sections. Fungsi kontrol input-output digunakan untuk
menerima data masukan batch, mendistribusikan masukan, dan menjadwalkan dan
menyiapkan pekerjaan produksi yang menyeimbangkan input batch ke keluaran
sistem dan memecahkan banyak masalah. Saat ini, pengguna umumnya bertanggung
jawab atas data mereka sendiri, dikirim melalui terminal di area pengguna dengan
 keluaran dikirim kembali kepada mereka, dan kontrol harus dipasang ke sistem yang
menerima atau mentransmisikan data ini.

Karakteristik ini memberikan beberapa panduan untuk membantu menentukan apakah

auditor internal bekerja dengan lingkungan sistem TI yang besar. Ada banyak variasi dalam
menentukan sebagai sistem komputer besar atau kecil. Sementara tujuan pengendalian
internal audit pada dasarnya tetap sama untuk keduanya, namun prosedur pengendalian akan
berbeda. Jika auditor internal meragukan tinjauan TI harus disesuaikan dengan sistem besar
atau kecil, pendekatan yang paling aman adalah mempertimbangkan sistem yang akan dikaji
sebagai yang besar dan kompleks.

19.7 INTERNAL CONTROL REVIEWS OF CLASSIC MAINFRAME OR

LEGACY IT SYSTEMS
Beberapa area yang harus dipertimbangkan oleh auditor internal untuk mengumpulkan
beberapa basis informasi mengenai operasi dan prosedur pengendalian dalam operasi pusat
data yang besar

Operating Systems Software

Sistem operasi adalah software dasar yang menyediakan tampilan bagi pengguna, termasuk
program aplikasi dan lain-lain. Seorang auditor internal perlu memiliki kemampuan
yang lebih dalam memahami berbagai sistem operasi dan sistem bawaan sebagai berikut:
 Central operating system
Memahami sistem operasi apa yang digunakan dan kelebihan dan kekurangan akan sistem
tersebut.
  System monitors
Pengendalian dari sistem tersebut terhadap penggunaan oleh user.
 Network controllers and teleprocessing monitors
Memahami program sistem operasi terspesialisasi yang mengawasi dan mengendalikan
transmisi antara sistem komputer host dan perangkat periferal. Dimana, perangkat ini
memungkinkan aplikasi pemrosesan pada sistem komputer host untuk berkomunikasi dengan
beberapa koneksi jaringan (multiple network).

19.8 LEGACY OF LARGE SYSTEM GENERAL CONTROL REVIEWS

Internal audit sebaiknya membangun satu set tujuan-tujuan pengendalian yang terspesifik
untuk perencanaan review. Objektif ini bergantung pada tujuan pemeriksaan.
1. Preliminary reviews of IT generalcontrols (review awal pengendalian umum IT).
Tujuan dilakukan review awal ini adalah untuk mendapatkan pemahaman umum dari
pengendalian TI. Tahap awal ini dapat membantu untuk menentukan seberapa detail review
yang dibutuhkan.
2. Detailed general controls reviews of IT operations (review detail pengendalian
umum atas operasional IT).
Sebuah review yang detail dan komprehensif dari pengendalian umum sistem TI yang besar,
termasuk sistem program, pengendalian telekomunikasi, adiministrasi penyimpanan di
operasional TI dan fungsi pengembangan. Dasarnya adalah agar auditor internal memahami
alur kerja fungsi opersional TI. Sistem yang sudah berkembang biasanya selalu melakukan
perubahan prosedur dari waktu ke waktu menambahkan atau merubah kompleksitas yang
dibutuhkan. Sehingga audit prosedur yang digunakan dapat diganti mengikut pergantian yang
dilakukan oleh manajemen, tergantung kompleksitas dan ukuran perusahaan/entitas.
3. Specialized or limited-scope-oriented reviews (review atas lingkup terbatas atau
terspesialisasi).
Karena permintaan manajemen, auditor terkadang juga perlu melakukan spesial review,
misalnya khusus database administration.
4. Reviews to assess compliance with laws or regulations (ketaatan hukum dan
peraturan).
Kajian TI terkait kepatuhan sering dapat dikombinasikan dengan preliminary atau detailed
general controls review, namun auditor internal harus mengetahui prosedur yang relevan dan
peraturan yang berlaku, seperti yang diterbitkan oleh instansi pemerintah yang membutuhkan
audit.

19.9 ITIL® SERVICE SUPPORT AND DELIVERY IT INFRASTRUCTURE BEST

PRACTICES
 ITIL atau Information Technology Infrastructure Library adalah suatu rangkaian
konsep dan teknik pengelolaan infrastruktur, pengembangan, serta operasi teknologi
informasi. ITIL memberikan deskripsi detail tentang beberapa praktik TI penting dengan
daftar cek, tugas, serta prosedur yang menyeluruh yang dapat disesuaikan dengan segala jenis
organisasi TI.
OGC menerbitkan versi ketiga ITIL (ITIL v3) yang intinya terdiri dari lima bagian
dan lebih menekankan pada pengelolaan siklus hidup layanan yang disediakan oleh teknologi
informasi. Kelima bagian tersebut adalah: service strategy, service design, service transition,
service operation, dan continual service improvement.
Kelima bagian tersebut dikemas dalam bentuk buku, atau biasa disebut sebagai core
guidance publications. Setiap buku dalam kelompok utama ini berisi:
1. Practice fundamentals – menjelaskan latar belakang tahapan lifecycle serta
kontribusinya terhadap pengelolaan layanan TI secara keseluruhan.
2. Practice principles – menjelaskan konsep-konsep kebijakan serta tata kelola tahanan
lifecycle yang menjadi acuan setiap proses terkait dalam tahapan ini.
3. Lifecycle processes and activities – menjelaskan berbagai proses maupun aktivitas
yang menjadi kegiatan utama tahapan lifecycle.
4. Supporting organization structures and roles – proses-proses ITIL tidak akan
dapat berjalan dengan baik tanpa defini roles dan responsibilities. Bagian ini
menjelaskan semua aspek yang terkait dengan kesiapan model dan struktur organisasi.
5. Technology considerations – menjelaskan solusi-solusi otomatisasi atau software
ITIL yang dapat digunakan pada tahapan lifecycle, serta persyaratannya.
6. Practice Implementation – berisi acuan/panduan bagi organisasi TI yang ingin
mengimplementasikan atau yang ingin meningkatkan proses-proses ITIL.
7. Complementary guideline – berisi acuan model-model best practice lain selain ITIL
yang dapat digunakan sebagai referensi bagian tahapan lifecycle.
8. Examples and templates – berisi template maupun contoh-contoh pengaplikasian
proses.

ITIL Service Support Incident Management

Proses incident management mencakup kegiatan yang diperlukan untuk memulihkan
layanan TI beserta gangguannya. ITIL® mendefinisikan gangguan sebagai jenis masalah
apapun yang mencegah pengguna menerima layanan yang memadai.
Auditor internal harus melihat pada service level agreements (SLAs), yang menjadi
bagian dari proses layanan manajemen level, untuk mendefinisikan prioritas mana insiden
yang butuh diselesaikan dan sebuah usaha yang dimasukkan ke dalam penyelesaian dari
pemulihan insiden.. SLAs harus tergantung pada dampak atau kritisnya insiden pada entitas
pelaporan atau keseluruhan perusahaan, urgensi dari pelaporan insiden, dan ukuran, ruang
lingkup, dan kompleksitas insiden
Service Support Problem Management
Ketika proses insiden manajemen menemukan penyimpangan dengan penyebab yang tidak
diketahui, insiden tersebut harus diteruskan ke proses masalah manajemen untuk
penyelesaian. Tujuannya adalah untuk meminimalisir dampak dari masalah meskipun proses
pendeteksian dan perbaikan formal sekaligus telah mengambil tindakan untuk mencegah
pengulangan terjadinya insiden.

Service Support Configuration Management

Manajemen konfigurasi yang terdiri dari 4 task (identifikasi, kontrol, status, verifikasi) adalah
penerapan suatu database (configuration management database - CMDB) yang berisi detil
dari elemen-elemen dalam suatu perusahaan yang digunakan dalam mengatur IT Service.
CMDB berisi informasi yang terkait dengan perawatan, perpindahan, dan masalah yang
terjadi dengan item-item yang ada di dalam CMDB dan item-item yang sangat dibutuhkan
oleh organisasi pelayanan IT, seperti hadware, software, dokumentasi, personal.

Service Support Change Management

ITIL® proses manajemen perubahan meliputi IT hardware dan system software;
peralatan komunikasi dan sotware; semua software aplikasi; dan semua dokumentasi dan
prosedur yang terkait dengan berjalannya, dukungan, dan pemeliharaan sistem hidup. Saat
me-review pengendalian internal TI, auditor internal harus melihat efektivitas proses
perubahan manajemen.

Service Support Realease Management

Pengaturan semua konfigurasi software yang ada dalam perusahaan. Hal ini bertanggung
jawab terhadap pengaturan software development, instalasi, dan dukungan dari
pembuat software.

19. 10 SERVICE DELIVERY BEST PRACTICE

Terdapat lima proses pemberian layanan ITIL®. Dukungan layanan mencakup
pemrosesan aplikasi dan komponen TI yang akurat mulai dari menerima insiden yang
dilaporkan hingga menentukan masalah untuk mengenalkan perubahan dan kemudian
melepaskannya ke dalam produksi.
1. Jasa Pengiriman Pelayanan Tingkat Manajemen
Manajemen tingkat layanan adalah proses perencanaan, koordinasi, penyusunan,
persetujuan, pemantauan, dan pelaporan ITIL®, mengenai perencanaan, pengkoordinasi,
penyusunan, dan pelaporan kesepakatan formal antara IT dan penyedia dan penerima layanan
TI. perjanjian ini disebut perjanjian tingkat layanan (SLA), dan ini merupakan format
kesepakatan antara TI dan kedua penyedia layanan kepada TI dan juga pengguna akhir
pengguna TI.
SLA antara TI dan pelanggan penting di sini, dari perspektif pengendalian internal.
Sebagai pelanggan, mereka memiliki harapan terhadap tingkat layanan dan responsif tertentu
Pengaturan ini didefinisikan melalui SLA, kesepakatan tertulis antara TI dan pelanggannya
yang menentukan target dan tanggung jawab utama layanan. dari kedua belah pihak.
Dalam SLA, TI menjanjikan untuk memberikan layanan sesuai jadwal yang telah
disepakati dan memahami bahwa akan ada hukuman jika standar pelayanan ini tidak
terpenuhi. Tujuannya adalah untuk mempertahankan dan meningkatkan kualitas layanan
melalui siklus konstan untuk menyetujui, memantau, melaporkan, dan memperbaiki tingkat
layanan TI saat ini. SLA harus berfokus secara strategis pada bisnis dan menjaga keselarasan
antara bisnis dan TI. Poses SLA ini memberikan keuntungan bagi bisnis dan TI, diantaranya:
 ■ layanan TI akan cenderung memiliki kualitas lebih tinggi, sehingga menyebabkan
sedikit gangguan. Produktivitas pelanggan juga harus ditingkatkan.
■ Sumber daya staf TI akan cenderung digunakan secara lebih efisien
■ TI dan pelanggannya dapat mengukur layanan yang diberikan dan persepsi operasi TI
pada umumnya akan meningkat.
■ Layanan yang diberikan oleh pihak ketiga lebih mudah diatur dengan kontrak yang
mendasari dan kemungkinan pengaruh negatif pada layanan TI yang diberikan berkurang.
■ Memantau keseluruhan layanan TI di bawah SLA memungkinkan identifikasi titik
lemah yang dapat diperbaiki.
Proses SLA harus menjadi komponen penting dalam operasi TI. Jika perusahaan tidak
menggunakan SLA formal, auditor internal yang meninjau operasi TI secara umum harus
mempertimbangkan rekomendasi agar fungsi TI perusahaan memulai proses SLA formal.
SLA dapat menciptakan lingkungan yang benar-benar baru di dalam TI, di mana semua pihak
akan lebih memahami tanggung jawab dan kewajiban layanan mereka, dengan SLA sebagai
dasar untuk menyelesaikan banyak masalah. Audit internal dapat menggunakannya sebagai
dasar untuk menilai pengendalian internal di berbagai area dan untuk membuat rekomendasi
perbaikan kontrol yang kuat.

2. Jasa Pengiriman Manajemen Keuangan untuk Jasa IT

Fungsi TI yang dikelola dengan baik harus beroperasi sebagai bisnis, dan manajemen
keuangan adalah proses ITIL kunci untuk membantu mengelola kontrol keuangan untuk
bisnis itu. Tujuan dari proses pengelolaan keuangan penyampaian layanan adalah untuk
menyarankan panduan untuk pengelolaan aset dan sumber daya yang hemat biaya yang
digunakan untuk menyediakan layanan TI. TI harus dapat memperhitungkan sepenuhnya
pengeluarannya untuk layanan TI dan untuk menghubungkan biaya layanan yang dikirimkan
ke pelanggan perusahaan. Ada tiga subproses terpisah yang terkait dengan pengelolaan
keuangan ITIL®
1. Penganggaran TI adalah proses memprediksi dan mengendalikan pengeluaran
uang untuk sumber daya TI Penganggaran memastikan bahwa telah ada
perencanaan dan pendanaan untuk layanan TI yang sesuai dan bahwa TI
beroperasi dalam anggaran ini selama periode tersebut.
2. Akuntansi TI adalah serangkaian proses yang memungkinkan TI
memperhitungkan sepenuhnya cara uang dikeluarkan oleh pelanggan, layanan,
dan aktivitas
3. Pembebanan adalah kumpulan proses penetapan harga dan penagihan untuk
menagih pelanggan atas layanan yang diberikan. Ini memerlukan akuntansi TI
yang baik dan perlu dilakukan secara sederhana, adil, dan terkendali dengan baik.

Manajemen keuangan untuk layanan TI memberikan informasi penting untuk proses

manajemen tingkat layanan mengenai strategi penetapan biaya, harga, dan pembebanan TI.
Proses pengelolaan keuangan ITIL® memungkinkan analisis biaya-manfaat yang akurat dari
layanan TI yang diberikan dan memungkinkan perusahaan IT untuk menetapkan dan
memenuhi target keuangan. Ini juga memberikan pelaporan tepat waktu kepada proses
manajemen tingkat layanan, sehingga pelanggan dapat memahami metode pengisian dan
penetapan harga yang digunakan.

3. Jasa Pengiriman Manajemen Kapasitas

Pengelolaan kapasitas ITIL® memastikan bahwa kapasitas infrastruktur TI sesuai
dengan kebutuhan bisnis untuk mempertahankan tingkat penyampaian layanan yang
dipersyaratkan dengan biaya yang dapat diterima melalui tingkat kapasitas yang sesuai.
Dengan mengumpulkan data kapasitas bisnis dan teknis, proses ini harus menghasilkan
rencana kapasitas untuk memberikan persyaratan kapasitas yang tepat untuk perusahaan.
Selain menjadi tujuan utama untuk memahami persyaratan kapasitas TI perusahaan dan untuk
menyampaikannya kepada mereka, manajemen kapasitas bertanggung jawab untuk menilai
potensi keuntungan yang mungkin dimiliki teknologi baru bagi perusahaan. Beberapa
masukan untuk ketiga sub-proses pengelolaan kapasitas ini meliputi pelanggaran SLA dan
SLA; rencana bisnis dan strategi; jadwal operasional dan perubahan jadwal; masalah
pengembangan aplikasi; hambatan dan akuisisi teknologi; insiden dan masalah; anggaran dan
rencana keuangan.
Sebagai hasil dari banyak masukan ini, proses manajemen kapasitas akan mengelola
proses TI, mengembangkan dan memelihara rencana kapasitas formal, dan memastikan
bahwa catatan kapasitas terbaru. Selain itu, manajer kapasitas harus dilibatkan dalam
mengevaluasi semua perubahan untuk menetapkan pengaruhnya terhadap kapasitas dan
kinerja. Evaluasi kapasitas harus terjadi baik saat perubahan diajukan dan setelah diterapkan.
Manajemen kapasitas yang efektif harus dapat memperkirakan dampak aplikasi baru atau
modifikasi serta memberikan penghematan biaya yang selaras dengan kebutuhan bisnis.

4. Jasa Pengiriman Manajemen Penyediaan

Perusahaan semakin bergantung pada layanan TI pada ketersediaan 24/7. Bila layanan
TI tidak tersedia, bisnis juga akan berhenti. Oleh karena itu penting bahwa fungsi TI
mengelola dan mengendalikan ketersediaan layanannya. Manajemen ketersediaan bergantung
pada banyak masukan: persyaratan mengenai ketersediaan bisnis; informasi tentang
keandalan, kemampuan pemeliharaan, pemulihan, dan kemampuan servis dari CI; dan
informasi dari proses lain, insiden, masalah, dan tingkat layanan yang dicapai. Keluaran dari
manajemen ketersediaan prosesnya adalah:
■ Rekomendasi mengenai infrastruktur TI untuk memastikan ketahanannya
■ Laporan tentang ketersediaan layanan TI
■ Prosedur untuk memastikan ketersediaan dan pemulihan ditangani untuk setiap layanan TI
baru atau yang lebih baik
■ Rencana untuk meningkatkan ketersediaan layanan TI
Manfaat utama manajemen ketersediaan adalah proses terstruktur untuk memberikan
layanan TI sesuai dengan persyaratan yang disepakati pelanggan. Ini akan menghasilkan
ketersediaan layanan TI yang lebih tinggi dan meningkatkan kepuasan pelanggan. Ini
mencakup area di mana auditor internal sering mengajukan beberapa pertanyaan sulit sebagai
bagian dari tinjauan umum manajemen TI.

5. Jasa Pengiriman Manajemen Kontinuitas

Setiap saat ketersediaan atau kinerja layanan berkurang, pelanggan TI tidak dapat
melanjutkan pekerjaan normal mereka. Kecenderungan terhadap ketergantungan tinggi pada
dukungan dan layanan TI akan terus berlanjut dan akan semakin mempengaruhi pelanggan
langsung, manajer, dan pengambil keputusan. Pengelolaan kontinuitas ITIL® menekankan
bahwa dampak dari kehilangan total atau bahkan sebagian dari layanan TI harus diperkirakan
dan rencana kesinambungan yang ditetapkan untuk memastikan bahwa bisnis, dan
infrastruktur TI pendukungnya, akan selalu dapat dilanjutkan. ITIL® meminta strategi yang
tepat untuk dikembangkan keseimbangan optimal pilihan pengurangan risiko dan pemulihan.
Ini memerlukan beberapa strategi kontinuitas dan pemulihan bencana bisnis yang sama

19.11 AUDITING IT INFRASTRUCTURE MANAGEMENT

Proses dukungan layanan dan pengiriman layanan ITIL® memperkenalkan
pendekatan yang diperluas dan ditingkatkan untuk melihat semua aspek infrastruktur TI.
Layanan pengiriman ITIL® dan dukungan layanan adalah dua elemen yang saling terkait dan
saling berdampingan. Mereka mendukung pengelolaan infrastruktur TI dan pengelolaan
perusahaan. Aplikasi TI berada di pusat teka-teki ini dan area kunci perhatian pengendalian
internal.
ITIL® berlaku untuk semua ukuran fungsi TI. Agar sesuai dengan ITIL®, perusahaan
tidak memerlukan banyak staf pendukung. Sebaliknya, perlu dipikirkan berbagai dukungan
layanan dan proses pemberian layanan dari perspektif praktik terbaik ITIL®. setiap area
proses ITIL® harus diperlakukan sebagai area terpisah untuk perbaikan proses dengan
prosedur kontrol yang unik.
Auditor internal harus memberi perhatian khusus pada area ini saat membuat
rekomendasi. Ukuran dan luas area yang diaudit dan ruang lingkup operasi harus selalu
diperhatikan. auditor internal harus memikirkan kecukupan dan kesesuaian kontrol TI dalam
hal kontrol yang dibuat pada aplikasi individual serta kontrol proses infrastruktur. Area
infrastruktur TI merupakan area penting untuk tinjauan audit internal. Saat meninjau kontrol
internal untuk perusahaan TI, auditor internal yang efektif harus berkonsentrasi untuk
meninjau kontrol atas proses infrastruktur utama.

19.12 INTERNAL AUDITOR CBOK NEEDS FOR IT GENERAL CONTROLS

Standar Internasional untuk Praktik Profesional Audit Internal harus menjadi
persyaratan internal auditor internal CBOK yang penting. Auditor internal harus memiliki
pemahaman dasar ISO 9000 dan standar sistem mutu lainnya mengenai wilayah tersebut
namun tidak memerlukan tingkat pengetahuan yang terperinci. Bidang ini merupakan
persyaratan CBOK yang kuat untuk semua auditor internal. Semua auditor internal saat ini
harus memiliki tingkat pengetahuan CBOK yang kuat tentang kontrol umum TI dan
infrastruktur pendukung yang memungkinkan kontrol umum tersebut beroperasi dan
berfungsi.

BAB 22: REVIEWING APPLICATION AND SOFTWARE MANAGEMENT

CONTROLS

22.1 IT APPLICATION COMPONENTS

Auditor internal harus memahami unsur-unsur aplikasi TI yang khas. Setiap aplikasi
memiliki tiga komponen dasar: (1) masukan sistem, 2) program yang digunakan untuk
memproses data yang relevan, dan (3) keluaran sistem. Masing-masing memiliki peran
penting dalam struktur pengendalian internal aplikasi.
Sementara komponen sistem input, output, dan komponen pemrosesan komputer
mungkin sama sekali tidak terlalu jelas bagi auditor internal yang melakukan tinjauan awal,
tiga elemen ada di semua aplikasi, dan betapa kompleksnya aplikasi tersebut, internal auditor
harus selalu mengembangkan pemahaman tentang sebuah aplikasi dengan memecah input,
output, dan komponen pengolahannya. Semua auditor internal setidaknya harus memiliki
pemahaman umum tentang aplikasi dan proses pendukung TI - persyaratan dasar CBOK.
Application Input Components
Setiap aplikasi TI membutuhkan beberapa bentuk input. Saat ini, masukan sering
dihasilkan dari berbagai sumber otomatis.
Data Collection and Other Input Devices
Saat ini departemen operasional menggunakan terminal online untuk memasukkan
transaksinya untuk pengumpulan dan pemrosesan selanjutnya. Setelah jadwal pemrosesan,
transaksi ini dapat diterapkan pada masukan atau pengumpulan dan diperbaharui kemudian
dalam mode batch. Program pemasukan data yang digunakan memiliki beberapa kemampuan
penyaringan transaksi untuk menghilangkan kesalahan tingkat rendah yang umum terjadi
pada sistem masukan batch sebelumnya.
Perusahaan saat ini menerima berbagai macam transaksi data melalui internet, atau
sistem pertukaran data elektronik, atau sistem nirkabel. Di sini, perusahaan lain dapat
mengajukan transaksi pesanan pembelian, rekening pengiriman uang, atau transaksi bisnis
penting lainnya. Individu memulai transaksi penjualan, sekuritas perdagangan, dan
melakukan aktivitas bisnis lainnya melalui komputer rumah mereka melalui Internet. Semua
ini merupakan transaksi masukan ke berbagai aplikasi TI, dan masing-masing memiliki
pertimbangan kontrol tersendiri.
Auditor internal yang meninjau kontrol masukan atas aplikasi TI harus selalu mencari
beberapa elemen pengendalian internal dasar yang sama yang ditemukan dalam semua proses
perusahaan. Program TI yang melalui tabel validasi pendukungnya, dapat memverifikasi
bahwa sebagian atau nomor karyawan valid atau tidak valid. Sistem batch yang lebih tua
memiliki jumlah hash cek untuk membantu mencari kemungkinan kesalahan ini. Sistem
modern memerlukan pengecekan kewajaran yang dibangun dalam prosedur pengumpulan
datanya, dan program yang memproses transaksi memerlukan kontrol untuk mencegah
kesalahan atau memberikan sinyal peringatan.
Application Inputs from Other Automated Systems
Aplikasi komputer seringkali sangat terintegrasi, dengan satu unit aplikasi
menghasilkan file output data untuk diproses oleh yang lain. Transaksi yang dimasukkan ke
dalam satu aplikasi dapat mempengaruhi beragam aplikasi lain yang saling terkait. Dengan
demikian, kesalahan atau kelalaian masukan pada satu titik dalam rangkaian aplikasi dapat
mempengaruhi pemrosesan aplikasi lain yang terhubung. Selain memahami sumber transaksi
ke aplikasi, auditor internal harus memahami sifat input otomatis lainnya pada aplikasi yang
sama. Jaringan aplikasi interkoneksi yang besar dapat menghadirkan tantangan bagi auditor
yang mencoba meninjau kembali kontrol masukan hanya untuk satu di antaranya. Untuk
meninjau kontrol masukan, auditor internal biasanya tidak memiliki waktu atau sumber untuk
meninjau semua proses ini dan harus memutuskan yang paling kritis dan menganggap
aplikasi pendukung yang kurang penting lainnya adalah menghasilkan transaksi yang sesuai.
Files and Databases
Meskipun biasanya dihasilkan oleh beberapa aplikasi pendukung lainnya atau
diperbarui oleh aplikasi yang ditinjau sendiri, file dan database aplikasi merupakan input
penting. Sebagai bagian dari mendapatkan pemahaman tentang sebuah aplikasi, auditor
internal harus memahami sifat dan isi semua file aplikasi pendukung. Perangkat lunak yang
mengendalikan file-file ini umumnya memiliki berbagai pencatatan catatan dan kontrol logis
lainnya untuk menentukan bahwa semua transaksi ditulis dengan benar dan dapat diambil
dari media pendukung elektronik. File juga memiliki tanggal dan kontrol pengecekan label
masing-masing untuk mencegahnya masuk secara tidak benar ke siklus pemrosesan yang
salah atau aplikasi yang salah. Setelah ditulis sebagai aliran rekaman berurutan pada pita
magnetik, file dimasukkan ke disket penyimpanan atau drive jempol dengan kepadatan tinggi
USB. Auditor internal membutuhkan pemahaman umum tidak hanya tentang jenis dan sifat
input pada aplikasi komputer, tetapi juga sumber data file dan setiap kontrol di atasnya.
Database TI adalah sistem untuk mengatur data dalam format sedemikian rupa
sehingga semua elemen data penting saling terkait atau saling terkait. Database relasional
adalah struktur berkas yang paling umum dan ditemukan pada semua jenis dan ukuran
komputer. Pengguna dapat mengambil data di berbagai baris database, kolom, dan halaman
daripada harus pergi ke kepala setiap pohon dan kemudian mencari melalui pohon itu untuk
mengambil data yang diinginkan. Selain menjadi cara yang sangat efektif untuk mengatur
data masukan ke sistem aplikasi, basis data ini memudahkan pengambilan laporan pengguna
akhir yang mudah. Dua contoh umum dari model database relasional ini adalah produk
database Oracle Corporation dan database DB2 IBM.
Application Programs
Aplikasi diproses melalui serangkaian program komputer atau set instruksi mesin.
Program komputer adalah seperangkat instruksi yang mencakup setiap detail proses. Menulis
sebuah program adalah proses penulisan instruksi terperinci dan kemudian mengikuti mereka
ke surat tersebut. Auditor internal yang efektif harus memahami bagaimana program aplikasi
komputer dibuat dan kemampuan mereka, untuk menentukan kontrol yang sesuai prosedur.
Traditional Mainframe and Client‐Server Programs
Mainframe telah digunakan secara luas untuk aplikasi bisnis sejak awal 1960an.
Mereka menggunakan pernyataan instruksi bahasa Inggris yang sebenarnya seperti "ADD A
TO B" untuk menjelaskan tindakan yang akan dilakukan. Program yang disebut kompiler
menerjemahkan instruksi ini ke dalam bahasa mesin. COBOL 1 dengan instruksinya yang
berbahasa Inggris, adalah bahasa yang hampir standar untuk pemrosesan data bisnis sampai
tahun 1980an. Ini masih dalam penggunaan terbatas saat ini untuk beberapa aplikasi bisnis,
namun database khusus dan bahasa pembuat laporan serta bahasa berorientasi objek dominan
saat ini. Berbagai macam bahasa komputer digunakan saat ini, seperti Visual Basic dan Java.
Selain itu, banyak aplikasi dikembangkan melalui bahasa reportgenerator seperti bahasa
Inggris yang berada di atas bahasa komputer pendukung. Terlepas dari kemampuan untuk
menulis permintaan pengambilan kembali audit, auditor internal saat ini tidak perlu memiliki
keterampilan dalam bahasa pemrograman.
Modern Computer Program Architectures
Sebagian besar aplikasi bisnis yang dikembangkan di rumah akan ditulis di COBOL,
yang telah hilang. Beberapa fungsi TI masih mengembangkan aplikasi mereka sendiri secara
internal, menggunakan berbagai macam alat pemrograman di luar COBOL tradisional, yang
disebut pemrograman berorientasi objek bahasa. Seringkali mereka terdiri dari banyak modul
kode program yang sangat kecil yang mengirimkan data satu sama lain, terkadang melalui
jalur telekomunikasi jarak jauh. Beberapa konsep pemrograman berorientasi objek tingkat
tinggi. Java dan C ++ adalah bahasa pemrograman dari aplikasi berbasis Web saat ini
Auditor internal yang meninjau kontrol aplikasi harus memastikan tingkat
pemrograman pengembangan aplikasi yang dilakukan di dalam organisasi TI dan
menentukan bahasa dan alat yang digunakan. Auditor harus bergantung pada tingkat standar
program aplikasi secara keseluruhan dan juga pada pengembangan program dan kontrol
pemeliharaan lainnya, dan daripada mencari ini di setiap aplikasi yang diberikan, sebaiknya
tinjau kontrol pengembangan sistem secara umum di perusahaan TI. Ini mungkin termasuk
dalam tinjauan umum operasi TI. Ketika sebuah perusahaan berencana untuk membangun
dan meluncurkan aplikasi perangkat lunak internal baru atau yang direvisi, audit internal
harus meminta hak untuk melakukan tinjauan pra-implementasi terhadap proyek
pengembangan aplikasi baru. Ini adalah lingkungan dimana auditor internal berfungsi sebagai
reviewer proses pengembangan aplikasi yang sedang berjalan, menilai lingkungan
pengendalian internal yang berkembang dan membuat rekomendasi konsultasi.
Tinjauan proses pengembangan aplikasi dan tinjauan internal audit pra-implementasi
paling efektif untuk upaya pengembangan besar yang mencakup rentang waktu yang panjang
dan mencakup terutama komponen yang dikembangkan secara in-house. Proses pengendalian
harus diterapkan untuk keseluruhan fungsi TI, dan auditor internal harus mencarinya pada
setiap aplikasi yang dipilih untuk ditinjau. Perhatian yang benar harus ditujukan untuk
melestarikan pengendalian internal dan melakukan pengujian yang memadai dalam situasi ini
Vendor‐Supplied Software
Vendor luar akan memasok elemen sistem dasar, dan fungsi pengembangan TI
perusahaan hanya memiliki tanggung jawab untuk membangun tabel khusus, antarmuka file,
dan format laporan keluaran seputar aplikasi yang dibeli. Kode sumber program yang
sebenarnya untuk perangkat lunak yang dibeli sering kali dilindungi oleh vendor untuk
mencegah akses dan perubahan yang tidak semestinya. Baik auditor internal maupun
manajemen TI harus memperhatikan bahwa vendor perangkat lunak memiliki reputasi untuk
kualitas, perangkat lunak bebas kesalahan. Jika ada keraguan bahwa vendor perangkat lunak
tidak memiliki stabilitas, pengaturan harus dilakukan pada saat kontrak pembelian perangkat
lunak untuk menempatkan versi kode sumber vendor "in escrow" jika terjadi kegagalan bisnis
vendor. Bank atau agensi lain akan memegang versi kode sumber yang dilindungi untuk
dilepaskan ke pelanggan jika vendor perangkat lunak gagal.
Auditor internal sering kali dapat memainkan peran tingkat konsultasi yang kuat
dalam perolehan paket perangkat lunak baru. Sering ada banyak masalah pengendalian
internal di luar yang tercantum dalam brosur penjualan. Auditor internal harus memiliki
pemahaman yang baik tentang pengendalian internal seputar aplikasi perangkat lunak yang
dibeli utama seperti aplikasi yang dikembangkan di rumah.
Paket besar dan terpadu seperti sistem ERP yang disebutkan sebelumnya dapat
memiliki dampak besar pada semua aspek perusahaan. Paket aplikasi database ini dapat
mencakup produksi, pembelian, inventori, sumber daya manusia, akuntansi, dan semua
aplikasi bisnis lainnya yang diimplementasikan sebagai rangkaian database yang saling
terkait. Data yang diperkenalkan ke satu komponen aplikasi, seperti biaya standar revisi
untuk komponen manufaktur, akan terhubung ke sistem lain jika diperlukan.
IT Application Output Components
Ini biasanya terdiri dari layar output atau file yang diperbarui serta laporan tercetak.
Ini adalah area penting untuk disurvei dalam tinjauan aplikasi, pengendalian perhatian audit
internal dalam aplikasi terdapat pada layar output file kontrol. Aplikasi lama sekali
menghasilkan volume output yang besar yang menunjukkan hasil pemrosesan dan masalah
kontrol atau kesalahan apa pun. Volume dan frekuensi laporan keluaran tersebut seringkali
mencegah pengguna untuk memberikan perhatian yang memadai terhadap banyak masalah
pengendalian yang dilaporkan, dan auditor internal sering mengidentifikasi kekhawatiran
bahwa pengguna dapat mengidentifikasi hanya dengan meninjau laporan keluaran mereka.
Aplikasi sekarang hanya menghasilkan sedikit jika ada laporan keluaran berbasis
kertas, dengan hasil yang dilaporkan pada layar pengambilan data online. Dalam beberapa
kasus, laporan online khusus masalah kontrol sinyal dan kesalahan data, sementara di pihak
lain pengguna bertanggung jawab untuk memanggil layar yang sesuai untuk meninjau
masalah. Terlalu sering langkah ini dapat diabaikan dan kesalahan pemrosesan tidak
terdeteksi. Auditor internal harus selalu meninjau lingkup laporan keluaran aplikasi dan
disposisi pengguna mereka. Laporan atau layar bukan satu-satunya keluaran aplikasi, karena
transaksi atau file yang diperbarui biasanya diteruskan ke berbagai aplikasi terintegrasi
lainnya. Sama seperti aplikasi TI modern mungkin menerima masukan dari seperangkat
sistem input yang sangat terintegrasi, mungkin saja ada satu tautan lagi dalam rantai ke yang
lain. Sekali lagi dan selalu, auditor internal harus mengembangkan pemahaman yang baik
tentang aplikasi yang diulas serta semua input dan outputnya.

22.2 SELECTING APPLICATIONS FOR INTERNAL AUDIT REVIEWS

Banyak aplikasi IT mewakili tingkat risiko pengendalian minimal. Sebagai bagian
dari tinjauan operasional tertentu atau sebagai bagian dari tinjauan kontrol umum TI, audit
internal harus berusaha untuk memilih hanya aplikasi yang lebih penting untuk ditinjau.
Proses audit untuk memilih aplikasi ini harus berfokus pada pemilihan aplikasi penting
perusahaan. Karena aplikasi IT sangat penting untuk operasi perusahaan, auditor internal
sering mengidentifikasi ini sebagai target sebagai bagian dari perencanaan audit mereka, atau
kadang-kadang menerima permintaan khusus dari komite audit atau manajemen senior untuk
meninjau kontrol aplikasi tertentu.
Auditor internal sering melakukan review terhadap aplikasi spesifik yang mendukung
area fungsional keseluruhan. Dalam pendekatan audit terpadu ini, auditor internal dapat
berkonsentrasi pada masalah teknis yang ada seputar aplikasi dan pada kontrol operasional
pendukung lainnya.

22.3 PRELIMINARY STEPS TO PERFORMING APPLICATION CONTROLS

REVIEW
Setelah aplikasi dipilih untuk ditinjau, audit internal harus mendapatkan pemahaman
tentang tujuan atau sasaran penerapan tersebut, pendekatan teknologi yang digunakan, dan
hubungan penerapannya dengan proses signifikan lainnya. Pemahaman auditor ini seringkali
dapat dilakukan melalui review terhadap setiap lembar kerja audit sebelumnya, wawancara
dengan IT dan personil pengguna, dan review dokumentasi aplikasi.
Saat ini, alat dokumentasi memakai generator flowchart. Kelebihannya adalah diagram
alir rinci dapat digabungkan menjadi versi yang dirangkum dengan perubahan yang
diperkenalkan pada satu grafik untuk memperbarui semua yang lain.
Auditor internal dapat mengharapkan untuk menemukan berbagai jenis dan jumlah
dokumentasi aplikasi tergantung pada usia dan kompleksitas aplikasi yang relatif
ditinjau. Karena prosedur pengelolaan IT yang buruk, aplikasi kompleks yang dikembangkan
di rumah terkadang memiliki dokumentasi yang sangat terbatas. Dokumentasi yang
dipublikasikan yang mencakup aplikasi vendor lain, bagaimanapun, akan sering mencakup
banyak lusinan teks deskriptif. Pengguna akan memperlakukan dokumentasi semacam itu
sebagai bahan referensi yang hampir bersifat ensiklopedi. Tinjauan terhadap dokumentasi
yang dipublikasikan harus menjadi langkah awal untuk mendapatkan pemahaman audit atas
sebuah aplikasi. Jika aspek dokumentasi hilang atau ketinggalan zaman, auditor internal
mungkin akan menemukan temuan pada akhir peninjauan. Namun, kurangnya dokumentasi
ini tidak harus mencegah auditor internal melakukan peninjauan aplikasi. Saat melakukan
tinjauan, audit internal biasanya harus mencari elemen dokumentasi berikut:
 Metodologi pengembangan sistem memulai dokumen. Ini mengacu pada
permintaan proyek awal, pembenaran biaya-manfaat, dan persyaratan design sistem
umum. Dokumen-dokumen ini seringkali akan membantu audit internal memahami
mengapa aplikasi dirancang dan dikendalikan dengan cara itu.
 Spesifikasi desain fungsional. Dokumentasi ini harus menjelaskan aplikasi secara
rinci. Jika perubahan besar telah dilakukan pada aplikasi sejak penerapan aslinya,
perubahan ini juga harus tercermin dalam dokumentasi desain. Tujuan mereka adalah
untuk memungkinkan seorang analis IT untuk dapat melakukan perubahan atau
menanggapi pertanyaan pengguna mengenai aplikasi tersebut.
 Riwayat perubahan program. Harus ada beberapa jenis catatan log atau daftar
terdokumentasi semua perubahan program dalam aplikasi. Beberapa departemen IT
menyimpannya dengan dokumentasi aplikasi, sementara yang lain
mempertahankannya dalam file pusat yang direferensikan silang dengan kode sumber
program. Sementara jenis dokumentasi ini merupakan elemen penting untuk
mengendalikan perubahan program, sementara audit jenis ini juga akan memberikan
audit internal dengan beberapa perasaan akan stabilitas relatif aplikasi. Sejumlah
besar permintaan perubahan yang sedang berlangsung untuk aplikasi yang diberikan
mungkin berarti bahwa sistem aplikasi tidak mencapai tujuan pengguna.
 Panduan dokumentasi pengguna. Seiring dengan dokumentasi teknis, dokumentasi
pengguna yang sesuai harus tersedia untuk aplikasi apa pun. Dokumentasi ini harus
 cukup komprehensif untuk menjawab pertanyaan pengguna. Ini juga harus didukung
oleh bukti program pelatihan pengguna, jika sesuai.

Conducting an Application Walk Through Review

Walk-through review adalah jenis proses audit internal yang sama dengan tinjauan awal
terhadap fasilitas operasional, dimana auditor akan melakukan tur fasilitas. Tujuan walk-
through adalah untuk mengkonfirmasi pemahaman umum audit internal tentang bagaimana
aplikasi IT beroperasi dan untuk melakukan pengujian aplikasi secara preliminarily melalui
transaksi sampel. Langkah – langkah untuk melakukan walk-through review:
1. Menjelaskan secara singkat aplikasi di lembar kerja audit
Deskripsi singkat tentang aplikasi harus disiapkan untuk dimasukkan kemudian ke
dalam lembar kerja audit. Dokumentasi workpaper ini mengikuti format umum dari
deskripsi walk-through kecuali ada detail yang lebih besar, identifikasi subsistem
kunci, format layar masukan, nama file data utama, dan format laporan output.
2. Kembangkan aplikasi block diagram description
Block diagram adalah sistem tingkat auditor tingkat tinggi yang sangat tinggi, atau
diagram alir tingkat fungsional untuk sebuah aplikasi. Ini harus mencerminkan konsep
utama berikut deskripsi tertulis di atas dan juga menggambarkan beberapa konsep
aliran aplikasi. Ini sering bisa menjadi dokumen yang digambar tangan yang akan
membantu meningkatkan pemahaman auditor terhadap aplikasi yang ditinjau.
3. Pilih transaksi aplikasi utama
Satu atau beberapa transaksi perwakilan harus dipilih untuk ditelusuri melalui
aplikasi. Pemilihan ini didasarkan pada diskusi dengan pengguna dan sesama anggota
tim audit.
4. Menelusuri sebuah transaksi yang dipilih melalui proses sistem
Proses walk-through ini biasanya memerlukan cetakan rekaman hasil cetakan
karena masuk ke terminal, dan kemudian mengikuti transaksi melalui langkah
selanjutnya. Jenis pengujian aplikasi ini sering disebut uji kepatuhan. Artinya, audit
internal memverifikasi bahwa aplikasi beroperasi sesuai dengan prosedur
pengendalian preestablished. Pengujian untuk mendukung Sarbanes-Oxley Act
Bagian 404 biasanya mengendalikan satu tes item ke akun buku besar laporan
keuangan.
5. Mengubah pengertian sistem sesuai kebutuhan
Karena tujuan penerapan walk-through adalah untuk mengembangkan
pemahaman dasar tentang fungsi dan kontrolnya, walk-through review tidak
memungkinkan audit internal menentukan apakah semua transaksi berjalan seperti
yang dijelaskan. Namun, jika audit internal menemukan bahwa transaksi jalan pintas
yang dipilih tidak berjalan sebagaimana mestinya, dokumentasi permohonan
persiapan auditor awal mungkin perlu direvisi. Setelah direvisi, audit internal
mungkin ingin mengulangi langkah-langkah yang baru saja dijelaskan untuk
menentukan bahwa audit internal memiliki pemahaman yang benar tentang arus
transaksi sistem.
Walk-through memungkinkan audit internal untuk mendapatkan pemahaman
awal tidak hanya tentang penerapan dan pengendaliannya, namun juga hubungannya
dengan sistem otomatis lainnya. Pengujian kepatuhan terbatas memungkinkan auditor
internal untuk memastikan bahwa aplikasi beroperasi seperti yang dijelaskan. Walk-
through memungkinkan auditor internal untuk mengidentifikasi kelemahan
pengendalian utama dan juga untuk mendapatkan pemahaman yang memadai
mengenai aplikasi tersebut untuk menentukan tujuan pengendalian untuk pengujian
dan evaluasi rinci.
Developing Application Control Objectives
auditor internal selanjutnya harus mengembangkan tujuan dan prosedur audit terperinci
untuk menyelesaikan tinjauan aplikasi. Hal ini tergantung pada jenis tinjauan yang
direncanakan, karakteristik aplikasi, dan hasil langkah tinjauan pendahuluan. Tinjauan yang
diberikan mungkin berkaitan dengan tingkat risiko pengendalian dan kemampuan aplikasi
untuk mendukung laporan keuangan dengan benar. Prosedur yang terkait dengan tujuan audit
ini adalah pengujian saldo laporan keuangan yang dibuat dari transaksi aplikasi terperinci.
Auditor internal juga dapat memiliki tujuan lain dalam mengkaji aplikasi TI. Auditor
yang bertanggung jawab atas tinjauan terperinci mungkin ingin meringkas tujuan ini untuk
tinjauan dan persetujuan oleh anggota manajemen yang tepat. Hal ini dapat membantu
mencegah auditor internal untuk mencurahkan sumber daya untuk menguji area yang tidak
dianggap signifikan.
Bergantung pada arahan manajemen, audit internal dapat mengembangkan tujuan lain
untuk melakukan tinjauan tertentu. Sebelum benar-benar memulai tinjauan aplikasi
terperinci, audit internal harus mendokumentasikan tujuan peninjauan yang spesifik dan
mendiskusikannya dengan manajemen yang meminta tinjauan aplikasi untuk menentukan
apakah pendekatan tinjauan yang direncanakan sesuai dengan target dan akan memenuhi
permintaan audit. Prosedur yang sama juga harus dilakukan walaupun tinjauan aplikasi telah
diprakarsai oleh departemen audit sebagai bagian dari tinjauan total fungsi TI.

22.4 COMPLETING THE IT APPLICATION CONTROLS AUDIT

Prosedur audit aplikasi TI yang rinci dan bervariasi dan bergantung pada (1) apakah
penerapannya menggunakan komponen perangkat lunak yang dibeli atau yang dikembangkan
di dalam rumah; (2) apakah aplikasi diintegrasikan dengan orang lain atau merupakan proses
terpisah; (3) apakah menggunakan penyedia layanan berbasis Webbased, client-server, atau
lebih tua, metode sistem komputer lawas; dan (4) apakah pengendaliannya sebagian besar
otomatis atau memerlukan intervensi manusia yang ekstensif. Sifat aplikasi yang sebenarnya
juga bisa sangat bervariasi. Meskipun penekanan pada audit internal pernah terutama
menyangkut kontrol dalam aplikasi terkait akuntansi, auditor internal saat ini juga harus
meninjau aplikasi di wilayah lain. Bidang ini memerlukan pengetahuan tentang atribut
spesifik aplikasi dan juga teknologi pendukungnya. Auditor internal harus memahami
bagaimana aplikasi bekerja dengan terlebih dahulu mendokumentasikan aplikasi TI,
kemudian menentukan tujuan uji audit yang spesifik, dan akhirnya melakukan serangkaian
tes audit untuk memverifikasi bahwa kontrol aplikasi ada pada tempatnya dan bekerja seperti
yang diharapkan.
Selain meninjau dokumentasi dan walk-through, diskusi dengan personil pengguna
kunci dan personil sistem yang bertanggung jawab dapat membantu pemahaman auditor.
Jumlah usaha yang dihabiskan di sini bergantung pada jenis aplikasi yang ditinjau dan jumlah
pengguna yang dapat membantu.
Langkah selanjutnya adalah melengkapi dokumentasi aplikasi untuk tujuan audit.
Audit internal seharusnya membuat catatan kertas kerja sepanjang. Prosedur dokumentasi di
sini sebagian besar merupakan salah satu ringkasan di mana pencitraan menggambarkan
pemahaman yang diperoleh dan menyertakan catatan untuk tindak lanjut tinjauan tindak
lanjut.

MENGKLARIFIKASI DAN MENGUJI TUJUAN PENGENDALIAN AUDIT

Langkah selanjutnya untuk mengklarifikasi tujuan peninjauan seringkali merupakan
bidang utama di mana audit internal diketahui gagal. Manajemen mungkin mengharapkan
audit internal untuk meninjau kontrol akuntansi, namun tinjauan audit internal mungkin
terlalu menekankan kontrol keamanan logis, sehingga tidak terlalu memperhatikan tujuan
pengendalian yang mapan lainnya. Kesalahpahaman tentang tujuan audit ini menjadi sangat
penting saat peninjauan tidak secara umum berada di ranah aplikasi akuntansi auditor yang
lebih umum.
Meskipun kebutuhan akan pernyataan tujuan peninjauan yang jelas mungkin tampak
sebagai langkah awal yang jelas, auditor sering kali mengabaikannya. Tujuan dari tinjauan
aplikasi dapat berubah jika audit internal menemukan bukti masalah kontrol lainnya selama
tinjauan ulang yang menyarankan penyelesaian lingkup atau prosedur audit. Audit internal
selanjutnya harus menguji titik kontrol utama dalam aplikasi. Dengan pengujian kepatuhan
yang terbatas yang telah dilakukan sebagai bagian dari mendapatkan pemahaman dan
jalannya jalan, prosedur uji ini sekarang dapat diperluas untuk membuat penilaian kontrol
aplikasi yang lebih pasti. Dalam sistem batch-oriented yang lebih tua dan sederhana, tugas ini
cukup mudah. Audit internal mencari kontrol penerimaan data masukan, untuk setiap
keputusan pemrosesan komputer, dan untuk kontrol verifikasi data keluaran. Karena hanya
ada beberapa proses yang terkait dengan aplikasi batch yang lebih tua, sekarang ini
identifikasi prosedur pengujian seringkali dapat dilakukan dengan analisis minimal. Aplikasi
modern saat ini dengan update online, integrasi yang erat dengan aplikasi lainnya, dan teknik
pemrograman yang canggih semuanya menggabungkan untuk membuat prosedur pengujian
yang sulit diidentifikasi. Faktor lainnya termasuk:
 Input ke aplikasi seperti tautan Web atau dari aplikasi lain di perusahaan mitra.
 Kontrol yang pernah dilakukan oleh personil input data sekarang dibangun dalam
program
 Perangkat input pemindaian optik modern dan dokumen keluaran dengan barcode
multidimensi membuat inspeksi visual menjadi sulit.
 Database file dapat dibagi dengan aplikasi lain, sehingga sulit untuk menentukan
darimana terjadi perubahan atau transaksi.
 Aplikasi ini dapat memanfaatkan antarmuka Web secara luas dan akan tampak seperti
adanya, tanpa kertas untuk audit internal.

auditor internal harus mencari poin di mana keputusan logika sistem atau keputusan
dibuat dalam sebuah aplikasi dan kemudian mengembangkan prosedur pengujian untuk
memverifikasi bahwa poin keputusan tersebut benar. Poin-poin ini termasuk kontrol kunci
dalam aplikasi, seperti pemeriksaan kelengkapan transaksi atau keakuratan perhitungan.
Tests Of Application Inputs And Outputs
Banyak tes yang berhubungan dengan audit sedikit lebih banyak daripada
pemeriksaan untuk memverifikasi bahwa semua masukan ke program dicatat dengan benar
dan jumlah transaksi output yang benar dihasilkan berdasarkan masukan ini. Auditor internal
akan menguji untuk menentukan bahwa semua masukan diterima atau ditolak dan jumlah
keluaran yang dihasilkan dapat disamakan dengan masukan tersebut. Ini adalah tes input dan
output sistem.
Meskipun input telah hilang, aplikasi otomatis telah menjadi banyak lebih kompleks,
dan banyak prosedur uji audit saat ini tidak lebih dari yang sama tes input dan output. Auditor
internal harus memeriksa keluaran yang dihasilkan dari sebuah aplikasi, untuk menentukan
bahwa input data dan perhitungan otomatis sudah benar. Jenis tes audit bersifat terbatas dan
tidak mencakup semua transaksi atau fungsi dalam aplikasi.
Tujuan dari penilaian risiko pengendalian atau uji kepatuhan adalah untuk
menentukan apakah kontrol aplikasi tampak berfungsi. Jika semua transaksi atau semua data
ditinjau, prosedur pengujian substantif atau pengujian saldo laporan keuangan harus
digunakan. Tingkat pengujian ini tergantung pada tujuan audit. Auditor internal mungkin
juga ingin melakukan tes kepatuhan di bidang lain, seperti efisiensi kontrol administratif.
 Untuk aplikasi yang lebih tua, tes input dan output seringkali cukup mudah dilakukan.
Auditor akan memilih contoh transaksi input dan kemudian menentukan bahwa jumlah input
sama dengan jumlah barang olahan ditambah barang yang ditolak atau kesalahan. Jenis tes
audit ini hampir tidak semudah aplikasi saat ini, dimana auditor sering tidak akan
menemukan hubungan satu lawan satu antara input dan output. Uji pendekatan transaksi
seringkali jauh lebih mudah dilakukan dan bahkan lebih bermakna. Meskipun demikian, tes
input dan output terkadang berguna untuk review aplikasi.
Test Transaction Evaluation Approaches
Auditor internal mungkin ingin memastikan bahwa transaksi yang masuk ke sistem
diproses dengan benar. Verifikasi ini dapat dilakukan dengan meninjau laporan pengambilan
khusus terhadap file data. Sebagai bagian dari proses transaksi pengujian, auditor juga dapat
menguji apakah kontrol skrining kesalahan beroperasi seperti yang dijelaskan. Penekanannya
disini adalah pengujian rutin error-verification dalam aplikasi. Audit internal dapat memilih
masukan transaksi ke aplikasi yang tampaknya tidak valid dan kemudian melacaknya melalui
aplikasi untuk menentukan bahwa laporan tersebut telah dilaporkan dengan benar pada
laporan pengecualian. Audit internal juga dapat mempertimbangkan untuk mengirimkan
transaksi uji kesalahan ke sistem untuk memverifikasi bahwa mereka ditolak oleh aplikasi
dengan benar.
Other Application Review Techniques
Alat bantu audit yang dibantu komputer dapat berguna dalam meninjau kontrol
aplikasi. Perangkat lunak audit dapat mencocokkan file dari periode yang berbeda,
mengidentifikasi item data yang tidak biasa, melakukan pijakan dan perhitungan ulang, dan
mensimulasikan fungsi aplikasi yang dipilih. Teknik berguna lainnya adalah:
 Reperformance fungsi aplikasi atau perhitungan. Jenis tes ini berlaku baik untuk
aspek otomatis dan manual dari sistem aplikasi.
 Ulasan kode sumber program Untuk aplikasi yang dikembangkan di rumah, audit
internal dapat memverifikasi bahwa pemeriksaan logika tertentu dilakukan dalam
program dengan memverifikasi kode sumber.
 Pengamatan terhadap prosedur. Pengamatan mungkin berguna saat meninjau aplikasi
otomatis dan proses manual
Completing the Application Controls Review
Audit internal harus selalu berhati-hati dalam mengkondisikan laporan auditnya
kepada manajemen dengan memberikan komentar mengenai risiko salah hasil karena
terbatasnya uji audit. Terkadang kontrol yang diuji sepertinya tidak berjalan dengan baik
karena audit internal tidak memahami beberapa aspek dari sistem aplikasi. Audit internal
mungkin ingin meninjau deskripsi aplikasi dan identifikasi kontrol untuk memverifikasi
bahwa itu benar. Mungkin perlu untuk merevisi pemahaman audit internal terhadap kontrol
aplikasi dan kemudian reperform prosedur penilaian risiko audit.
Jika audit internal menemukan melalui pengujian kepatuhan bahwa kontrol aplikasi
tidak berjalan, mungkin perlu melaporkan temuan ini. Jika kelemahan kontrol terutama
berkaitan dengan efisiensi atau operasional, audit internal mungkin ingin melaporkannya ke
manajemen TI untuk tindakan perbaikan di masa depan.
Aplikasi bisa terutama finansial atau operasional. Mereka bisa diimplementasikan
menggunakan perangkat lunak yang dibeli, menjadi aplikasi yang dikembangkan khusus
yang terdapat pada sistem in-house dengan database dan fasilitas telekomunikasi yang luas,
beroperasi di lingkungan server klien, atau ada dalam berbagai variasi lainnya. Audit internal
dapat mengembangkan pendekatan umum untuk meninjau sebagian besar aplikasi
pengolahan data, namun biasanya diperlukan untuk menyesuaikan pendekatan tersebut
dengan fitur spesifik dari aplikasi tertentu.
22.6 AUDITING APPLICATIONS UNDER DEVELOPMENT
Banyak auditor internal menyadari bahwa jauh lebih efisien untuk meninjau aplikasi
TI untuk kontrol internal saat sedang dikembangkan dan diterapkan daripada setelah
diproduksi.
Auditor internal harus berhati-hati agar tidak mengambil tanggung jawab untuk
merancang kontrol aplikasi baru. Tugas audit internal untuk meninjau dan
merekomendasikan namun tidak merancang atau membangun kontrol di area yang ditinjau.
Saat meninjau aplikasi baru yang sedang dikembangkan, auditor internal harus menunjukkan
kelemahan pengendalian internal kepada pengembang aplikasi dan hanya merekomendasikan
agar mereka menerapkan rekomendasi tersebut.
Kelompok pengembangan aplikasi, manajemen pengguna, dan auditor semua
cenderung setuju bahwa, dalam meninjau aplikasi TI baru yang sedang dikembangkan, audit
internal menyediakan seperangkat mata untuk melihat aplikasi baru dan segera diterapkan.

Tujuan dan Kendala Aplikasi Audit Pra-Implementasi

Selama bertahun-tahun, auditor internal telah menerima ulasan pra-implementasi,
bertindak sebagai auditor dan bukan konsultan. Namun, auditor internal menghadapi empat
hambatan utama saat meninjau aplikasi baru yang sedang dikembangkan:
1. Them versus‐us‐attitudes. Manajemen TI mungkin sering mengungkapkan
kecurigaan atau bahkan kebencian ketika audit internal mengumumkan rencananya
untuk meninjau kembali aplikasi yang sedang dikembangkan dan masih memiliki
banyak rincian yang harus diselesaikan. Prosedur review pra-pelaksanaan yang baik
dapat menetapkan rasa hormat terhadap peran audit internal dan memberi nilai
tambah dalam proses pembangunan.
2. Internal auditor role problems. Peran auditor internal harus dipahami secara jelas
oleh semua pihak dan didefinisikan sebagai berikut ini: an extra member of the
implementation team, a specialized consultant, an occupant of the extra chair, state‐
of‐the‐art awareness needs, many and varied preimplementation candidates.

Alasan kuat untuk melakukan fungsi audit internal agar terlibat aktif dalam tinjauan
pra-implementasi terhadap aplikasi baru yang penting atau kritis sebelum ditempatkan ke
dalam produksi. Hal ini terutama berlaku di era aplikasi enterprise-wide hari ini yang
memerlukan perencanaan dan pengujian terperinci di semua area perusahaan.

Tujuan Review Pra-Implementasi

Tujuan utama penting dari audit praimplementasi aplikasi adalah untuk
mengidentifikasi dan merekomendasikan pengendalian perbaikan sehingga dapat berpotensi
dipasang selama proses pengembangan aplikasi. Audit internal juga harus memiliki tujuan
untuk meninjau justifikasi dan definisi proyek pembangunan baru. Harus ada sistem
manajemen proyek yang bagus yang merencanakan langkah-langkah pembangunan dengan
tepat dan mengukur kemajuan aktual terhadap langkah-langkah yang direncanakan. Tahap
praimplementasi ini juga tepat bagi auditor internal untuk mendapatkan pemahaman tentang
aplikasi baru yang memadai untuk merancang tes audit otomatis masa depan.

Masalah Review Pra-Implementation

Tinjauan pra-implementasi sering menghadirkan audit internal dengan beberapa masalah
pelaksanaan yang sangat serius, termasuk tantangan yang sering diajukan oleh terlalu banyak
calon peninjau yang diberi sumber daya audit internal terbatas. Untuk mengatasi kesulitan
tersebut, audit internal harus mempertimbangkan hal berikut:
  Selecting the right applications to review. Auditor dihadapkan pada masalah memilih
aplikasi signifikansi audit. Auditor internal harus mengikuti metode seleksi terstruktur
berbasis risiko untuk mengidentifikasi aplikasi tersebut untuk ditinjau ulang
 Determining the proper auditor’s role. Ketika sebuah aplikasi telah dipilih untuk
tinjauan pra-pelaksanaan, audit internal terlalu sering menjadi terlalu terlibat dalam
proses pengembangan dan penerapan sistem. Agar efektif dalam mengkaji ulang
aplikasi baru yang sedang dikembangkan, peran auditor internal perlu didefinisikan
secara hati-hati.
 Review objectives can be difficult to define. Ketika auditor menginformasikan
departemen TI bahwa aplikasi yang diberikan telah dipilih untuk tinjauan pra-
implementasi dan meminta dokumentasi pendukung, audit internal kemudian diminta
untuk meninjau dan mengomentari. Pendekatan tujuan dan prosedur pengendalian
audit dapat membantu auditor memilih bahan yang relevan untuk ditinjau.

Prosedur Review Pra-Implementation

Ketika audit internal telah memilih aplikasi yang diberikan untuk tinjauan pra-
implementasi, langkah pertama yang penting adalah meninjau keseluruhan program audit
yang direncanakan dengan manajemen TI sehingga ada pemahaman tentang apa yang
diharapkan oleh auditor internal, serta pendekatan tinjauan. Beberapa prosedur berikut harus
diterapkan untuk sebagian besar ulasan pra-implementasi.
Persyaratan Aplikasi Definisi Tujuan
Audit internal harus meninjau studi persyaratan terperinci untuk menentukan status
kontrol keseluruhan dari aplikasi baru. Jika audit internal dapat mengidentifikasi masalah
pengendalian selama tahap pengembangan aplikasi ini, akan relatif mudah bagi perancang
sistem untuk menangani dan memperbaikinya.
Desain Detail dan Tujuan Pengembangan Program
Merupakan fase terpanjang dari sebuah proyek aplikasi baru, dan audit internal
menjadwalkan beberapa ulasan selama fase ini. Setiap ulasan berkala harus berfokus pada
area spesifik proyek pengembangan aplikasi baru.
Beberapa perusahaan IT mungkin mencoba menggunakan audit internal sebagai fungsi
penjaminan kualitas untuk proyek tersebut. Namun, efektivitas audit secara keseluruhan akan
berkurang jika waktu audit internal digunakan untuk meninjau hal-hal seperti kepatuhan
terhadap standar pemrograman yang terperinci.
Pengujian Aplikasi dan Tujuan Implementasi
Tahap ini mencakup pengujian aplikasi baru, penyelesaian dokumentasi, pelatihan
pengguna, dan konversi file data. Audit internal seringkali akan dapat melihat apakah sistem
kontrol tampak bekerja seperti yang diharapkan dan ingin menguji modul audit tertanam yang
dimasukkan ke dalam aplikasi. Daftar periksa pengujian aplikasi pra-instal untuk tahap ini
untuk membantu audit internal merekomendasikan apakah aplikasi baru siap untuk
pelaksanaan akhir.
Tujuan dan Laporan Review Post-Implementation
Tinjauan pasca implementasi harus dilakukan segera setelah aplikasi baru telah
dilaksanakan. Audit internal harus melakukan peninjauan setelah pengguna memiliki
kesempatan untuk memahami sistem informasi dan aplikasi yang memiliki waktu untuk
menyelesaikan kesulitan implementasi secara final. Tinjauan post-implementation disini
menentukan apakah tujuan perancangan aplikasi telah dipenuhi dan jika pengendalian
aplikasi yang ditetapkan sedang berjalan.
Departemen audit internal harus memiliki prosedur yang cukup formal untuk
menerbitkan laporan audit. Format laporan audit ini terkadang tidak sesuai untuk tinjauan
aplikasi baru yang sedang dikembangkan. Audit dan manajemen umum, yang mengharapkan
laporan audit yang lebih formal terhadap temuan dan rekomendasinya, harus memahami
format laporan khusus yang digunakan untuk tinjauan pra-implementasi. Informal, memo-
jenis laporan harus dikeluarkan setelah setiap tahap tinjauan pra-implementasi untuk
membahas ruang lingkup kegiatan peninjauan dan mendokumentasikan masalah audit
Pada akhir pengkajian pra-implementasi, audit internal harus mengeluarkan laporan
audit formal berdasarkan audit dewan dan standar departemen setelah format laporan.
Apabila diperlukan, laporan ini dapat membahas temuan audit pra-implementasi dan tindakan
perbaikan yang dilakukan. Fungsi utama dari laporan akhir ini adalah untuk menyoroti
masalah kontrol yang masih ada yang masih perlu dikoreksi dalam sistem aplikasi baru.

22.7 IMPORTANCE OF REVIEWING IT APPLICATION CONTROLS

Auditor internal harus menempatkan penekanan utama pada review dukungan aplikasi
TI mereka saat melakukan review di area lain dalam sebuah perusahaan. Aplikasi perusahaan
mungkin telah dikembangkan melalui serangkaian kompromi di antara pengguna atau tanpa
tingkat jaminan kualitas yang tepat. Untuk mengevaluasi pengendalian aplikasi TI dengan
tepat, audit internal membutuhkan pemahaman yang baik mengenai prosedur TI dan
pengendalian yang spesifik dan karakteristik prosedural dari tiap area aplikasi.
Auditor internal yang efektif harus mengabiskan tenaga dengan jumlah yang besar
dalam melakukan review dan mengecek pengendalian dari spesifik aplikasi TI. Review
tersebut akan memberikan kepastian kepada manajemen umum bahwa aplikasi tersebut
berjalan dengan baik dan untuk itu pengelolaan standar desain dan pengendalian yang mereka
ikuti, memungkinkan mereka untuk menempatkan ketergantungan yang lebih besar pada
hasil keluaran dari aplikasi tersebut. Pemahaman tentang tinjauan pengendalian aplikasi ini
harus menjadi komponen kunci dalam elemen CBOK auditor internal saat ini.

BAB 23: CYBERSECURITY, HACKING RISKS, AND PRIVACY CONTROL

23.1 HACKING AND IT NETWORK SECURITY FUNDAMENTALS

Bagi auditor internal dan banyak manajer perusahaan, hacking berarti akses dan
pencurian file dan arsip sistem TI yang tidak tepat. Karena tidak memiliki prosedur
pengendalian internal yang tepat, sistem perangkat keras, perangkat lunak, dan data
perusahaan TI dapat menghadapi beberapa ancaman TI:
1. Interuptions. Aset sistem bisa hilang, tidak tersedia, atau tidak dapat digunakan.
2. Interceptions. Pihak luar, orang atau program semacam itu, bisa mendapatkan akses
ke file IT atau aset lainnya.
3. Modifications. Di sini, penyusup yang tidak sah tidak hanya mengakses tapi
membuat perubahan pada data, program, atau bahkan komponen perangkat keras
4. Fabrications. Ancaman ini terjadi ketika orang yang tidak berwenang mengenalkan
objek palsu ke lingkungan TI. Ini mungkin termasuk transaksi palsu ke sistem
komunikasi kerja baru atau memasukkan catatan ke database yang sudah mapan

23.2 DATA SECURITY CONCEPTS

Data perusahaan perlu dilindungi. Bisa jadi ada beberapa variasi dan konfiasi. Dalam
beberapa kasus, data mungkin memerlukan beberapa perlindungan kerahasiaan dasar. Data
harus tersedia dengan cara yang dilindungi dan rahasia. Meski selalu ada ancaman, data harus
terlindungi dari tumpahan atau rembesan yang tak terduga. Integritas data sangat perlu
diperhatikan. Untuk setiap data repositori, selalu ada pihak luar yang mencoba menembus
dinding untuk mendapatkan akses Auditor internal harus memikirkan keamanan komputer
dalam hal tiga konsep konfidensialitas, ketersediaan, dan integritas.
23.3 IMPORTANCE OF IT PASSWORDS
 Kata sandi adalah kontrol TI dasar di mana pengguna sistem data harus memasukkan
beberapa kode atau kata kunci pribadi yang hanya diketahui oleh pengguna tersebut untuk
mendapatkan akses ke sumber daya TI.
Saat mereview pengendalian internal aplikasi TI, auditor internal harus selalu mencari
penggunaan kata sandi yang efektif. Literatur keamanan TI dipenuhi dengan kata sandi, dan
beberapa praktik terbaik dalam penggunaan kata sandi TI termasuk:
 Kata sandi adalah tanggung jawab pengguna untuk dibuat, namun aturan administratif
harus ditetapkan agar sulit bagi orang lain untuk menebaknya.
 Kata sandi harus terstruktur sedemikian rupa sehingga sulit untuk ditebak dengan
mudah.
 Dalam prosesnya membutuhkan perubahan kata sandi yang sering.
 Dalam prosesnya ditempatkan pada kata sandi monitor, menolak akses setelah
mungkin dua atau tiga upaya kata sandi yang tidak benar, memungkinkan kata sandi
untuk di-reset melalui prosedur administrasi.
 Sistem yang menghasilkan atau memerlukan kata sandi yang sangat panjang atau
kompleks tidak boleh digunakan.
 Perusahaan yang berorientasi pada sumber daya manusia harus menggunakan kata
sandi.

23.4 VIRUSES AND MALICIOUS PROGRAM CODE

Virus komputer biasanya adalah rutinitas program komputer yang sangat kecil yang
dapat membuat banyak salinan dirinya sendiri dan menginfeksi komputer lain tanpa izin atau
sepengetahuan pengguna. Virus hanya bisa menyebar dari satu komputer ke komputer lain
saat kode virus dibawa ke komputer lain yang tidak terinfeksi. Sedangkan malware adalah
perangkat lunak yang buruk atau berbahaya.
Ancaman malware telah berkembang menjadi berbagai resiko keamanan maya yang
semakin meluas dan seringkali sangat canggih mengingat ketergantungan dan penggunaan
berat semua jenis sistem TI. Ancaman yang signifikan adalah ledakan taktik yang dirancang
untuk mengelabui pengguna agar membocorkan nama pengguna, kata sandi, dan informasi
rahasia lainnya, yang kemudian dapat digunakan untuk melakukan kejahatan berdasarkan
identifikasi penipuan.
Auditor internal harus menyadari bahwa virus perangkat lunak adalah ancaman yang
konstan dan mencari penerapan perangkat lunak antivirus yang efektif untuk setiap sistem
komputer yang ditinjau, apakah itu sistem TI pusat perusahaan atau laptop bisnis. Auditor
internal harus menentukan bahwa perlindungan perangkat lunak sudah terinstall diperbarui
secara berkala, dan tindakan tersebut diambil saat virus terdeteksi.
23.5 SYSTEM FIREWALL CONTROL
 Jenis keamanan perangkat lunak IT yang umum disebut sistem firewall, proses
perangkat lunak yang menyaring lalu lintas antara lingkungan "di dalam" terlindungi dan
tidak terlindungi atau tidak dipercaya "di luar". Ini adalah jenis perangkat lunak khusus yang
memungkinkan atau mencegah jenis transaksi tertentu. Perusahaan perlu memasang firewall
baik di antara jaringan sistem dan dunia luar melalui Internet atau sumber lainnya. Firewall
memonitor lalu lintas, mengarahkan beberapa ke lokasi jaringan yang ditunjuk, dan
memblokir yang lain.

Firewall sering diatur seperti apa yang disebut screening router, proxy gateway, atau
guard. Namun, dari perspektif audit internal, daripada memahami rincian teknis dari
konfigurasi, auditor internal harus mengajukan pertanyaan dan menentukan bagaimana
firewall dipasang di area perusahaan yang ditinjau.
Firewall gateway proxy digunakan saat perusahaan ingin membuat daftar harga online
dan penawaran produk untuk pihak luar, namun mencegah orang-orang luar memodifikasi
informasi harga dan produk atau mengakses file pendukung yang terkait dengan penawaran
produk. Konfigurasi lain, firewall penjaga, digunakan saat perusahaan mengizinkan
karyawannya mengakses sebagian besar wilayah Web, namun melarang akses ke beberapa
hal tertentu.
Selain menyaring atau memantau network address dan Web address, firewall juga
dapat memantau konten spesifik dalam pesan atau Webpage. Mereka dapat mengaudit
kegiatan ini dan bahkan melaporkan upaya akses yang tidak semestinya. Firewall harus
dikonfigurasi dengan benar, namun konfigurasi harus diperbarui secara berkala untuk
lingkungan internal dan eksternal. Firewall melindungi lingkungan hanya jika mereka
mengendalikan semua akses ke perimeter jaringan. Firewall adalah kontrol keamanan yang
kuat, namun seringkali menjadi target penetrator.
Saat melakukan review keamanan data, auditor internal harus memahami lokasi dan
sifat dari rekaman yang dipasang. Ini penting jika konfigurasi firewall memberikan
perlindungan yang memadai dan diperbarui secara berkala. Selain itu, auditor internal harus
mencari review dan follow-up yang sesuai mengenai laporan pelanggaran firewall.

23.6 SOCIAL ENGINEERING IT RISKS

Internet pada awalnya dirancang sebagai kendaraan komunikasi yang inherently
insecure sehingga ancaman privasi internet adalah hal yang lumrah. Hacker sering
menunjukkan bahwa mereka dapat dengan mudah menembus file, database, dan sumber daya
IT yang terhubung Internet lainnya di fasilitas yang paling aman secara fisik dari institusi
militer dan keuangan. Selain itu, perusahaan telah merancang banyak cara untuk melacak
pengguna Web saat mereka melakukan perjalanan dan berbelanja di seluruh situs internet
menggunakan alat cybersnooping umum yang disebut cookie. Pencuri identitas dapat
berbelanja online secara anonim dengan menggunakan identitas kredit orang lain, dan broker
informasi berbasis Web dapat menjual data pribadi yang sensitif, termasuk nomor Jaminan
Sosial, yang relatif murah.
Produk software seperti Facebook dan Twitter dimulai sebagai software pribadi namun
kini banyak ditemukan di tempat kerja perusahaan. Pertumbuhan smartphone pun telah
mengubah keseluruhan corak sistem IT dan telah memperkenalkan berbagai macam risiko
dan masalah teknis rekayasa sosial. Banyak yang melibatkan pelaku mendapatkan informasi
rahasia melalui semacam upaya akses yang "ramah" namun tidak tepat. Terminologi baru
muncul secara teratur, namun pelaku rekayasa sosial IT sering menggunakan salah satu
metode pada Exhibit 23.5 (Baiting, Phishing, Pretexting, Quid Pro Quo, Shoulder Surfing,
Tailgating).
Penjahat sering mencari cara rekayasa sosial untuk menipu pengguna dan mencuri
identitas pengguna itu. Kontrol yang efektif belum tentu sangat kompleks. Auditor internal
harus menyadari bahwa risiko dan masalah sosial IT yang berkembang ini menjadi perhatian
yang semakin meningkat. Meskipun merupakan tanggung jawab perusahaan untuk mendidik
komunitas pengguna mereka dan memperingatkan orang untuk menghindari kecurangan
tersebut, auditor internal harus mengetahui skema tersebut dan mencari peringatan yang
sesuai saat diminta.
Dari perspektif audit internal, beberapa masalah keamanan komputer yang paling
penting berpusat pada kebutuhan untuk membangun dukungan manajemen yang kuat untuk
program keamanan IT dan pada keseluruhan program pendidikan pemangku kepentingan
mengenai ancaman dan kerentanan keamanan jaringan IT.
Auditor internal harus memiliki pemahaman umum CBOK tentang prosedur kontrol
jaringan dan cybersecurity yang baik dalam tinjauan internal IT yang sedang berlangsung.
Auditor internal harus selalu dapat meminta bantuan dari pakar keamanan organisasi IT
perusahaan.

23.7 IT SYSTEMS PRIVACY CONCERNS

Privasi adalah harapan bahwa informasi pribadi yang rahasia yang diungkapkan di
tempat pribadi tidak akan diungkapkan kepada pihak ketiga, bila pengungkapan tersebut akan
menyebabkan rasa malu atau tekanan emosional terhadap orang yang memiliki kepekaan
yang masuk akal. Ini tentu mencakup semua aspek sistem dan jaringan TI.
Di dunia jaringan TI yang kompleks, sistem yang tersambung ke Internet, dan teknologi
yang terus maju, masalah privasi di banyak tingkat semakin meningkat. Ada banyak masalah
di sini tentang berapa banyak data dan informasi pribadi yang harus diberikan individu
kepada perusahaan yang tertarik, pejabat pemerintah, dan bahkan orang lain. Demikian pula,
dari perspektif privasi dan keamanan, perusahaan menginginkan tingkat perlindungan yang
memadai. Dua undang-undang AS, Undang-Undang Portabilitas dan Akuntabilitas Asuransi
Kesehatan (HIPAA) dan Undang-Undang Gramm-Leach-Bliley, menetapkan beberapa
peraturan berbasis privasi yang harus diketahui oleh auditor internal, dan ada masalah privasi
terkait TI lainnya yang termasuk dalam layar radar auditor internal. Auditor internal
setidaknya harus menyadarinya saat mereka melakukan tinjauan pengendalian internal,
terutama di area yang berhubungan dengan TI. Beberapa masalah privasi yang berkembang
di dunia sekarang tentang masalah keamanan cybersecurity yaitu:
Data Profiling Privacy Issues
Sebagai bagian dari kehidupan sehari-hari, data dikumpulkan dari individu dan
perusahaan, seringkali tanpa persetujuan mereka dan seringkali tanpa realisasinya. Bagi
individu, data dikumpulkan dan disimpan dalam sistem komputer.
Online Privacy and E-Commerce Issues
Telah ada liputan media yang luas tentang masalah privasi online. Dimulai dengan
Undang-Undang Privasi Komunikasi Elektronik, yang disahkan di Amerika Serikat pada
tahun 1986, dll. Tidak satu pun dari undang-undang ini yang sepenuhnya mengikuti
perubahan teknologi, dan semuanya mendapat kritik pembela kebebasan finansial. Undang-
undang privasi Internet A.S. lainnya dapat disahkan dalam tahun-tahun mendatang yang akan
memberikan perlindungan konsumen yang kuat di bidang ini, dan auditor internal harus
menyadari peraturan yang berubah ini. Undang-undang semacam itu dapat memberi mandat
bahwa setiap situs web komersial memberikan kebijakan privasi dan mengharuskan situs web
komersial tersebut dengan jelas menjelaskan praktik pengumpulan datanya dan memberikan
metode yang berarti bagi pengunjung untuk mencegah data pribadi mereka ditangkap dan
dijual ke perusahaan lain.
Radio Frequency Identification (RFID)
Teknologi identifikasi frekuensi radio (RFID) terlampir pada keychain atau kartu
adalah chip data kecil yang berisi sensor ID frekuensi radio. Ini sering disebut contactless ID
card karena pengguna hanya perlu melambaikan kartu dalam beberapa inci dari pembaca agar
bisa masuk ke gedung atau kantor.
Tantangan bagi banyak auditor internal yang melakukan tinjauan di bidang ini adalah
bahwa manajemen auditee dan staf mereka mungkin memiliki harapan yang berbeda. Harus
ada kekhawatiran tingkat tinggi tentang beberapa masalah privasi yang dibahas di sepanjang
bab ini.
U.S. Federal Privacy Protection Laws
Warga negara yang paling maju menikmati hak atas privasi melalui undang-undang
yang disebut tindakan perlindungan data. Di sebagian besar undang-undang perlindungan
data semacam itu,, mengatur bagaimana informasi pribadi dapat digunakan oleh instansi
pemerintah dan juga entitas sektor komersial. Penggunaan informasi pribadi biasanya
merupakan keputusan pribadi opt-in atau optout berdasarkan undang-undang yang paling
umum. Dengan kata lain, informasi pribadi individu tidak dapat digunakan.
Amerika Serikat tidak memiliki undang-undang semacam itu, namun ada banyak
undang-undang yang mencakup sektor industri tertentu, seperti Undang-Undang
Perlindungan Konsumen Telepon (telemarketing), Fair Credit Reporting Act (laporan kredit
dan cek latar belakang pekerjaan), HIPAA yang sebelumnya dirujuk catatan privasi), dan
peraturan privasi finansial lainnya. Kesenjangan di sini meninggalkan banyak penggunaan
informasi pribadi yang tidak dilindungi. Pendekatan privasi yang diambil di Amerika Serikat
disebut sebagai hak opt-out.

23.8 THE NIST CYBERSECURITY FRAMEWORK

National Institute for Standards and Technology (NIST) pemerintah A.S. telah
bertanggung jawab untuk mengembangkan standar dan pedoman di banyak bidang selama
bertahun-tahun dan, baru-baru ini, mengenai beberapa materi panduan terkait TI. Dokumen
NIST merupakan seperangkat praktik terbaik yang direkomendasikan untuk membantu
perusahaan memahami dan memantau auditor magang dengan lebih baik dalam meninjau
kontrol cybersecurity perusahaan.
Sebagai area di mana auditor internal dapat membantu dalam kegiatan penilaian
mereka, kerangka kerja NIST meminta TI dan manajemen untuk menilai kualitas praktik
cybersecurity. Setelah penilaian ini selesai, perusahaan dapat memberi kriteria NIST untuk
memperbaiki postur cybersecurity dan mengembangkan target cybersecurity perusahaan.
Rekomendasi NIST di antaranya yaitu partial risk, risk informed risk, repeatable
formal, dan adaptive risk. Dalam meninjau kematangan dan kemampuan perusahaan
cybersecurity. Di sekitar tingkatan yang disarankan ini, kerangka kerja NIST menambahkan
fungsi:
1. Kebijakan. Kebijakan harus menetapkan siklus yang berkelanjutan untuk menilai
risiko dan implementasi dan untuk pemantauan penggunaan efektivitas program.
 Kebijakan ini harus ditulis untuk mencakup semua fasilitas dan operasi utama dan
harus secara jelas menetapkan tanggung jawab keamanan TI, dan dasar untuk
mengukur kemajuan dan kepatuhan. Selain itu, kebijakan harus mengidentifikasi
hukuman dan tindakan disipliner tertentu jika kebijakannya tidak diikuti.
2. Prosedur. Prosedur secara jelas mendefinisikan tanggung jawab keamanan TI dan
perilaku yang diharapkan untuk pemilik aset TI dan administrator manajemen dan
keamanan TI. Prosedur harus berisi individu yang tepat untuk dihubungi untuk
informasi lebih lanjut, panduan, dan kepatuhan.
3. Implementasi. Prosedur dikomunikasikan kepada individu yang dituntut untuk
mengikutinya. Prosedur dan pengendalian keamanan TI diimplementasikan secara
konsisten di mana-mana dimana prosedur berlaku dan diperkuat melalui pelatihan.
4. Test. Pengujian secara rutin dilakukan untuk mengevaluasi kecukupan dan efektivitas
semua implementasi dan untuk memastikan bahwa semua kebijakan, prosedur, dan
kontrol bertindak sebagaimana mestinya dan memastikan tingkat keamanan TI yang
sesuai.
5. Integrasi. Kebijakan, prosedur, implementasi, dan pengujian harus terus ditinjau
dengan perbaikan yang dilakukan sesuai kebutuhan. Kerentanan keamanan harus
dipahami dan dikelola. Ancaman harus terus dievaluasi ulang, dan kontrol disesuaikan
dengan perubahan lingkungan keamanan TI.

Kerangka NIST ini telah menciptakan bahasa yang umum untuk memfasilitasi
percakapan tentang proses, kebijakan, dan teknologi cybersecurity, baik secara internal
maupun dengan entitas eksternal seperti penyedia layanan dan mitra pihak ketiga. NIST
mendorong organisasi untuk berbagi kecerdasan terkini tentang kerentanan, ancaman
informasi, dan strategi respons. Manfaat potensial dari bahasa cybersecurity yang umum dan
kolaborasi yang meningkat sangat kuat untuk audit internal, TI, dan manajemen operasi.
Kerangka kerja NIST menampilkan diskusi tentang keamanan dunia maya dalam kosakata
manajemen risiko.
Kerangka kerja cybersecurity NIST adalah panduan pengelolaan cybersecurity AS yang
relatif baru yang menyeimbangkan kepatuhan keamanan TI dengan standar manajemen
risiko. Kerangka kerja NIST juga dapat menetapkan standar keamanan dunia maya untuk
keputusan hukum di masa depan, dan di masa depan pengadilan dapat mengidentifikasi
kerangka kerja NIST sebagai dasar untuk standar keamanan dunia maya yang "wajar".
 Auditor internal harus memiliki kesadaran umum akan kerangka kerja NIST dan
setidaknya harus berada dalam posisi untuk meminta manajemen TI dan umum mengenai
rencana untuk menerapkannya. Aturan panduan yang dikeluarkan oleh pemerintah memiliki
kecenderungan untuk menjadi wajib seiring berjalannya waktu dan mereka menjadi lebih
dikenal.

23.9 AUDITING IT SECURITY AND PRIVACY

Audit internal juga harus mempertimbangkan untuk melakukan review terhadap
pengendalian cybersecurity TI serta penilaian kepatuhan terhadap prosedur privasi
perusahaan yang telah ditetapkan. Jika fungsi audit internal secara keseluruhan memiliki
personil dengan keterampilan teknis tersebut, maka dapat membantu dalam merencanakan
dan melaksanakan audit teknis cybersecurity. Banyak masalah cybersecurity berada di luar
harapan pengetahuan CBOK untuk auditor internal.
Meskipun banyak auditor individual dan fungsi audit internal mungkin tidak memiliki
sumber daya untuk melakukan tinjauan teknis "deep dive" yang kredibel di bidang keamanan
maya, banyak area yang mencakup masalah keamanan dan pengendalian internal yang hanya
diketahui oleh auditor internal area dan pemahaman yang baik tentang risiko TI terkait dapat
melakukan audit cybersecurity yang efektif yang akan melindungi perusahaan dari banyak
risiko dan eksposur.
Langkah pertama audit internal yang baik dalam tinjauan cybersecurity adalah
memahami jaringan TI untuk ditinjau. Seiring berjalannya waktu, jaringan TI tumbuh, dan
bahkan anggota manajemen pun bisa kehilangan banyak interkoneksi yang bisa dilekatkan
pada jaringan. Ada berbagai perangkat lunak komersial dan bahkan alat Internet freeware
yang tersedia untuk melihat keseluruhan jaringan dan mengidentifikasi semua perangkat dan
koneksi jaringannya. Audit internal harus bekerja sama dengan manajemen TI untuk
menjalankan alat analisis semacam itu melalui jaringan TI mereka dan mengajukan
pertanyaan yang sesuai untuk mendapatkan pemahaman tentang lingkungan ini.
Audit internal harus merencanakan dan menjadwalkan review prosedur cybersecurity
perusahaan mereka. Jika fungsi audit internal tidak memiliki keterampilan teknis yang
diperlukan dalam lingkungan teknis yang kompleks, pertimbangan harus diberikan untuk
kontrak dengan bantuan konsultasi teknis dari luar. Pemahaman umum auditor internal
mengenai masalah risiko dan pengendalian di bidang ini akan membantu menjadikannya
lebih efektif untuk manajemen perusahaan.

23.10 PCI DSS FUNDAMENTALS

PCI DSS adalah standar cybersecurity yang diluncurkan tahun 2007 oleh Dewan
Standar Keamanan Industri Kartu Pembayaran. Standar keamanan data DSS PCI harus
digunakan oleh siapa saja yang ingin menerima kartu kredit sebagai bentuk pembayaran.
Kartu kredit semacam itu sangat luas dalam perdagangan perusahaan di seluruh dunia, dan
kegagalan untuk mematuhi standar dapat menghasilkan berbagai temuan dan berpotensi
kehilangan hak perusahaan untuk menerima kartu kredit sama sekali.
PCI DSS telah dibentuk untuk memenuhi sejumlah besar peraturan pembayaran kartu
kredit lokal dan nasional dan juga mengikuti pedoman dari perusahaan kartu kredit utama.
Standar tersebut berisi konfigurasi dan pedoman audit, dan standar ini mencakup perangkat
TI yang menerima kartu kredit sebagai pembayaran.
Banyak perusahaan di seluruh dunia terlibat dalam transaksi kartu kredit dan bekerja
untuk mencapai kepatuhan PCI DSS. Auditor internal yang perusahaannya menggunakan
transaksi pembayaran kartu kredit mungkin terlibat dengan upaya kepatuhan di sini, namun
jika tidak, mereka harus membuat komunikasi yang sesuai dalam organisasi mereka.
Prosedur audit harus disesuaikan untuk memastikan kepatuhan PCI DSS.
23.11 SECURITY AND PRIVACY IN THE INTERNAL AUDIT DEPARTMENT
Auditor internal harus membuat prosedur keamanan dan privasi serta praktik terbaik
mereka sendiri. Auditor internal secara teratur mengunjungi situs dan menangkap informasi
dan data, baik dalam format hard copy atau soft copy, yang mencakup kegiatan peninjauan
mereka serta informasi pendukung dari situs yang diaudit.
Sekarang auditor bekerja pada sistem dengan memanfaatkan laptop/ tablet. Beberapa
teknik untuk melindungi laptop auditor meliputi menanamkan tanggung jawab pribadi atas
laptop auditor, melakukan prosedur backup file secara berkala, menggunakan sistem
keamanan dan kunci fisik dan menggunakan sistem anti-virus
Workpaper Security
Workpapers adalah dokumen utama yang membawa bukti dan hasil kerja tugas audit
internal. Sarbanes-Oxley Act mensyaratkan bahwa, sebagai bukti audit, file workpaper harus
disimpan selama periode tujuh tahun. Dalam situasi litigasi, workpapers dapat menjadi bukti
hukum.
Sekarang, dokumentasi audit internal workpaper bisa menjadi kombinasi antara file soft
copy dan dokumen hard copy. Audit internal memerlukan prosedur yang kuat untuk membuat
katalog, menyimpan, dan mengamankan pekerjaan audit internalnya. Workpapers harus
diatur sedemikian rupa sehingga dapatdigunakan anggota staf audit internal lainnya dan juga
auditor eksternal atas permintaan (dibatasi, tidak secara bebas).
Internal Audit Reports and Privacy
Laporan audit internal adalah dokumen yang menggambarkan kegiatan audit internal
untuk proyek audit yang direncanakan, prosedur yang dilakukan, temuan dan rekomendasi,
dan tanggapan manajemen auditee terhadap temuan tersebut beserta rekomendasinya untuk
tindakan korektif; serta hanya boleh dibagi dengan manajemen auditee, manajemen senior
perusahaan, audit eksternal, dan komite audit. Disclaimer yang menyatakan bahwa mereka
tidak boleh disalin atau dibagi, dan chief executive audit (CAE) beserta anggota tim audit
secara teratur menekankan kebutuhan kerahasiaan untuk dokumen-dokumen ini harus
disertakan.
Audit internal harus menetapkan standar departemen untuk keamanan dan privasi
workpaper. Pengaturan untuk repositori perpustakaan formal harus ditetapkan dalam
perusahaan. Biasanya terletak di dekat kantor pusat CAE dan perusahaan. Lokasi harus aman,
dengan keseluruhan kontrol administratif diberikan kepada anggota staf administrasi. Dengan
persyaratan retensi tujuh tahun yang sedang berjalan, hard disk dan hardisk hard copy dan
perpustakaan harus diatur sedemikian rupa sehingga pengambilan nanti akan relatif mudah.

23.12 INTERNAL AUDIT’S PRIVACY AND CYBERSECURITY ROLES

Auditor internal harus menyadari masalah perkembangan cybersecurity dan privacy
baik di perusahaan mereka maupun di seluruh dunia. Sebagian besar auditor internal tidak
akan menjadi ahli dalam banyak masalah yang seringkali sangat teknis ini, namun semua
auditor internal harus memiliki pemahaman CBOK mengenai keamanan cybersecurity dan
terkait risiko privasi TI.

BAB 26: ETHICS AND WHISTLEBLOWER PROGRAMS

26.1 ENTERPRISE ETHICS, COMPLIANCE, AND GOVERNANCE

Banyak kegagalan bisnis tinggi selama bertahun-tahun karena telah terjadi perilaku
tidak etis oleh para manajer bisnis di semua tingkat. Auditor internal telah terbiasa dengan
program etika dan kode etik selama bertahun-tahun. Standar profesional audit internal,
membuat kode etik menjadi komponen yang menonjol, dan banyak auditor internal terlibat
dalam peninjauan dan membantu meningkatkan program etika perusahaan mereka. Area ini
menjadi lebih penting lagi ketika SOX mengamanatkan etika atau pernyataan kode etik yang
ditandatangani dari pejabat senior dan meminta program whistleblower yang diarahkan oleh
komite audit. SOx mengamanatkan bahwa komite audit perusahaan harus memiliki chief
financial officer (CFO) menandatangani sebuah pernyataan etika. Meskipun ini tidak
menjamin bahwa CFO akan selalu mengikuti praktik bisnis yang etis, ancaman denda besar
atau bahkan penjara adalah dorongan kepatuhan yang kuat.
Perusahaan dari semua ukuran dan area bisnis saat ini harus menetapkan fungsi etika
yang efektif, termasuk pernyataan misi dan kode etik. Meskipun program etika penting saat
ini, perusahaan tidak dapat mengklaim telah menerapkannya hanya dengan menerbitkan kode
perilaku bisnis dan menginstruksikan semua karyawan untuk membacanya. Program etika
yang efektif memerlukan komitmen formal antara perusahaan dan karyawan serta agennya
untuk melakukan hal yang benar. Bagian berikut menguraikan beberapa elemen program
etika yang efektif untuk suatu perusahaan, dimulai dengan memahami lingkungan risiko dan
beralih untuk meluncurkan kode etik perusahaan yang efektif. Suatu perusahaan harus
mempertimbangkan untuk meluncurkan program etika yang berlaku untuk semua pemangku
kepentingan sepanjang operasinya. Sementara penekanannya mungkin sedikit berbeda pada
berbagai tingkatan, semua harus menyadari nilai-nilai perusahaan dan keseluruhan misi.
Sebagai pihak yang menyukai praktik bisnis etis yang baik, audit internal harus
berada pada posisi kunci untuk membantu meluncurkan fungsi etika perusahaan secara
keseluruhan jika tidak ada atau membantu memperbaiki program terkini. Sama seperti auditor
internal harus memahami bagaimana mengevaluasi dan merekomendasikan pengendalian
akuntansi internal yang efektif, mereka harus memiliki pemahaman dasar tentang elemen
program etika organisasi yang efektif. Meskipun kode dan standar khusus perusahaan tidak
boleh bertentangan dengan standar profesional auditor internal, auditor internal harus selalu
menentukan, sebagai bagian dari tinjauan pengendalian internal, bahwa terdapat kode tingkat
perusahaan yang efektif.

26.2 ETHICS FIRST STEPS: DEVELOPING A MISSION STATEMENT

Setiap perusahaan harus memiliki pernyataan misi formal untuk menggambarkan
keseluruhan tujuan dan nilainya. Pernyataan misi yang efektif dapat menjadi aset besar bagi
perusahaan yang memungkinkannya mencapai tujuan organisasi dan tujuan lebih baik.
Pernyataan misi perusahaan yang kuat merupakan elemen penting dalam inisiatif etika
dan tata kelola perusahaan. Bekerja dengan fungsi etik dan manajemen senior, audit internal
dapat membantu mengevaluasi pernyataan misi atau menulis ulang dan meluncurkan yang
baru. Survei etika pemangku kepentingan akan menyoroti masalah potensial dalam
pernyataan misi yang ada. Jika karyawan atau pemangku kepentingan lainnya tidak benar-
benar menyadari pernyataan misi perusahaan, artinya ada kebutuhan untuk meninjau kembali
dan merevisi dokumen tersebut.
Pernyataan misi yang baik harus membuat pernyataan positif tentang perusahaan dan
menginspirasi pemangku kepentingan perusahaan untuk memanfaatkan energi, semangat, dan
komitmen mereka untuk mencapai tujuan dan sasaran. Pernyataan misi yang baik juga
merupakan titik awal yang baik untuk pesan-pesan manajemen puncak-at-the-top manajemen
senior di perusahaan saat ini. Begitu perusahaan telah mengembangkan sebuah pernyataan
misi baru atau telah merevisi yang sudah ada, hal tersebut harus diluncurkan ke semua
anggota perusahaan dengan tingkat publisitas yang baik. Dengan menggunakan pendekatan
pola-at-the-top, manajer senior harus menjelaskan alasan untuk pernyataan misi yang baru
dan mengapa hal itu penting bagi perusahaan tersebut.
audit internal harus selalu dilibatkan dalam mengkaji dan mengomentari kontrol yang
telah ditetapkan orang lain. Namun, karena sifat unik program etika dan kepatuhan dan
hubungannya dengan keseluruhan perusahaan, audit internal dapat berperan lebih aktif dalam
membantu menerapkannya.

26.3 UNDERSTANDING THE ETHICS RISK ENVIRONMENT

Memahami lingkungan risiko perusahaan harus selalu menjadi langkah awal untuk
meluncurkan program etika yang efektif. Program etika yang efektif dapat membantu
melindungi perusahaan dari berbagai risiko operasional dan bisnis lainnya.
Audit internal dapat menjadi petunjuk utama dalam mensurvei sikap dan praktik
karyawan. Sikap dan risiko etika dapat dinilai melalui tinjauan temuan yang ditargetkan dari
audit masa lalu atau melalui tinjauan khusus berdasarkan survei sikap etika karyawan dan
stakeholder. Audit internal dapat melakukan survei etika melalui koordinasi dengan fungsi
etika perusahaan. Jika ada fungsi etika formal, audit internal harus meninjau hasil survei etika
lainnya yang mungkin telah dilakukan disana, membuat rencana untuk merevisi atau
memperbarui seperlunya. Survei etika adalah cara yang sangat baik untuk memahami sikap
perusahaan dan merupakan bantuan untuk mendukung proses tata kelola perusahaan.
Temuan Terkait Etika dari Audit Masa Lalu atau Audit Khusus
Jika audit internal telah menyelesaikan sejumlah besar audit operasional dan
keuangan terkait kepatuhan dalam beberapa tahun terakhir, pemeriksaan ulang terhadap
temuan neraca dan temuan audit atau bahkan tanggapan laporan audit dapat memberikan
wawasan tentang sikap etis perusahaan secara keseluruhan. Temuan kertas kerja yang
konsisten yang mencakup pelanggaran "kecil" mungkin mengarah pada keseluruhan tren
dalam sikap etis.
Auditor internal yang memeriksa laporan audit dan workpapers masa lalu untuk
masalah etika mungkin paling baik bekerja dengan unit yang sesuai di perusahaan untuk
mendapatkan prosedur peraturan yang tidak masuk akal berubah. Audit internal mungkin
juga mempertimbangkan untuk meluncurkan audit khusus untuk menilai sikap etis tersebut.
Ini akan menjadi tinjauan kepatuhan yang kuat yang mencakup beberapa bidang utama di
seluruh perusahaan atau tinjauan yang sangat terfokus di satu departemen atau grup.
Survei Sikap Etika Karyawan dan Stakeholder
Survei yang dilakukan dengan benar, karyawan, petugas, dan pemangku kepentingan
dapat menjadi cara terbaik untuk menilai perilaku etis perusahaan. Idenya adalah
mengumpulkan sebanyak mungkin informasi tentang sikap dan praktik etis dari kelompok
luas di perusahaan tersebut. Sementara survei sikap etika mencakup beberapa pertanyaan
umum, masing-masing kelompok juga akan menerima pertanyaan spesifik yang diarahkan
pada tanggung jawab mereka.
Membuat draf survei pengumpulan fakta yang menerima tingkat respons tinggi tidak
akan mudah dilakukan, dan penggunaan bantuan khusus harus dipertimbangkan. Serangkaian
pertanyaan hanya memerlukan tanggapan ya-atau-tidak. Jenis pertanyaan di mana orang-
orang yang menyelesaikan survei dapat memberikan jawaban yang panjang atau sesingkat
yang mereka inginkan. Respons terbuka ini membuat lebih sulit untuk mengumpulkan hasil,
namun informasi menarik dan berharga dapat dipertahankan.
Persyaratan utama dari jenis survei ini adalah bahwa hal itu harus seanonim mungkin.
Survei harus dikirim langsung ke rumah karyawan beserta surat pengantar dari CEO
menjelaskan tujuan dan tujuan survei. Audit internal atau petugas etika bertanggung jawab
untuk menyiapkan laporan, dengan tujuan meninjau hasilnya dengan komite audit dan
manajemen senior.
Salah satu dari pendekatan ini akan memungkinkan audit internal, tim etik yang
ditunjuk, atau pihak lain untuk mendapatkan pemahaman umum tentang lingkungan etika di
perusahaan tersebut. Ini bisa menjadi langkah pertama untuk meluncurkan fungsi etika formal
atau meningkatkan dan meningkatkan yang sudah ada. Survei ini akan memberi manajemen
umum beberapa wawasan tentang keseluruhan etika di perusahaan mereka. Meskipun tidak
dipersyaratkan oleh SOx, informasi ini akan mendukung praktik tata kelola perusahaan
dengan menyoroti area di mana perbaikan diperlukan.

26.4 SUMMARIZING ETHICS SURVEY RESULTS: DO WE HAVE A PROBLEM?

Hasil survei sikap etis atau penilaian dari audit internal masa lalu dapat memberikan
beberapa penegasan bahwa segala sesuatu tampak cukup baik di seluruh perusahaan. Namun,
seringkali, mereka dapat menimbulkan beberapa tanda yang mengganggu. Pada titik ini, audit
internal dan etika perusahaan harus bertemu dengan manajemen senior untuk
mengembangkan beberapa langkah selanjutnya.
Jika hasil survei diakhiri dengan pesan yang tidak meyakinkan atau beragam, langkah
lain yang tepat adalah menyiapkan serangkaian sesi kelompok fokus. Kelompok pekerja dan
pemangku kepentingan kecil akan dipilih secara acak dan diminta untuk bertemu di lokasi di
luar lokasi untuk mendiskusikan persepsi mereka tentang nilai etika perusahaan. Dengan
penekanan kuat bahwa tanggapan dari sesi semacam itu bersifat anonim, seorang fasilitator
terampil dapat memimpin kelompok yang dipilih melalui diskusi. Data yang dihasilkan dapat
menjadi dasar untuk meluncurkan program etika perusahaan secara keseluruhan atau
meningkatkan program yang ada.
Program etika yang kuat akan menguntungkan seluruh perusahaan selain memberikan
kepatuhan SOx. Jika perusahaan belum memiliki program etika, audit internal dapat menjadi
pihak yang alami untuk membantu membangunnya.

26.5 ENTERPRISE CODES OF CONDUCT

Meskipun sebuah pernyataan misi merupakan kunci utama untuk menggabungkan
keseluruhan struktur tata kelola perusahaan, kode etik perusahaan secara luas memberikan
dukungan bagi semua pemangku kepentingan terkait.
Perusahaan yang efektif saat ini harus mengembangkan dan menerapkan kode etik
yang mencakup peraturan etika, bisnis, dan hukum bagi semua pemangku kepentingan
perusahaan. Sementara audit internal bukanlah kelompok katalis untuk merancang atau
meluncurkan kode etik tersebut, audit internal dapat menjadi peserta kunci dalam membantu
peluncuran dan kemudian menentukan bahwa perusahaan tersebut memiliki kode etik yang
efektif yang mempromosikan praktik bisnis etis.
Code of Conduct Contents: What Should Be the Code’s Message?
Kode etik harus menjadi seperangkat peraturan atau panduan yang jelas dan tidak
ambigu yang menguraikan apa yang diharapkan dari semua orang di perusahaan. Kode
tersebut harus didasarkan pada nilai dan masalah hukum seputar perusahaan. Namun, kode
tersebut harus berlaku untuk semua anggota perusahaan dari tingkat tertinggi kepada pegawai
administrasi part-time.
Jika perusahaan sudah memiliki kode etik, audit internal mungkin ingin
menjadwalkan review dari waktu ke waktu untuk meninjau kembali kode tersebut. SOx dan
panduan tata kelola perusahaan secara keseluruhan dimaksudkan untuk perwira senior
tersebut namun harus disampaikan sedemikian rupa sehingga akan berlaku bagi semua
pemangku kepentingan perusahaan. Bekerja dengan anggota manajemen senior dan komite
audit, audit internal dapat memeriksa kode etik yang ada untuk menentukan apakah aturan
tersebut masih sesuai dengan era SOx hari ini.
Banyak perusahaan telah menemukan nilai dalam menambahkan satu set pertanyaan
yang sering diajukan ke kode tersebut, beserta jawaban yang disarankan. Ini memungkinkan
pembaca kode untuk lebih memahami masalah serta jenis pertanyaan yang mungkin mungkin
karyawan yang lebih tidak mungkin bertanya tentang peraturan kode. Kunci aturan kode etik
yang jelas adalah bahwa mereka harus dipahami oleh semua orang.
Communication to Stakeholders and Assuring Compliance
Kode etik perusahaan harus berupa dokumen hidup. Jika dokumen tersebut merupakan
kode etik baru atau ada revisi, perusahaan harus melakukan upaya besar untuk memberikan
salinan kepada semua karyawan dan stakeholder. Langkah pertama yang baik adalah secara
formal mengajukan kode etik baru kepada manajer puncak perusahaan, dan khususnya
financial officer.
Kelompok manajemen senior harus secara formal mengakui bahwa mereka telah
membaca, memahami, dan akan mematuhi kode etik. Perusahaan tersebut selanjutnya harus
segera memberikan kode etik kepada semua stakeholder perusahaan. Hal ini dapat dilakukan
dalam berbagai tahap, dengan pengiriman ke fasilitas lokal atau lebih utama terlebih dahulu,
diikuti oleh unit yang lebih kecil, lokasi asing, dan stakeholder lainnya.
Tujuan perusahaan adalah agar semua stakeholder mengakui secara formal bahwa
mereka akan mematuhi kode etik. Hal ini dapat dilakukan melalui sistem respons tipe Internet
atau telepon dimana setiap stakeholder diminta untuk menanggapi ketiga pertanyaan berikut:
(1) Sudahkah Anda menerima dan membaca salinan kode etik? (2) Apakah Anda memahami
isi kode etik? (3) Apakah Anda setuju untuk mematuhi kebijakan dan pedoman dalam kode
etik ini?
Tanggapan harus dicatat pada database yang mencantumkan nama karyawan dan
tanggal peninjauan dan penerimaan atau ketidaktentuan mereka. Setiap pertanyaan yang
timbul dari pertanyaan nomor 2 dapat ditangani melalui program whistleblower. Idenya
adalah agar semua orang mengerti kode etik dan menyetujui persyaratannya. Jika seseorang
menolak untuk menerima kode tersebut karena pertanyaan, supervisor harus mendiskusikan
masalah tersebut dengan orang itu untuk mendapatkan solusi akhirnya. Perusahaan harus
mengharapkan semua karyawan setuju untuk menerima dan mematuhi kode etiknya.
Mengikuti kode etik hanyalah peraturan kerja lain, dan kegagalan konsisten untuk mematuhi
peraturannya seharusnya menjadi dasar penghentian. File yang mendokumentasikan
pengakuan kode etik harus disimpan dengan cara yang aman.

Code Violations and Corrective Action

Kode etik perusahaan menerapkan seperangkat aturan untuk perilaku yang diharapkan
di perusahaan. Selain menerbitkan kode etik dan mendapatkan penerimaan dari stakeholder,
ada juga perlunya mekanisme untuk melaporkan pelanggaran kode dan untuk menyelidiki
dan menangani pelanggaran tersebut.
Perusahaan perlu menetapkan mekanisme untuk mengizinkan karyawan atau bahkan
orang luar melaporkan potensi pelanggaran kode secara aman dan rahasia. Sebagian besar
mekanisme pelaporan tersebut dapat ditangani melalui fasilitas whistleblower. Pelanggaran
potensial lainnya harus ditangani pada tingkat yang berbeda.
Selain fasilitas whistleblower, perusahaan harus menetapkan mekanisme lain untuk
melaporkan pelanggaran kode etik potensial. Karena beberapa orang mungkin tidak ingin
memanggil fungsi hotline etika, alamat kotak pos kantor yang terkenal dipublikasikan
terkadang sangat efektif. Stakeholder dapat didorong untuk menulis ke alamat semacam itu,
secara anonim atau tidak, untuk melaporkan pelanggaran etika. Berdasarkan tanggapan ini,
fungsi etika, sumber daya manusia, atau beberapa fungsi lain yang sesuai dalam perusahaan
harus menyelidiki masalah ini dan mengambil tindakan seperlunya.
Kode etik menggambarkan serangkaian peraturan untuk tindakan yang diharapkan
dalam perusahaan. Ketika pelanggaran ditemukan, masalahnya harus diselidiki dan tindakan
dilakukan secara konsisten, tidak peduli peringkat stakeholder perusahaan. Sebagian besar
pelanggaran kode etik dapat ditangani melalui prosedur normal sumber daya manusia
perusahaan, yang seharusnya menetapkan proses di mana pelanggaran pertama dapat
mengakibatkan konseling atau percobaan verbal, dengan penghentian untuk pelanggaran
berulang. Tujuannya di sini adalah agar perusahaan memiliki beberapa proses untuk
mendorong semua stakeholder untuk mengikuti praktik etika yang baik, seperti yang
didefinisikan dalam kode etik, dan untuk menyediakan mekanisme yang konsisten untuk
melaporkan pelanggaran dan mengambil tindakan disiplin bila diperlukan.

Keeping the Code of Conduct Current

Banyak aturan dasar perilaku etika yang baik serta banyak peraturan khusus perusahaan
tidak akan berubah dari tahun ke tahun. Perusahaan harus meninjau kode etik yang
diterbitkan secara periodik dan setidaknya setiap dua tahun sekali untuk memastikan
pedoman masih berlaku saat ini. Setiap revisi kode etik harus melalui proses pengumuman
dan peluncuran yang sama yang dijelaskan sebelumnya untuk pengenalan kode etik. Kode
revisi harus dikeluarkan untuk semua stakeholder beserta penjelasan tentang perubahan dan
persyaratan untuk mengakui kembali penerimaan.
Karena karyawan baru dan stakeholder lainnya bergabung dengan perusahaan, mereka
harus diberi kode etik yang ada dengan persyaratan yang sama dengan yang mereka baca dan
tegaskan. Juga, apakah kode tersebut direvisi atau tidak, semua stakeholder harus diminta
secara berkala untuk menegaskan kembali bahwa mereka telah membaca dan akan terus
mematuhi kodenya.
Perusahaan harus selalu menjaga kode etik dan prinsip pendukungnya di depan semua
stakeholder setiap saat. Audit internal harus memainkan peran kunci dalam mempromosikan
kode dan memantau kepatuhan melalui ulasan audit dan kontak berkelanjutan melalui
perusahaan. Auditor internal harus sangat menyadari kode etik perusahaan mereka dan
menggunakannya sebagai dasar pelaporan pelanggaran dan membuat rekomendasi dalam
pelaksanaan semua audit internal lainnya.

26.6 WHISTLEBLOWER AND HOTLINE FUNCTIONS

Fungsi whistleblower adalah fasilitas dimana seorang karyawan atau stakeholders
yang melihat beberapa bentuk kesalahan dapat secara independen dan anonim melaporkannya
kepada perusahaan atau pihak berwenang tanpa rasa takut akan retribusi.
Banyak perusahaan yang telah menetapkan fungsi etika juga memiliki saluran telepon
hotline atau pertanyaan etika serupa. Hotline etika ini dapat memberikan titik awal untuk
fungsi whistleblower SOx, namun biasanya memerlukan penyesuaian. Seringkali, insiden
yang dilaporkan tidak diselidiki dengan cara yang benar atau kerahasiaan mereka tidak cukup
kuat. Kecurangan di sini dapat menyebabkan masalah besar bagi perusahaan jika pemangku
kepentingan whistleblowing merasa bahwa masalah belum diselesaikan atau kerahasiaan
individu telah dikesampingkan. Audit internal seringkali dapat menjadi “bantuan besar”
dalam proses ini melalui tinjauan terhadap proses yang ada, merekomendasikan pengendalian
yang tepat, dan memberikan panduan kepada komite audit.
Federal Whistleblower Rules
The U.S. Department of Labor (DOL) mengelola dan memberlakukan lebih dari 200
undang-undang federal yang mencakup banyak aktivitas di tempat kerja bagi sekitar 10 juta
pengusaha dan 125 juta pekerja. Sebagian besar undang-undang ketenagakerjaan dan
keamanan publik dan banyak undang-undang lingkungan mewajibkan perlindungan
whistleblower bagi karyawan yang mengeluh tentang pelanggaran undang-undang oleh
atasan mereka.
Di bawah peraturan SOx, merupakan kejahatan bagi siapa saja "dengan sengaja,
dengan maksud membalas," untuk mengganggu pekerjaan atau penghidupan seseorang−
seorang whistleblower− yang memberikan informasi yang benar mengenai kemungkinan
adanya pelanggaran-pelanggaran SOx.
 SOx mewajibkan komite audit untuk membuat proses penerimaan dan penanganan
pengaduan yang diterima mengenai akuntansi, pengendalian akuntansi internal, atau masalah
audit, dan untuk "penyerahan informasi rahasia secara anonim oleh karyawan" terkait dengan
masalah akuntansi atau audit yang patut dipertanyakan. Pemangku kepentingan yang yakin
bahwa mereka telah dipecat secara tidak sah atau didiskriminasikan karena tindakan
whistleblower dapat mengajukan keluhan, dalam waktu 90 hari setelah tanggal pelanggaran,
dengan DOL atau melalui tindakan pengadilan federal.
Karyawan yang mendapatkan tindakan semacam itu berhak mendapatkan ganti rugi
penuh. Namun, jika DOL tidak mengeluarkan keputusan akhir dalam waktu 180 hari sejak
pengarsipan pengaduan whistleblower, masalahnya mungkin akan dipindahkan ke pengadilan
distrik federal.
Maka dari itu, diperlukan lingkungan kerja yang positif dimana karyawan merasa
bebas untuk mengemukakan kekhawatiran terhadap manajemen ditambah dengan mekanisme
yang efektif untuk mengatasi masalah yang dihadapi.
Sox Whistleblower Rues and Internal Audit
Di bawah Sox, semua pegawai atau pemangku kepentingan dapat menjadi
whistleblower dengan melaporkan aktivitas akuntansi, pengendalian internal, dan audit yang
tidak benar. Ini harus menjadi proses yang efektif ketika whistleblower potensial adalah
anggota staf akuntansi perusahaan yang memiliki rencana untuk beberapa transaksi penipuan.
Aturan whistleblower dirancang untuk mendorong pemangku kepentingan melaporkan
tindakan – tindakan kecurangan atau ilegal dan untuk melindungi orang yang melaporkan
masalah tersebut. Hal ini menimbulkan serangkaian isu mengenai auditor internal dan review
audit internal mereka.
Tim audit internal merupakan bagian dari manajemen, dan auditor internal memiliki
tanggung jawab pertama untuk melaporkan hal – hal yang tidak benar atau ilegal yang
dihadapi selama pengelolaan audit internal untuk disposisi. Anggota tim audit internal
seharusnya tidak berusaha untuk bekerja sebagai pelapor independen sebagai bagian dari
pekerjaan audit internal mereka.
Audit internal harus mengembangkan kebijakan yang jelas yang menyatakan bahwa
setiap masalah akuntansi SOx, pengendalian internal, atau audit yang dihadapi selama
tinjauan audit terjadwal harus didokumentasikan di dalam perangkat lunak audit dan
dikomunikasikan ke manajemen audit internal untuk penyelesaiannya. Baik tim audit internal
maupun pengelolaan fungsi yang diaudit harus memahami bahwa tujuan audit internal bukan
untuk melepaskan tim yang berpotensi melakukan whistleblower dalam catatan departemen.
Setiap item yang ilegal atau tidak benar harus diselidiki dan dilaporkan melalui proses audit
internal yang normal.
Launching an Enterprise Help or Hotline Function
Banyak perushaaan memiliki fungsi bantuan atau hotline, yang dikelola melalui
departemen etika, sumber daya manusia, atau penyedia independen mereka, yang
memungkinkan setiap pegawai atau pemangku kepentingan menelepon secara anonim dan
mengajukan pertanyaan serta melaporkan kekhawatiran pada suatu masalah.hal tersebut
untuk menyediakan fasilitas independen di mana semua pemangku kepentingan dapat
mengajukan pertanyaan atau melaporkan kemungkinan kesalahan pada tingkat manapun.
Dalam kebanyakan kasus, operator telepon akan mengambil semua informasi yang
diperlukan, mengajukan pertanyaan bila diperlukan, dan kemudian menyampaikan kejadian
yang dilaporkan ke otoritas investigasi.
Etika hotline dan fasilitas whistleblower akan bernilai sedikit kecuali
dikomunikasikan dan dijual ke semua anggota perusahaan. Cara yang baik untuk memulai
proses ini adalah melalui kode etik pegawai. Bahkan jika hotline semacam itu telah
dimunculkan, fakta bahwa jalur tersebut dapat digunakan untuk whistleblower Sox yang
potensial perlu dikomunikasikan. Tujuannya adalah untuk menyelidiki dan segera
menyelasikan semua panggilan (terutama panggilan whistleblower) secara internal untuk
menghindari penyidik dan pengacara dari luar.

26.7 AUDITING THE ENTERPRISE’S ETHICS FUNCTIONS

Fungsi etis harus disertakan dalam jenis model analisis risiko yang sama yang
digunakan oleh audit internal untuk perencanaan audit. Meskipun kode etik perilaku perilaku
dapat memperkenalkan risiko minimal, fungsi whistleblower dapat menghadirkan beberapa
risiko keamanan dan confidentiality utama. Selain itu, CFO dan petugas kunci lainnya sangat
berisiko jika ada masalah di sini.
Tujuan peninjauan audit internal terhadap fungsi etika dan whistleblower adalah
untuk menilai apakah kelompok etika tersebut mengikuti prosedur pengendalian internal yang
baik, memanfaatkan sumber daya secara efektif, mematuhi prosedur konfidensialitas yang
baik, dan mengikuti piagam departemennya yang memberi otorisasi fungsi etika. Sementara
setiap fungsi etika dan whistleblower mungkin sedikit berbeda, audit internal harus
mendapatkan pemahaman terperinci tentang bagaimana fungsi beroperasi dan prosedur yang
biasanya dilakukan. Sebagai fungsi etika perusahaan, audit internal harus berharap dapat
menemukan prosedur paling tidak sebaik audit internal mengenai kepatuhan terhadap area-
area seperti keresahan dan kepatuhan dokumen terhadap kebijakan perusahaan seperti biaya
perjalanan. Tanggung jawab fungsi etika lainnya dapat menunjuk pada area dimana audit
internal dapat menyarankan perbaikan.
Langkah audit untuk meninjau fungsi etika dan whistleblower yaitu (1) Pernyataan
Misi Perusahaan, (2) Administrasi Fungsi Etika, (3) Proses Kode Etik, (4) Proses Hotline /
Whistleblower, dan (5) Tanggung jawab komite audit.
Karena hubungan erat dan berkelanjutan yang harus ada antara fungsi etika dan audit
internal, jika tinjauan operasional terhadap etika muncul sebagai bagian dari analisis risiko
audit, CAE harus mendiskusikan tinjauan yang direncanakan dengan direktur etika secara
rinci untuk menjelaskan alasan dan tujuan dari tinjauan operasional yang direncanakan.

26.8 IMPROVING CORPORATE GOVERNANCE PRACTICES

Program etika yang kuat, berdasarkan pernyataan misi dan kode etik yang bermakna,
merupakan elemen kunci untuk keseluruhan program tata kelola perusahaan. Program etika
keseluruhan yang kuat akan memperbaiki praktik tata kelola perusahaan untuk keseluruhan
perusahaan.
Sebagai bagian dari peran mereka sebagai pemimpin etika di perusahaan mereka,
auditor internal harus sangat menyadari kebutuhan akan keseluruhan tata kelola perusahaan
dan kebijakan etika perusahaan. Auditor internal harus memiliki program etika dan kepatuhan
yang kuat sesuai dengan kelompok audit internal mereka sendiri, dan mereka harus mencari
praktik serupa dalam keseluruhan perusahaan. Entah perusahaan itu besar atau kecil, proses
etika dan whistleblower ini penting baik untuk kepatuhan SOx dan praktik tata kelola
perusahaan yang baik. Auditor internal harus menyadari praktik etika dan whistleblower ini
sebagai bagian dari CBOK mereka dan harus memainkan peran kunci dalam membantu
peluncuran sekaligus mengkaji ulangnya.

BAB 27: FRAUD DETECTION AND PREVENTION

27.1 UNDERSTANDING AND RECOGNIZING FRAUD

Fraud adalah mendapatkan uang atau harta benda dengan menggunakan tanda,
simbol, atau perangkat palsu. Dengan kata lain, seseorang dengan tidak benar memberi kuasa
beberapa dokumen yang menyebabkan transfer uang. Kecurangan bisa mahal bagi
perusahaan korban, dan pengendalian internal yang efektif adalah lini pertahanan pertama
perusahaan terhadap kecurangan. Sistem pengendalian internal yang komprehensif,
terimplementasi, dan dipantau secara rutin sangat penting untuk pencegahan dan deteksi
kerugian yang timbul dari kecurangan, dan auditor internal sering kali terlibat dalam isu-isu
terkait kecurangan. Ketika kecurangan ditemukan di perusahaan, audit internal seringkali
merupakan sumber pertama yang diminta oleh manajemen untuk melakukan penyelidikan
untuk mengetahui tingkat kecurangan yang dilaporkan. Auditor internal kadang-kadang
menemukan kecurangan melalui audit yang dijadwalkan dan kemudian menyelidiki dan
melaporkan masalah ini kepada manajemen senior, penasihat perusahaan mereka, atau
otoritas hukum lainnya. Namun, secara historis, auditor internal maupun eksternal tidak
secara teratur mencari kecurangan sebagai bagian dari audit terjadwal mereka.
Auditor saat ini mengambil peran yang lebih penting dalam pendeteksian dan
pencegahan kecurangan. Saat ini mereka sadar dengan meningkatnya tanggung jawab untuk
mendeteksi kecurangan dalam aktivitas peninjauan mereka dan juga merekomendasikan
kontrol yang tepat untuk mencegah kecurangan di masa depan.

27.2 RED FLAGS: FRAUD DETECTION SIGNS FOR INTERNAL AUDITORS

Redflags adalah sinyal peringatan kepada pengamat yang tidak terlibat bahwa ada
sesuatu yang tidak beres. Peningkatan besar dalam melaporkan keuntungan dengan tidak
banyak peningkatan penjualan unit mungkin terdengar luar biasa dan benar-benar masuk
akal. Namun, ketika berhadapan dengan jenis data atau indikator bendera merah ini, auditor
atau pemeriksa kecurangan harus mengajukan pertanyaan "Ini sepertinya tidak biasa-
bagaimana jadinya?" Bendera merah biasanya merupakan indikasi pertama adanya
kecurangan potensial. Seseorang melihat sesuatu yang tidak terlihat benar dan kemudian
sering memulai penyelidikan tingkat rendah. Auditor internal sering menjadi orang pertama
yang terlibat
Sayangnya, auditor internal sering kali gagal mendeteksi kecurangan karena salah
satu alasan berikut:
 Ada keengganan untuk mencari kecurangan. Karena pelatihan dan pengalaman
masa lalu mereka, auditor internal secara historis tidak secara aktif mencari
kecurangan. Mereka sering cenderung melihat penyelidikan penipuan sebagai jenis
kegiatan pemolisian dan bukan tanggung jawab audit internal utama
 Terlalu percaya kepada auditee. Auditor internal berusaha untuk mempertahankan
sikap ramah dan ramah terhadap auditee di perusahaan mereka.
 Penekanan yang tidak tepat ditempatkan pada isu kecurangan potensial dalam
temuan audit. Temuan audit internal sering menunjuk pada redflags. Mereka
dimasukkan sebagai temuan laporan audit yang menunjukkan hal-hal seperti
kehilangan catatan atau akun yang tidak didamaikan. Namun, auditor internal sering
gagal mempertimbangkan kecurangan potensial dalam temuan audit. Kecuali itu
adalah isu yang sangat mencolok, mereka bahkan tidak memikirkan masalah
penipuan saat mengembangkan temuan laporan audit.
 Penipuan sering mendapat dukungan yang tidak memadai dari manajemen.
Petunjuk kecurangan mungkin mengharuskan auditor untuk memperpanjang prosedur
mereka dan menggali lebih dalam. Namun, manajemen audit umum dan bahkan
mungkin enggan memberi waktu tambahan kepada auditor untuk melakukannya.
 Auditor terkadang gagal fokus pada area kecurangan berisiko tinggi. Penipuan
dapat terjadi di banyak daerah. Sering ada risiko yang jauh lebih besar, sementara
auditor sering cenderung fokus pada yang pertama. Meskipun mungkin relatif mudah
untuk menemukan masalah dalam biaya perjalanan, audit internal seringkali tidak
mencakup area berisiko tinggi.
 Untuk membantu mendeteksi kecurangan, auditor perlu memahami mengapa orang
melakukan kecurangan. Deteksi penipuan jauh lebih sulit bila ada kolusi antara banyak orang.
Kecurangan utama yang melibatkan partisipasi manajemen senior sulit dikendurkan,
kecurangan yang terjadi pada tingkat yang lebih rendah di perusahaan seringkali lebih mudah
dideteksi dengan tingkat investigasi auditor internal yang tepat. Auditor internal harus
memikirkan item-item ini dalam hal area potensial untuk kecurangan karyawan.

27.3 PUBLIC ACCOUNTING’S ROLE IN FRAUD DETECTION

Tanggung jawab auditor eksternal untuk mendeteksi kecurangan dalam laporan
keuangan merupakan isu yang terus berlanjut namun kontroversial selama bertahun – tahun.
Pernyataan AICPA Statement on Auditing Standards (SAS No.1) dari bertahun – tahun yang
lalu menyatakan “Auditor eksternal hanya bertanggung jawab untuk menentukan apakah
laporan keuangan dinyatakan secara wajar; mereka tidak bertanggung jawab untuk
mendeteksi kesalahan atau aktivitas penipuan.”
Tim auditor eksternal diharapkan untuk menanyakan manajemen dan pihak lain di
perusahaan mengenai persepsi mereka tentang resiko kecurangan dan apakah mereka
mengetahui adanya investigasi kecurangan atau masalah terbuka. Auditor eksternal harus
mengkomunikasikan dengan semua tingkatan pegawai, baik manajer maupun pihak lain.
Selama audit eksternal eksternal laporan keuangan, tim pelaksana audit harus menguji
area, lokasi, dan akun yang dinyatakan tidak dapat diuji. Tim harus merancang tes yang tidak
dapat diprediksi dan tidak daat terduga oleh klien.

27.4 IIA STANDARDS FOR DETECTING AND INVESTIGATING FRAUD

Standar internasional IIA menekankan bahwa meskipun audit internal memiliki peran
untuk dimainkan terkait deteksi dan pencegahan kecurangan, tanggung jawab utama jatuh
pada manajemen. Auditor internal akan memperhatikan hal-hal seperti kemungkinan
melakukan kesalahan dan harus mempertimbangkan bukti adanya aktivitas ilegal atau tidak
benar dalam sebuah audit. Namun, standar IIA yang memberikan panduan spesifik tentang
kecurangan tampaknya mengikuti standar audit eksternal yang lama. Menyadari bahwa
mungkin sulit untuk mendeteksi kecurangan, standar IIA 1210.A2 memberikan panduan:
"Auditor internal harus memiliki pengetahuan yang cukup untuk mengidentifikasi indikator
kecurangan namun tidak diharapkan memiliki keahlian dari orang yang tanggung jawab
utama adalah mendeteksi dan menyelidiki kecurangan." Ini adalah pengakuan bahwa auditor
internal mungkin tidak memiliki keahlian yang memadai untuk beberapa masalah penipuan.
Standar kecurangan yang sama ini didukung oleh IIA Practice Advisories 1210.A2-1
dan 1210.A2-2, tentang identifikasi dan penyelidikan kecurangan. Terlepas dari kata-kata
dari standar bahwa auditor internal tidak diharapkan memiliki keahlian, Penasihat Praktik
pendukung memberikan auditor internal beberapa panduan untuk mendeteksi dan
menyelidiki kecurangan. Kami telah menyertakan bagian yang telah diedit dari Penasehat
Praktik ini:
Pencegahan kecurangan terdiri dari tindakan yang dilakukan untuk mencegah terjadinya
kecurangan dan membatasi eksposur jika terjadi kecurangan. Mekanisme utama untuk
mencegah kecurangan adalah kontrol. Tanggung jawab utama untuk membangun dan
mempertahankan kontrol berada pada manajemen.
Auditor internal bertanggung jawab untuk membantu pencegahan kecurangan dengan
memeriksa dan mengevaluasi kecukupan dan keefektifan sistem pengendalian internal, yang
setara dengan tingkat potensi paparan / risiko di berbagai segmen operasi perusahaan. Dalam
melaksanakan tanggung jawab ini, auditor internal harus menentukan apakah:
■ Lingkungan organisasi menumbuhkan kesadaran pengendalian, dan tujuan perusahaan yang
realistis ditetapkan.
■ Kebijakan tertulis, seperti kode etik, ada yang menjelaskan aktivitas terlarang dan tindakan
yang dibutuhkan kapan pun pelanggaran ditemukan.
■ Kebijakan otorisasi yang tepat untuk transaksi ditetapkan dan dipelihara.
■ Kebijakan, praktik, prosedur, laporan, dan mekanisme lainnya dikembangkan untuk
memantau aktivitas dan menjaga aset, terutama di daerah berisiko tinggi.
■ Saluran komunikasi memberikan manajemen yang memadai dan dapat diandalkan informasi.
■ Rekomendasi perlu dibuat untuk pembentukan atau peningkatan kontrol biaya-efektif untuk
membantu mencegah kecurangan.

Auditor internal hanya boleh merekomendasikan penyelidikan apa pun yang

diperlukan dalam situasi tersebut, namun harus bergantung pada rekomendasi penasihat
umum. Setelah itu, auditor harus menindaklanjuti untuk melihat bahwa tanggung jawab
kegiatan audit internal telah terpenuhi. Penasihat Praktik IIA yang sebelumnya dirujuk tidak
benar-benar mendidik auditor internal mengenai jenis kondisi redup yang mungkin
menunjukkan aktivitas penipuan potensial. Sebaliknya, mereka menyarankan bahwa jika
perusahaan tidak memiliki kebijakan dan prosedur yang baik atau tidak memiliki kode etik,
ini bisa mengindikasikan lingkungan yang mendorong kecurangan.
IIA bersama dengan AICPA, Asosiasi Audit dan Pengawasan Sistem Informasi,
ACFE, Financial Executives International, Institute of Management Accountants, dan Society
for Human Resource Management telah berkolaborasi dan menerbitkan berbagai materi
panduan terkait penipuan. Perusahaan profesional lainnya juga telah berpartisipasi dalam
meninjau dan mengembangkan panduan penipuan, termasuk American Accounting
Association, Inisiatif Industri Pertahanan, dan National Association of Corporate Directors.
Namun, AICPA jelas mengambil peran utama di sini, dan bahan panduan yang baik sekarang
dikategorikan berdasarkan penawaran forensik dan penilaian (FVS) mereka. Profesional yang
berminat harus mengunjungi bagian FVS di situs web AICPA, 5 di mana mereka dapat
menemukan berbagai macam audit untuk bahan panduan penipuan.

27.5 FRAUD INVESTIGATIONS FOR INTERNAL AUDITORS

Auditor internal terkadang terlibat dalam penyelidikan kecurangan. Audit internal
seringkali merupakan pihak pertama yang meminta untuk memainkan peran kunci dalam hal-
hal lain yang kurang penting. Auditor internal dapat membantu mengumpulkan informasi
untuk penemuan lebih kecil atau menyediakan bahan pendukung untuk masalah yang lebih
besar.
Bila dihadapkan pada potensi informasi kecurangan, langkah pertama audit internal
harus selalu berkonsultasi dengan penasihat hukum perusahaan. Dalam beberapa kasus,
nasihat hukum akan menyarankan agar pihak berwenang lain terlibat dalam masalah ini
sekaligus. Dalam hal yang lebih kecil, yang tampaknya kurang penting, audit internal
kadang-kadang diminta untuk bertanggung jawab atas penyelidikan tersebut.
Dalam tinjauan terkait kecurangan, auditor internal harus memiliki tiga tujuan utama
yaitu (1) buktikan kerugiannya, (2) tentukan tanggung jawab dan niat, dan (3) buktikan
metode investigasi audit yang digunakan

27.6 INFORMATION TECHNOLOGY FRAUD PREVENTION PROCESSES

Teknologi informasi atau teknologi yang berkaitan dengan kecurangan mencakup
berbagai isu dan masalah. Dalam lingkungan bisnis saat ini, sistem IT hampir selalu
merupakan komponen kunci dari kecurangan keuangan atau akuntansi modern. Karena
sistem dan proses IT mendukung begitu banyak area dan melewati banyak jalur di
perusahaan, kecurangan terkait IT dalam berbagai dimensi mulai dari kegiatan kecil hingga
signifikan yang menipu:
  Masalah akses Internet. Perusahaan sering menetapkan pedoman dan terkadang
mengendalikan pembatasan penggunaan Internet. Aturan seperti itu sering diabaikan
oleh karyawan dan terkadang dilewati oleh software yang memungkinkan mereka
mengatasi rintangan firewall di sistem.
 Penggunaan sumber daya IT yang tidak tepat. Suatu perusahaan harus menetapkan
peraturan yang menyatakan bahwa seharusnya tidak ada file atau program pribadi
pada sistem yang dipasok oleh pekerjaan mereka.
 Penggunaan software secara ilegal. Karyawan kadang-kadang mencoba mencuri
atau mendownload salinan software perusahaan atau akan menginstal software
mereka sendiri pada sumber daya komputer perusahaan.
 Masalah keamanan komputer dan kerahasiaan fraud. Karyawan dapat melanggar
proteksi password dan mendapatkan akses yang tidak semestinya ke sistem dan file
IT.
 Informasi pencurian melalui perangkat USB. Perusahaan dapat menghadapi risiko
pencurian atau kehilangan data yang signifikan.
 Pencurian informasi atau penyalahgunaan data lainnya dari komputer. Hal yang
tidak benar dalam mengakses sistem komputer dengan melanggar kontrol kata sandi,
ataupun untuk melihat, memodifikasi, atau menyalin data atau file dengan tidak benar.
 Transfer dana yang tidak sah atau transfer dana tanpa izin. Mencuri uang atau
sumber lain melalui transaksi yang tidak benar atau tidak sah mungkin merupakan
penyebab paling signifikan dari masalah sistem IT dan kecurangan jaringan.

Jika perusahaan telah membuat peraturan, peraturan tersebut dilakukan untuk alasan
yang baik, dan karyawan seharusnya tidak melanggar peraturan tersebut. Kode etik dan
program etika yang kuat harus menjadi prosedur pengendalian yang dominan di sini.
Seringkali area yang sangat kompleks dimana keterampilan teknis yang kuat
dibutuhkan untuk memahami alat dan metode. Ini adalah area dimana peraturan terus
berubah. Individu dengan niat curang menemukan cara baru untuk melanggar kontrol
otomatis yang mapan, dan profesional yang terampil menemukan cara untuk mendeteksi dan
melindungi aktivitas kecurangan ini. Area deteksi kecacatan sistem TI terkait adalah forensik
komputer, pemeriksaan terperinci komputer dan perangkat periferal mereka menggunakan
teknik investigasi dan analisis komputer untuk menemukan atau menentukan bukti hukum
potensial dalam situasi kecurangan.
Pemeriksaan forensik melibatkan pemeriksaan media komputer. Pakar forensik
menggunakan software khusus untuk menemukan data yang berada dalam sistem komputer,
atau dapat memulihkan informasi file dan password yang terhapus, terenkripsi, atau rusak,
sehingga dokumen dapat dibaca.
Sebagai indikator minat di bidang ini, AICPA telah membentuk sebuah kredensial,
Certified in Financial Forensics, yang menggabungkan keahlian akuntansi forensik khusus
dengan pengetahuan dan keterampilan inti yang membuat penasihat bisnis CPA dipercaya di
bidang ini. Selain kesaksian langsung oleh seorang saksi mata, bukti dokumenter biasanya
adalah bentuk bukti yang paling menarik.

27.7 FRAUD DETECTION AND THE INTERNAL AUDITOR

Auditor AICPA dan eksternal telah mengambil tugas utama untuk mendeteksi
aktivitas penipuan dengan lebih baik dalam audit laporan keuangan mereka. Mereka meminta
dimensi pemikiran baru saat merencanakan dan melaksanakan laporan keuangan serta semua
tingkat audit.
Auditor internal perlu memberikan pertimbangan lebih besar terhadap kecurangan
dalam pekerjaan audit mereka. Mereka selalu terlibat dalam beberapa tingkat penyelidikan
kecurangan saat diminta oleh manajemen, namun pertimbangan deteksi dan pencegahan
kecurangan perlu menjadi komponen yang lebih penting dari setiap audit internal. Auditor
internal mungkin perlu memasukkan keterlibatan audit internal baru dengan mengajukan
beberapa pertanyaan tentang di mana seorang auditee baru dapat melakukan tindakan curang.
Auditor internal harus mempertahankan tingkat skeptisisme tentang potensi kecurangan
dalam tugas kerja mereka yang sedang berlangsung.
Auditor internal harus memiliki tingkat pemahaman umum CBOK tentang kedua
bendera merah yang mengindikasikan kemungkinan kecurangan serta prosedur pemeriksaan
internal audit internal yang mencakup penyelidikan kecurangan dalam semua audit internal.
Auditor internal, bagaimanapun, tidak boleh memulai audit internal baru yang khas dengan
harapan bahwa auditee entah bagaimana palsu atau tidak jujur. Sebaliknya, mereka harus
mengerti bahwa kecurangan dapat terjadi di banyak tingkat, dan di mana ada kecurigaan
dalam peninjauan, mereka harus memiliki pengetahuan untuk melaporkan masalah tersebut
kepada pihak yang berwenang dan untuk membantu penyelidikan kecurangan sesuai
permintaan.

BAB 29: PROFESSIONAL CERTIFICATIONS: CIA, CISA, AND MORE

29.1 CERTIFIED INTERNAL AUDITOR RESPONSIBILITIES AND

REQUIREMENTS
Penunjukan CIA adalah satu-satunya sertifikasi yang diterima secara global untuk
auditor internal dan merupakan standar utama dimana individu dapat menunjukkan
kompetensi dan profesionalisme mereka dalam audit internal. Ujian CIA terdiri dari tiga
bagian, dan memakan waktu delapan setengah jam yang ditawarkan di seluruh dunia melalui
layanan pengujian berbasis komputer dan terdiri dari bagian berikut:
Bagian I : Dasar Audit Internal
Bagian II : Praktek Audit Internal
Bagian III : Unsur Pengetahuan Audit Internal
Dengan mengajukan permohonan untuk menjadi kandidat CIA, seseorang setuju
untuk menerima persyaratan program termasuk persyaratan kelayakan, kerahasiaan ujian,
penerimaan kode etik CIA, melanjutkan pendidikan profesional (CPE), dan kondisi lain yang
diberlakukan oleh Board of Regent atau Departemen Sertifikasinya.
Untuk mendaftar dalam ujian CIA, kandidat harus memiliki gelar sarjana atau setara,
seperti Chartered Accountant, dari institusi perguruan tinggi terakreditasi; salinan diploma,
transkrip, atau bukti tertulis dari penyelesaian program gelar harus menyertai permohonan
kandidat. Dengan pengecualian mahasiswa tingkat sarjana penuh waktu di tahun terakhir
mereka, kandidat tidak akan diizinkan untuk mengikuti ujian sampai persyaratan pendidikan
terpenuhi. Pengalaman kerja yang ekstensif dapat membantu auditor internal yang tidak
berpengalaman mendapatkan izin untuk melakukan pemeriksaan CIA.
Calon CIA harus menunjukkan standar moral dan profesional yang tinggi dan harus
menyerahkan dalam aplikasi sertifikasi mereka sebuah referensi karakter yang diselesaikan
oleh CIA lain, atasan atau manajer kandidat, atau seorang pendidik yang tepat. Selain itu,
untuk mendapatkan sertifikat mereka, calon CIA diwajibkan untuk menyelesaikan 24 bulan
audit internal atau pengalaman setara dalam disiplin audit / penilaian, audit eksternal, jaminan
kualitas, kepatuhan, atau pekerjaan yang berkaitan dengan pengendalian internal. Entah gelar
master atau pengalaman kerja dalam profesi bisnis terkait dapat diganti untuk satu tahun
pengalaman. Pengalaman kerja harus diverifikasi oleh CIA atau atasan kandidat. Kandidat
dapat mengikuti ujian CIA sebelum memenuhi persyaratan pengalaman mereka, namun tidak
akan disertifikasi sampai persyaratan pengalaman terpenuhi.
 Pemeriksaan CIA mencakup berbagai topik terkini yang penting bagi auditor internal
modern. Masing-masing dari tiga bagiannya memiliki beberapa pertanyaan pilihan yang
mungkin atau mungkin tidak tercakup dalam penawaran pemeriksaan tertentu. Pemeriksaan
secara berkala diperbaharui dan mencerminkan topik minat saat ini kepada auditor internal.
Sementara profesional dapat berdalih tentang tingkat kemampuan atau pengetahuan
pengetahuan yang dibutuhkan auditor internal untuk menjadi CIA, topik yang diuraikan
mewakili persyaratan CBOK komprehensif untuk semua auditor internal.
Auditor internal tidak harus menjadi anggota IIA untuk mengikuti ujian CIA. Semua
anggota CIA harus mengetahui dan setuju untuk mematuhi Standar Internasional IIA untuk
Praktik Profesional Audit Internal serta kode etik IIA. Kedua, menetapkan standar praktik
dan perilaku untuk semua auditor internal. Standar IIA ini sangat penting karena baru-baru ini
direvisi pada tahun 2014 dari praktik terbaik auditor internal dimana panduan tersebut
mengatakan bahwa auditor internal "harus" terhadap persyaratan standar audit internal yang
baru yang harus dimiliki oleh auditor internal ".
Setelah sertifikasi, CIA diminta untuk mempertahankan pengetahuan dan
keterampilan mereka dan tetap mengikuti perkembangan dan perkembangan saat ini dalam
standar, prosedur, dan teknik audit internal. CIA harus menyelesaikan dan melaporkan 80
jam kredit CPE setiap dua tahun. Mereka harus melaporkan kegiatan CPE mereka ke IIA per
batas waktu yang diumumkan, dan siapa pun yang tidak memenuhi persyaratan ini akan
ditempatkan dalam status tidak aktif dan mungkin tidak menggunakan sebutan mereka.

29.2 BEYOND THE CIA: OTHER IIA CERTIFICATIONS

CCSA Requirements
Ujian CCSA menguji pemahaman kandidat tentang dasar-dasar, proses, dan topik
penting CSA yang penting, seperti risiko, kontrol, dan tujuan bisnis. Berbeda dengan
persyaratan pengalaman dan keseluruhan kecermatan pemeriksaan CIA, CCSA adalah ujian
tunggal, dua jam dan 45 menit, 115 pertanyaan yang menguji kandidat mengenai
pengetahuan mereka tentang proses CSA di enam wilayah domain yang luas:
Domain 1: Fundamental CSA (5-10%)
Domain 2: Integrasi Program CSA (15-25%)
Domain 3: Elemen Proses CSA (15-25%)
Domain 4: Tujuan Bisnis / Kinerja Organisasi (10-15%)
Domain 5: Identifikasi dan Penilaian Resiko (15-20%)
Domain 6: Teori Kontrol dan Aplikasi (20-25%)
Masing-masing area pengujian domain ini mewajibkan kandidat CCSA untuk
menunjukkan pengetahuan proses CSA secara lebih rinci. Topik yang diuji pada ujian CCSA
dibingkai dalam konteks berbagai situasi industri. Calon diharapkan harus dapat berhubungan
dengan risiko dan kontrol yang umumnya berlaku untuk proses bisnis di berbagai industri.
Setelah menyelesaikan ujian CCSA, kandidat yang berhasil harus bisa menjadi fasilitator sesi
CSA berpengalaman. Persyaratan pengalaman untuk CCSA adalah bahwa kandidat harus
memiliki tingkat pengalaman yang kuat dalam bidang penilaian self-assessment. CCSA
ditawarkan dalam rangkaian situs pengujian yang sama dengan CIA, namun tidak dalam
semua bahasa yang sama.
CGAP Requirements
CGAP adalah sertifikasi khusus yang dirancang khusus untuk dan oleh praktisi audit
pemerintah yang bekerja di sektor publik di semua tingkat dan merupakan kredensial
profesional yang mempersiapkan kandidat untuk banyak tantangan di lingkungan yang unik
dan menuntut ini. Ini menguji pemahaman kandidat tentang praktik, metodologi, dan
lingkungan audit pemerintah, serta standar terkait dan model pengendalian / risiko.
 Persyaratan CGAP serupa dengan CIA dan CCSA. Di sini, kandidat yang mendaftar
melalui CCMS untuk ujian waktu dua jam dan 55 menit ini harus memiliki pengalaman audit
selama dua tahun di lingkungan pemerintah. Calon yang mendaftar untuk mengikuti ujian di
Amerika Serikat akan menerima versi lokal dengan pertanyaan tentang Standar Audit
Pemerintah AS yang Diterima Umum (GAGAS / Buku Kuning). Pengalaman kerja harus
diverifikasi oleh CGAP, CIA, CCSA, CFSA, atau atasan kandidat. Pemeriksaan CGAP dan
perkiraan konsentrasi pertanyaan mencakup area atau domain berikut:
Domain 1: Model Standar dan Kontrol / Risiko (5-10%)
Domain 2: Praktik Pemeriksaan Pemerintah (35-45%)
Domain 3: Metodologi dan Keterampilan Audit Pemerintah (20-25%)
Domain 4: Lingkungan Audit Pemerintahan (25-35%)
CFSA Requirements
Certified Financial Services Auditor (CFSA) adalah satu dari sertifikasi khusus IIA
untuk menunjukkan kompetensi dan profesionalisme auditor internal di institusi perbankan,
tabungan dan pinjaman, serikat kredit, perusahaan asuransi, layanan sekuritas dan komoditas,
holding dan perusahaan investasi, lembaga kredit, badan pengatur jasa keuangan, dan
organisasi jasa keuangan lainnya.
Ujian CFSA terdiri dari 115 pertanyaan pilihan ganda dengan jangka waktu 2 jam 55
menit. Pertanyaan dalam ujian mencakup 80% disiplin ilmu perbankan, asuransi, dan surat
berharga. Sisanya 20% berhubungan dengan disiplin pilihan kandidat dan akan berada pada
tingkat kemahiran. Calon CFSA dapat memilih salah satu dari tiga disiplin ilmu tersebut
sebagai bagian dari ujian CFSA mereka, tidak memilih lebih dari satu disiplin. Ujian ini
meliputi area domain berikut:
Domain 1: Financial Services Auditing
Domain 2: Banking
Domain 3: Insurance
Domain 4: Securities
CRMA Requirements
Sertifikasi CRMA dirancang untuk auditor internal dan profesional manajemen risiko
dengan tanggung jawab dan pengalaman dalam memberikan jaminan risiko, proses tata
kelola, jaminan kualitas, atau CSA. Ini menunjukkan kemampuan seseorang untuk
mengevaluasi komponen dinamis yang terdiri dari program manajemen risiko perusahaan dan
manajemen entitas dan memberikan saran dan kepastian seputar masalah ini.
Ujian CRMA mengharuskan kandidat untuk melengkapi Bagian I dari pemeriksaan
CIA serta ujian CRMA yang terpisah, yang terdiri dari 100 pertanyaan pilihan ganda yang
mencakup empat domain. Ujian CRMA membutuhkan waktu penyelesaian 2 jam. Ujian ini
meliputi area domain berikut:
Domain 1: Organizational Governance Related to Risk Management (25–30%)
Domain 2: Principles of Risk Management Processes (25–30%)
Domain 3: Assurance Role of the Internal Auditor (20–25%)
Domain 4: Consulting Role of the Internal Auditor (20–25%)
QIAL Requirements
QIAL adalah jalan baru yang diluncurkan IIA untuk mempromosikan pertumbuhan
dan pengakuan profesional. Ide IIA di sini adalah bahwa pertumbuhan dan perubahan di
bidang audit internal menuntut tipe pemimpin baru− orang yang menggerakkan tim audit
berkinerja tinggi sambil memberikan nilai dengan secara konsisten menangani kebutuhan
stakeholders, top-down risk, dan harapan akan sebuah perkembangan pasar. QIAL memiliki
tujuan untuk mendukung profesional audit internal untuk naik ke posisi yang lebih baik untuk
menjadi "generasi penerus visioner untuk profesinya". Idenya adalah bahwa tidak peduli
apakah auditor internal adalah pemimpin yang bercita-cita tinggi atau audit eksekutif, IIA
merasa bahwa QIAL adalah kualifikasi yang tepat untuk tahap berikutnya dalam
pengembangan karir profesional audit internal.
Tidak ada formal examinations disini. QIAL memiliki kategori pengklasifikasian
kualitatif: 5 tahun pengalaman audit internal disebut aspiring leader, 10 tahun disebut new
leader, dan 15 tahun diklasifikasikan sebagai experienced leader. Untuk masing-masing,
kandidat harus menyelesaikan tiga studi kasus online yang ditunjuk, membuat presentasi
untuk review panel, dan berpartisipasi dalam panel interview.

29.3 IMPORTANCE OF THE CIA SPECIALITY CERTIFICATION

EXAMINATIONS
Beberapa dari sertifikasi khusus ini, seperti CGAP, dapat menjadi sangat penting bagi
auditor internal yang bekerja di lingkungan pemerintah pada tingkat manapun, sementara
yang lain seperti CCSA mungkin kurang bernilai jangka panjang. Pemeriksaan keseluruhan
atau perdana CIA harus menjadi ujian dan pengukuran penting untuk semua auditor internal.
Semua auditor internal harus mempertimbangkan untuk mencapai CIA sebagai tujuan
profesional utama. Penunjukan terkait CIA lainnya mungkin bernilai lebih rendah.

29.4 CERTIFIED INFORMATION SYSTEMS AUDITOR

ISACA memiliki pemeriksaan sertifikasi yang serupa namun jauh lebih berfokus pada
IT daripada CIA IIA. Certified Information Systems Auditor (CISA) ISACA dan penunjukan
profesional terbuka untuk semua individu yang memiliki minat dan keterampilan dalam audit
sistem informasi, kontrol, dan keamanan.
Untuk berhasil lulus ujian CISA, seorang kandidat harus memiliki minimal lima tahun
audit informasi sistem informasi profesional, kontrol, atau pengalaman kerja yang berkaitan
dengan keamanan. Pengalaman sistem informasi satu tahun atau satu tahun pengalaman audit
keuangan atau operasional dapat diganti untuk satu dari lima tahun pengalaman audit,
kontrol, atau pengalaman sistem informasi terdokumentasi. Selain itu, 60 sampai 120
menyelesaikan jam kredit semester kuliah (setara dengan bachelor) dapat diganti masing-
masing satu atau dua tahun, dari audit sistem informasi, kontrol, atau pengalaman keamanan.
Selain itu, dua tahun sebagai instruktur universitas penuh waktu di bidang terkait dapat
diganti selama satu tahun dalam audit, pengendalian, atau pengalaman sistem informasi audit.
Serupa dengan IIA dengan sertifikat sertifikasi CIA lainnya, ISACA juga
menawarkan sertifikat pemeriksaan terpisah untuk Certified Information Security Manager
(CISM), Certified in Governance of Enterprise IT (CGEIT), dan Certified in Risk and
Information Pengendalian Sistem (CRISC). Masing-masing adalah pemeriksaan terpisah
yang memerlukan beberapa tingkat pengalaman di bidang praktik tertentu namun ditawarkan
hari ini dalam rangkaian bahasa yang lebih terbatas.

29.5 CERTIFIED INFORMATION SECURITY MANAGER

Certified Information Security Manager (CISM) mempromosikan praktik keamanan
internasional dan mengenali individu-individu yang mengelola, merancang, mengawasi, dan
menilai keamanan informasi perusahaan. Ini adalah pemeriksaan yang mencakup pekerjaan
yang dilakukan oleh manajer keamanan informasi, yang telah divalidasi oleh pemimpin
industri terkemuka, pakar materi pelajaran, dan praktisi industri. Berikut ini adalah deskripsi
area ini dan perkiraan persentase pertanyaan uji yang dialokasikan untuk setiap area:
Domain 1: Tata Kelola Keamanan Informasi (24%)
Domain 2: Informasi Manajemen Risiko dan Kepatuhan (33%)
Domain 3: Pengembangan dan Pengelolaan Program Keamanan Informasi (25%)
Domain 4: Manajemen Insiden Keamanan Informasi (18%)
 CISM didukung oleh organisasi ISACA yang sangat kuat dan kredibel, dan telah
berkembang dalam hal status dan pengakuan. Namun, ujian dan sertifikasi ini sering kali
membutuhkan waktu untuk menjadi sangat dikenal di kalangan manajer dan profesional.

29.6 CERTIFIED IN THE GOVERNANCE OF ENTERPRISE IT

Certified in the Governance of Enterprise IT (CGEIT) mengakui beragam profesional
untuk pengetahuan dan penerapan prinsip dan praktik tata kelola perusahaan TI. Ini
membutuhkan lima tahun pengalaman mengelola, melayani dalam peran penasihat atau
pengawasan, dan/atau mendukung tata pemerintahan kontribusi terkait TI ke perusahaan,
termasuk minimal satu tahun pengalaman yang berkaitan dengan definisi, penetapan, dan
pengelolaan kerangka kerja tata kelola TI. Sementara keringanan tersedia untuk sertifikasi
lain, tidak ada penggantian untuk persyaratan pengalaman CGEIT ini. Sertifikasi disini
didasarkan pada penyelesaian ujian 150 pertanyaan dan empat jam yang berhasil, hanya
tersedia dalam bahasa Inggris, yang mencakup area domain berikut:
Domain 1: Framework for the Governance of Enterprise IT (25%)
Domain 2: Strategic Management (20%)
Domain 3: Benefits Realization (16%)
Domain 4: Risk Optimization (24%)
Domain 5: Resource Optimization (15%)

29.7 CERTIFIED IN RISK AND INFORMATION SYSTEMS CONTROL

Certified in Risk and Information Systems Control (CRISC) adalah sertifikasi
dirancang bagi mereka yang berpengalaman dalam manajemen risiko bisnis dan teknologi,
dan perancangan, implementasi, pemantauan, dan pemeliharaan pengendalian IS. 200
pertanyaan ini, pemeriksaan empat jam, hanya tersedia dalam bahasa Inggris, dan mencakup
bidang persyaratan domain atau pengetahuan berikut:
Domain 1: Risk Identifi cation, Assessment, and Evaluation (31%)
Domain 2: Risk Response (17%)
Domain 3: Risk Monitoring (17%)
Domain 4: Information Systems Control Design and Implementation (17%)
Domain 5: IS Control Monitoring and Maintenance (18%)
Kandidat harus memiliki pengalaman kerja kumulatif tiga tahun atau lebih dalam
melakukan tugas profesional CRISC di setidaknya tiga domain CRISC. Tidak ada
penggantian atau pengabaian pengalaman.
Profesional bersertifikat CRISC harus memiliki keterampilan untuk mengelola risiko,
merancang, dan mengawasi tindakan respons, memonitor sistem untuk risiko, dan
memastikan bahwa strategi manajemen risiko organisasi terpenuhi. CRISC adalah sertifikasi
yang lebih baru, dan sejak didirikan pada tahun 2010, lebih dari 17.000 profesional telah
memperolehnya. Kualifikasi ini dirancang untuk membantu memenuhi syarat profesional
untuk pekerjaan seperti analis keamanan TI, arsitek insinyur keamanan, manajer program
penjaminan informasi, dan auditor TI senior.

29.8 CERTIFIED FRAUD EXAMINER

Ada organisasi profesi yang sangat terlibat dengan isu-isu terkait kecurangan untuk
auditor internal, Association of Certified Fraud Examiners (ACFE). Organisasi ini memiliki
pemeriksaan profesional dan sertifikasi, Certifieded Fraud Examiner (CFE). Mendapatkan
penunjukan CFE dianggap sebagai indikator keunggulan dalam profesi antifraud. Anggota
CFE mengalami pertumbuhan baik secara profesional maupun pribadi, dan dapat
memposisikan diri sebagai pemimpin di komunitas antifraud.
 Pemeriksaan CFE didasarkan pada empat area yang luas yaitu (1) kriminologi dan
etika, (2) transaksi keuangan, (3) elemen hukum penipuan, dan (4) pemeriksaan penipuan dan
investigasi
Bagi banyak auditor internal, topik ini berada di luar pengalaman dan pelatihan
mereka. ACFE memiliki publikasi, konferensi, dan bab lokal untuk memberikan auditor
internal tingkat informasi yang lebih tinggi mengenai kecurangan dan kecurangan investigasi.
Dengan meningkatnya kekhawatiran akan masalah penipuan, ACFE dengan cepat
mendapatkan keunggulan di era pasca-SOx ini dengan memiliki situs web sendiri
(www.acfe.com), sebagian besar materi penipuan yang dipublikasikan di halaman Web
AICPA tentang kecurangan. Selain itu, situs web ACFE berisi pemeriksaan sampel untuk
memungkinkan auditor internal menentukan apakah dia siap untuk mengikuti tes CFE. Tes
CFE adalah latihan yang benar-benar online dimana kandidat mendaftar dan melakukan
pemeriksaan selang waktu yang ditentukan oleh mesin.

29.9 CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL

Organisasi profesional yang dikenal sebagai Konsorsium Sertifikasi Keamanan
Sistem Informasi Internasional, atau (ISC) 2, bertanggung jawab untuk salah satu ujian dan
pemeriksaan profesional audit yang terkait dengan audit internal yang lebih menantang dan
lebih dikenal, Certified Information Systems Security Professional (CISSP). Pemeriksaan
profesional dan penunjukan CISSP-nya diakui dengan baik namun dapat sulit untuk dicapai.
Sertifikasi ini untuk profesional keamanan sistem informasi.
Dengan kemungkinan pengecualian pemeriksaan CISM, pemeriksaan CISSP berada
pada tingkat yang jauh lebih tinggi dan jauh lebih teknis daripada ujian sertifikasi auditor
internal lainnya. Ujian diikat dengan ketat, materi pelatihan diperiksa dan disetujui oleh (ISC)
2, dan keseluruhan kualitas pemeriksaannya tinggi. Jika auditor internal bertemu dengan
seseorang di sebuah organisasi auditee dengan sertifikasi CISSP, orang tersebut pastinya
adalah seseorang yang memiliki pengetahuan keamanan sistem informasi tinggi.

29.10 ASQ INTERNAL AUDIT CERTIFICATIONS

ASQ mensponsori berbagai pemeriksaan serta sertifikasi untuk semua aspek
operasinya, termasuk Auditor Bersertifikat Pemeriksaan mutu dan sertifikasi. CQA adalah
seorang profesional yang memahami standar dan prinsip-prinsip manajemen mutu auditing
dan teknik pemeriksaan, mempertanyakan, evaluasi, dan pelaporan untuk menentukan
kecukupan kualitas sistem dan kekurangan.
Sebagai harapan profesional minimum, kualitas auditor CQA harus:
1. Memproses pengetahuan untuk secara efektif melakukan berbagai jenis tujuan
2. Dapat mengembangkan dan mengkomunikasikan rencana audit dalam suatu lingkup
yang ditetapkan yang mengidentifikasi standar yang berlaku, personel yang
diperlukan, dokumen dan peralatan yang dibutuhkan, dan agenda pemeriksaan.
3. Dapat secara efektif melaksanakan rencana audit.
4. Dapat secara obyektif menyajikan ketidaksesuaian yang diverifikasi dengan standar
audit dan mengevaluasi efektivitas yang menghasilkan tindak lanjut / tindakan
korektif dengan cara yang etis dan tepat waktu.
5. Mengetahui dan mampu menerapkan alat-alat audit dasar dan teknik, CQA juga harus
menunjukkan pengetahuan umum dari alat-alat kontrol kualitas, statistik deskriptif,
dan teori-teori yang berlaku.

29.11 OTHER INTERNAL AUDITOR CERTIFICATIONS

Sertifikasi profesional adalah cara yang baik bagi auditor internal untuk menunjukkan
bahwa mereka memiliki beberapa keterampilan profesional yang unik dan penting.
Pengetahuan yang didapat melalui memperoleh sertifikat memungkinkan auditor internal
untuk bekerja lebih efisien dan efektif dalam pelayanan kepada manajemen. Sertifikasi dan
khususnya CIA penting bagi semua auditor internal. Semua auditor internal harus melakukan
upaya untuk menjadi bersertifikat sebagai CIAS dan / atau sebagai CISAs. Auditor internal
individu harus menggunakan ujian sertifikasi sebagai ukuran profesionalisme mereka sendiri.
Ada indikator penting pengetahuan, minat, dan kemampuan seseorang. Baik di dalam fungsi
audit internal organisasi atau di luar, sertifikasi adalah ukuran pengetahuan seseorang dan
kepentingan dalam profesi.

BAB 30: THE MODERN INTERNAL AUDIT AS AN ENTERPRISE

CONSULTANT

30.1 STANDARDS FOR INTERNAL AUDIT AS AN ENTERPRISE CONSULTANT

Tujuan dari audit internal adalah untuk membantu manajemen dengan analisis
menyediakan, informasi, dan rekomendasi untuk peningkatan kontrol dan operasi. Kontrol
internal dapat dievaluasi untuk: kepatuhan terhadap kebijakan dan prosedur, peraturan, dan
peraturan; keandalan dan integritas informasi keuangan dan operasional; kecukupan dan
integritas proses tata kelola; efektivitas dan efisiensi operasi; dan pengamanan aset.
Standar IIA sekarang secara khusus menjelaskan audit internal baik sebagai
pembuktian dan kegiatan konsultasi. Standar IIA menetapkan konsultasi audit internal
sebagai penasehat dan terkait dengan audit layanan klien kegiatan, sifat dan ruang lingkup
yang disepakati dengan klien dan yang dimaksudkan untuk menambah nilai dan
meningkatkan tata kelola perusahaan, manajemen risiko, dan mengontrol proses tanpa auditor
internal dengan asumsi tanggung jawab manajemen.
Menjabat sebagai konsultan internal, auditor internal dapat diadakan untuk standar yang
lebih tinggi kinerja dan akuntabilitas. Mereka harus bertindak sebagai tujuan dan kritis,
"orang luar" di dalam perusahaan mereka sendiri, memberikan fakta-fakta keras dan berita
buruk di luar temuan laporan audit, termasuk isu-isu bahwa manajemen kadang-kadang tidak
mau mendengar.
Menjabat sebagai perusahaan konsultan sering tempat auditor internal yang agak
berbeda peran dari audit internal normal membuktikan penugasan, di mana audit internal
penggunaannya audit tujuan perencanaan dan pengukuran risiko untuk merencanakan dan
jadwal audit.
Ada juga beberapa perbedaan penting lainnya antara operasi audit internal sebagai
konsultan internal dan penggunaan manajemen dari luar, independen perusahaan konsultan.
Standar audit internal konsultasi sekarang jelas mendefinisikan internal audit potensi
berperan sebagai konsultan internal. Tentu saja, audit internal pertama-tama harus membahas
pengaturan, pertama dengan komite audit. Kepala eksekutif audit harus menjelaskan
bagaimana hal ini, komponen baru diperluas jasa audit internal untuk manajemen dapat
membawa nilai bagi perusahaan. Tentu saja, audit internal tidak boleh melupakan bahwa
tanggung jawab utama adalah untuk mengkaji kecukupan dan efektivitas internal kontrol
dalam perusahaan. Audit internal membuktikan peran sangat signifikan.

30.2 LAUNCHING AN INTERNAL AUDIT INTERNAL CONSULTING FACILITY

Sebelum melakukan kegiatan konsultasi in-house yang sedang berjalan, audit internal
perlu mendapat pengakuan dari komite audit dan untuk sepenuhnya menunjukkan kepada
manajemen bahwa ia memiliki kemampuan dan tujuan untuk bertindak sebagai konsultan
perusahaan internal. Jumlah kesempatan audit internal lainnya dapat membatasi kemampuan
audit internal untuk melakukan kegiatan konsultasi di luar penilaian audit normal. Selain itu,
beberapa anggota manajemen mungkin tidak sepenuhnya memahami potensi peran audit
internal sebagai konsultan internal, memikirkannya hanya dalam peran pengawas.
Jika fungsi audit internal perusahaan ingin mulai secara teratur menawarkan konsultasi
internal, sebaiknya mengembangkan strategi konsultasi dan kemudian dengan kuat
mendokumentasikan peran dan kapabilitasnya melalui piagam auditnya. Namun, dengan
standar IIA masa lalu yang melarang auditor internal bertindak sebagai konsultan, peran audit
internal yang diperluas ini mungkin tidak dipahami dengan baik oleh beberapa fungsi audit
internal, manajemen senior, atau oleh komite audit. Audit internal sendiri perlu
mengembangkan strategi untuk setiap aktivitas konsultasi internal yang direncanakan yang
tidak bertentangan dengan misi utama tinjauan pengendalian internal dan yang membawa
nilai bagi keseluruhan perusahaan. Beberapa area yang perlu dipertimbangkan saat
mengembangkan praktik konsultasi internal meliputi:
 Apa jenis konsultasi audit internal yang harus dipertimbangkan?
 Bagaimana sumber daya dibagi antara audit internal yang membuktikan dan
konsultasi internal?
 Menganggaran dan menghitung biaya jasa konsultasi audit internal.
 Merencanakan dan menjadwalkan kegiatan konsultasi audit internal.
 Melaporkan hasil dan komunikasi dengan manajemen dan komite audit.
 "Menjual" program konsultasi audit internal
Ada banyak pilihan yang perlu dipertimbangkan saat meluncurkan penawaran
konsultasi audit internal. Pertimbangan yang tercantum di sini dan lainnya harus diuraikan
dan kemudian didiskusikan dengan komite audit dan manajemen senior. Setelah persetujuan
sementara diperoleh, audit internal harus meminta piagam audit yang disetujui yang secara
jelas menentukan peran audit internal sebagai konsultan internal untuk perusahaan tersebut.
Aktivitas konsultasi internal audit internal tidak boleh merupakan latihan ad hoc yang hanya
terjadi untuk kejadian khusus dan khusus. Sebagai penawaran yang tersedia di beberapa
bidang keahlian audit internal, sumber konsultasi internal harus ditawarkan dan kemudian
dikelola. Bila manajemen auditee membutuhkan bantuan konsultasi di luar kemampuan audit
internal, perhatian harus dilakukan agar tidak terlibat dengan kegiatan yang mungkin lebih
baik dimiliki oleh sumber daya perusahaan lain atau dengan konsultan dari luar.

30.3 ENSURING AN AUDIT AND CONSULTING SEPARATION OF DUTIES

Masalah potensial mengenai perlunya pemisahan tanggung jawab antara auditor
internal yang bertindak sebagai konsultan internal dan perusahaan yang melakukan audit, kita
dapat melihat kembali industri akuntansi publik. Sebelum tahun 1970an, American Institute
of Certified Public Accountants (AICPA) memisahkan perusahaan akuntan publik antara
auditor akuntan publik (CPA) yang menyediakan layanan konsultasi. Perusahaan BPA
memiliki semacam garis di kantornya yang memisahkan auditor yang mengesahkan laporan
keuangan dari para spesialis. Namun, selama bertahun-tahun, garis ini semakin kabur karena
konsultan spesialis, terutama mereka yang memiliki keterampilan IT, terlibat langsung dalam
membantu audit lengkap perusahaan IT yang terikat berat. Demikian pula, auditor keuangan
CPA yang kuat menjadi sangat terlibat dalam membantu proyek konsultasi keuangan khusus.
Salah satu rincian pengendalian internal yang disorot dalam audiensi legislatif SOx
adalah bahwa perusahaan akuntansi publik sering kali sangat menyarankan agar salah satu
konsultan TI mereka mengunjungi klien audit keuangan untuk memasang aplikasi keuangan
baru; perusahaan akuntan publik akan mengirim auditor CPA-nya kembali untuk meninjau
kembali pengendalian internal atas aplikasi yang sama. Tidak mengherankan, auditor
keuangan biasanya tidak menemukan banyak masalah pengendalian internal dalam aplikasi
yang konsultan mereka sendiri baru saja instal. SOx telah melarang potensi konflik potensial
ini, dan praktik konsultasi akuntansi publik sekarang telah beralih sebagai perusahaan
konsultan independen.
Perhatian harus selalu diberikan untuk memisahkan peran auditor internal yang
bertindak sebagai konsultan dari fungsi audit yang melakukan audit. Auditor internal
membuat pemahaman dengan klien konsultasi mengenai tujuan, cakupan, tanggung jawab
masing-masing, dan harapan klien lainnya. Untuk perikatan yang signifikan, pemahaman ini
harus didokumentasikan.

30.4 CONSULTING BEST PRACTICES

Peran konsultan sedikit berbeda dengan auditor internal. Auditor internal memulai
dengan program audit yang disusun yang menguraikan area untuk ditinjau atau serangkaian
standar. Sebagian besar ulasan didasarkan pada penilaian kepatuhan terhadap standar
tersebut. Auditor internal umumnya menjadwalkan review, sementara seorang konsultan
datang atas undangan manajemen. Konsultan dapat menyusun tinjauan berdasarkan
kepatuhan terhadap beberapa standar, mendiskusikan masalah dengan manajemen dan
mengembangkan solusi secara lebih kolaboratif.
Dalam rangka untuk beroperasi konsultan internal yang efektif, auditor internal perlu
melakukan lebih dari mengubah gelar mereka pada kartu bisnis; mereka juga perlu
mengembangkan beberapa pendekatan baru. Audit internal harus sepenuhnya mendefinisikan
kemampuannya untuk pekerjaan konsultasi dan menjelaskannya melalui sebuah pernyataan
piagam yang disetujui.
First Steps: Launching a Consulting Assignment
Kesempatan konsultasi internal biasanya datang ke audit internal karena:
1. Telah menyelesaikan tinjauan internal dengan rekomendasi untuk tindakan korektif
itumanajemen perlu diimplementasikan
2. Kebutuhan lain berkembang dalam perusahaan
3. Manajemen sering memiliki kebutuhan khusus di mana audit internal dapat
memberikan beberapa bantuan penting.
Consulting Help to Implement Internal Audit Report Recommendations
Komponen utama dari proses audit internal adalah rekomendasi audit untuk tindakan
perbaikan, yang dipublikasikan dan dijelaskan dalam laporan audit. Standar spesifik
perusahaan audit internal dan arahan komite audit biasanya mengharuskan manajemen
auditee menanggapi temuan laporan audit dengan rencana tindakan korektif dalam waktu
yang sangat singkat. Temuan audit internal yang menguraikan kebutuhan akan beberapa
bentuk tindakan perbaikan memberi beban pada manajemen, yang mungkin kekurangan
sumber daya terampil untuk menerapkan perbaikan yang disarankan.
Auditor internal yang bertindak sebagai konsultan internal mungkin merupakan sumber
yang tepat untuk menerapkan rekomendasi laporan audit ini. Hal ini terutama terjadi ketika
rekomendasi audit internal mencakup bidang-bidang seperti memperbaiki dokumentasi,
memperbaiki prosedur pengendalian internal tertentu, atau staf pelatihan di area terkait
pengendalian internal. Jika sumber daya departemen mereka sendiri terbatas, konsultan
internal audit internal mungkin merupakan pilihan terbaik untuk menerapkan tindakan
perbaikan yang disarankan. Hal ini terutama terjadi karena membawa konsultan baru yang
baru mungkin jauh lebih mahal dan menyita waktu. Jika manajemen auditee menunjukkan
bahwa ia tidak memiliki sumber daya yang tersedia secara jangka pendek untuk
melaksanakan rekomendasi audit internal, maka layanan konsultasi audit internal dapat
diajukan.
Ada beberapa area bahaya utama dengan jenis pekerjaan konsultasi ini. Pertama,
rekomendasi audit internal seharusnya tidak melayani sendiri dengan cara yang tampaknya
menghasilkan peluang konsultasi. Kedua, harus ada tingkat independensi antara auditor
internal yang membuat rekomendasi dan konsultan internal yang membantu pelaksanaan
tindakan korektif.
Other Consulting Needs within the Enterprise
Sering ada banyak area dalam perusahaan dimana audit internal dapat memenuhi
kebutuhan dan menawarkan beberapa keterampilan dan keahlian khusus. Auditor eksternal
mungkin telah menemukan beberapa kelemahan pengendalian yang signifikan dalam
penilaian mereka dan telah menyampaikannya kepada komite audit dan manajemen. Ini
adalah kedua wilayah dimana audit internal sering memiliki keterampilan luas untuk
membantu menginstal perbaikan pengendalian internal bukan sebagai auditor internal tetapi
juga sebagai konsultan manajemen.
Specific Management Needs for Internal Audit Consulting Help
Auditor internal harus memiliki banyak keterampilan dan keahlian di bidang
pengetahuan kritis. Selain tugas audit berbasis audit internal yang spesifik, audit internal
seringkali dapat memberikan bantuan konsultasi untuk berbagai wilayah.
Setiap proyek konsultasi audit internal bergantung pada kebutuhan manajemen,
ketersediaan sumber daya audit internal, dan keseluruhan persetujuan komite audit. Bila ada
kebutuhan atau kepentingan yang dirasakan, perwakilan audit internal harus bertemu dengan
kelompok manajemen peminta untuk memahami persyaratan dan kebutuhannya. Konsultan
audit internal harus memperoleh pemahaman tingkat tinggi mengenai kebutuhan dan
persyaratan proyek konsultasi.
Proses pendahuluan ini biasanya membutuhkan auditor internal sebagai calon internal
konsultan untuk mengumpulkan lebih banyak informasi tentang kemungkinan penugasan
untuk mengurangi ukuran masalah. Anggota tim audit internal - mungkin salah satu
konsultan yang berpotensi ditugaskan - harus mengunjungi area layanan pelanggan ini untuk
mendapatkan apresiasi yang lebih besar terhadap sifat spesifik dari permintaan, ukuran
masalahnya, dan apakah konsultan audit internal bisa membantu. Jika ada sesuatu yang
cocok, audit internal harus memformalkan pengaturan konsultasi internal ini.
The Consulting Engagement Letter
Menggunakan istilah yang berasal dari praktik konsultasi akuntansi publik, wewenang
atau pimpinan dari tim konsultan internal audit internal harus membuat draft pemahaman
formal yang menjelaskan proyek konsultasi internal yang akan datang. Karena ini adalah
pemahaman internal di dalam perusahaan, engagement letter semacam itu tidak memiliki
dasar hukum yang sama yang dapat ditemukan saat perusahaan luar menguraikan rencana
kerjanya. Namun, audit internal formal menyiapkan engagement letter adalah cara yang tepat
untuk meluncurkan proyek konsultasi internal antara audit internal dan operasi perusahaan.
Internal audit consulting engagement letter menggambarkan apa yang konsultan audit
internal usulkan untuk dicapai, siapa yang akan melakukan pekerjaan, waktu dan lamanya,
dan hasil yang diharapkan dari proyek konsultasi. Jika biaya audit internal untuk layanan
konsultasinya melalui beberapa bentuk biaya lintas anggaran, faktor biaya yang diharapkan
juga harus diperkirakan. Engagement letter meluncurkan proyek konsultasi internal dan harus
meminta persetujuan manajemen yang tepat.
Engagement letter yang disetujui kemudian harus menjadi dasar untuk meluncurkan
proyek konsultasi audit internal. Proyek konsultasi audit internal harus diatur dan dilacak
dengan cara yang sama seperti audit internal yang normal. Perbedaan utama adalah bahwa
proyek konsultasi tunduk pada permintaan dan prioritas manajemen lokal. Jika manajemen
lokal mengatakan kepada auditor internal yang berfungsi sebagai konsultan untuk
mengabaikan beberapa area operasi atau untuk memberikan beberapa masalah yang
diketahui, konsultan auditor internal tidak memiliki fleksibilitas yang sama dalam membawa
masalah ini ke perhatian komite audit.
The Consulting Process: Defining “As Is” and “To Be” Objectives
Dalam sebuah proyek konsultasi, manajemen senior atau bahkan lokal biasanya
memiliki beberapa gagasan bahwa area operasi salah atau dapat dilakukan dengan lebih
efektif atau efisien. Dengan konsep yang luas ini, auditor internal sebagai konsultan perlu
menganalisis masalah ini dan mengembangkan sebuah pernyataan masalah potensial untuk
memulai latihan konsultasi.
Analisis sebab dan akibat sering menjadi pendekatan yang berguna untuk menganalisis
status terkini dari beberapa area masalah. Auditor internal konsultan akan dipresentasikan
dengan pernyataan masalah umum dan kemudian meninjau informasi, mengajukan
pertanyaan, dan mengamati lingkungan masalah untuk memecahkan masalah menjadi
potongan-potongan yang lebih kecil.
Jika konsultan auditor internal telah diminta untuk mengidentifikasi suatu masalah.
Konsultan dapat memutuskan masalah utamanya. Isu-isu yang diidentifikasi ini kemudian
dapat diorganisasikan ke diagram sebab-akibat. Idenya adalah untuk mengidentifikasi potensi
masalah yang berkontribusi secara grafis yang menunjukkan akar penyebab dasar. Auditor
internal kemudian dapat menggunakan diagram seperti itu untuk membahas masalah dan akar
masalahnya dengan anggota manajemen untuk mendapatkan beberapa kesepakatan umum
mengenai masalah saat ini.
Implementing Consulting Recommendations

Rekomendasi dari proyek konsultasi harus selalu dipikirkan dengan baik, dengan
mempertimbangkan berbagai pertimbangan biaya dan kelayakan. auditor internal akan sering
meninjau draf laporan audit dengan manajemen untuk membahas masalah seputar
rekomendasi. Auditor internal pada akhirnya akan menerbitkan laporan audit dan akan
mengharapkan tanggapan manajemen mengenai rencana tindakan korektif. Konsultan yang
membuat rekomendasi sering menghadapi situasi yang sulit. Jika manajemen setuju dengan
saran tindakan yang disarankan tersebut, akan sering meminta konsultan yang sama untuk
mengambil peran aktif dalam memimpin pelaksanaan solusi yang disarankan. Sebagian besar
auditor internal menghadapi situasi dimana manajemen tidak melakukan apapun sehubungan
dengan rekomendasi auditor eksternal. Sebagai konsultan, auditor internal seringkali harus
membantu untuk mengambil peran utama dalam menerapkan tindakan yang
direkomendasikan. Ini adalah perbedaan yang signifikan dari banyak kegiatan audit internal
Documenting and Completing the Consulting Engagement
Proyek konsultasi harus didokumentasikan sedemikian rupa sehingga manajemen dapat
maju dengan hasil yang didokumentasikan dan bahwa fungsi audit internal dapat sepenuhnya
menerima pekerjaan jika mereka memilih untuk mengaudit pengendalian internnya. Ketika
auditor internal mengambil empat atau lima minggu, manajemen auditee mungkin mengeluh
tentang mengapa hal itu memakan waktu begitu lama, namun seringkali tidak akan melihat
biaya langsung untuk waktu yang lama dan akan terus berlanjut. Dalam proyek konsultasi
audit internal, manajemen sering diminta untuk menyerap biaya pekerjaan itu. Perluasan
proyek dari perkiraan tiga minggu sampai lima yang sebenarnya akan menghasilkan biaya
crossover ke buku besar auditee, dan harus ada dokumentasi terperinci untuk mendukung
kegiatan ini. Selain itu, untuk mendukung pemisahan tugas yang memadai antara konsultasi
audit internal dan kegiatan pengesahan, proyek konsultasi terkait harus diselesaikan
sedemikian rupa sehingga mereka tampaknya terpisah dari tinjauan audit internal.

30.5 EXPANDED INTERNAL AUDIT SERVICES TO MANAGEMENT

Konsultasi merupakan layanan audit internal potensial yang diperluas dan penting bagi
manajemen. Audit internal harus mengatur dirinya sendiri di beberapa area, mulai dari
revised charter hingga pernyataan terperinci yang menjelaskan kemampuan dan penawaran
konsultasinya, yang memungkinkannya memberikan layanan konsultasi kepada manajemen
di luar audit reguler.
Jika fungsi audit internal ingin memberikan konsultasi internal sebagai penawaran
tambahan,harus dipastikan bahwa proyek konsultasi ini sama profesionalnya dengan attest
audit. Selain itu, perhatian besar harus diberikan untuk mengorganisir kegiatan ini sehingga
tidak dirasakan oleh orang lain sebagai self-serving. Artinya, hasil temuan audit internal tidak
boleh dianggap sebagai karya promosi untuk meningkatkan proyek konsultasi. Auditor
internal juga harus memiliki pemahaman CBOK tentang standar konsultasi dan proses
konsultasi.

BAB 23: BOARD AUDIT COMMITTEE COMMUNICATIONS

(Edisi 7)

23.1 Peran Komite Audit

Komite Audit memberikan otorisasi yang luas ini untuk fungsi audit internal melalui
dokumen charter audit formal. Sebuah komite audit juga menyetujui rencana keseluruhan
audit internal untuk melanjutkan kegiatan melalui periode berjalan dan seterusnya. Sebagai
salah satu komite beberapa operasi yang ditetapkan oleh dewan, komite audit memiliki peran
unik dibandingkan dengan komite dewan lainnya. Ini terdiri dari hanya direksi luar-
memberikan kemerdekaan dari manajemen perusahaan-dan harus terdiri dari direktur luar
yang umumnya memahami, memonitor, mengkoordinasi, dan menafsirkan pengendalian
internal dan aktivitas keuangan yang terkait untuk seluruh forum. Salah satu anggota komite
audit harus ditunjuk sebagai ahli keuangan peraturan SOx. Dalam rangka memenuhi
tanggung jawabnya kepada jajaran direksi, kepada pemegang saham, dan untuk masyarakat,
komite audit perlu untuk memulai dan mengelola fungsi audit internal yang harus menjadi set
independen dari mata dan telinga dalam perusahaan, memberikan penilaian pengendalian
internal dan hal-hal lain.
Sedangkan auditor eksternal memiliki tanggung jawab utama untuk dewan suatu
perusahaan direktur untuk membuktikan keakuratan dan kewajaran laporan keuangan, audit
internal memiliki peran lebih besar dalam menilai pengendalian internal atas keandalan
pelaporan keuangan, efektivitas dan efisiensi operasi, dan perusahaan itu kepatuhan terhadap
hukum dan peraturan yang berlaku. Dewan direksi Perusahaan memiliki komite audit formal
untuk beberapa waktu, dan audit internal selalu memiliki hubungan pelaporan jangka panjang
kepada dewan komite audit direksi. Namun, banyak yang telah berubah sejak SOx 2002.
 Komite audit telah memperluas tanggung jawab dan audit internal memiliki tanggung
jawab yang lebih besar untuk melayani terbaik komite audit. Walaupun komite audit biasanya
memiliki kontak teratur terutama dengan CAE, semua auditor internal harus memiliki
pemahaman tentang hubungan ini sangat penting.

23.2 Organisasi Komite Audit dan Charter

Sebuah komite audit merupakan komponen operasional dari dewan direksi dengan
tanggung jawab untuk kontrol internal dan pengawasan pelaporan keuangan. Karena itu
tanggung jawab pengawasan, anggota komite audit harus direktur independen dengan tidak
ada hubungannya dengan manajemen perusahaan. Dewan direksi suatu perusahaan
merupakan badan resmi yang diberikan tanggung jawab untuk keseluruhan pemerintahan
bahwa perusahaan bagi investor pemiliknya atau pemberi pinjaman. Karena semua anggota
dewan dapat dipegang secara hukum bertanggung jawab melalui tindakan mereka atas setiap
isu, dan dewan dan komite yang membuat sebagian besar bisnis formal melalui resolusi, yang
menjadi masalah catatan perusahaan. Perusahaan dari berbagai komite dewan, termasuk
komite audit, didirikan melalui resolusi tersebut.
Kebanyakan perusahaan fungsi audit internal secara rutin beroperasi melalui sebuah
piagam formal internal audit, dokumen yang disetujui oleh komite audit untuk menjelaskan
peran audit internal dan tanggung jawab. Institute of Internal Auditor (IIA) telah memberikan
beberapa panduan untuk menyusun piagam audit internal, tetapi charter tersebut tidak
mengikuti standar tertentu atau format. Mereka harus secara formal negara, antara lain,
bahwa audit internal memiliki akses penuh terhadap semua catatan dan fasilitas dalam
perusahaan. charter audit internal mencakup kegiatan fungsi audit internal tetapi bukan
kegiatan komite audit dewan perusahaan. NYSE menyarankan diusulkan charter komite audit
dewan pada bulan Desember 1999, tetapi dengan ada persyaratan bahwa komite audit harus
memiliki seperti piagam. Sox kini telah mengamanatkan bahwa setiap komite audit dewan
harus mengembangkan piagam audit sendiri resminya akan diterbitkan sebagai bagian dari
laporan tahunan proxy.
Tujuan dari sebuah piagam komite audit dewan adalah untuk menetapkan komite
audit bertanggung jawab tentang:
 Identifikasi, penilaian, dan pengelolaan risiko keuangan dan ketidakpastian
 Terus menerus memperbaiki sistem keuangan
 Integritas laporan keuangan dan pengungkapan keuangan
 Kepatuhan terhadap persyaratan hukum dan peraturan
 Kualifikasi, kemandirian, dan kinerja auditor independen di luar
 Kemampuan, sumber daya, dan kinerja dari departemen audit internal
 Penuh dan terbuka komunikasi dengan dan antara akuntan independen, manajemen,
auditor internal, konsultan, karyawan, komite audit

Komite audit diperlukan sebelum jajaran direksi keluar dan mendapatkan otorisasi,
melalui dokumen piagam, untuk kegiatan komite audit dewan hanya sebagai CAE, mewakili
fungsi audit internal perusahaan itu, secara teratur pergi sebelum dewan komite audit.
Sementara beberapa mungkin terlihat pada kebutuhan piagam komite audit sebagai halaman
tambahan untuk menambahkan bulk ke pernyataan proxy sudah tebal, itu adalah komitmen
formal oleh komite audit dewan untuk memastikan integritas laporan keuangan dan
mengawasi fungsi audit internal dan eksternal. Tidak ada format yang diperlukan tunggal
atau isi dokumen ini diamanatkan untuk piagam, namun NYSE telah menerbitkan sebuah
piagam model yang telah diadopsi oleh banyak perusahaan publik saat ini. Format bervariasi
dari satu perusahaan ke yang lain, tapi audit charter komite umumnya mencakup:
 1. Tujuan dan kekuasaan komite audit
2. Komposisi komite audit
3. Jadwal pertemuan
4. Komite audit prosedur
5. Komite audit kegiatan utama (tata kelola perusahaan, pelaporan publik, akuntan
independen, audit dan akuntansi, dan kegiatan lainnya).
6. Discretionary kegiatan (Akuntan independen, audit internal, akuntansi, kontrol dan
sistem, pelaporan publik, kepatuhan tanggung jawab pengawasan, penilaian risiko,
tanggung jawab pengawasan keuangan, dan imbalan kerja rencana investasi tanggung
jawab fidusia
7. Komite audit keterbatasan

Banyak komite audit charter berisi deskripsi dari kategori yang tercantum.
Beberapa tampaknya telah dikembangkan oleh perusahaan penasehat hukum dengan
bahasa untuk menutupi setiap kontingensi sehingga lebih jelas dan ringkas. Ini adalah
jenis dokumen resolusi dewan direksi yang akan menjadi bagian dari arsip
perusahaan.
Apakah lebih besar atau kecil, perusahaan masih harus memiliki kontrol internal
yang efektif dan fungsi audit internal. CAE untuk itu perusahaan kecil harus meninjau
ulang bahan-bahan yang dipublikasikan oleh IIA, AICPA, atau Sistem Informasi
Audit dan Control Association, dan bekerja dengan auditor internal dari perusahaan-
perusahaan kecil lain dalam masyarakat untuk mengembangkan ide-ide dan
pendekatan.

23.3 Komite Audit Keuangan dan Audit Internal Ahli

Sebuah kritik utama komite audit pada pra-SOx pada hari-hari setelah jatuhnya
Enron bahwa banyak anggota dewan yang menjabat sebagai komite audit tampaknya
tidak memahami keuangan dan masalah pengendalian internal. Orang-orang terpilih
untuk dewan komite audit karena hubungan mereka dengan senior, manajemen bisnis
atau profesional latar belakang tapi mereka sering tidak memahami kontrol keuangan
atau internal yang kompleks isu seputar banyak perusahaan. SOx sekarang
mengharuskan bahwa setidaknya salah satu dari audit Komite direktur independen
harus apa yang disebut "ahli keuangan" dengan beberapa persyaratan yang cukup
spesifik untuk peran itu. Ini anggota dewan pakar keuangan bisa sangat baik menjadi
terbaik atau terdekat audit internal sekutu komite dan mungkin sangat baik menjadi
titik awal untuk CAE untuk mengikat erat audit internal untuk komite audit dewan.
Hari ini khas audit anggota komite dan tentunya para pakar keuangan tentu dalam
yang baru dan menantang posisi dengan mandat hukum dan banyak tekanan. SOx
telah menyebabkan banyak perubahan tata kelola perusahaan, dewan direksi, dan
komite audit. Dalam banyak situasi, audit CAE dan internal mungkin thread unik dari
kesinambungan tata kelola perusahaan, dan audit internal dapat membantu komite
audit di era baru ini melalui pendekatan tiga langkah:
Langkah 1. Melalui laporan dan presentasi, memberikan ringkasan rinci arus audit internal
proses untuk penilaian risiko, perencanaan dan melakukan audit, dan pelaporan hasil melalui
laporan audit.
Langkah 2. Bekerja dengan sumber daya manusia dan sumber daya lainnya, rencana ini
kepada komite audit untuk membantu meluncurkan etika SOx yang diperlukan dan program
whistleblower.
Langkah 3. Mengembangkan rencana rinci untuk meninjau dan menilai pengendalian
internal dalam perusahaan. Ini adalah komponen kunci dari SOx, Bagian 404 pengendalian
internal penilaian persyaratan, seperti dibahas dalam Bab 4.

Langkah pertama di sini adalah bahwa audit internal harus melakukan upaya
terkonsentrasi untuk menjelaskan proses dan prosedur untuk komite audit, dewan
secara keseluruhan, dan senior manajemen dengan penekanan pada kebutuhan internal
audit SOx. Setelah presentasi ini papan diluncurkan, harus menjadi bagian dari
tahunan proses audit perencanaan internal dengan perubahan yang sedang
berlangsung dilaporkan. Namun demikian, bahkan sebelum meluncurkan setiap
penyajian tersebut, audit internal harus melalui sendiri proses dan melakukan apa
yang mungkin disebut pemeriksaan kesehatan untuk menilai saat ini internal praktek
audit. Pemeriksaan ini mungkin menunjuk ke daerah-daerah di mana ada ruang yang
sedang berlangsung untuk audit internal perbaikan. Idenya di sini adalah bahwa audit
internal harus pergi melalui tingkat tinggi organisasi kesehatan penilaian diri,
bertanya sendiri bagaimana ia lakukan di saat ini dan apa yang harus dilakukan untuk
meningkatkan, dan kemudian membuat perbaikan yang diperlukan.
Setelah audit internal melalui latihan seperti koreksi diri, audit proses dan
kegiatan yang sedang berlangsung harus disajikan kepada komite audit dan dewan
secara keseluruhan dan manajemen. Tujuannya adalah untuk memastikan bahwa
semua pihak menyadari proses audit internal dan isu-isu yang sedang berlangsung.
Informasi tersebut harus disampaikan kepada anggota kunci manajemen terlebih
dahulu sebelum presentasi komite audit untuk memastikan pesan bahwa audit internal
akan dipahami dengan baik dan konsisten dengan inisiatif manajemen lainnya.
Tergantung pada perusahaan dan sejarah masa lalu, audit internal dapat menerima
terlalu sedikit atau bahkan kredit terlalu banyak untuk perannya dalam tata kelola
perusahaan proses.

Tanggung jawab komite audit terhadap Audit internal

Dewan komisaris komite audit mempunyai satu tanggung jawab primer untuk
fungsi audit internal suatu perusahaan. Sesuai SOx, konsep ini lebih dari sekedar
teori; audit internal melaporkan kepada komite audit “secara tertulis” tetapi secara
efektif dilaporkan kepada CFO ( chief financial officer) atau beberapa petugas
korporat senior.
Fungsi audit internal modern saat ini harus mempunyai suatu piagam, yang
secara aktif berhubungan dengan komite audit perusahaan. Piagam ini seringnya
sangat spesifik mengenai hubungan dengan audit internal dan secara tipikal
memerlukan audit komite ke:
 Review sumber-sumber daya, rencana, aktivitas, penempatan pegawai, dan struktur
organisasi audit internal.
 Review pertemuan, kinerja, dan penggantian CAE.
 Review semua audit dan laporan yang disiapkan oleh audit internal bersama-sama
dengan respon manajemen.
 Review dengan manajemen, CAE, dan akuntan independen ketercukupan dari
pelaporan keuangan dan sistem pengawasan intern. Review harus meliputi lingkup
dan hasil program audit internal serta kooperasi gangguan atau keterbatasan, bila ada,
dikenakan oleh manajemen terhadap perilaku program audit internal.

Poin ini adalah bagian dari hubungan antara audit internal dan komite auditnya
untuk sekali waktu, tetapi piagam komite audit diterbitkan dalam susunan yang
 formal. CAE harus bekerja berdekatan dengan komite audit untuk memastikan
hubungan komunikasi yang efektif sudah berlangsung, seperti yang di diskusikan di
poin ketiga. Beberapa departemen audit internal telah mengatur kebiasaan, kelebihan
waktu, dari penyediaan komite audit hanya dengan sebuah ringkasan dari audit
internal penemuan laporan atau baru saja menerbitkan laporan pada audit internal
yang telah memutuskan menemukan laporan audit yang signifikan. SOx meletakkan
ini dalam suatu perspektif baru. Audit internal seharusnya tidak hanya mengirimkan
komite audit sesuatu yang sepertinya diperlukan untuk dilihat. Mandat SOx dimana
audit internal harus menyediakan komite audit dengan semua laporan audit dan semua
respon manajemen yang mendukung. Bahkan ketika audit internal membangkitkan
sejumlah besar laporan audit tentang banyaknya unit lebih kecil yang di simpan yang
sering mempunyai sedikit penemuan signifikan, komite audit harus menerima
informasi yang rinci atas semua performa audit. Laporan Ringkasan bisa disediakan,
tetapi laporan lengkap untuk semua audit harus disediakan juga.
(a) Pertemuan Chief Audit Executive
Tipikal pelaporan CAE secara administratif kepada manajemen perusahaan,
tetapi komite audit bertanggungjawab untuk perekrutan dan pembubaran audit
internal eksekutif ini. Dewan Komite Kompensasi bisa saja terlibat saat CAE
dirancang sebagai pegawai dari perusahaan. Objektivitas disini bukan untuk menolak
hak manajemen perusahaan menyebutkan orang yang akan mengelola departemen
audit internal, yang melayani kebutuhan yang beragam dari manajemen perusahaan
dan komite audit. Keikutsertaan komite audit untuk memastikan independensi dari
fungsi audit internal ketika ada suatu kebutuhan berbicara mengenai
pengidentifikasian isu dalam review dan penilaian control internal dan aktivitas
lainnya dari suatu perusahaan.
Keikutsertaan aktual komite audit dalam pemilihan CAE bisa
mengambil/menangani sejumlah formulir tetapi secara tipikal mencakup review dari
usul direktur yang diikuti dengan wawancara formal. Manajemen Perusahaan—
seringnya terutama CFO—secara tipikal berkonsultasi dengan dewan komite audit
mengenai kandidat potensial CAE, mempersilahkan waktu untuk komite audit
mereview dan memberikan komentar, serta kadang-kadang mewawancarai, sebelum
perubahan apapun dibuat. Manajemen dapat menyarankan promosi seseorang dari
dalam perusahaan atau dapat merekrut orang luar, tetapi komite audit akan
mempunyai keputusan terakhir. Perjanjian terhadap adekuasi dari kualifikasi untuk
melayani kebutuhan dari manajemen dan dewan komisaris adalah kondisi penting dari
satu hubungan efektif yang sedang berjalan antara manajemen senior dan komite
audit.
Komite audit biasanya tidak terlibat dalam berbagai hal administratif sehari-
hari mengenai CAE dan keseluruhan fungsi audit internal tetapi harus memastikan
berjalannya kualitas fungsi audit internal. Di situasi lainnya, komite audit harus
mereview usul tindakan personil dan menyediakan CAE dengan perekrutan yang adil
atas isu yang terlibat. Dalam kasus lain, dewan komite audit secara tipikal akan
menyatakan konsen itu pada manajemen perusahaan dan memulai proses untuk
penggantian personil. Dalam kasus yang ekstrim dimana ada perselisihan paham
mengenai CAE, komite audit bisa merekrut konsultan eksternal untuk melakukan
pekerjaan audit review yang diinginkan oleh komite atau bisa mengarahkan
manajemen, melalui dewan derivative, untuk melakukan perubahan.
Keseluruhan isu di sini adalah bahwa komite audit mempunyai kemampuan
merekrut atau memecat CAE, tetapi harus sedang berjalan ditingkat kooperasi.
Komite audit secara umum tidak berada di tempat basis sehari-hari untuk
 menyediakan supervisi audit internal rinci dan harus memenuhi persyaratan
manajemen untuk beberapa dukungan rinci. CAE atau anggota apapun dari audit
internal tidak bisa mengabaikan begitu saja permintaan manajemen sesuai dengan
klaim laporan beberapa orang saja pada komite audit dan tidak bertanggungjawab
pada manajemen lini perusahaan. Manajemen perusahaan harus memastikan bahwa
internal audit adalah bagian dari perusahaan, bukan orang luar.
(b) Persetujuan Piagam Audit internal
Piagam audit internal bertindak sebagai satu basis atau otorisasi untuk setiap
program audit internal efektif. piagam adekuasi penting untuk mendefinisikan peran
dan tanggung-jawab audit internal serta tanggung jawab untuk melayani komite audit
dengan baik. misi dari audit internal harus jelas menyediakan layanan pada komite
audit demikian pula pada manajemen senior. Piagam audit internal bukan saja
dokumen yang luas tetapi juga dokumen yang secara umum mendefinisikan
tanggung-jawab dari audit internal dalam perusahaan, menggambarkan standar yang
diikuti, dan mendefinisikan hubungan antara komite audit dan audit internal. Poin
selanjutnya adalah pentingnya pengkhususan sebagaimana mengirimkan satu pesan
khusus pada manajemen senior dimana CAE bisa pergi ke satu pihak atasan—komite
audit—kalau sekiranya kontroversi atau isu pengawasan intern signifikan.
Komite audit bertanggungjawab untuk persetujuan piagam audit internal,
seutuhnya, dewan bertanggungjawab untuk menyetujui piagam komite audit. Kita
mendiskusikan piagam audit internal di sini karena inilah tanggung jawab komite
audit, tetapi piagam audit internal juga melindungi detil yang lebih besar/rinci tentang
membuat piagam dan membangun satu fungsi audit internal yang efektif. Pada
kenyataannya, CAE biasanya memelopori dalam membuat draft piagam ini dan/atau
akan menyarankan perbaikan sesuai pada satu piagam yang sudah ada pada dewan
komite audit.
Sementara itu piagam audit internal memberi hak pekerjaan yang dilakukan
harus dilakukan, anggota komite audit tidak boleh berada dalam suatu posisi untuk
membuat persyaratan draft piagam audit rinci. CAE secara tipikal bekerja berdekatan
dengan dewan komite audit untuk membuat draft persyaratan ini. Selain dari pada
piagam, spesifikasi alami dan lingkup dari tanggung-jawab pelayananan audit internal
pada komite audit harus formal dan diuraikan. Tanggung-jawab ini bisa meliputi
periodik ditulisnya laporan status audit, pertemuan-pertemuan yang secara teratur
dijadwalkan dengan komite audit, dan keduanya, yaitu hak dan kewajiban akses
langsung audit internal pada komite audit.
Sementara itu pemahaman ini secara tipikal tidak memerlukan resolusi komite
audit formal, kedua belah pihak harus mempunyai satu pemahaman jelas tentang
tanggung-jawab audit internal untuk menyajikan laporan dan untuk mengikuti rapat
komite audit. Penerimaan piagam audit internal dan perbekalan yang berhubungan
oleh ketertarikan semua pihak berarti bahwa audit internal bebas dari penghalang
yang sangat mungkin mencegahnya dari penyingkapan kebutuhan pada komite audit,
bahkan kesensitivan yang alami.
komite audit memilih CAE, anggota lain dari tim audit direkrut dan dibayar
oleh perusahaan, bukan komite audit independen. Meskipun demikian, piagam audit
internal yang kuat, yang disetujui oleh komite audit, adalah ketetapan penting
corporate governance.
(c) Persetujuan Rencana dan Anggaran Audit internal
Idealnya, komite audit sudah mengembangkan keseluruhan pemahaman
mengenai total kebutuhan audit internal dari suatu perusahaan. Penilaian tingkat-
tinggi yang mencakup berbagai Kendali dan isu pelaporan keuangan khusus,
 mempersilahkan komite audit menentukan porsi audit atau pengkajian resiko yang
diperlukan untuk dilakukan baik oleh audit internal atau penyedia lain. komite audit
bertanggungjawab untuk mereview dan menyetujui semua rencana serta anggaran
audit internal tingkat tinggi. Tanggung jawab ini konsisten dengan peran komite audit
sebagai koordinator terakhir usaha audit secara keseluruhan. Manajemen Perusahaan
dan CAE mungkin mempunyai ide-ide milik mereka sendiri tentang apa diperlukan
untuk dilakukan, tetapi tindakan ini adalah satu tanggung jawab komite audit. penting
bahwa pihak kunci bersama-sama mempertimbangkan dan dengan penuh kewajaran
merekonsiliasi, tetapi komite audit mempunyai kata akhir di sini.
Review komite dari semua rencana audit internal itu sangat penting jika
kebijakan-kebijakan dan rencana untuk masa depan harus ditentukan secara efektif.
Tanggung-jawab baru audit karena pengenalan tentang SOx telah mengubah peran
yang sudah berjalan beberapa lama, dan semua pihak-pihak berkepentingan harus
memahami sifat alami keseluruhan rencana audit. Manajemen Perusahaan, auditor
internal, dan audit eksternal kemudian akan tahu apa yang harus diharapkan dari
pemasok layanan audit. Komite audit harus mengasumsikan peran koordinasi tingkat-
tinggi. Walaupun ada keterbatasan praktis hingga sebagaimana komite audit aktif bisa
dilibatkan dalam proses perencanaan terperinci, beberapa keterlibatan
mendomenstrasikan suatu nilai yang tinggi. Audit internal harus menyiapkan suatu
dokumen perencanaan tahunan menyeluruh untuk komite yang memberikan rencana
rinci untuk tahun yang akan datang sebaik rencana jangka panjang. Selain itu, audit
internal harus menyiapkan laporan ringkas dari aktivitas audit masa lampau dan
taksiran kembali dari pemenuhan nya untuk memberikan komite audit suatu
pemahaman dari area signifikan dalam review masa lampau. Walaupun audit internal
harus melaporkan aktivitas kepada komite audit secara reguler, laporan ringkasan
aktivitas masa lampau ini memberikan suatu ikhtisar area untuk penekanan audit dan
gap acara penting potensial dalam pemenuhan audit. CAE akan menyajikan jenis
laporan kepada komite audit ini, mencakup untuk masing-masing audit tertentu dan
dengan detil pendukung yang cukup untuk menjawab pertanyaan. Laporan ringkasan
aktivitas masa lalu ialah penting untuk memperlihatkan jadwal area dalam rencana
tahun berjalan dan penyempurnaan rencana tersebut.
Di banyak perusahaan, rencana audit tahunan mengembangkan melalui dua
proses, analisis risiko internal dan diskusi dengan keduanya, yaitu manajemen senior
serta komite audit. Manajemen dan komite dapat menyarankan area untuk review
potensial audit internal, dan audit internal harus mengembangkan rencana di dalam
batasan dari anggaran dan keterbatasan sumber daya. Jika komite audit telah
mengusulkan review beberapa area tetapi audit internal khusus tidak mampu untuk
melakukan audit yang telah direncanakan terhadap beberapa batasan yang diketahui,
CAE harus dengan jelas mengkomunikasikan kekurangan itu kepada komite audit.
(d) Review dan Tindakan Komite Audit atas Audit Finding yang Signifikan
Tanggung jawab penting komite audit adalah mereview dan mengambil
tindakan atas audit finding yang signifikan yang dilaporkan oleh auditor internal dan
eksternal, manajemen, dan lain-lain. Audit internal dan yang lain seharusnya tidak
memfilter audit finding dan mengatakan kepada komite audit apa yang dikatakan
signifikan, kepentingan dan efisiensi dari kesuleruhannya akan dilayani lebih baik
oleh audit internal yang secara teratur melaporkan audit finding yang signifikan
seperti halnya keadaan dan disposisi temuan. Dalam memberi reaksi atas audit finding
yang signfikan, membutuhkan kombinasi atas pemahaman, kompetensi, dan
kerjasama pihak-pihak utama yang berkepentingan seperti audit internal, manajemen,
auditor eksternal, dan komite audit sendiri. Kesejahteraan keseluruhan perusahaan
 menjadi standar untuk menilai jasa audit internal, dan kepentingannya dengan
manajemen memiliki batas tertentu yang saling bertentangan.

23.5 Komite Audit dan Auditor Eksternalnya

Komite audit memiliki tanggung jawab utama untuk menyewa perusahaan
audit eksternal, menyetujui anggaran yang diusulkan dan rencana audit, serta
menerbitkan laporan keuangan yang diaudit. Firma akuntan public tidak lagi memiliki
divisi konsultasi, dan dilarang memberikan jasa outsourcing audit internal kepada
perusahaan yang nanti akan diaudit. Sox mengharuskan komite audit untuk
menyetujui seluruh jasa audit eksternal, termasuk comfort letter, sama seperti halnya
jasa nonaudit dari auditor eksternl yang dilarang. Namun auditor eksternal masih
diperbolehkan untuk menyediakan jasa pajak , sama halnya dengan jasa pengecualian
yang diminimalisir mereka dilarang untuk memberikan jasa non audit
secarakontemporer dengan audit laporan keuangan , jasa tersebut seperti :
 Pembukuan dan jasa lain yang berkaitan dengan pencatatan akuntansi atau laporan
keuangan klien yang diaudit
 Merancang dan mengimplementasikan teknologi informasi keuangan
 Jasa penaksiran dan penilaian, pendapat kewajaran atay kontribusi dalam berbagai
pelaporan
 Jasa outsourcing audit internal
 Fungsi manajemen atau aktivitas pendukung sumberdaya manusia
 Broaker atau dealer, penasihat investasi, atau jasa investasi bank
 Jasa hukum dan jasa ali lainnya yang tidak berkaitan dengan audit
 Jasa lain yang tidak diijinkan oleh PCAOB.
Audit internal harus mempertimbangkan penawaran layanan yang tepat dan konsisten dengan
audit charternya.

23.6 Program Whistleblower dan Kode Etik

Sox menetapkan kepada komite audit untuk membangun prosedur dalam
menerima, penyimpanan, dan perawatan atas keluhan yang berkaitan dengan
akuntansi, pengendalian internal akuntansi, atau masalah auditing, termasuk prosedur
untuk kerahasiaan yang diajukan oleh karyawan atas kekhawatiran akuntansi dan
permasalahan audit. akibatnya akan menghadapi tantangan dokumentasi karena
banyak masalah yang harus dilaksanakan dengan cara yang rahasia. Audit internal
seharusnya menawarkan jasanya kepada komite audit untuk membangun prosedur
dokumentasi dan komunikasi dalam area di bawah ini :
 Dokumentasi pencatatan panggilan whistleblower. Sox mengamanatkan kepada
komite audit untuk membangun program whistleblower formal dimana karyawan
dapat meningkatkan perhatian berkaitan dengan masalah audit yang tidak tepat tanpa
takun akan adanya pembalasan. Biasanya perusahaan besar sudah memiliki fungsi
etika, sehingga hanya perlu mengatasinya dengan cara yang lebih aman lagi. Ketika
perusahaan yang lebih kecil tidak memiliki sumber daya, audit internal harus
menawarkan fasilitasnya dalam komunikasi, pencatatan tanggal, waktu, dan nama
pemanggil untuk penyelidikan dan disposisi wishtleblower.
 Disposisi permasalahan whistleblower. Dokumentasi harus dijaga untuk mecatat
sifat dari investigasi tindak lanjut dan disposisi yang terkait. Meskipun Sox
mengamanatkan program whistleblower tidak memiliki program penghargaan tunai,
 dokumentasi lengkap yang mencakup tindakan yang diambil serta setiap net saving
harus dijaga.
 Kode Etik. Sox membuat komite audit bertanggung jawab untuk
mengimplementasikan kode etik perusahaan untuk CEO dan CFO. Komite audit
harus merangkum seperangkat peraturan bagi perilaku yang tepat dan membuat
senior officernya menyatakan bahwa mereka telah membaca dan memahami serta
menyetujui untuk mematuhinya.

23.7. Peran Lain Komite Audit

Audit internal dapat menawarkan untuk bertindak sedikit sebagai sekretaris
dari komite audit dalam mendokumentasi dan menangani masalah tersebut. Direktur
komite audit yang independen biasanya merupakan orang yang sibuk yang mungkin
melayani beberapa dewan dengan sedikit dukungan adminitrasi langsung. Audit
internal dapat memberikan bantuan yang penting. Berdasarkan Sox, komite audit
memiliki peran penting dimana memiliki salah satu posisi terbaik untuk
mememberikan fasilitas. CAE memberikan akses terbuka kepada komite audit melalui
presentasi pada pertemuan rutin dan pertemuan rahasia satu demi satu. saat ini komite
audit dan ahli keuangan yang dirancangnya memiliki seluruh tanggung jawab baru
audit internal adalah sumber daya yang baik untuk membantu anggota komite audit
untuk memenuhi tanggung jawab mereka terkait dengan Sox melalui komunikasi
yang erat serta dengan menawarkan tugas dokumentasi tertentu komite audit.
Perluasan persyaratan jasa audit internal merupakan suatu peluang dan tantangan,
karena perubahan yang dilakukan Sox, auditor internal yang modern harus menyadari
perluasan penting komite audit.