CH 14-23 Indo Brink's Modern Internal Auditing
CH 14-23 Indo Brink's Modern Internal Auditing
Tidak ada format tetap untuk isi piagam. Piagam audit internal harus menguraikan
fungsi audit internal yang kuat untuk memulai dan melakukan kegiatan audit internal utama.
Ini termasuk memahami area di perusahaan mana pun yang harus menjadi kandidat untuk
tinjauan audit internal, membangun organisasi dan tim audit internal yang efektif, dan
menetapkan prosedur pendukung untuk memungkinkan audit internal tersebut dilakukan.
CAE memiliki tugas penting dalam memimpin departemen audit internal yang efektif
dan memberikan layanan audit internal kepada perusahaan. Meskipun banyak anggota tim
audit internal mungkin memiliki pengetahuan yang lebih kuat atau lebih khusus di beberapa
wilayah, CAE adalah orang kunci yang mewakili audit internal terhadap perusahaan tersebut.
Other Skills
Pengetahuan umum mengenai akuntansi dan prosedur audit dan kemampuan untuk
bekerja secara independen.
Harus memiliki keterampilan internet yang kuat.
Harus memiliki pengetahuan kerja mengenai spreadsheets dan perangkat lunak
pengolah kata.
Laporan audit internal yang efektif, bagaimanapun, harus selalu menyertakan elemen
kunci berikut ini:
A brief summary of the overall audit report. Laporan harus dimulai dengan
elemen utama audit yang dilakukan, diskusikan masalah kritis, dan kemudian
rangkum rinciannya.
The central message of the report. Laporan harus membahas hasil kerja audit,
risiko terkait, dan pertimbangan manajemen yang harus dipertimbangkan. Harus
memahami mengapa pembaca harus memperhatikan rekomendasi auditor internal
dan juga risiko tidak mengikuti rekomendasi tersebut.
Elements of the audit findings. Bergantung pada lingkup dan sifat audit, temuannya
dapat mencakup banyak rincian. Namun, laporan audit yang efektif harus
merangkum temuannya menggunakan teknik seperti grafik dan grafik ilustratif untuk
membantu menyampaikan pesan.
Short, simple sentences and words the audience understands. Audit internal yang
mencakup area seperti keamanan sistem operasi TI dapat terlibat dalam beberapa area
yang sangat teknis. Namun, laporan tersebut harus berusaha menggunakan kata-kata
dan ungkapan yang bisa dimengerti oleh kebanyakan pembaca.
Bahkan dengan kontrol kompensasi ini dalam sistem bisnis kecil modern IT, audit
internal juga harus menyadari risiko dan kelemahan pengendalian potensial. Gejala
kelemahan kontrol lainnya di perusahaan IT kecil yang biasanya tidak ada di departemen
besar meliputi:
Karyawan "Setia" yang tidak mengambil cuti pribadi mereka
Penggunaan program khusus dan tidak berdokumen yang hanya diketahui oleh
manajer IT
Partisipasi departemen IT langsung dalam transaksi masukan sistem, seperti
penyesuaian terhadap sistem persediaan
Risiko pengendalian mungkin menjadi pertimbangan utama ketika prosedur audit telah
mengidentifikasi kelemahan pengendalian yang signifikan dalam sistem bisnis kecil. Di
perusahaan besar, auditor internal sering mencari deskripsi posisi terdokumentasi dalam
tinjauan pengendalian internal mereka sebagai bukti kontrol manajemen yang baik mengenai
fungsi TI.
Organisasi terencana dan praktik manajemen terkait seringkali merupakan salah satu
prosedur pengendalian terkuat di perusahaan IT yang besar. Manajemen senior harus
memiliki pemahaman yang baik tentang fungsi TI, rencananya, dan tujuannya. Kontrol umum
yang sangat penting untuk perusahaan IT kecil adalah dokumentasi yang memadai mengenai
sistem dan prosedurnya.
Terkadang sebuah perusahaan besar akan mengeluarkan standar wajib yang berlaku
untuk semua unit operasinya. Sementara manajemen pusat mungkin melihat cara lain
mengenai kepatuhan lokal terhadap standar ini, audit internal sering merasa terdorong untuk
mengemukakan pelanggaran yang ditemukan di unit yang lebih kecil. Jika ada masalah
seperti itu, audit internal harus mendiskusikan masalah ini dengan kelompok manajemen IT
pusat yang bertanggung jawab atas standar tersebut.
19.5 AUDITING IT GENERAL CONTROLS FOR SMALL IT SYSTEMS
Beberapa sistem IT kecil mungkin merupakan unit operasi terpisah dari perusahaan
besar dan memberikan dukungan untuk total perusahaan. Sistem semacam itu mungkin
memiliki banyak atribut dari sistem komputer mainframe yang lebih besar, termasuk
perusahaan IT yang terbatas namun formal, jadwal produksi, dan tanggung jawab untuk
menerapkan aplikasi baru. Namun, perusahaan sistem IT kecil seringkali tidak memiliki
fungsi khusus lainnya. Audit internal akan menemukan berbagai merek perangkat keras
komputer atau nama produk di lingkungan sistem yang kecil, namun sebagian besar akan
menjadi sistem terbuka dengan sistem operasi umum yang dapat beroperasi tanpa peduli
merek perangkat keras apa yang digunakan.
audit internal diharapkan harus memiliki tujuan pengendalian umum dengan masalah
pengendalian internal sebagai berikut:
Sistem kontrol yang lemah terhadap akses data dan program
Ketika orang yang tidak berwenang diizinkan untuk mengakses dan
memodifikasi file komputer, kontrol umum sangat lemah, dan audit internal harus
mempertimbangkan akses terhadap data dan program untuk menjadi tujuan utama
pengendalian umum saat meninjau ulang usaha kecil TI.
Kontrol atas akses terhadap data dapat dipertimbangkan baik dari aplikasi
spesifik maupun kontrol umum. Namun, dalam sistem IT kecil, kontrol umum
seringkali memiliki kepentingan yang lebih besar daripada kontrol akses data aplikasi
tertentu karena aplikasi yang beroperasi pada sistem komputer bisnis kecil biasanya
akan beroperasi di bawah seperangkat kontrol akses data yang sama.
Akses data yang tidak tepat melalui workstation pengguna.
Small system, serangkaian laptop terhubung melalui sistem nirkabel ataupun
sistem server yang kuat, seringkali tidak memiliki kontrol keamanan yang canggih
yang ditemukan pada sistem tipe mainframe besar. Sebaliknya, small system memiliki
identifikasi log-on / password pengguna ditambah dengan keamanan informasi
berbasis menu. Pengguna sistem biasanya memasukkan kode identifikasi log-on atau
user ID yang ditetapkan ke terminal dan menerima layar menu dengan aplikasi yang
tersedia untuk kode tersebut. Pengguna hanya bisa mengakses aplikasi yang
ditugaskan ke menu itu.
Sistem keamanan berbasis menu ini dapat memberikan kontrol yang cukup
efektif terhadap upaya akses yang tidak semestinya. Namun, mereka bisa rusak karena
informalitas dan kurangnya peraturan dan prosedur formal di banyak usaha kecil.
Kode log-on sering tidak berubah secara reguler, satu menu umum diberikan kepada
hampir semua karyawan, atau terminal dengan ID yang lebih istimewa ditinggalkan
untuk hampir semua digunakan. Untuk meninjau kontrol di bidang ini, audit internal
pertama-tama harus mendapatkan pemahaman umum tentang sistem keamanan data
yang terpasang. Langkah selanjutnya adalah memahami bagaimana sistem keamanan
itu diterapkan dan sedang digunakan. Langkah terakhir menyiratkan bahwa auditor
internal harus meluangkan waktu untuk meninjau penggunaan kontrol aplikasi di area
pengguna.
Audit internal harus meninjau keseluruhan prosedur administrasi yang
mencakup sistem keamanan. Ini bisa termasuk meninjau seberapa sering log-on
diubah, siapa yang memiliki akses ke menu administrator sistem, dan apresiasi umum
manajemen akses TI terhadap masyarakat setempat.
Penggunaan program utilitas yang tidak sah
Sistem kecil modern sering dilengkapi dengan program utilitas yang kuat yang
dapat dengan mudah mengubah file data aplikasi apapun. Program ini dirancang
untuk digunakan dalam situasi pemecahan masalah khusus, dan seringkali hanya
menghasilkan laporan audit terbatas. Seringkali, utilitas ini berfungsi sebagai
pengganti program pembaruan produksi normal atau digunakan oleh manajer IT untuk
pembaruan khusus ini, dan terkadang bahkan diberikan kepada pengguna.
Program utilitas ini menggunakan berbagai nama tergantung pada jenis sistem
operasi komputer. Audit internal harus memahami jenis program utilitas standar yang
tersedia untuk sistem yang sedang diperiksa. Penggunaan program tertentu paling
baik ditentukan melalui penyelidikan dan observasi.
Data yang tidak benar dan permintaan akses program
Informalitas usaha kecil seringkali memungkinkan data diakses secara tidak benar
melalui prosedur operasi TI normal. Jenis akses ini mungkin merupakan risiko kontrol
yang lebih besar daripada akses melalui penggunaan program yang tidak semestinya.
Audit internal harus mencari kontrol untuk mencegah permintaan IT biasa tersebut.
Kontrol terbaik bisa berupa jenis "permintaan layanan data" formal yang disetujui oleh
manajemen. Selain itu, log harus mencantumkan semua aktivitas produksi IT serta nama
pemohon dan penerima laporan. Tanpa jenis sistem keamanan yang tepat untuk membatasi
akses yang tidak semestinya, seringkali relatif mudah bagi seseorang yang memiliki sedikit
pengetahuan untuk mencari dan berpotensi memodifikasi file program perpustakaan.
Audit internal mungkin juga menemukan lemahnya kontrol atas pembaruan
perpustakaan program. Satu atau dua personil di departemen IT kecil yang bertindak sebagai
administrator jaringan biasanya dapat memperbarui perpustakaan program dengan sedikit
perhatian untuk mendokumentasikan perubahan tersebut atau mendapatkan jenis otorisasi
pengelolaan atas. Selain itu, mungkin tidak akan bekerja untuk audit internal untuk
menyarankan agar manajemen secara formal meninjau dan menyetujui semua pembaruan
perpustakaan program. Metode pengendalian terbaik di sini adalah menginstal prosedur yang
memerlukan pembalakan semua perubahan atau pembaruan paket perangkat lunak ke
perpustakaan program produksi.
Kontrol jenis ini mengambil keuntungan dari kenyataan bahwa banyak sistem IT bisnis
kecil mempertahankan jumlah total hash dari ukuran program dalam satuan byte dan juga
memiliki kemampuan untuk mempertahankan beberapa bentuk tanggal atau nomor versi
dalam nama program. Audit internal kemudian dapat menyarankan sebuah sistem
pengendalian program komputer program komputer kecil sebagai berikut:
Tetapkan konvensi penamaan program yang mencakup nomor tanggal atau versi yang
disertakan dengan nama program.
Mintalah orang-orang yang diberi wewenang untuk membuat tabel program atau
perubahan parameter masuk ke nomor versi, tanggal, ukuran program, dan alasan
perubahan dalam daftar manual yang tunduk pada manajemen berkala.
Memelihara setidaknya satu salinan cadangan dari perpustakaan program dan
memutar salinan file program perpustakaan untuk mengamankan disket portabel di
lokasi di luar lokasi setidaknya sekali per minggu.
Memperkuat kontrol akses sehingga personil yang tidak berwenang tidak dapat
dengan mudah mengakses file program perpustakaan.
Melakukan tinjauan audit internal terhadap log perubahan perpustakaan secara
periodik.
auditor internal harus mencari poin di mana keputusan logika sistem atau keputusan
dibuat dalam sebuah aplikasi dan kemudian mengembangkan prosedur pengujian untuk
memverifikasi bahwa poin keputusan tersebut benar. Poin-poin ini termasuk kontrol kunci
dalam aplikasi, seperti pemeriksaan kelengkapan transaksi atau keakuratan perhitungan.
Tests Of Application Inputs And Outputs
Banyak tes yang berhubungan dengan audit sedikit lebih banyak daripada
pemeriksaan untuk memverifikasi bahwa semua masukan ke program dicatat dengan benar
dan jumlah transaksi output yang benar dihasilkan berdasarkan masukan ini. Auditor internal
akan menguji untuk menentukan bahwa semua masukan diterima atau ditolak dan jumlah
keluaran yang dihasilkan dapat disamakan dengan masukan tersebut. Ini adalah tes input dan
output sistem.
Meskipun input telah hilang, aplikasi otomatis telah menjadi banyak lebih kompleks,
dan banyak prosedur uji audit saat ini tidak lebih dari yang sama tes input dan output. Auditor
internal harus memeriksa keluaran yang dihasilkan dari sebuah aplikasi, untuk menentukan
bahwa input data dan perhitungan otomatis sudah benar. Jenis tes audit bersifat terbatas dan
tidak mencakup semua transaksi atau fungsi dalam aplikasi.
Tujuan dari penilaian risiko pengendalian atau uji kepatuhan adalah untuk
menentukan apakah kontrol aplikasi tampak berfungsi. Jika semua transaksi atau semua data
ditinjau, prosedur pengujian substantif atau pengujian saldo laporan keuangan harus
digunakan. Tingkat pengujian ini tergantung pada tujuan audit. Auditor internal mungkin
juga ingin melakukan tes kepatuhan di bidang lain, seperti efisiensi kontrol administratif.
Untuk aplikasi yang lebih tua, tes input dan output seringkali cukup mudah dilakukan.
Auditor akan memilih contoh transaksi input dan kemudian menentukan bahwa jumlah input
sama dengan jumlah barang olahan ditambah barang yang ditolak atau kesalahan. Jenis tes
audit ini hampir tidak semudah aplikasi saat ini, dimana auditor sering tidak akan
menemukan hubungan satu lawan satu antara input dan output. Uji pendekatan transaksi
seringkali jauh lebih mudah dilakukan dan bahkan lebih bermakna. Meskipun demikian, tes
input dan output terkadang berguna untuk review aplikasi.
Test Transaction Evaluation Approaches
Auditor internal mungkin ingin memastikan bahwa transaksi yang masuk ke sistem
diproses dengan benar. Verifikasi ini dapat dilakukan dengan meninjau laporan pengambilan
khusus terhadap file data. Sebagai bagian dari proses transaksi pengujian, auditor juga dapat
menguji apakah kontrol skrining kesalahan beroperasi seperti yang dijelaskan. Penekanannya
disini adalah pengujian rutin error-verification dalam aplikasi. Audit internal dapat memilih
masukan transaksi ke aplikasi yang tampaknya tidak valid dan kemudian melacaknya melalui
aplikasi untuk menentukan bahwa laporan tersebut telah dilaporkan dengan benar pada
laporan pengecualian. Audit internal juga dapat mempertimbangkan untuk mengirimkan
transaksi uji kesalahan ke sistem untuk memverifikasi bahwa mereka ditolak oleh aplikasi
dengan benar.
Other Application Review Techniques
Alat bantu audit yang dibantu komputer dapat berguna dalam meninjau kontrol
aplikasi. Perangkat lunak audit dapat mencocokkan file dari periode yang berbeda,
mengidentifikasi item data yang tidak biasa, melakukan pijakan dan perhitungan ulang, dan
mensimulasikan fungsi aplikasi yang dipilih. Teknik berguna lainnya adalah:
Reperformance fungsi aplikasi atau perhitungan. Jenis tes ini berlaku baik untuk
aspek otomatis dan manual dari sistem aplikasi.
Ulasan kode sumber program Untuk aplikasi yang dikembangkan di rumah, audit
internal dapat memverifikasi bahwa pemeriksaan logika tertentu dilakukan dalam
program dengan memverifikasi kode sumber.
Pengamatan terhadap prosedur. Pengamatan mungkin berguna saat meninjau aplikasi
otomatis dan proses manual
Completing the Application Controls Review
Audit internal harus selalu berhati-hati dalam mengkondisikan laporan auditnya
kepada manajemen dengan memberikan komentar mengenai risiko salah hasil karena
terbatasnya uji audit. Terkadang kontrol yang diuji sepertinya tidak berjalan dengan baik
karena audit internal tidak memahami beberapa aspek dari sistem aplikasi. Audit internal
mungkin ingin meninjau deskripsi aplikasi dan identifikasi kontrol untuk memverifikasi
bahwa itu benar. Mungkin perlu untuk merevisi pemahaman audit internal terhadap kontrol
aplikasi dan kemudian reperform prosedur penilaian risiko audit.
Jika audit internal menemukan melalui pengujian kepatuhan bahwa kontrol aplikasi
tidak berjalan, mungkin perlu melaporkan temuan ini. Jika kelemahan kontrol terutama
berkaitan dengan efisiensi atau operasional, audit internal mungkin ingin melaporkannya ke
manajemen TI untuk tindakan perbaikan di masa depan.
Aplikasi bisa terutama finansial atau operasional. Mereka bisa diimplementasikan
menggunakan perangkat lunak yang dibeli, menjadi aplikasi yang dikembangkan khusus
yang terdapat pada sistem in-house dengan database dan fasilitas telekomunikasi yang luas,
beroperasi di lingkungan server klien, atau ada dalam berbagai variasi lainnya. Audit internal
dapat mengembangkan pendekatan umum untuk meninjau sebagian besar aplikasi
pengolahan data, namun biasanya diperlukan untuk menyesuaikan pendekatan tersebut
dengan fitur spesifik dari aplikasi tertentu.
22.6 AUDITING APPLICATIONS UNDER DEVELOPMENT
Banyak auditor internal menyadari bahwa jauh lebih efisien untuk meninjau aplikasi
TI untuk kontrol internal saat sedang dikembangkan dan diterapkan daripada setelah
diproduksi.
Auditor internal harus berhati-hati agar tidak mengambil tanggung jawab untuk
merancang kontrol aplikasi baru. Tugas audit internal untuk meninjau dan
merekomendasikan namun tidak merancang atau membangun kontrol di area yang ditinjau.
Saat meninjau aplikasi baru yang sedang dikembangkan, auditor internal harus menunjukkan
kelemahan pengendalian internal kepada pengembang aplikasi dan hanya merekomendasikan
agar mereka menerapkan rekomendasi tersebut.
Kelompok pengembangan aplikasi, manajemen pengguna, dan auditor semua
cenderung setuju bahwa, dalam meninjau aplikasi TI baru yang sedang dikembangkan, audit
internal menyediakan seperangkat mata untuk melihat aplikasi baru dan segera diterapkan.
Alasan kuat untuk melakukan fungsi audit internal agar terlibat aktif dalam tinjauan
pra-implementasi terhadap aplikasi baru yang penting atau kritis sebelum ditempatkan ke
dalam produksi. Hal ini terutama berlaku di era aplikasi enterprise-wide hari ini yang
memerlukan perencanaan dan pengujian terperinci di semua area perusahaan.
Firewall sering diatur seperti apa yang disebut screening router, proxy gateway, atau
guard. Namun, dari perspektif audit internal, daripada memahami rincian teknis dari
konfigurasi, auditor internal harus mengajukan pertanyaan dan menentukan bagaimana
firewall dipasang di area perusahaan yang ditinjau.
Firewall gateway proxy digunakan saat perusahaan ingin membuat daftar harga online
dan penawaran produk untuk pihak luar, namun mencegah orang-orang luar memodifikasi
informasi harga dan produk atau mengakses file pendukung yang terkait dengan penawaran
produk. Konfigurasi lain, firewall penjaga, digunakan saat perusahaan mengizinkan
karyawannya mengakses sebagian besar wilayah Web, namun melarang akses ke beberapa
hal tertentu.
Selain menyaring atau memantau network address dan Web address, firewall juga
dapat memantau konten spesifik dalam pesan atau Webpage. Mereka dapat mengaudit
kegiatan ini dan bahkan melaporkan upaya akses yang tidak semestinya. Firewall harus
dikonfigurasi dengan benar, namun konfigurasi harus diperbarui secara berkala untuk
lingkungan internal dan eksternal. Firewall melindungi lingkungan hanya jika mereka
mengendalikan semua akses ke perimeter jaringan. Firewall adalah kontrol keamanan yang
kuat, namun seringkali menjadi target penetrator.
Saat melakukan review keamanan data, auditor internal harus memahami lokasi dan
sifat dari rekaman yang dipasang. Ini penting jika konfigurasi firewall memberikan
perlindungan yang memadai dan diperbarui secara berkala. Selain itu, auditor internal harus
mencari review dan follow-up yang sesuai mengenai laporan pelanggaran firewall.
Kerangka NIST ini telah menciptakan bahasa yang umum untuk memfasilitasi
percakapan tentang proses, kebijakan, dan teknologi cybersecurity, baik secara internal
maupun dengan entitas eksternal seperti penyedia layanan dan mitra pihak ketiga. NIST
mendorong organisasi untuk berbagi kecerdasan terkini tentang kerentanan, ancaman
informasi, dan strategi respons. Manfaat potensial dari bahasa cybersecurity yang umum dan
kolaborasi yang meningkat sangat kuat untuk audit internal, TI, dan manajemen operasi.
Kerangka kerja NIST menampilkan diskusi tentang keamanan dunia maya dalam kosakata
manajemen risiko.
Kerangka kerja cybersecurity NIST adalah panduan pengelolaan cybersecurity AS yang
relatif baru yang menyeimbangkan kepatuhan keamanan TI dengan standar manajemen
risiko. Kerangka kerja NIST juga dapat menetapkan standar keamanan dunia maya untuk
keputusan hukum di masa depan, dan di masa depan pengadilan dapat mengidentifikasi
kerangka kerja NIST sebagai dasar untuk standar keamanan dunia maya yang "wajar".
Auditor internal harus memiliki kesadaran umum akan kerangka kerja NIST dan
setidaknya harus berada dalam posisi untuk meminta manajemen TI dan umum mengenai
rencana untuk menerapkannya. Aturan panduan yang dikeluarkan oleh pemerintah memiliki
kecenderungan untuk menjadi wajib seiring berjalannya waktu dan mereka menjadi lebih
dikenal.
Jika perusahaan telah membuat peraturan, peraturan tersebut dilakukan untuk alasan
yang baik, dan karyawan seharusnya tidak melanggar peraturan tersebut. Kode etik dan
program etika yang kuat harus menjadi prosedur pengendalian yang dominan di sini.
Seringkali area yang sangat kompleks dimana keterampilan teknis yang kuat
dibutuhkan untuk memahami alat dan metode. Ini adalah area dimana peraturan terus
berubah. Individu dengan niat curang menemukan cara baru untuk melanggar kontrol
otomatis yang mapan, dan profesional yang terampil menemukan cara untuk mendeteksi dan
melindungi aktivitas kecurangan ini. Area deteksi kecacatan sistem TI terkait adalah forensik
komputer, pemeriksaan terperinci komputer dan perangkat periferal mereka menggunakan
teknik investigasi dan analisis komputer untuk menemukan atau menentukan bukti hukum
potensial dalam situasi kecurangan.
Pemeriksaan forensik melibatkan pemeriksaan media komputer. Pakar forensik
menggunakan software khusus untuk menemukan data yang berada dalam sistem komputer,
atau dapat memulihkan informasi file dan password yang terhapus, terenkripsi, atau rusak,
sehingga dokumen dapat dibaca.
Sebagai indikator minat di bidang ini, AICPA telah membentuk sebuah kredensial,
Certified in Financial Forensics, yang menggabungkan keahlian akuntansi forensik khusus
dengan pengetahuan dan keterampilan inti yang membuat penasihat bisnis CPA dipercaya di
bidang ini. Selain kesaksian langsung oleh seorang saksi mata, bukti dokumenter biasanya
adalah bentuk bukti yang paling menarik.
Rekomendasi dari proyek konsultasi harus selalu dipikirkan dengan baik, dengan
mempertimbangkan berbagai pertimbangan biaya dan kelayakan. auditor internal akan sering
meninjau draf laporan audit dengan manajemen untuk membahas masalah seputar
rekomendasi. Auditor internal pada akhirnya akan menerbitkan laporan audit dan akan
mengharapkan tanggapan manajemen mengenai rencana tindakan korektif. Konsultan yang
membuat rekomendasi sering menghadapi situasi yang sulit. Jika manajemen setuju dengan
saran tindakan yang disarankan tersebut, akan sering meminta konsultan yang sama untuk
mengambil peran aktif dalam memimpin pelaksanaan solusi yang disarankan. Sebagian besar
auditor internal menghadapi situasi dimana manajemen tidak melakukan apapun sehubungan
dengan rekomendasi auditor eksternal. Sebagai konsultan, auditor internal seringkali harus
membantu untuk mengambil peran utama dalam menerapkan tindakan yang
direkomendasikan. Ini adalah perbedaan yang signifikan dari banyak kegiatan audit internal
Documenting and Completing the Consulting Engagement
Proyek konsultasi harus didokumentasikan sedemikian rupa sehingga manajemen dapat
maju dengan hasil yang didokumentasikan dan bahwa fungsi audit internal dapat sepenuhnya
menerima pekerjaan jika mereka memilih untuk mengaudit pengendalian internnya. Ketika
auditor internal mengambil empat atau lima minggu, manajemen auditee mungkin mengeluh
tentang mengapa hal itu memakan waktu begitu lama, namun seringkali tidak akan melihat
biaya langsung untuk waktu yang lama dan akan terus berlanjut. Dalam proyek konsultasi
audit internal, manajemen sering diminta untuk menyerap biaya pekerjaan itu. Perluasan
proyek dari perkiraan tiga minggu sampai lima yang sebenarnya akan menghasilkan biaya
crossover ke buku besar auditee, dan harus ada dokumentasi terperinci untuk mendukung
kegiatan ini. Selain itu, untuk mendukung pemisahan tugas yang memadai antara konsultasi
audit internal dan kegiatan pengesahan, proyek konsultasi terkait harus diselesaikan
sedemikian rupa sehingga mereka tampaknya terpisah dari tinjauan audit internal.
Komite audit diperlukan sebelum jajaran direksi keluar dan mendapatkan otorisasi,
melalui dokumen piagam, untuk kegiatan komite audit dewan hanya sebagai CAE, mewakili
fungsi audit internal perusahaan itu, secara teratur pergi sebelum dewan komite audit.
Sementara beberapa mungkin terlihat pada kebutuhan piagam komite audit sebagai halaman
tambahan untuk menambahkan bulk ke pernyataan proxy sudah tebal, itu adalah komitmen
formal oleh komite audit dewan untuk memastikan integritas laporan keuangan dan
mengawasi fungsi audit internal dan eksternal. Tidak ada format yang diperlukan tunggal
atau isi dokumen ini diamanatkan untuk piagam, namun NYSE telah menerbitkan sebuah
piagam model yang telah diadopsi oleh banyak perusahaan publik saat ini. Format bervariasi
dari satu perusahaan ke yang lain, tapi audit charter komite umumnya mencakup:
1. Tujuan dan kekuasaan komite audit
2. Komposisi komite audit
3. Jadwal pertemuan
4. Komite audit prosedur
5. Komite audit kegiatan utama (tata kelola perusahaan, pelaporan publik, akuntan
independen, audit dan akuntansi, dan kegiatan lainnya).
6. Discretionary kegiatan (Akuntan independen, audit internal, akuntansi, kontrol dan
sistem, pelaporan publik, kepatuhan tanggung jawab pengawasan, penilaian risiko,
tanggung jawab pengawasan keuangan, dan imbalan kerja rencana investasi tanggung
jawab fidusia
7. Komite audit keterbatasan
Banyak komite audit charter berisi deskripsi dari kategori yang tercantum.
Beberapa tampaknya telah dikembangkan oleh perusahaan penasehat hukum dengan
bahasa untuk menutupi setiap kontingensi sehingga lebih jelas dan ringkas. Ini adalah
jenis dokumen resolusi dewan direksi yang akan menjadi bagian dari arsip
perusahaan.
Apakah lebih besar atau kecil, perusahaan masih harus memiliki kontrol internal
yang efektif dan fungsi audit internal. CAE untuk itu perusahaan kecil harus meninjau
ulang bahan-bahan yang dipublikasikan oleh IIA, AICPA, atau Sistem Informasi
Audit dan Control Association, dan bekerja dengan auditor internal dari perusahaan-
perusahaan kecil lain dalam masyarakat untuk mengembangkan ide-ide dan
pendekatan.
Langkah pertama di sini adalah bahwa audit internal harus melakukan upaya
terkonsentrasi untuk menjelaskan proses dan prosedur untuk komite audit, dewan
secara keseluruhan, dan senior manajemen dengan penekanan pada kebutuhan internal
audit SOx. Setelah presentasi ini papan diluncurkan, harus menjadi bagian dari
tahunan proses audit perencanaan internal dengan perubahan yang sedang
berlangsung dilaporkan. Namun demikian, bahkan sebelum meluncurkan setiap
penyajian tersebut, audit internal harus melalui sendiri proses dan melakukan apa
yang mungkin disebut pemeriksaan kesehatan untuk menilai saat ini internal praktek
audit. Pemeriksaan ini mungkin menunjuk ke daerah-daerah di mana ada ruang yang
sedang berlangsung untuk audit internal perbaikan. Idenya di sini adalah bahwa audit
internal harus pergi melalui tingkat tinggi organisasi kesehatan penilaian diri,
bertanya sendiri bagaimana ia lakukan di saat ini dan apa yang harus dilakukan untuk
meningkatkan, dan kemudian membuat perbaikan yang diperlukan.
Setelah audit internal melalui latihan seperti koreksi diri, audit proses dan
kegiatan yang sedang berlangsung harus disajikan kepada komite audit dan dewan
secara keseluruhan dan manajemen. Tujuannya adalah untuk memastikan bahwa
semua pihak menyadari proses audit internal dan isu-isu yang sedang berlangsung.
Informasi tersebut harus disampaikan kepada anggota kunci manajemen terlebih
dahulu sebelum presentasi komite audit untuk memastikan pesan bahwa audit internal
akan dipahami dengan baik dan konsisten dengan inisiatif manajemen lainnya.
Tergantung pada perusahaan dan sejarah masa lalu, audit internal dapat menerima
terlalu sedikit atau bahkan kredit terlalu banyak untuk perannya dalam tata kelola
perusahaan proses.
Poin ini adalah bagian dari hubungan antara audit internal dan komite auditnya
untuk sekali waktu, tetapi piagam komite audit diterbitkan dalam susunan yang
formal. CAE harus bekerja berdekatan dengan komite audit untuk memastikan
hubungan komunikasi yang efektif sudah berlangsung, seperti yang di diskusikan di
poin ketiga. Beberapa departemen audit internal telah mengatur kebiasaan, kelebihan
waktu, dari penyediaan komite audit hanya dengan sebuah ringkasan dari audit
internal penemuan laporan atau baru saja menerbitkan laporan pada audit internal
yang telah memutuskan menemukan laporan audit yang signifikan. SOx meletakkan
ini dalam suatu perspektif baru. Audit internal seharusnya tidak hanya mengirimkan
komite audit sesuatu yang sepertinya diperlukan untuk dilihat. Mandat SOx dimana
audit internal harus menyediakan komite audit dengan semua laporan audit dan semua
respon manajemen yang mendukung. Bahkan ketika audit internal membangkitkan
sejumlah besar laporan audit tentang banyaknya unit lebih kecil yang di simpan yang
sering mempunyai sedikit penemuan signifikan, komite audit harus menerima
informasi yang rinci atas semua performa audit. Laporan Ringkasan bisa disediakan,
tetapi laporan lengkap untuk semua audit harus disediakan juga.
(a) Pertemuan Chief Audit Executive
Tipikal pelaporan CAE secara administratif kepada manajemen perusahaan,
tetapi komite audit bertanggungjawab untuk perekrutan dan pembubaran audit
internal eksekutif ini. Dewan Komite Kompensasi bisa saja terlibat saat CAE
dirancang sebagai pegawai dari perusahaan. Objektivitas disini bukan untuk menolak
hak manajemen perusahaan menyebutkan orang yang akan mengelola departemen
audit internal, yang melayani kebutuhan yang beragam dari manajemen perusahaan
dan komite audit. Keikutsertaan komite audit untuk memastikan independensi dari
fungsi audit internal ketika ada suatu kebutuhan berbicara mengenai
pengidentifikasian isu dalam review dan penilaian control internal dan aktivitas
lainnya dari suatu perusahaan.
Keikutsertaan aktual komite audit dalam pemilihan CAE bisa
mengambil/menangani sejumlah formulir tetapi secara tipikal mencakup review dari
usul direktur yang diikuti dengan wawancara formal. Manajemen Perusahaan—
seringnya terutama CFO—secara tipikal berkonsultasi dengan dewan komite audit
mengenai kandidat potensial CAE, mempersilahkan waktu untuk komite audit
mereview dan memberikan komentar, serta kadang-kadang mewawancarai, sebelum
perubahan apapun dibuat. Manajemen dapat menyarankan promosi seseorang dari
dalam perusahaan atau dapat merekrut orang luar, tetapi komite audit akan
mempunyai keputusan terakhir. Perjanjian terhadap adekuasi dari kualifikasi untuk
melayani kebutuhan dari manajemen dan dewan komisaris adalah kondisi penting dari
satu hubungan efektif yang sedang berjalan antara manajemen senior dan komite
audit.
Komite audit biasanya tidak terlibat dalam berbagai hal administratif sehari-
hari mengenai CAE dan keseluruhan fungsi audit internal tetapi harus memastikan
berjalannya kualitas fungsi audit internal. Di situasi lainnya, komite audit harus
mereview usul tindakan personil dan menyediakan CAE dengan perekrutan yang adil
atas isu yang terlibat. Dalam kasus lain, dewan komite audit secara tipikal akan
menyatakan konsen itu pada manajemen perusahaan dan memulai proses untuk
penggantian personil. Dalam kasus yang ekstrim dimana ada perselisihan paham
mengenai CAE, komite audit bisa merekrut konsultan eksternal untuk melakukan
pekerjaan audit review yang diinginkan oleh komite atau bisa mengarahkan
manajemen, melalui dewan derivative, untuk melakukan perubahan.
Keseluruhan isu di sini adalah bahwa komite audit mempunyai kemampuan
merekrut atau memecat CAE, tetapi harus sedang berjalan ditingkat kooperasi.
Komite audit secara umum tidak berada di tempat basis sehari-hari untuk
menyediakan supervisi audit internal rinci dan harus memenuhi persyaratan
manajemen untuk beberapa dukungan rinci. CAE atau anggota apapun dari audit
internal tidak bisa mengabaikan begitu saja permintaan manajemen sesuai dengan
klaim laporan beberapa orang saja pada komite audit dan tidak bertanggungjawab
pada manajemen lini perusahaan. Manajemen perusahaan harus memastikan bahwa
internal audit adalah bagian dari perusahaan, bukan orang luar.
(b) Persetujuan Piagam Audit internal
Piagam audit internal bertindak sebagai satu basis atau otorisasi untuk setiap
program audit internal efektif. piagam adekuasi penting untuk mendefinisikan peran
dan tanggung-jawab audit internal serta tanggung jawab untuk melayani komite audit
dengan baik. misi dari audit internal harus jelas menyediakan layanan pada komite
audit demikian pula pada manajemen senior. Piagam audit internal bukan saja
dokumen yang luas tetapi juga dokumen yang secara umum mendefinisikan
tanggung-jawab dari audit internal dalam perusahaan, menggambarkan standar yang
diikuti, dan mendefinisikan hubungan antara komite audit dan audit internal. Poin
selanjutnya adalah pentingnya pengkhususan sebagaimana mengirimkan satu pesan
khusus pada manajemen senior dimana CAE bisa pergi ke satu pihak atasan—komite
audit—kalau sekiranya kontroversi atau isu pengawasan intern signifikan.
Komite audit bertanggungjawab untuk persetujuan piagam audit internal,
seutuhnya, dewan bertanggungjawab untuk menyetujui piagam komite audit. Kita
mendiskusikan piagam audit internal di sini karena inilah tanggung jawab komite
audit, tetapi piagam audit internal juga melindungi detil yang lebih besar/rinci tentang
membuat piagam dan membangun satu fungsi audit internal yang efektif. Pada
kenyataannya, CAE biasanya memelopori dalam membuat draft piagam ini dan/atau
akan menyarankan perbaikan sesuai pada satu piagam yang sudah ada pada dewan
komite audit.
Sementara itu piagam audit internal memberi hak pekerjaan yang dilakukan
harus dilakukan, anggota komite audit tidak boleh berada dalam suatu posisi untuk
membuat persyaratan draft piagam audit rinci. CAE secara tipikal bekerja berdekatan
dengan dewan komite audit untuk membuat draft persyaratan ini. Selain dari pada
piagam, spesifikasi alami dan lingkup dari tanggung-jawab pelayananan audit internal
pada komite audit harus formal dan diuraikan. Tanggung-jawab ini bisa meliputi
periodik ditulisnya laporan status audit, pertemuan-pertemuan yang secara teratur
dijadwalkan dengan komite audit, dan keduanya, yaitu hak dan kewajiban akses
langsung audit internal pada komite audit.
Sementara itu pemahaman ini secara tipikal tidak memerlukan resolusi komite
audit formal, kedua belah pihak harus mempunyai satu pemahaman jelas tentang
tanggung-jawab audit internal untuk menyajikan laporan dan untuk mengikuti rapat
komite audit. Penerimaan piagam audit internal dan perbekalan yang berhubungan
oleh ketertarikan semua pihak berarti bahwa audit internal bebas dari penghalang
yang sangat mungkin mencegahnya dari penyingkapan kebutuhan pada komite audit,
bahkan kesensitivan yang alami.
komite audit memilih CAE, anggota lain dari tim audit direkrut dan dibayar
oleh perusahaan, bukan komite audit independen. Meskipun demikian, piagam audit
internal yang kuat, yang disetujui oleh komite audit, adalah ketetapan penting
corporate governance.
(c) Persetujuan Rencana dan Anggaran Audit internal
Idealnya, komite audit sudah mengembangkan keseluruhan pemahaman
mengenai total kebutuhan audit internal dari suatu perusahaan. Penilaian tingkat-
tinggi yang mencakup berbagai Kendali dan isu pelaporan keuangan khusus,
mempersilahkan komite audit menentukan porsi audit atau pengkajian resiko yang
diperlukan untuk dilakukan baik oleh audit internal atau penyedia lain. komite audit
bertanggungjawab untuk mereview dan menyetujui semua rencana serta anggaran
audit internal tingkat tinggi. Tanggung jawab ini konsisten dengan peran komite audit
sebagai koordinator terakhir usaha audit secara keseluruhan. Manajemen Perusahaan
dan CAE mungkin mempunyai ide-ide milik mereka sendiri tentang apa diperlukan
untuk dilakukan, tetapi tindakan ini adalah satu tanggung jawab komite audit. penting
bahwa pihak kunci bersama-sama mempertimbangkan dan dengan penuh kewajaran
merekonsiliasi, tetapi komite audit mempunyai kata akhir di sini.
Review komite dari semua rencana audit internal itu sangat penting jika
kebijakan-kebijakan dan rencana untuk masa depan harus ditentukan secara efektif.
Tanggung-jawab baru audit karena pengenalan tentang SOx telah mengubah peran
yang sudah berjalan beberapa lama, dan semua pihak-pihak berkepentingan harus
memahami sifat alami keseluruhan rencana audit. Manajemen Perusahaan, auditor
internal, dan audit eksternal kemudian akan tahu apa yang harus diharapkan dari
pemasok layanan audit. Komite audit harus mengasumsikan peran koordinasi tingkat-
tinggi. Walaupun ada keterbatasan praktis hingga sebagaimana komite audit aktif bisa
dilibatkan dalam proses perencanaan terperinci, beberapa keterlibatan
mendomenstrasikan suatu nilai yang tinggi. Audit internal harus menyiapkan suatu
dokumen perencanaan tahunan menyeluruh untuk komite yang memberikan rencana
rinci untuk tahun yang akan datang sebaik rencana jangka panjang. Selain itu, audit
internal harus menyiapkan laporan ringkas dari aktivitas audit masa lampau dan
taksiran kembali dari pemenuhan nya untuk memberikan komite audit suatu
pemahaman dari area signifikan dalam review masa lampau. Walaupun audit internal
harus melaporkan aktivitas kepada komite audit secara reguler, laporan ringkasan
aktivitas masa lampau ini memberikan suatu ikhtisar area untuk penekanan audit dan
gap acara penting potensial dalam pemenuhan audit. CAE akan menyajikan jenis
laporan kepada komite audit ini, mencakup untuk masing-masing audit tertentu dan
dengan detil pendukung yang cukup untuk menjawab pertanyaan. Laporan ringkasan
aktivitas masa lalu ialah penting untuk memperlihatkan jadwal area dalam rencana
tahun berjalan dan penyempurnaan rencana tersebut.
Di banyak perusahaan, rencana audit tahunan mengembangkan melalui dua
proses, analisis risiko internal dan diskusi dengan keduanya, yaitu manajemen senior
serta komite audit. Manajemen dan komite dapat menyarankan area untuk review
potensial audit internal, dan audit internal harus mengembangkan rencana di dalam
batasan dari anggaran dan keterbatasan sumber daya. Jika komite audit telah
mengusulkan review beberapa area tetapi audit internal khusus tidak mampu untuk
melakukan audit yang telah direncanakan terhadap beberapa batasan yang diketahui,
CAE harus dengan jelas mengkomunikasikan kekurangan itu kepada komite audit.
(d) Review dan Tindakan Komite Audit atas Audit Finding yang Signifikan
Tanggung jawab penting komite audit adalah mereview dan mengambil
tindakan atas audit finding yang signifikan yang dilaporkan oleh auditor internal dan
eksternal, manajemen, dan lain-lain. Audit internal dan yang lain seharusnya tidak
memfilter audit finding dan mengatakan kepada komite audit apa yang dikatakan
signifikan, kepentingan dan efisiensi dari kesuleruhannya akan dilayani lebih baik
oleh audit internal yang secara teratur melaporkan audit finding yang signifikan
seperti halnya keadaan dan disposisi temuan. Dalam memberi reaksi atas audit finding
yang signfikan, membutuhkan kombinasi atas pemahaman, kompetensi, dan
kerjasama pihak-pihak utama yang berkepentingan seperti audit internal, manajemen,
auditor eksternal, dan komite audit sendiri. Kesejahteraan keseluruhan perusahaan
menjadi standar untuk menilai jasa audit internal, dan kepentingannya dengan
manajemen memiliki batas tertentu yang saling bertentangan.