Escolar Documentos
Profissional Documentos
Cultura Documentos
5.
internal pekerjaan yang berlaku untuk semua kegiatan dari perusahaan modern .
6.
Layanan mengungkapkan bahwa bantuan dan bantuan kepada manajemen dan anggota lain
organisasi adalah produk akhir dari semua pekerjaan audit internal.
7.
Untuk organisasi menegaskan bahwa jumlah Popper terkait lingkup jasa audit internal
ke seluruh organisasi, termasuk semua personil, dewan direksi dan komite yang audit, pemegang
saham, dan pemangku kepentingan lainnya.
Audit internal juga dapat diakui sebagai kontrol organisasi yang fungsi dengan mengukur dan
mengevaluasi efektivitas pengendalian lainnya. ketika sebuah organisasi menetapkan perencanaan dan
kemudian mulai menerapkan nya rencana dalam hal operasi, ia harus melakukan sesuatu untuk
memantau operasi untuk memastikan pencapaian tujuan yang telah ditetapkan. Upaya-upaya lebih
lanjut dapat dianggap sebagai kontrol. Sementara fungsi audit internal itu sendiri salah satu jenis
kontrol yang digunakan, ada berbagai kontrol lainnya. Peran khusus internal Audit adalah untuk
membantu mengukur dan mengevaluasi kontrol-kontrol lainnya. Dengan demikian, intern auditor harus
memahami kedua peran mereka sendiri sebagai fungsi kontrol dan sifat dan ruang lingkup jenis-jenis
kontrol dalam organisasi.
Sejarah Dan Latar Belakang Audit Internal
Hal yang biasa bagi setiap kegiatan-kegiatan termasuk kontrol seperti auditing- intern untuk
datang menjadi ada sebagai hasil dari kebutuhan yang muncul. Organisasi bisnis 1942, ketika audit
internal modern yang baru saja mulai, sangat berbeda dari organisasi abad kedua puluh satu kami hari
ini.
Misalnya, selain dari beberapa perangkat elektromekanis dan kegiatan di laboratorium
penelitian, komputer sistem tidak ada. Organisasi tidak perlu untuk pemrogram komputer
sampai mesin ini mulai menjadi berguna untuk berbagai pencatatan dan
fungsi komputasi lainnya. Demikian pula, organisasi harus sangat sederhana
sambungan telepon di mana operator telepon dialihkan semua panggilan yang masuk ke
sejumlah telepon desktop yang.
Hari ini, kita semua terhubung melalui luas, web di seluruh dunia otomatis telekomunikasi dan
Internet. The meningkatnya kompleksitas bisnis modern dan organisasi lain telah menciptakan
kebutuhan untuk spesialis yang sama di berbagai kontrol bisnis: auditor internal. Kita dapat lebih
memahami sifat audit internal hari ini jika kita tahu sesuatu
tentang perubahan kondisi di masa lalu dan kebutuhan yang berbeda ini
perubahan yang dibuat.
Pada tingkat yang paling primitif, evaluasi atau fungsi audit internal dapat
ada apabila salah satu orang duduk kembali dan survei sesuatu yang ia punya
dilakukan. Pada saat itu, individu meminta dia-sendiri seberapa baik suatu tugas tertentu
telah dicapai dan, mungkin, bagaimana mungkin akan dilakukan dengan lebih baik jika itu menjadi
dilakukan lagi.
Tugas audit internal pertama biasanya berasal untuk memenuhi kebutuhan operasional sangat
dasar dan tajam didefinisikan. Paling awal khusus perhatian manajemen adalah apakah aset organisasi
sedang benar dilindungi, apakah prosedur dan kebijakan perusahaan sedang memenuhi dengan, dan
apakah catatan keuangan yang dipertahankan secara akurat.
Untuk sebagian besar, upaya audit internal ini awalnya dipandang sebagai terkait erat
perpanjangan pekerjaan auditor eksternal. Akibat dari semua faktor ini adalah bahwa ini auditor internal
awal adalah dipandang sebagai memainkan peran yang relatif sempit dalam organisasi mereka, dengan
terbatas tanggung jawab dalam total spektrum manajerial. Internal auditor awal sering dipandang
sebagai checker berorientasi finansial catatan dan lebih dari polisi
Petugas dari rekan kerja. Dalam beberapa organisasi, auditor internal memiliki besar
tanggung jawab untuk rekonsiliasi dibatalkan cek gaji dengan laporan bank atau
memeriksa matematika dalam dokumen bisnis biasa.
Dalam organisasi ritel, auditor internal sering bertanggung jawab untuk mendamaikan penjualan
tunai harian untuk mencatat penerimaan penjualan. Memahami sejarah audit internal penting karena tua
gambar masih berlanjut, sampai batas tertentu, untuk auditor internal modern saat ini. Hal ini agar
meskipun karakter fungsi audit internal saat ini sangat berbeda.
Seiring waktu, operasi berbagai organisasi meningkat dalam volume dan kompleksitas,
menciptakan masalah manajerial dan tekanan baru pada manajemen senior.
Hubungan Terhadap Operasional, Keuangan Dan Informasi Sistem Audit
Selama tahun 1960, ada kecenderungan kuat bagi banyak orang untuk menggunakan istilah
operasional audit di tempat audit internal tradisional. Alasannya adalah bahwa intern audit adalah
istilah diikat terlalu erat dengan audit keuangan dasar, termasuk eksternal.
Dalam bentuknya yang paling ekstrim, yang disebut fungsi audit operasional akan memisahkan
sendiri sepenuhnya dari daerah keuangan disebut. Mereka akan mengklaim, misalnya, tidak memiliki
keahlian di kontrol keuangan mengelilingi piutang operasi. Sebaliknya, mereka mungkin melihat proses
kontrol dan mengabaikan isu apakah kas yang diterima dicatat dengan benar dan diikat ke rekening
keuangan, termasuk buku besar.
Cakupan akuntansi dan kontrol keuangan dan proses juga memberikan kesempatan bagi
memperluas jangkauan layanan audit internal ke dalam wilayah operasional yang lebih luas. Karena
catatan akuntansi dan keuangan secara langsung atau tidak langsung mencerminkan semua kegiatan
operasional, audit internal berorientasi finansial ulasan pintu sering terbukauntuk kegiatan lainnya.
Dalam hal strategi, sebuah ditinggalkan audit internal akuntansi dan keuangan daerah dapat
membuat vakum yang akan mengundang munculnya fungsi audit jenis lainnya. Audit Mutu Internal
Jaminan dan ASQ Kualitas Audit "misalnya, akan membahas berapa banyak tradisional auditor internal
di masa lalu diabaikan Organisasi Internasional untuk
Standardisasi (ISO) "kualitas" gerakan di awal hari, yang menyebabkan hampir profesi yang terpisah
dari kualitas auditor.
Fungsi audit internal saat ini perlu memiliki cakupan yang memadai kunci akuntansi dan
keuangan daerah, dan tanggung jawab siapa yang melakukan itu pasti akan meluas ke gambaran
wilayah operasional yang lebih luas. kegagalan untuk menutupi area keuangan utama adalah salah satu
argumen perusahaan audit eksternal dibuat untuk manajemen senior ketika mereka menawarkan untuk
menyediakan outsourcing perusahaan audit internal jasa. Selama beberapa tahun menjelang
diberlakukannya SOA, hampir muncul bahwa kantor akuntan publik yang mengambil alih audit
internal melalui pengaturan outsourcing mereka. Sekarang, auditor eksternal organisasi dilarang juga
melakukan audit internal untuk organisasi yang sama.
Auditor internal saat ini adalah elemen jauh lebih penting dalam rangka pengendalian internal
secara keseluruhan organisasi daripada mereka yang tidak yang bertahun-tahun di masa lalu. Agar
efektif di sini, auditor internal harus mendapatkan pemahaman yang kuat tentang pengendalian internal,
dan keterlibatan audit internal dengan Bagian SOA 404 ulasan memerlukan beberapa pemahaman yang
berlaku umum prinsip akuntansi (GAAP) dan kontrol keuangan yang terkait. Oleh karena itu, auditor
internal saat ini perlu memahami keuangan dan operasional serta sistem informasi kontrol.
FOUNDATIONS OF INTERNAL AUDITING
Independen
Penilaian menegaskan perlunya evaluasi
Didirikan audit internal sabgai fungsi definitif
formal organisasi modern
Chapter 2
Internal Audits Common Body of Knowledge
Apa yang dimaksud dengan CBOK (Common Body of Knowledge)
CBOK diberbagai profesi diartikan sebagai batas minimum kecakapan yang dibutuhkan untuk kinerja
yang lebih efektif dalam suatu profesi tersebut. Dibanding menaruh semua pengetahuan dibidang yang
mana praktisi, seperti misalnya internal auditor, perlu terlihat ahli dalam profesi tersebut, suatu
CBOK lebih memfokuskan pada pengetahuan minimal yang diperlukan oleh setiap professional dalam
disiplin ilmu tersebut untuk menghasilkan kinerja yang lebih efektif.
CBOK juga merujuk pada berbagai organisasi profesional yang yang dikembangkan atau berusaha
dikembangkan untuk CBOK organisasi tersebut. Contohnya : BAI (Bank Administration Institute) yang
membuat CBOK sebagai acuannya terutama dalam hal risikonya.
Hubungan antara CBOK dengan pengetahuan lainnya bagi seorang internal auditor dapat dilihat pada
gambar berikut:
kebutuhan akan hal yang lebih formal dan pengembangan dalam CBOK audit internal. Lembaga Riset
IIA (the IIA Research Foundation-IIARF) meluncurkan upaya utama pada tahun 2006 untuk
mengembangkan semacam CBOK untuk profesi audit internal. Hasil awalnya pada tahun 2008,
dipublikasikan pada studi riset pertengahan tahun 2007.
Tujuan yang dinyatakan oleh survey ini mencakup dan menggambarkan bagian dari praktek audit
internal profesional diseluruh dunia, termasuk:
CBOK IIARF bertujuan mendokumentasikan pemahaman tentang peran nilai tambah unik yang
dimiliki audit internal perusahaan di seluruh dunia, berdasarkan pemahaman ini, suatu tujuan CBOK
IIARF menjasi lebih baik dalam menentukan masa depan audit internal dan memastikan bahwa hal
tersebut berisi semangat dan kontribusi relevan terhadap perusahaan.
Sayangnya, tujuan CBOK IIARF tidak mengembangkan seperangkat standar level tinggi dalam
pelaksanaan audit internal, seperti pendekatan yang digunakan dalam PMBOK PMI maupun praktek
terbaik untuk Perpustakaan Informasi Teknologi Infrastruktur (Information Technology Infrastructure
LibraryITIL). IIARF ditujukan hanya untuk memperoleh pengetahuan yang lebih baik mengenai
aktivitas dan tugas auditor internal saat ini dalam berbagai bagian unit IIA di seluruh dunia dan operasi
individu seperti fungsi kepala audit internal termasuk Chief Audit Executives (CAEs), manajer audit,
senior audit internal/supervisor, staf, dan hal lainnya yang terkait audit internal.
Meskipun disebut sebagai CBOK, pendekatan IIARF tidak menentukan seperangkat pengetahuan
umum akan praktek terbaik audit internal melainkan untuk mensurvei apa yang dilakukan auditor
internal disaat praktek publikasi studi dari negara ke negara. Untuk mengembangkan studi IIARF,
sebuah tim kontraktor dikontrak, format rinci standar survey dikembangkan, dan survey ini dikirim
kepada 9000 fungsi individual audit internal.
Survey CBOK IIARF dilakukan terhadap survei tipe-pelanggan yang serupa dimana partisipan ditanyai
untuk bersedia memberikan tanggapan atas pertanyaan berdasarkan skor 1 sampai 5 untuk setiap
pertanyaan. Tanggapan dengan skor 5 berarti responden sangat setuju dengan pertanyaan survey, skor 4
berarti setuju, dan skor 1 mengindikasikan responden sangat tidak setuju dengan pertanyaan survey.
Hasilnya akan dipubikasikan sebagai nilai tengah atas bebagai tanggapan; tidak ada nilai standar
deviasi yang ditunjukkan dalam tingkatan tanggapan-tanggapan tersebut.
Kelemahan survei ini ialah hasil dari survei tersebut dapat membingungkan. Selain itu, survei ini juga
tidak dapat menghasilkan informasi lebih lanjut yang dapat emndukung jenis tanggapan atau variasi
dari skor yang tercatat. Berikut ini 3 pernyataan evaluasi CBOK IIARF yang berada di bawah skor 4
dan diatas skor 3,5:
1. Kegiatan Internal audit anda membawa sebuah pendekatan sistematis untuk mengevaluasi
keefektivan proses penguasaan.
2. Cara aktivitas internal audit kita menambah nilai untuk proses penguasaan adalah melalui akses
langsung kepada komite audit.
3. Ijin dengan IIAs Standard s for the Professional Practice of Internal Auditing adalah sebuah
factor kunci dari kegiatan audit internal anda untuk menambah nilai untuk proses penguasaan.
Dengan laporan seluruh level responden yang relatif rendah untuk pertanyaan-pertanyaan ini, maka
perhatian beberapa manajemen audit internal harus dipusatkan pada hal ini. IIA menyatakan
merencanakanm untuk memperbarui studi CBOK IIARF setiap tiga tahun dan menunjukkan rencana
umum untuk mengembangkan dan melepas produk lain dan penawaran untuk meningkatkan dan
membangun CBOK audit internal.
CBOK IIARF tidak memberi pedoman dalam praktek terbaik audit internal. CBOK IIRF hanya
memberikan gambaran garis bersar aktivitas audit internal dan bagaimana mempraktekannya. Standar
IIA dibentuk melalui upaya keras komite relawan. Melalui bagian IIA lokal mereka, auditor internal
seharusnya bisa lebih terlibat dalam proses pengembangan standar IIA. Yang paling penting ialah,
standar IIA ini secara efektif menentukan body of knowledge atau seperangkat praktik terbaik bagi audit
internal.
WHAT DOES AN INTERNAL AUDITOR NEED TO KNOW ? apa yang perlu diketahui oleh
seorang auditor internal?
Seorang auditor internal semestinya mengembangkan pengetahuan umum mengenai esensi dari seluruh
topik yang dibahas dalam buku ini.
Auditor internal yang berpengalaman biasanya terspesialisasi dalam beberapa area dan memliliki
tingkatan yang lebih besar atas pengetahuan industri spesifik. Bagaimanapun perusahan manufaktur
industri alat berat
Chapter 3
Internal Control Framework: The COSO Standard
PENTINGNYA PENGENDALIAN INTERNAL YANG EFEKTIF
Pengendalian internal adalah suatu proses yang diimplementasikan menajemen yang didesain
untuk mendapatkan penjaminan yang layak atas informasi keuangan dan proses bisnis perusahaan.
Pengendalian internal yang efektif atas proses bisnis tercapai jika (1) misi yang telah ditetapkan
tercapai dengan cara etis, (2) menghasilkan data yang akurat dan handal, (3) memenuhi undangundang dan kebijakan berusaha yang berlaku, (4) menyediakan penggunaan asset yang ekonomisasi
dan efisien, (5) menyediakan keamanan asset yang tepat.
Sistem pengendalian internal terus menjadi dasar dari kegiatan operasional dan akuntansi dari
proses bisnis yang efektif.
Manajer bertanggung jawab menciptakan dan mengelola pengendalian internal ini, dan auditor
internal menilai efektivitasnya serta membuat rekomendasi yang diperlukan.
Foreign Corrupt Practices Act of 1977 melarang penyuapan pada pejabat asing dan
mendorong ketentuan diwajibkannya pemeliharaan bku dan pencatatan yang akurat sebaik system
pengendalian internal akuntansi.
FCPA membawa dampak yang signifikan baik untuk auditor internal, maupun eksternal,
karena untuk pertama kalinya manajemen bertanggung jawab atas sistem pengendalian internal
akuntansi yang memadai untuk menyediakan penjaminan yang layak bahwa transaksi diotorisasi dan
dicatat untuk nenyediakan penyiapan laporan keuangan yang sesuai dengan GAAP.
Selain itu FCPA menyatakan bahwa akuntabilitas dipelihara untuk penggunaan aset dan
aksesnya hanya diperbolehkan dengan otorisasi atas persediaan fisik periodik.
FCPA merupakan langkah awal untuk membantu perusahaan memikirkan tentang kebutuhan
pengendalian internal yang efektif, meskipun tidak ada pedoman atau standar atas ketentuan yang
ditetapkan oleh FCPA
FCPA mengharuskan laporan perusahaan untuk mencatat pengendalian internal mereka, teatapi
tidak meminta auditor eksternal untuk membuktikan apakah perusahaan sudah mematuhi peraturan
pelaporan pengendalian internal FCPA.
FEI mengesahkan rekomendasi The Cohen Commission ttg internal control dan setuju bahwa
perusahaan harus melaporkan bagaimna pengendalian akuntansi internal mereka.
Selanjutnya SEC menerbitkan peraturan yang meminta laporan manajemen atas sistem
pengendalian akuntansi internal perusahaan. SEC menyatakan bahwa informasi efektivitas
pengendalian internal dibutuhkan untuk mmbantu investor melakukan evaluasi yang lebih baik atas
kinerja manajemen dan integritas laporan keuangan yang diterbitkan ke publik.
Expectation gap merupakan masalah yang dialami oleh AICPA, dimana standar audit mereka
tdk menyediakan petunjuk yg cukup untuk auditor eksternal atau pengguna laporan.
Untuk mengatasinya AICPA menerbitkan peraturan2 baru, termasuk SAS No.30 tentang
Pelaporan Pengendalian Akuntansi Internal, serta SAS No.55 tentang Pertimbangan Struktur
Pengendalian Internal dalam Audit Laporan Keuangan. Proses pengendalian internal misalnya
kebijakan dan prosedur yang berfokus pada efektivitas, efisiensi, ekonomis, dan ekonomisasi proses
pengambilan keputusan manajemen atau prosedur yang meliputi aktivitas riset&development. SAS
No.55 ini mendefinisikan internal control dalam 3 elemen kunci: (1) Lingkungan Pengendalian, (2)
Sistem Akuntansi, dan (3) Prosedur Pengendalian.
10
Lingkungan Pengendalian
Merupakan pondasi/dasar struktur pengendalian internal menurut COSO, yang berpengaruh terhadap
struktur semua aktivitas dan penilaian risiko, termasuk sejarah dan budaya perusahaan.
i.
ii.
iii.
iv.
11
Komponen ini harus dipahami oleh auditor internal dan menjadikannya pertimbangan dalam
mengevaluasi efektivitas pengendalian internal. Tidak ada gaya dan filosofi yang paling baik,
tetapi faktor ini penting dalam mempertimbangkan komponen pengendalian internal lainnya.
v.
Struktur Organisasi
Struktur organisasi adalah tatanan atau pendekatan atas usaha bekerja individu untuk di
ditugaskan dan disatukan guna meraih seluruh tujuan. Struktur organisasi merupakan aspek
penting dari pengendalian internal perusahaan. Komponen ini menyediakan kerangka untuk
aktivitas perencanaan, pelaksanaan, pengawasan, dan pemantauan guna membantu meraih tujuan.
Komponen ini berhubungan dengan bagaimana fungsi2 yg ada dikelola dan diorganisir.
vi.
vii.
tindakan disiplin
Komponen ini penting karena jika tidak ada kebijakan dan prosedur SDM yang kuat, maka pesan
dari atas dalam sturktur perusahaan tidak akan tersampaikan.
viii.
b. Penilaian Risiko
Kemampuan perusahaan untuk meraih tujuannya memiliki risiko, dari internal maupun eksternal.
COSO mendeskripsikan penilaian risiko dlm 3 tahapan: (1) mengestimasi signifikansi risiko; (2)
12
menilai kemungkinan atau frekuensi terjadinya risiko; (3) mempertimbangkan bagaimana risiko harus
dikelola dan tindakan apa yg hrs dilakukan.
Kerangka pengendalian internal COSO menyarankan risiko harus dipertimbangkan dari 3
perspektif:
1. Risiko perusahaan dari faktor eksternal
Meliputi pengembangan teknologi yang dapat mempengaruhi sifat dan jgka waktu riset dan
development atau mendorong adanya perubahan proses produksinya; perubahan kebutuhan atau
harapan konsumen; penetapan harga; garansi; atau aktivitas jasa (services).
2. Risiko perusahaan dari faktor internal
Misalnya gangguan server IT; kualitas kayawan; atau akses atas aktiva yang lebih bebas.
3. Specific activity-level risks
Meliputi bidang pemasaran, IT, dan keuangan.
c.
Aktivitas Pengendalian
-
13
Tugas2 harus dipisahkan antara orang2 yg berbeda untuk mengurangi risiko terjadinya tindakan
yang salah atau tidak tepat.
-
14
e.
Pengawasan
-
15
perusahaan dengna prosedur pengendalian yang dilakukan oleh perusahaan sejawat (peer).
Dokumentasi yang baik akan membuat evaluasi atas pengendalian internal lebih efktif. Tapi tidak
semua didokumentasikan. Bila ada proses yang tidak didokumentasikan, informal, tapi cukup
efektif, maka tim review akan perlu untuk menyiapkan dokumentasi evaluasi sendriri guna
menjelaskan bagaimana proses tsb bekerja dan ttg sifat dasar pengendalian internalnya.
-
16
17
Chapter 4
Internal Audit and the Sarbanes-Oxley Act
Skandal keuangan perusahaan menyebabkan komunitas investasi memperbarui standar audit
keuangan menjadi lebih baik dalam praktek firma akuntan public. Institute of Internal Auditor (IIA)
merilis revisi dengan singkat standarnya untuk praktik professional internal untuk menggantikan set
standar yang sebelumnya terlalu luas,dan detail. ISACA merevisi dan memperbaiki kerangka proses
COBIT agar lebih dapat diterima oleh semua auditor dan kelompok manajemen. Perubahan utama yang
berkaitan dengan Sarbanes-Oxley Act (SOA) meliputi perusahaan akuntan publik, standar audit
keuangan, dan tata kelola perusahaan. Melalui inisiatif legislatif, profesi akuntan publik telah
mengalami perubahan dan AICPA telah kehilangan tanggung jawabnya untuk menetapkan standar
akuntansi audit publik. Sebuah entitas baru, PCAOB, telah ditetapkan, sebagai bagian dari SOA dan di
bawah SEC, untuk menetapkan standar akuntansi audit publik dalam mengawasi perusahaan akuntan
public individual.
Bab ini membahas pengaturan akuntansi yang sangat signifikan, standar publik dan undangundang tata kelola perusahaan. SOA dan PCAOB melakukan perubahan terbesar untuk akuntan publik,
laporan keuangan, dan aturan tata kelola perusahaan sejak SEC diluncurkan pada tahun 1930-an. SOA
menyajikan aturan baru yang paling penting untuk audit dan internal audit.
"Where were the auditors? Kegagalan Standart
Pertanyaan tersebut tidak diarahkan secara langsung pada auditor internal, tetapi kepada
akuntan publik auditor eksternal yang bertanggung jawab untuk mengaudit buku perusahaan yang
mengalami kegagalan dan menyatakan bahwa laporan keuangan mereka disajikan secara wajar.
Berdasarkan skandal Arthur Anderson yang terjadi, auditor eksternal telah melewatkan
beberapa kesalahan besar dan penipuan dalam tinjauan laporan keuangan organisasi. Terlalu
sering, kantor akuntan publik besar dituduh menjual jasa audit mereka untuk mendapatkan tugas di
daerah yang lebih menguntungkan misalnya konsultasi.
Bagaimana mungkin sebuah tim auditor independen apabila factor utama yaitu staf keuangan
menjabat sebagai auditor eksternal dan kemudian mengharuskan mereka menerima posisi lan. Hal
tersebut menyebabkan terlalu banyak hubungan dekat yang membuat independensi sulitnya tujuan
pengambilan keputusan. Outsourcing atau mengontrak beberapa atau semua jasa audit internal
telah menjadi tren yang berkembang sepanjang tahun 1990-an.
Sarbanes-Oxley Overview: Kunci Internal Audit
SOA memperkenalkan perubahan suatu proses secara total dalam menerbitkan stamdart
audit eksternal dan mereview kinerja auditor kesternal dan memberikan tanggung jawab tata kelola
18
kepada senior exevutives dan dewan direksi. PCAOB akan menerbikan standar audit keuangan dan
juga akan mengawasi auditor kesternal dengan etika professional dan kinerja. Karena SOA
memiliki pengaruh besar kepada auditor internal, maka auditor internal yang modern dan efektif
sebaiknya mengembangkan pemahaman umum atas SOA sebaik
dikelola dan diterbitkan pada seksi perundang-undangan yang terpisah yang disebut Title.
Beberapa SOA tertulis memngamanatkan aturan yang diterbitkan agensi yang bertanggung jawab,
yaitu SEC untuk perumdamg-umdamgammya. Aturan SOA yang spesifik dikembangkan secara
signifikan atau tidak oleh banyak auditor internal.
SOA Title I: Public Company Accounting Oversight Board
Standar audit atas isu isu yang sering terjadi dirancang oleh ASB yang dimiliki oleh
AICPA melalui suatu proses yang memaksa untuk mengembangkan perubahan standar yang
diusulkan, luas anggota secara individual, dan penerbitan akhir atas standar professional yang
baru atau yang direvisi. Standar ini berdasarkan GAAS melalui standar auditing yang spesifik
yang disebut SAS. Beberapa GAAS merupakan praktek audit yang baik. PCAOB ini,
merupakan adalah new nonfederal, perusahaan nonprofit dengan tanggung jawab mengawasi
seluruh subyek audit kepada SEC. buakan merypakan pengganti AICPA tetapi diasumsikan
memiliki tanggung jawab untuk beberapa fungsi yang telah dikelola pleh AICPA. PCAOB ini
dijelaskan lagi dalam SOA title I perundang-undangan dengan bagian yang terpisah. PCAOB
ini mengatur hanya eksternal, nukan internal auditor, karena perubahan proses audit dan tata
kelola perusahaaan mempengaruhi cara auditor internal mengkoordinasi pekerjaannya bersama
auditor eksternal untuk mencapai GCG sehingga merupakan suatu alas an mengapa fungsi
internal audit saat ini memulai untuk melakukan outsourching eksternal auditor.
PCAOB Administration and Public Accounting Firm Registration
PCAOB terdiri dari 5 anggota yang ditunjuk oleh SEC, dimana 3 orang bukan
anggota CPA. PCAOB tidak didominasi oleh CPA dan kepentingan akuntan public. Ketua
PCAOB harus tidak berpraktek sebagai CPA selama 5 tahun untuk menjaga dewan PCAOB
dari dominasi CPA dan firma akuntan public.PCAOB sendiri akan didominasi oleh
pengacara dan aktifis public interest. Tanggung jawab PCAOB antara lain yaitu:
Registrasi firma akuntan publik yang mengaudit perusahaan, sifatnya detail, dan
hanya mengisi form aplikasi dan kemudian memulai bisnis. Harus mengungkapkan
biaya yang dikumpulkan dari perusahaan yang telah diaudit, menyediakan data audit
dan standar kualitas, memberikan informasi rinci mengenai CPA yang akan melakukan
audit, dan mengungkapkan tindakan pidana, perdata, atau administratif tertunda.
19
Melakukan standar dan fungsi kualitas lain sebagai ketentuan dewan, PCAOB
dapat masuk ke daerah lain untuk melindungi investor dan kepentingan umum.
Menegakkan kepatuhan SOA, Meskipun ada masih banyak yang harus ditentukan
PCAOB akan bertanggung jawab untuk menegakkan kepatuhan terhadap aturan SEC
terhadap semua undang-undang SOA dan dapat mengakibatkan berbagai tindakan
hukum administrasi atau prosedur lain yang sesuai.
Retensi kertas kerja audit Standar akan membutuhkan bahwa kertas kerja audit dan
bahan-bahan lain untuk mendukung laporan auditor harus dipertahankan untuk jangka
waktu tidak kurang dari tujuh tahun.
Persetujuan mitra
Standar akan dikeluarkan harus mendapat persetujuan pihak concurring atau kedua untuk
setiap penerbitan laporan audit. Persetujuan ini bisa dilakukan dengan anggota lain dari
kantor akuntan publik yang sama-sama memiliki pemeriksa independen.
20
dijelaskan lebih rinci tentang prosedur pengujian dalam laporan dan laporan tambahan
serta prosedur pengujian yang lebih luas. Seringkali auditor eksternal dihadapkan dengan
populasi uji yang sangat besar dan diuji hanya jumlah yang sangat kecil item. Jika tidak
ada kendala yang ditemukan, mereka menyatakan pendapat berdasarkan hasil dari sampel
yang sangat terbatas.
21
mengidentifikasi setriap tindakan atau kelalaian yang ada terhadap pelanggaran dari peraturan
yang ditetapkan oleh SOA, PCAOB, dan SEC serta AICPA.
SOX II : Indepensdensi Auditor
Internal audit dan eksternal audit berdasarkan sejarahnya telah terpisah dan independen.
Tanggung jawab eksternal auditor adalah menilai kewajaran system pengendalian internal
organisasi dan laporan keuangan yang diterbitkannya sedangkan tanggung jawab internal
dalam melayani manajemen perusahaan memiliki area yang lebih luas lagi. Pemisahan firma
eksternal audit secara berkelanjutan dalam fungsi internal audit dimulai pada awal 1990 yaitu
dimulai ketika perusahaan besar lebih memilih untuk melakukan outsourcing pada dalam
fungsi fungsi tertentu yang bukan merupakan fungsi inti. Organisasi akan menyerahkan fungsi
tersebut kepada ahli yang lebih memahami fungsi tersebut, sehingga pihak di dalam
perusahaan yang seharusnya menjalankan fungsi tersebut dapat melakukan fungsi lain yang
dapat mendatangkan keuntungan. Sedangankan outsourcing baru dilaksanakan sekitar tahun
1980, dimana firma audit eksternal mengelola perusahaan kliennya dan mereka diberikan
tawaran untuk mengambil alih fungsi audit internalnya. Hal tersebut terjadi karena senior
manajemen seringkali tidak begitu memahami perbedaan dari dua fungsi tersebut dan
terkadang mereka lebih nyaman untuk mempekerjakan auditor eksternal karena beberapa alas
an termasuk tergoda oleh biaya murah yang ditawarkan oleh para eksternal auditor. Selain itu
mereka melihat auditor eksternal memiliki peran yang lebih penting dalam menyusun laporan
keuangan tahunan sedangkan audit internal terlibat dalam tugas-tugas yang kurang penting.
Adanya outsourcing internal audit tersebut, menuai skandal dimana fungsi internal audit Enron
dijalankan oleh eksternal auditornya, sehingga menimbulkan banyak kritik dan komentar
mengenai independensinya. Hal inilah yang menjadi peristiwa utama dalam SOX.
Batasan-Batasan Jasa Eksternal
Berdasarkan SOA section 201, mengilegalkan firma akuntan public yang terdaftar
untuk memberikan jasa baik audit maupun nonaudit termasuk internal audit, konsultasi,
serta perencanaan keuangan senior officier secara permanen dan terus menerus. Sehingga
outsourcing internal audit tidak boleh diberikan kepada eksternal audit yang sedang
menjalankan pekerjaan auditnya dalam suatu organisasi. Jasa yang dilarang SOA untuk
diberikan oleh firma akuntan public tersebut antara lain yaitu :
22
Pembukuan dan Jasa Laporan Keuangan, firma akuntan public memiliki tawaran untuk
menjalankan jasa akuntansi disamping melaksanakan audit. Tanggunga jawab
kelompok akuntansi tersebut seperti analisis, dokumentasi, dan membangun laporan
23
Seksi lain dalam title III menyatakan bahwa mitra firma akuntan public akan
membuat perikatan setiap lima tahun sekali. Ketika ada situasi dimana mitra menjalankan
peran utama dalam audit dan kemudian melayani secara terus menerus dan memiliki peran
sebagai penasehat setelah periodenya usai. Jika CAE melihat situasi ini sebagai
kemungkinan pelanggaran aturan SOA, masalah ini harus dibicarakan dengan ketua komite
audit untuk mempertimbangkan tindakan yang mungkin akan dilakukan. Akibat adanya
rotasi ini memberikan tantangan kdalam fungsi internal audit, karena memungkinkan
internal audit bekerja dengan nyaman bersama mitra dan timnya dalam periode yang
terbatas. Selain itu internal audit perlu untuk membiasakan diri bekerja dengan tim audit
baru dari waktu ke waktu dan memiliki peran yang kuat untuk memperkenalkan tim baru
tersebut kepada organisasi.
Auditor Eksternal Memberi Laporan kepada Komite Audit
Auditor eksternal selalu berkomunikasi secara teratur dengan komite aduit berkaitan
dengan perikatan atau hal-hal tertentu yang terjadi. Pasca Enron atau skandal lain yang
terjadi diperusahaan, ditemukan bahwa ternyata sering kali komunikasi ini malah justru
sangat terbatas. Sebelumnya, anggota manajemen dapat menegosiasikan "lulus" dari partner
akuntan publik pada perubahan perlakuan akuntansi yang disarankan, tetapi hal tersebut
dilaporkan kepada komite audit hanya dalam istilah yang paling umum, namun saat ini
auditor eksternal diwajibkan untuk melaporkan kebijakan dan praktek akuntansi yang
digunakan, alternative perlakuan akuntansiserta pendekatan yang dipilih auditor eksternal
secara tepat waktu. Apabila terjadi perselisihan mengenai perlakuan akuntansi, komite audit
sebaiknya memiliki kesadaran untuk mengambil tindakan yang tepat.
Konflik Kepentingsn dan Kewajiban Rotasi Firma Eksternal Audit
SOA title II, seksi 206, melarang auditor eksternal untuk memberikan jasa audit
kepada perusahaan apabila CEO,CFO, atau Kepala Bagian Akuntansi merupakan anggota
dari firma eksternal audit tersebut dalam audit yang sama pada tahun yang lalu. Disamping
itu, partner audit tidak dapat menginggalkan perikatan untuk memulai pekerjaan sebagai
senior eksekutif dalam perusahaan yang sama yang baru saja diaudit. CAE tidak termasuk
dalam larangan ini, masa lalu hubungan perusahaan audit eksternal. Anggota staf dan
manajer dapat berasal dari tim akuntan publik untuk berbagai posisi dalam organisasi yang
diaudit sedangkan larangan ini sifatnya terbatas pada mitra akuntansi publik. Seeorang dapat
memulai karir awal mereka dari akuntan publik dapat pindah ke junior kemudian menuju
ke posisi manajemen tingkat menengah dalam organisasi di mana mereka ditugaskan
sebagai auditor eksternal.
24
laporang yang berkaitan dengan komite audit akhir akhir ini, namun dahulu hubungan
tersebut seringkali merupakan suatu hubungan yang lemah. CAE hanya memiliki garis
pelaporan hubungan langsung kepada komite audit dan dengan garis utama yang kuat
dengan CFO. Internal audit melaporkan dan bertemu dengan komite audit 3 bulan atau
sebulan sekali dengan komunikasi yang terbatas. Saat ini, hubungan prlaporan begitu kuat
dan aktif.
Agar anggota dari komite audit independen, komite audit harus tidak menerima jasa
konsultan atau penasihat yang berasal dari perusahaan dan tidak memiliki afiliasi dengan
seluruh pihak yang berkepentingan atau unit-unit yang berkaitan dengan organisasi. Selain
itu SEC mengaharuskan paling tidak terdapat satu anggota sebagai financial expert yang
memiliki pendidikan dan pengalaman mengenai :
25
etika, yang memiliki fungsi etika dalam membangun kode etik perusahaan. Departemen ini
memiliki fungsi hotline yang memungkinkan karyawan melaporkan adanya pencurian atau
menyampaikan keluhan atas adanya gangguan.
Tanggung Jawab Perusahaan atas laporan keuangan
Organisasi memasukkan laporan keuangan kepada SEC dan menerbitkan hasilnya
kepada investor, namun pihak yang memasukkan atau memiliki kewenangan dalam
pelaporannya terkadangan tidak memiliki tanggungjawab secara personal. Pihak tersebut
diharuskan menjamin bahwa :
1. Mereka telah mereview laporan tersebut
2. Tidak terdapat material yang tidak benar atau informasi yang menyesatkan di dalam
Laporan keuangan tersebut.
3. Laporan keuangan menjelaskan mengenai kondisi keuangan dan hasil dari operasi
perusahaan.
4. Bertanggung jawab :
a) Membangun dan memelihara pengandalian internal.
b) Rancangan penendalian internal dalam memastikan material informasi
organisasi dan pemangku kepentingan telah dibuat selama periode berjalan
ketika laporan disiapkan.
c) Mengevaluasi pengendalian internal organisasi selama 90 hari sebelum laporan
diterbitkan.
d) Mempresentasikan
evaluasi
yang
dilaksankaannya
sebagai
efek
dari
26
Fungsi internal audit harus memiliki titik berat yang kuat dalam menjalankan review
dalam area pengendalian internal, dengan penilaian resiko atas lingkungan pengendalian
internal yang lebih detail, kemudian mendiskusikannya kepada corporate officier dan
selanjutnya merencanakan dokumen audit mengenai bagaimana system pengendalian
internal di review dengan detail.
Auditor internal mungkin saja mengidentifikasi kelemahan signifikan di dalam
organisasiyang tidak material terhadap operasi perusahaan. Suatu kelemahan bkan
merupakan kelemahan pengendalian internal yang secara signifikan material apabila
masalahnya bersifat local dan tidak berakibat besar, menjalar dan apabila masalah dapat
diperbaiki setelah ditemukan oleh auditor internal.
Materialitas
Sebelum SOA, akuntan public menggunakan pedoman apabila kesalahan (error)
atau kegagalan pengendalian internal sehingga merubah pelapotan earning per share
dalam pecahan sen merupakan suatu kejadian yang material yang berkaitan dengan
pelaporan keuangan. Sedangkan auditor eksternal untuk perusahaan besar menemukan
beberapa transaksi yang salah dalam jumlah yang besar, namun terkadang kesalahan
tidak teridentifikasi
nonmaterial untuk organisasi dengan angka jutaan hingga ratusan juta. Auditor
menentukan apakah suatu transaksi material atau tidak, SEC mengindikasi standart legal
atas materialitas. Data atau informasi secara umum akan menjadi material apabila :
Ada kemungkinan besar bahwa investor akan menganggap itu tidak penting dalam
Pihak-pihak yang yang berkaitan dengan proses audit keuangan perlu untuk
mengembangkan pemahaman secara konsisten mengenai kesalahan yang material,
dimana internal auditor perlu untuk bekerja lebih dekat dengan auditor eksternal sebaik
mungkin begitu juga dengan komite audit untuk memastikan memiliki definisi yang
konsisten atas materialitas, ketika kesalahan dan kelalaian dilaporkan.
Hukuman dalam Kegagalan Pelaporan
SOA memiliki serangkaian hukuman pidana untuk pejabat perusahaan yang
menandatangani atau mengesahkan sebuah laporan keuangan, sementara mereka
mengetahui bahwa laporan tersebut tidak sesuai dengan semua persyaratan. Hukuman
maksimum adalah denda tidak lebih dari 5 juta dolar dan atau 20 tahun penjara. Denda
27
tersebut akan dikenakan hanya jika pelaku kesalahan yang dibebankan, diadili, dan
dihukum. Hukuman yang sebenarnya akan didasarkan pada Pedoman Hukuman organisasi.
Pengaruh Tidak Tepat dalam Mengatasi Audit
SOA sekarang memiliki peraturan kuat untuk melarang beberapa tindakan tertentu.
Memungkinkan adanya ketidaksepakatan manajemen dengan auditor eksternal atas
beberapa perkiraan atau interpretasi dan manajemen berusaha mempengaruhi auditor yang
tidak semestinya.
Audit eksternal mungkin telah dilakukan pengujian terbatas di beberapa daerah
kemudian mengusulkan penyesuaian berdasarkan hasil tes itu. Jenis mungkin
"tidak
28
Standar peraturan 401-K dan program pensiun yang sama bahwa pengurus dana
dapat membangun masa blackout selama periode waktu yang terbatas yang melarang
rencana peserta membuat penyesuaian investasi untuk rencana pribadi mereka.
Tanggung Jawab Pengacar yang Profesional
Berdasarkan section 307 adanya revisi peraturan mengenai etika pengacara
professional dan setiap kontroversinya. Pengacara diharuskan untuk melaporkan bukti
pelanggaran yang material atas perlindungan hukum atai pelanggaran perusahaan yang
sejenis kepada Chief Legal Counsel atau CEO. Apabila pihak tersebut tidak merespon
pengacara diharuskan untuk melaporkan bukti kepada tingkat paling tinggi kepada komite
audit. SOA mengijinkan pengacara menyelesaikan pelanggaran hukum, pengacara harus
menarik pelaporan perikatan atas beberapa pelanggaran yang disebut dengan pendekatan
noisy withdrawal.
Dana Wajar untuk Investor
Section III menyatakan bahwa apabila individual dalam group didenda suatu atas
kegagalan melalui administrasi atau aksi legal, dana yang dikumpulkan akan menjadi dana
disgorgement untuk dibagikan kepada para investor yang menderita karena penipuan atau
tindakan akuntansi yang tidak benar. Investor yang merugi karena kesalahan perusahaan
perorangan dapat dikenakan beberapa penyelesaian keuangan dari dana tersebut.
29
bahkan tim manajemen yang bukan eksternal auditormemiliki tanggung jawab untuk
meninjau dan menilai efektivitas pengendalian internal mereka.
Kode Etik Petugas Keuangan
SOA mengharuskan perusahaan mengadopsi kode etik senior financial officer,
beserta CEO dan petugas keuangan inti untuk mengungkapkan kepada SEC kepatuhan
sebagai bagian dari laporan keuangan tahunan. Kode etik karyawan telah terbentuk di dalam
organisasi selama bertahun-tahun. SOA khusus mensyaratkan bahwa organisasi kode etika
atau perilaku senior financial officer cukup untuk :
o Kejujur dan etika, termasuk etika penanganan konflik aktual atau kepentingan antara
hubungan pribadi dan profesional.
o Lengkap, adil, akurat, tepat waktu dan pengungkapan dapat dimengerti dalam laporan
keuangan organisasi
o Kepatuhan terhadap peraturan pemerintah dan peraturan yang berlaku.
Organisasi besar telah membangun fungsi etik tetapi terkadang perusahaan kecil
tidak. Auditor internal dapat memiliki peran penting untuk membantu kepatuhan kepada
aturan etik. Apabila fungsi etik tidak sesuai, internal audit dapat membantu mengumumkan
beberapa fungsi dari seluruh anggota organisasi, dewan direksi, serta karyawan.
Pengungkapan Komite Audit Financial Expert - Section 407
Karena diharuskan adanya expert keuangan dalam komite audit, CPA mempunyai
persyaratan internal audit yang bekerja dalam audit keuangan dan siapa yang memiliki
kesulitan mengelola anggaran rumahtangga personalnya. Dalam memenuhi syarat, expert
harus memiliki pengalaman sebagai akuntan publik, auditor internal, atau afficer keuangan
pokok. Oleh karena itu, financial expert harus memiliki:
1. Pemahaman tentang GAAP dan laporan keuangan
2. Pengalaman dalam penyusunan atau audit laporan keuangan organisasi sebanding
dengan penekanan pada estimasi akuntansi, akrual, dan cadangan
3. Pengalaman dengan akuntansi internal kontrol
4. Pemahaman tentang fungsi komite audit
SEC Enhanced Disclosure Reviews - Section 408S
SOA mengamanatkan SEC untuk melakukan review untuk menyempurnakan
pengungkapan dalam perusahaan secara teratur dan sistematis dan tidak kurang sekali setiap
tiga tahun. SEC diberikan amanat untuk melakukan tinjauan rinci laporan pendukung bahan
audit keuangan sehingga memutuskan untuk melakukan tinjauan pengungkapan yang
disempurnakan oleh salah satu dari enam situasi:
30
31
Hubungan telah berubah, dan auditor internal yang profesional tidak akan lagi melihat
konsultan dari kantor akuntan publik menginstal sistem akuntansi yang baru atau mungkin
takut
bahwa
departemen
audit
internal
akan
outsourcing.
Selain itu komite audit dan manajemen perusahaan, akan memperoleh sumber informasi
tetapi auditor internal harus dapat memberikan wawasan yang sangat berharga.
32
Chapter 6
Risk Management: COSO ERM
Setiap perusahaan membutuhkan suatu pengidentifikasian setiap risiko yang mungkin untuk
mereka hadapi setelah itu memanage resiko-resiko tersebut ketingkatan yang wajar atau dapat
dikendalikan. Pemahaman mengenai risoko ini merupakan komponen utama dalam pencapaian
Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.
Setiap manajer pada satuan kerja, baik operasional ataupun non-operasional, adalah manajer
resiko. Sebagaimana teori manajemen menjelaskan bahwa unsure inti manajemen adalah
planning,doing,dan
controlling,
maka
sebagai
pemilik
dari
risiko
yang
timbul
dari
33
Karenanya diperlukan checklist untuk pendekatan yang sistematik dalam menentukan kerugian
potensial. Salah satu alternatif sistem pengklasifikasian kerugian dalam suatu checklist adalah;
kerugian hak milik (property losses), kewajiban mengganti kerugian orang lain (liability losses)
dan kerugian personalia (personnel losses). Checklist yang dibangun sebelumnya untuk
menemukan risiko dan menjelaskan jenis-jenis kerugian yang dihadapi oleh sesuatu perusahaan.
Perusahaan yang sifat operasinya kompleks, berdiversifikasi dan dinamis, maka
diperlukan metode yang lebih sistematis untuk mengeksplorasi semua segi. Metode yang
dianjurkan adalah;
a.
b.
c.
d.
e.
f.
g.
34
membantu memutuskan mana dari serangkaian resiko yang paling berpotensi terhadap peristiwa yang
paling menghawatirkan manajemen. Manajer bertanggungjawab terhadap penilaian resiko dengan
menggunakan pendekatan kuesioner:
1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?
Menggunakan skor dari 1 sampai 9, jika :
Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama periode
berjalan.
Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.
35
Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan antar kedua
2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan tergantung pada
keuangan risiko yang signifikan. Sebuah risiko yang dapat menurunkan biaya laba bersih per saham
harus memenuhi syarat untuk nilai maksimal 9.
3. ANALISIS RISIKO
Setelah melakukan identifikasi resiko, maka tahap berikutnya adalah pengukuran resiko dengan
cara melihat potensial terjadinya seberapa besar severity (kerusakan) dan probabilitas terjadinya risiko
tersebut. Penentuan probabilitas terjadinya suatu event sangatlah subyektif dan lebih berdasarkan nalar
dan pengalaman.
Kesulitan dalam pengukuran risiko adalah menentukan kemungkinan terjadi suatu risiko karena
informasi statistik tidak selalu tersedia untuk beberapa risiko tertentu. Selain itu, mengevaluasi dampak
severity (kerusakan) seringkali cukup sulit untuk asset immateriil. Dampak adalah efek biaya, waktu
dan kualitas yang dihasilkan suatu resiko. Setelah mengetahui probabilitas dan dampak dari suatu
resiko, maka kita dapat mengetahui potensi suatu resiko Probabilitas terjadinya resiko sering disebut
dengan risk likelihood; sedangkan dampak yang akan terjadi jika resiko tersebut terjadi dikenal dengan
risk impact dan tingkat kepentingan resiko disebut dengan risk value atau risk exposure.
COSO ERM: ENTERPRISE RISK MANAGEMENT
COSO Enterprise Risk Management adalah sebuah kerangka kerja untuk membantu perusahaan
untuk memiliki definisi yang konsisten terhadap risiko mereka. Ini juga merupakan alat yang penting
untuk memahami dan meningkatkan pengendalian internal SOx. Dokumen kerangka COSO ERM
dimulai dengan mendefinisikan manajemen risiko perusahaan:
Enterprise risk management is a process, effected by an entitys board of directors, management and
other personnel, applied in a strategy setting and across the enterprise, designed to identify potential
events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives.
Terdapat beberapa poin penting dalam definisi ini, yaitu:
36
Bagan ini menunjukkan kerangka COSO ERM ini sebagai tiga dimensi kubus dengan
komponen-komponen:
1. Empat kolom vertical mewakili tujuan strategis risiko perusahaan.
2. Delapan baris horizontal atau komponen risiko.
3. Beberapa tingkat untuk menggambarkan setiap perusahaan, dari tingkat induk entitas
sampai anak perusahaan individual.
Bagian ini menjelaskan komponen horizontal COSO ERM; kemudian bagian lainnya membahas
dua dimensi dan bagaimana mereka semua berhubungan satu sama lain. Tujuan kerangka ERM adalah
untuk menyediakan model bagi perusahaan untuk mempertimbangkan dan memahami mereka terkait
risiko kegiatan di semua tingkat, serta bagaimana dampak risiko komponen satu sama lain. Tujuan bab
ini adalah untuk membantu Auditor Internal -dari kepala audit eksekutif (CAE) untuk staf auditor-untuk
lebih memahami COSO ERM dan belajar bagaimana dapat membantu mengelola berbagai risiko yang
dihadapi perusahaan.
a. Komponen Lingkungan Internal
Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur:
b.
yang menguraikan kondisi penting untuk membantu manajemen menciptakan proses ERM yang efektif.
Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus
37
menetapkan serangkaian sasaran strategis, sesuai dengan misi terhadap operasional, pelaporan, dan
kepatuhan kegiatan. COSO ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan,
untuk (1) mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi, (2) menetapkan
strategi untuk mencapai tujuan, (3) mendefinisikan tujuan yang terkait, dan (4) mendefinisikan selera
risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi dari bahan COSO ERM bimbingan.
c. Identifikasi Peristiwa
Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi ERM dan
pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan peristiwa dalam arti
negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini memiliki kinerja perangkat
monitoring yang kuat untuk memantau biaya, anggaran, jaminan mutu, kepatuhan, dan sejenisnya.
Proses pemantauan harus mencakup: (1) Peristiwa ekonomi eksternal, alam, dan politik, (2) faktor
social, (3) peristiwa infrastruktur internal, (4) proses internal, (5) teknologi internal maupun eksternal,
d. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek peristiwa terkait
risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya. Risiko ini harus dinilai dari
dua perspektif: kemungkinan risiko yang terjadi dan dampak potensinya. Sebagai bagian penting dari
proses penilaian risiko, juga perlu mempertimbangkan risiko yang melekat:
Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah ukuran dari
anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari kegiatannya. Risiko
inheren di luar kendali manajemen dan biasanya berasal dari faktor eksternal.
Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko ancaman
dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat risiko residual.
e. Respon Risiko
Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur mengenai
tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat ditangani dalam salah
satu dari empat cara dasar:
1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau menjatuhkan lini produk.
Kesulitannya adalah bahwa perusahaan seringkali tidak bisa drop garis produk atau berjalan
kaki sampai setelah kejadian risiko telah terjadi dengan nya terkait biaya. Penghindaran dapat
menjadi berpotensi mahal strategi jika investasi tersebut dilakukan untuk masuk ke suatu daerah
dengan penarikan berikutnya untuk menghindari risiko.
38
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu.
Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari ketergantungan pada satu
baris kunci produk; membelah operasional TI menjadi dua yang terpisah secara geografis lokasi
akan mengurangi risiko beberapa bencana kegagalan.
3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui pembelian
asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi keuangan,
perusahaan dapat melakukan lindung nilai operasi melindungi dari fluktuasi harga yang
mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat melalui perusahaan perjanjian
usaha patungan atau struktural lainnya pengaturan. Idenya adalah untuk memiliki pihak lain
menerima beberapa potensi risiko serta berbagi dalam penghargaan yang dihasilkan.
4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan selfinsures dengan
mengambil tindakan untuk mengurangi risiko potensial. Pada dasarnya, perusahaan harus
melihat kemungkinan risiko dan dampak dalam terang risiko mendirikan toleransi dan
kemudian memutuskan apakah akan menerima resiko itu atau tidak.
f. Kegiatan Pengendalian
ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk memastikan
tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko yang memadai,
perusahaan harus memilih kontrol aktivitas yang diperlukan untuk memastikan bahwa risiko tanggapan
dijalankan secara tepat waktu dan efisien. Setelah melalui risiko identifikasi kejadian COSO ERM,
penilaian, dan respon proses, risiko pemantauan memerlukan empat langkah:
1.
Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan
2.
3.
4.
mengidentifikasi dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup kontrol daerahdaerah pengendalian internal:
o
Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi orang yang
39
o
o
Keamanan dan integritas. Pengendalian proses harus memiliki kontrol yang tepat prosedur seperti
bahwa hanya orang-orang yang berwenang dapat meninjau kembali atau memodifikasi mereka.
Dokumentasi. Proses harus didokumentasikan.
g. Informasi dan Komunikasi
Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan
dari satu komponen COSO ERM ke yang lain dalam diagram alir sederhana, melakukannya merupakan
proses yang jauh lebih kompleks dalam praktek. Dasar proses dalam banyak perusahaan terdiri dari
web kompleks sistem informasi operasional dan keuangan yang sering tidak terkait dengan baik.
Hubungan ini menjadi lebih kompleks untuk proses ERM banyak, mengingat bahwa banyak aplikasi
enterprise dasar tidak langsung meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risikorespon-tipe.
h. Pemantauan
The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa pemantauan dapat
meliputi jenis kegiatan:
o Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti uang tunai posisi,
unit penjualan, dan data keuangan kunci.
o Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci dari
didirikan risiko kriteria, termasuk tingkat kesalahan dapat diterima atau item diselenggarakan di
ketegangan.
o Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari laporan audit
internal dan eksternal, termasuk status ERM terkait SOx mengidentifikasi kesenjangan.
o Perbarui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi, tren industri,
dan berita ekonomi secara umum.
DIMENSI LAIN ERM COSO:RISIKO OBJEK PERUSAHAAN
a. Tujuan Operasional Manajemen Risiko
Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan untuk mengidentifikasi
risiko atas setiap unit usaha. Identifikasi ini membutuhkan
dikumpulkan dan dianalisis, khususnya untuk sebuah perusahaan besar yang mencakup beberapa
wilayah geografis, lini produk, atau bisnis proses. Review audit internal atau survei yang langsung
dipengaruhi oleh risiko tersebut dapat membantu untuk mengumpulkan informasi latar belakang lebih
rinci tentang potensi risiko operasional.
b. Tujuan Pelaporan Manajemen Risiko
40
Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan dari internalnya dan
eksternal baik itu dari keuangan perusahaan dan data non keuangan. Pelaporan yang akurat sangat
penting untuk suatu keberhasilan perusahaan dalam banyak dimensi.
c. Risiko Kepatuhan Tujuan Hukum dan Peraturan
Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang dikenakan atas
standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum
kadang-kadang tidak terduga. Hasilnya adalah litigasi diarahkan terhadap perusahaan yang pernah
memproduksi produk yang mengandung asbes tertentu, panggilan ganti rugi berdasarkan risiko
manusia yang potensial di masa mendatang. COSO ERM merekomendasikan bahwa risiko terkait
kepatuhan dipertimbangkan untuk masing-masing komponen kerangka risiko, baik dalam konteks
lingkungan internal pemerintah, pengaturan tujuan, atau pemantauan risiko, serta di seluruh
perusahaan.
RISIKO AUDIT DAN PROSES ERM COSO
Sebuah perusahaan dapat meningkatkan proses secara keseluruhan sama halnya Sox
pengendalian internal melalui implementasi yang efektif dan efisien COSO ERM. Dengan berfokus
pada kerangka COSO ERM serta manajemen risiko umum baik praktek, audit internal dapat membantu
perusahaan dengan perencanaan dan melakukan review proses manajemen risiko perusahaan. Untuk
meninjau praktek COSO ERM dan implementasi prosedur, auditor internal, baik sebagai peninjau audit
internal kontrol atau konsultan manajemen, perlu mengembangkan pengertian pengendalian COSO
ERM dan proses. Selain itu, setiap kajian internal audit proses ERM perusahaan harus dikembangkan
melalui perencanaan internal audit berbasis risiko yang akan dibahas lebih lanjut di materi selanjutnya.
Internal Audit harus meninjau sisi perusahaan ERM proses menggunakan beberapa alat ini:
Proses flowchart Sebagai bagian dari setiap proses ERM yang diidentifikasi, diagram alur proses
dapat berguna dalam menggambarkan bagaimana manajemen risiko beroperasi dalam perusahaan.
Ini dibutuhkan untuk melihat dokumentasi yang disiapkan untuk risiko terkait proses, menentukan
kondisi saat ini, dan menggambarkan semua kecukupan semua tingkatan proses risiko perusahaan.
Tinjauan bahan dan pengendalian risiko. Sebuah proses ERM menghasilkan dalam volume besar
bahan pedoman, terdokumentasi, format laporan, dan sejenisnya. Proses ERM berharga untuk
risiko dan pengendalian bahan audit internal
Pembandingan. Meskipun sering disalahgunakan istilah, benchmarking adalah proses untuk
melihat fungsi dalam lingkungan lain untuk menilai operasi mereka dan untuk mengembangkan
pendekatan berdasarkan praktek-praktek.
41
Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi pada efektivitas
ERM dari berbagai macam orang. Mereka dapat dikirimkan disetujui stakeholder. Ini merupakan
teknik audit internal yang baik.
42
Chapter 7
Performing Effective Internal Audits (Menampilkan internal audit yang efektif)
Diasumsikan bahwa fungsi internal audit yang efektif dimulai dengan sebuah charter audit yang
disetujui seperti halnya dengan persetujuan komite audit untuk sebuah rencana tahunan aktivitas
internal audit perusahaan. Pada bab ini, akan menjelaskan langkah langkah yang penting untuk
melaksanakan review audit internal atas pengendalian internal. Secara virtual, seluruh audit internal
dimulai dengan menetapkan charter audit internal yang telah disetujui, penegasan kembali tujuan awal
audit, pengembangan rencana audit individual secara terperinci. Kemudian, program audit internal
beserta review awal dan dokumentasi atas pengendalian internal, pengujian untuk menentukan apakah
telah berjalan sesuai dengan yang diharapkan, laporan hasil audit secara berkelanjutan. Seluruhnya
dijelaskan berdasarkan inti dari ketentuan CBOK.
Seorang auditor internal yang efektif bertindak sebagai perangkat garis depan dari mata dan
telinga untuk komite audit dan manajer senior, dan harus melakukan lebih dari sekedar review
kewajiban perusahaan dengan dokumentasi yang dipublikasi dan prosedur.
7.1 Mengorganisir dan Merencanakan Internal Audit
Sebelum fungsi internal audit dapat menjalankan audit apapun, dibutuhkan beberapa building blocks
sebagai tempat untuk menyeimbangkan sebuah fungsi internal audit yang efektif. Pondasi building
blocks internal audit ini antara lain:
a. Sebuah rencana efektif dari organisasi dan sebuah piagam untuk melaksanakan aktivitas audit
internal.
b. Sebuah rencana audit tahunan atau jangka panjang
c. Standar dan pendekatan efektif untuk menampilkan semua internal audit.
Audit internal akan lebih efektif jika semua anggota dari staff audit ikut konsisten, prosedur yang
professional dalam menampilkan review mereka. Mereka akan menjadi sumber daya perusahaan yang
kuat pada pandangan manajer, yang selalu mengharapkan konsistensi, pendekatan yang berkualitas dari
sumber daya audit internal.
7.2 Aktivitas audit internal yang berkenaan dengan persiapan
Masing-masing proyek audit internal harus berhati-hati merencanakan sebelum memulainya. Audit
harus dimulai sebagai sebuah elemen yang terskedul pada perencanaan tahunan audit internal dan
proses memperkirakan resiko, berdasarkan permintaan special komite audit atau manajemen, atau
sebagai respon pada kejadian yang tidak direncanakan, seperti penemuan kecurangan, peraturan baru,
atau kejadian ekonomi yang tidak terduga.
Setelah internal audit mengembangkan rencana untuk bekerja untuk tahun mendatang, perencanaan dan
penjadwalan audit internal individu dering menjadi tantangan. Di samping rencana yang well-thought-
43
out, kejadian yang tidak terjadwal, permintaan dari manajer, atau situasi seperti hasil yang tidak
menguntungkan dari audit lain mungkin akan menyebabkan perubahan pada sebuah rencana jangka
panjang audit internal. Meskipun sering ada tekanan untuk memulai contohnya audit special secara
tiba-tiba, sebuah audit yang terencana dengan baik akan hampir selalu menyajikan hasil audit yang
lebih baik. Sebagai tambahan, audit internal dapat memperoleh penghematan yang signifikan pada
waktu dan usaha dengan perencanaan lanjutan yang cukup dan pekerjaan yang berkenaan dengan
persiapan.
a. Menentukan tujuan audit baik yang menyeluruh maupun individual
Audit internal harus secara umum menetapkan rencana-rencana untuk aktivitas audit internal yang
secara khas menutupi periode fiscal tahunan.
b. Menjadwal audit dan memperkirakan waktu (tahunan/triwulan/bulanan;person;scope;object) yang
paling penting adalah jumlah staf setiap penugasan harus dibuat scheduling yang lebih rinci
c. Survey awal: mereview kertas kerja sebelumnya, mereview laporan audit sebelumnya, entitas
organisasi, materi audit lainnya yg berhubungan.
7.3 Memulai Audit Internal
Dimulai dengan membuat surat perikatan, surat ini harus memperingatkan manajer audit dari :
1. Adressee, komunikasi harus dialamatkan kepada manajer secara langsung bertanggung jawab
2.
3.
4.
5.
IT atau database.
6. Salinan surat perikatan
7. Laporan operasi lainnya
a) Survey lapangan untuk internal audit, merupakan hal yg sangt kritikal/penting dalam penetapan
arah, detail scope, dan hasil audit. Survey lapangan mengijinkan auditor untuk,
1. Menyesuaikan dirinya dengan proses local utama di tempat dan
2. Evaluasi struktur pengendalian dan level dari resiko pengendalian pada proses yang bervariasi
dan sistem yang termasuk dengan audit.
Informasi yang harus ditemukan selama survey lapangan:
1.
2.
3.
4.
5.
proses. dengan survey awal, auditor diharapkan menyesuaikan scope dan tujuan audit yang
direncanakan dengan keadaan sebenarnya.
7.4 Mengembangkan dan menyiapkan audit program
Untuk mencapai konsistensi audit, auditor internal harus menggunakan audit program untuk
melakukan prosedur audit dengan konsisten dan cara yang efektif untuk tipe audit yang sama.
Istilah program mengarah pada seperangkat prosedur audit hamper mirip dengan program
komputer, instruksi yang dijalankan sama dengan instruksi program setiap proses dijalankan.
a. Format audit program dan persiapannya
Audit program adalah sebuah prosedur yang menjelaskan langkah demi langkah yang harus
dilakukan oleh internal audit ketika sedang melakukan kerja lapangan. Program ini harus
diselesaikan setelah survey lapangan dan survey sebelumnya selesai dilakukan dan sebelum
memulai audit yang sebenarnya. Hal yang paling penting dari program itu adalh program itu
harus mengidentifikasi aspek area yang harus diperikasi kedepannya dan area yang sensitive
yang membutuhkan penekanan audit. Tujuan penting lainnya dari audit program adalah sebagai
peralatan pemandu baik untuk onternal auditor yang kurang atau yang mempunyai pengalaman
lebih.
b. Tipe-tipe dari bukti audit
Bukti audit meliputi semua audito internal review atau pengamatan. Auditor internal harus
mengumpulkan bukti audit untuk mendukung evaluasi auditor- internal audit standart yang
disebut bukti audit yang cukup, competent,relevant, dan berguna-. Liat exhibit 7-8
7.5 Melakukan Audit Internal
a. Prosedur awal fieldwork internal audit
Auditor dan anggota tim audit harus memulai audit dengan rapat bersama anggota yang tepat
dari manajemen perusahaan yang diaudit untuk menentukan kerangka perencanaan awal audit,
termasuk area yang harus diaudit, laporan khusus atau dokumen yang dibutuhkan, dan orang2
yg akan diwawancarai. Auditor harus meminta semua pihak organisasi yang terpengaruh untuk
member mereka jadwal sementara kinerja audit yang direncanakan. Auditor yang sedang
bekerja harus bertemu dengan manajemen perusahaan untuk mendiskusikan berbagai masalah
dan mencari pemecahannya. Bila ada komponen kunci dalam audit yang telah direncanakan
meleset, manajemen audit harus mengembangkan strategi peninjauan kembali untuk
menyelesaikan masalah termasuk, yang meliputi:
Meninjau kembali prosedur audit untuk melaksanakan pengujian tambahan dalam area
yang berbeda
Menyelesaikan audit tanpa menggunakan data yang hilang tersebut.
Menyelesaikan bagian audit yang lain dan menjadwalkan kunjungan selanjutnya untuk
melaksanakan pengujian.
b. Teknik bantuan audit fieldwork
45
Manajemen audit unternal harus mengkomunikasikan semua masalah teknik audit kepada para
stafnya yang harus dipahami oleh yang auditor yang sedang bekerja agar bisa dicari solusinya
sesegera mungkin.
c. Audit Management Fieldwork Monitoring
Bila audit membutuhkan waktu yang lama atau membutuhkan sumber daya yang terlalu banyak,
maka manajemen audit internal harus meriview progress audit secara berkala dan menyediakan
pengarahan teknis melalui kunjungan dan komunikasi. Tujuannya untuk mereview progress
kerja dan membantu menyelesaikan masalah yang ada
d. Penemuan audit yang potensial, penemuan awal audit biasanya mempunyai elemen-elemen ini:
1. Identifikasi penemuan
2. Kondisi
3. Referensi kepada dokumen pekerjaan audit
4. Rekomendasi awal auditor
5. Hasil dari diskusi hasil temuan dengan manajer
6. merekomendasikan disposisi dari penemuan
e. modifikasi audit program dan jadwal
audit program memrupakan petunjuk keseluruhan pelaksanaan internal audit yang
dikembangkan dari data survey awal dan dari file internal audit terdahulu. Kebutuhan
modifikasi audit program sangat diperlukan sangat internal audit telah mengembangakan audit
program umum untuk mereview unit yang hamper sama. Perubahan itu dibutuhkan dalam
jadwal audit sebagai progress kerja dan fleksibilitas harus direncanakan untuk menghadapi
persyaratan yang tidak terduga.
f. Melaporkan temuan audit persiapan kepada manajer
Penemuan audit potensial harus diriview oleh management unit selama pelaksanaan audit untuk
menentukan apakah mereka memang fakta dan berpengaruh signifikan.
7.6 Membungkus perikatan bidang Internal Audit
Internal audit harus dikelola dengan cara yang sama seperti proyek lainnya yang membutuhkan
waktu personal dan sumber daya lain serta emmberi hasil yang dapat dikomunikasikan. Sumber
daya personal dan biayanya harus direncankan dan dianggarkan pada tingkat yang terinci. Perluasan
waktu atas audit harus ditinjau lebih lanjut manajemen audit internal untuk menyediakan overview
dari audit yang telah direncanakan atau yang masih berjalan. Periode selama 3 bulan seringkali
merupakan waktu yang tepat untuk aktivitas yang direncanakan.
7.7 Melakukan Internal Audit Individual
Seorang auditor internal harus melaksanakan kinerja dan memiliki kemampuan untuk
merencanakan dan melaksanakan audit internal individual.
Proses audit internal :
1. Sebagai bagian dari perencanaan audit, melaksanakan analisis resiko untuk mengidentifikasi
resiko pengendalian yang potensial
2. Berdasarkan hasil anlisis resiko dan kendala lain mengembangkan audit plan.
3. Menjadwal audit internal di awal dan mengalokasikan sumber daya
46
4. Mereview laporan audit terdahulu dan kertas kerja yang melingkupi audit area
5. Mengunjungi lokasi dan melaksanakan survey lapangan yang melingkupi area dari audit yang
direncanakan.
6. Berdasarkan kertas kerja dan survey lapangan yang dibuat, menyiapkan audit program
7. Menyiapkan dan menyampaikan surat perikatan audit dan merencanakan untuk memulai audit
internal
8. Memulai audit internal lapangan dan audit internal yang telah direncanakan.
9. Mendokumentasikan proses dan melaksakan prosedur audit yang telah direncankan
10. Mengembangkan audit point sheet yang melingkupi penemuan awal internal audit
11. Menyelesaikan dokumentasi audit dan mengiktisarkan penemuan audit yang potensial.
12. Menyelesaikan audit internal lapangan dan meriview temuan audit yang diusulkan dengan
auditee.
Nilai yang paling penting yang disediakan oleh proses audit internal kepada komite audit dan
manajemen merupakan laporan hasil pelaksanaan audit di lapangan secara rinci atau sebagai bagian
dari operasi keseluruhan.
47
Chapter 8
STANDAR FOR THE PROFESIONAL PRACTICE OF INTERNAL AUDITING
Setiap profesi pasti memiliki standar kinerja yang ditetapkan secara umum untuk menilai apakah
pelakunya telah bekerja secara professional atau tidak, standar ini ditetapkan agar mereka memiliki
acuan dan setiap pelakunya dapat mengerjakannya dengan seragam, mengacu pada standar standar
yang telah ditetapkan. Internal auditor juga memiliki standar yang dijadikan acuan seperti IIA Standart.
Standar ini berisi hal hal apa yang harus dilakukan oleh internal auditor dan harus menjalankannya dan
menjadi sifat dasar bagi internal auditor.
Internal Auditing Professional Practice Standards
Internal auditor bekerja pada ruang lingkup yang luas serta bertugas untuk mengaudit beberapa
kegiatan operasional dan laporan keuangan. Karena tugasnya yang beraneka ragam, Audit Komite dan
Senior Manajemn brharap agar seorang internal audit menjalankan tugasnya dengan berperilaku secara
kompeten dan konsisten. Oleh karena itu, IIA, sebagai organisasi Internal Audit membuat standar yang
digunakan sebagai sifat dasar bagi seorang internal audit.
IIA didesain sebagai :
menutnun funsi dari seorang internal auditor sehingga bisa bertugas lebih efektif dan efisien. Ada
perubahan dalam IIA standar 2004 yang telah direvisi bahwa memperbolehkan seorang IIA bertindak
sebagai konsultan dan juga sebagai perannya yaitu sebagai auditor.
Standar yang paling awal muncul, justru kembali pada prinsip dimana seorang internal audit
dilarang menjadi seorang konsultan. Tapi larangan tersebut tidak dihiraukan beberapa tahun terakhir
ini, dan telah direvisi di tahun 2004 serta telah diklarifikasikan.
IIAs Current Standards : What Has Changed
Standar IIA diubah secara berkala brgantung dari bisnis dan tugas seorang internal auditor saat
ini. Pada tahun 2007, karena ada kendala mengenai siapa yang mengawasi kinerja internal auditor,
maka dibuatlah peraturan yang baru yang ditambahakan pada praturan keadaan eksternal 1312.
Berbunyi : peraturan mengenai keadaan eksternal harus diubah setidaknya 5 tahun sekali oleh
independent review atau tim review dari luar organisasi. Potensial dibutuhkan untuk lebih banyak
frekuensi kondisi ekternal juga kualifikasi dan kbbasan dari eksternal reviewer, termasuk bbrapa
konflik yang berpotensial untuk terjadi, harus didiskusikan bersama dengan CAe (Chief Audit
Executive) bersama dengan pmimpin atas lainnya. Diskusi tersebut juga harus didasarkan pada
ukuran, kompleksitas dan bidang industry dari organisasi atau perusahaan terait.
Perubahan tersebut merupakan perubahan yang signifikan dalam standar internal auditor. IIA
mempublikasikan apa yang disebut dengan peraturan pelatihan disemua standar termasuk
perubahannya untuk melaksanakan review eksternal, 2 peraturan pelatihan berupa
detail syarat bagi reviewer termasuk eksternal review tim harus terdiri dari individu yang kompeten
dalam menjalaknkan tugas profesionalnya sebagai seorang internal auditor. Seluruh internal auditor
harus wspada terhadap kualitas review dan para CAE haru memperhatikan internal auditornya agar
mereka memenuhi syarat yang berlaku dan membuat susunan secara periodic.
2009 New Internal Audit Standards
Standar ini resmi dirilis pada Jauari 2009. Perubahan signifikan yang ditinjau kembali dari
semua standar dimana terdapat kata seorang internal auditor harus diubah menjadi seorang internal
auditor wajib. Dan peraturan trbaru tersebut sudah secara resmi diteteapkan. Perubahan IIA berupa
perubahan dari harus menjadi wajib mugnkin merupakan salah satu perubahan yang paling
signifikan dalam prakteknya bagi seorang internal audit sejak peraturan ini ditemukan oleh Victor Brin.
Standar-standar tersebut merupakan kumpulan peraturan bagi semua aktivitas seorang internal auditor,
baik sebagai IA maupun sebagai konsultan internal atau bagi yang mengatus semua fungsi internal
audit.
49
atau
kegiatan
yang
dapat
menimbulkan
prasangka
yang
meragukan
50
mengonfirmasi kepada Dewan akan independensi organisasi dari Aktivitas Audit Internal sekurangkurangnya setiap tahun sekali.
Standar 1120 Objektivitas Individual
1120 Objektivitas Individual
Auditor internal harus memiliki sikap yang tidak memihak, tidak bias, dan menghindari konflik
kepentingan.
Standar 1130 Gangguan terhadap Independensi atau Objektivitas
1130 Gangguan terhadap Independensi atau Objektivitas
Jika independensi atau objektivitas terganggu baik secara kenyataan ataupun secara penampilan, rincian
gangguan harus diungkapkan kepada pihak-pihak yang tepat. Sifat dari pengungkapan akan tergantung
pada gangguan tersebut.
Standar 1200 Keahlian dan Kecermatan Profesional
1200 Keahlian dan Kecermatan Profesional
Penugasan harus dilakukan dengan keahlian dan kecermatan profesional.
1210 Keahlian
Auditor internal harus memiliki pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan
untuk melaksanakan tanggung jawabnya. Aktivitas Audit Internal secara kolektif harus memiliki atau
mendapatkan pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan untuk melaksanakan
tanggung jawabnya.
Standar 1220 Kecermatan Profesional
1220 Kecermatan Profesional
Auditor Internal harus menerapkan kecermatan dan keterampilan yang diharapkan dari seorang auditor
yang cukup berhati-hati dan kompeten. Kecermatan profesional tidak berarti kesempurnaan.
51
Persyaratan
Program
Pemastian
Kualitas
dan
Peningkatan
Program pemastian kualitas dan peningkatan harus mencakup penilaian internal dan eksternal.
Standar 1320 Pelaporan Program Pemastian Kualitas dan Peningkatan
1320 Pelaporan Program Pemastian Kualitas dan Peningkatan
Kepala Eksekutif Audit harus menyampaikan hasil program pemastian mutu dan peningkatan kepada
manajemen senior dan Dewan.
Standar 1321 Penggunaan Frasa sesuai dengan Standar Internasional untuk Praktik
Profesional Audit Internal
1321 Penggunaan frasa sesuai dengan Standar Internasional untuk Praktik Profesional Audit
Internal
Kepala Eksekutif Audit diperbolehkan menyatakan bahwa Aktivitas Audit Internal sesuai dengan
Standar Internasional untuk Praktik Profesional Audit Internal hanya jika hasil program pemastian
kualitas dan peningkatan mendukung pernyataan ini.
Standar 1322 Pengungkapan Ketidaksesuaian
1322 Pengungkapan Ketidaksesuaian
Ketika ketidaksesuaian dengan Definisi Audit Internal, Kode Etik, atau Standar berpengaruh terhadap
keseluruhan lingkup atau pelaksanaan aktivitas audit internal, Kepala Eksekutif Audit harus
mengungkapkan ketidaksesuaian dan dampaknya kepada manajemen senior dan Dewan.
Standar Kinerja
52
Standar Kinerja, yaitu Standar yang menjelaskan sifat dari kegiatan audit internal dan sebagai kriteria
evaluasi kinerja. Butir-butirnya adalah sebagai berikut:
2000 Mengelola Aktivitas Audit Internal
2010 Perencanaan
2020 Komunikasi dan Persetujuan
2030 Manajemen Sumber Daya
2040 Kebijakan dan Prosedur
2050 Koordinasi
2060 Pelaporan kepada Manajemen Senior dan Dewan
2100 Sifat Kerja
2110 Tata Kelola
2120 Manajemen Risiko
2130 Pengendalian
2200 Perencanaan Penugasan
2201 Pertimbangan Perencanaan
2210 Tujuan Penugasan
2220 Lingkup penugasan
2230 Alokasi Sumber Daya Penugasan
2240- Program Kerja Penugasan
2300 Pelaksanaan Penugasan
2310 Mengidentifikasi Informasi
2320 Analisis dan Evaluasi
2330 Pendokumentasian Informasi
2340 Supervisi Penugasan
2400 Mengomunikasikan Hasil
2410 Kriteria untuk Berkomunikasi
2420 Kualitas Komunikasi
2421 Kesalahan dan Kelalaian
2430 Penggunaan Frasa Dilaksanakan sesuai dengan Standar Internasional Praktik Profesional Audit
Internal
2431 Pengungkapan Ketidaksesuaian
2440 Diseminasi Hasil
2500 Memantau Kemajuan
2600 Resolusi Penerimaan Manajemen Senior atas Risiko
53
Chapter 10
Audit Program and Establishing the Audit Universe
Definisi Lingkup dan Tujuan Internal Audit Universe
Audit universe adalah kumpulan dari semua area yang tersedia untuk di audit dalam suatu perusahaan.
Beberapa contoh aktivitas yang bisa diaudit:
Kebijakan, prosedur, dan praktik pada suatu tingkatan perusahaan, dan lokasi yang spesifik, seperti
unit-unit internasional.
Manufacturing, distribusi, atau unit-unit rantai persediaan.
Sistem Informasi pada infrastruktur dan tingkatan aplikasi spesifik.
Kontrak utama atau lini produk
Fungsi-fungsi pembelian, akuntansi, keuangan, pemasaran, dan pengelolaan.
Kita harus mendefinisikan entitas audit dengan suatu cara, dimana internal audit individual dapat
menghemat biaya. Contohnya:
Pada banyak instansi, hal ini mungkin paling efisien untuk menunjuk proses umum yang mencakup
semua unit pada keseluruhan entitas audit, terutama jika kebijakan dan prosedur umum mencakup
semua unit individual.
Untuk rantai multirestoran dengan banyak unit kecil, boleh jadi akan menjadi terbaik untuk
mendefinisikan setiap restoran kecil individual sebagai unit yang diaudit, dengan tidak ada
perencanaan untuk menjadwalkan proses spesifik pada setiap restoran, dalam audit yang terpisah.
Tim internal audit disini mereview semua operasi atau cara kerja pada restoran utama, bukannya
proses umum, seperti prosedur pengendalian kas untuk semua unit restoran.
Tim internal audit seharusnya juga mendefinisikan beberapa poin penting audit untuk memastikan
konsistensinya dalam pelaksanaan audit dari semua audit internal potensial. Poin penting ini bertindak
sebagai suatu garis besar umum untuk dokumen perencanaan audit dan program kerja audit, serta
membantu menghasilkan laporan mengenai status pengendalian di dalam lingkungan pengendalian
perusahaan.
Empat jenis poin penting audit untuk seluruh keamanan informasi:
Pengendalian akses IT
Sistem konfigurasi keamanan
Pemantauan dan tanggapan peristiwa
Manajemen dan administrasi keamanan
54
universe
Mengembangkan daftar pertanyaan pendahuluan mengenai penilaian pengendalian untuk setiap
audit
Audit Universe Time and Resources Limitations
Walaupun dalam hal ini kita masih berhadapan pada suatu tingkatan sangat tinggi, langkah berikutnya
adalah melihat sisa materi dalam pendahuluan audit universe, jika waktu dan sumberdaya tersedia
untuk tinjauan ulang materi tersebut. Dalam beberapa situasi, mungkin ada terlalu banyak materi audit
yang ditinggalkan dalam audit universe untuk mencukupi dalam periode waktu yang layak. Disamping
itu, internal audit juga menetapkan jadwal di periode sekarang atau dalam tiga sampai lima tahun
siklus, yang memerlukan ketrampilan internal audit khusus. Sumber daya internal audit perlu ada dalam
suatu area karena keamanan jaringan TI digunakan untuk perencanaan, kesinambungan dan pengujian,
dimana keterampilan internal audit atau sumber daya akan diperlukan.
Menjual Audit Universe pada Komite Audit dan Manajemen
CAE dan tim kunci internal auditor mungkin melakukan usaha besar-besaran untuk membangun dan
mengurus internal audit universe, dan mungkin memohon bantuan dan saran dari senior manajemen
dalam hal kontens dan asumsi-asumsi dari audit universe, tetapi komite audit adalah entitas yang
bertanggungjawab untuk memeriksa dan menerima dokumen. Pada akhirnya komite audit
bertanggungjawab jika ada pertanyaan mengenai mengapa internal audit tidak melihat beberapa area,
55
dan CAE seharusnya memberi laporan singat secara hati-hati pada komite audit dan menjelasakan
kunci asumsi-asumsinya.
Membuat Program Audit: Komponen Kunci Audit Universe
Setelah auditor menentukan penekanan yang sesuai atas masing-masing dari 5 jenis pengujian
(prosedur pengendalian intern, uji pengendalian, uji substansi, uji analisis, uji saldo), program audit
khusus untuk masing-masing jenis tersebut harus dirancang.
Prosedur audit ketika dikombinasikan akan membentuk program audit. Mungkin akan ada suatu
kumpulan program sub audit untuk masing-masing siklus transaksi.
a. Format program audit dan persiapannya
Prgram audit adalah suatu prosedur yang mendeskripsikan mangenai langkah-langkah dan
pengujian-penguijan yang akan dilakukan oleh auditor ketika melakukan lingkungan kerjanya. Program
audit harus diselesaikan setelah melengkapi persiapan dan melakukan survey lapangan, dan sebelum
memulai pelaksanaan lingkungan kerja audit. Program audit harus dibentuk sesuai beberapa kriteria,
yang paling penting dalam program audit adalah auditor harus mengidentifikasi aspek-aspek daam area
yang akan diperiksa lebih lanjut dan sensitive area yang akan meminta penekanan audit. Sehingga
pengalaman auditor sangat penting.
Ada beberapa jenis format program audit secara umum :
56
Universenya adalah peta big-picture yang mencakup teoritis internal audit dan perencanaan aktivitas
internal audit yang terus menerus.
57
Chapter 12
INTERNAL AUDIT CHARTERS AND BUILDING THE INTERNAL AUDIT FUNCTION
Piagam Internal Audit dan Membangun Fungsi Internal Audit
Setiap fungsi internal audit memerlukan seseorang yang diberi tugas dan tanggung jawab internal
audit, tersiri atas staf pendukung dan administrasi. Di dalam internal audit, terdapat bermacam-macam
posisi untuk berbagai tingkat dan tipe internal audit sendir di dalam sebuah perusahaan.
a) Tugas CAE
Harus ada seseorang yang bertanggung jawab atas seluruh fungsi internal audit, penanggung
jawab ini dulunya disebut dengan direktur namun sekarang telah berganti gelar menjadi CAE,
kebanyakan dari senior manajemendalam perusahaan akan menjadi penanggung jawab terakhir
atas keseluruhan fungsi audit.
Operasi Perusahaan dan Isu Risiko.
Sumber Daya Manusia dan Administrasi Internal Audit.
Hubungan antara Komite Audit dan Manajemen,.
Tata Pemerintahan Perusahaan, Akuntansi, dan Isu Regulasi.
Tim Pembangunan Internal Audit dan Administrasi.
Teknologi.
Risiko yang berdasarkan Perencanaan Audit dan Proses yang Unggul.
Kemampuan Bernegosiasi dan Hubungan Manajemen.
Keyakinan Internal Audit dan Peran Konsultasi.
Standar Praktik Profesional Internal Audit.
b) Tanggung Jawab Manajemen Internal Audit
Tingkat supervisor atau manajemen yang mengelola fungsi internal audit bergantung pada
ukuran keseluruhan perusaahan yang nantinya menciptakan fungsi secara efektifdengan
perencanaan tertutup, pemantauan serta pengawasan. CAE harus menjadi generalis internal audit
dengan pengetahuan baik mengenai isu pengendalian internal perusahaan, sedangkan manajer dan
pengawas internal audit adalah orang yang ahli dalam beberapa bidang seperti IT isu internal
audit, financial. Biasanya auditor tersebut bersertifikat seperti CPA, CIA, atau CISA yang
merupakan syarat untuk menduduki posisi tertentu dalam internal audit komite. Sertifikasi
merupakan suatu ukuran yang menunjukkan kemampuan, karena
internal audit yang efektif perlu untuk mempertimbangkan kemampuan dan bakat calon calon
yang akan menduduki posisi manajer internal yang lebih baik dari hanya sekedar inisial setelah
namanya.
Tanggung Jawab Pekerjaan
1) Melaksanakan audit bagian keuangan atau operasional atas departemen perencanaan
audit tahunan.
2) Membantu direktur untuk mempersiapkan pembaharuan regular atas aktivitas internal
audit untuk komite audit
3) Menyediaan saran dan nasihat system baru, inisiatif, dan layanan yang diberikan
dibawah prespektif pengendalian internal
59
IIA
Pengetahuan yang kuat atas prinsip akuntansi dan pemahaman atas laporan keuangan
Pengetahuan yang terpadu dan pengalaman dengan peraturan dan kebutuhan yang
Kebutuhan Kemampuan
Gelar sarajan muda atas ilmu pengetahuan dalam administrasi bisnis yang utama dalam
akuntansi atau keuangan
Memiliki pengalaman minimal tujuh tahun dalam internal audit atau akuntan public
Harus bersetifikat Akuntan Publik (CPA) dan Bersertifikat Auditor Internal (CIA)
c) Tanggung Jawab Staf Internal Audit
Internal audit merupakan tempat yang baik untuk non ahli yang baru saja lulus. Perusahaan
memiliki kebutuhan teknisi dan akan mempekerjakan teknisi baru yang bergelar sarjana muda
atau membutuhkan orang dalam periklanan dan menambah calon dengan kemampuan periklanan
maupun komunikasi yang tepat, namun tingkat awal calon staff internal audit dapat berasal dari
tingkat area universitas
Tanggung Jawab Pekerjaan
Memiliki tanggung jawab dalam perencanaan, pengenbangan, pelaksanaan, pelaporan, dan
mengikuti tugas internal audit secara spesifik sesuai yang diarahkan.
Spesifikasi Tugas dan Tanggung Jawab
Mempersiapkan atau merevisi program audit untuk mencapai tujuan, dan melaksanakan
internal audit yang sesuai dengan program audit yang disetujui
60
dan
mempertahankan
prjanjian
professional
yang
mendukungfungsi
penugasan.
Pengetahuan dan Kemampuan
Pendidikan: Gelar Sarjana Muda atau setara dalam pengalaman dan pendidikan
Kemampuan Interpersonal: suatu tingkat keyakinan dan diplomatic, kesopanan dan
kebijaksanaan. Pekerjaan menciptakan hubungan personal yang luas dengan orang lain
yang biasanya merupakan personal atau sifat sensitive serta dapat memotivasi atau
mempengaruhi masing masing personal.
Kemampuan lain
Pengetahuan umum akuntansi dan prosedur audit serta kemampuan untuk nekerja secara
independen
Memiliki kemampuan bekerja dengan kertas kerja dan software pemrosesan kata data; yang
dapat mengoperasikan laptop komputer dan peralatan kantor umum
Dapat bekerja secara independen
d) Sistem informasi Spesialis Audit
Ahli tekhnologi informasi internal auditor memerlukan pelatihan dan kemampuan special.
Tidak seluruh fungsi internal audit memerlukan sedikitnya satu ahli dalam staff internal audit
dengan teknologi informasi yang kuat dan berhubungan dengan kemampuan pengendalian
internal seperti, system keamanan, aplikasi pengendalian internal, dan system operasi komputer
manajemen.
Kemampuan yang dibutuhkan para ahli system informasi audit dalam internal audit
bergantung pada jangka waktu teknis fungsi perusahaan. Perusahaan dengan aplikasi yang
berbasis perencanaan sumberdaya perusahaan, diatur terkait dengan aplikasi yang terikat pada
database kompleks yang memerlukan perangkat kemampuan ahli system audit informasi yang
berdebeda dengan perusahaan yang memiliki sumberdaya teknologi informasi aplikasi berbasis
web.
61
Sangat efisient untuk para idealis, namun bagi para sosialis hal tersebut tidak bekerja.
COSO dan Sox menyarankan penggunaan sentralisasi pada level yang beragam. Merupakan
suatu posisi yang kuat untuk mengirim pesan management untuk unit yang ada di lapangan
keputusan hal inilah yang menyebabkan lemahnya komunikasi dengan tim internal audit local.
Menemukan dengan mudah untuk mempertahankan penyeragaman, standart perusahaan yang
dapat diciptakan melalui kebijakan internal audit yang kuat dan prosedur tertentu melalui pesan,
e-mail, conference call, dan alat lainnya.
62
Desentralisasi
Anggota unit local sering memiliki pemahaman masalah dalam unit tersebut, daripada
menyimpulkan situai permasalahan dan menyerahkannya ke level yang lebih tinggi untuk
pengambilan keputusan, sehingga mereka sering kali menyelesaikan dengan cepat dan dan
63
administrasi
pendukung, dengan berbagai ekspansi oleh fungsi internal audit pusat yang sanga
bergantung pada pekerjaan yang didelegasikan kepada komponen tertentu dan tipe jasa
audit internal dilaksanakan oleh unit pusat. Sehingga pelaporan seluruh audit direview
dan disetujui oleh kantor pusat. Masalah yang terjadi adalah kebijakan dan prosedur
internal audit umum, pengembangan, distribusi akhir, oleh fungsi internal audit kantor
pusat. Perencanaan dan administrasi dilaksanakan di kantor pusat, sedangkan aktivitas
lain, dilakukan CAE yang selalu membutuhkan tambahan asistem professional internal
audit, dan dikembangkan oleh internal audit kantor pusat atau anggota perencanaan dan
administrasi yang lain.
v. Nonaudit dan Tugas Informal Staf
Adanya audit keuangan atau operasional yang special atau memberikan konsultasi
meskipun aktifitas tersebut terkadangng berupakan bagian dari aktivitas umum
perusahaan yang tidak pernah ditemukan dalam internal audit. Aktivitas tersebut
merupakan suatu proyek dengan durasi terbatas seperti penyelesaian pengendalian
keseluruhaan inventory. Aktivitas inimenunda proses perencanaan audit dan menjadi
penyabab masalah pengendalian perusahaan. CAE harus secara aktif
mendorong tipe
proyek ini secara periodek untuk memberikan pengalaman tambahan dan diharapkan
dapat mendorong untuk posisi lain di dalam perusahaan.
Interview skills : auditor internal mampu mewawancarai manajer unit atau karyawan
pada tingkat produksi, memberikan pertanyaan yang layak, sehingga bisa mendapatkan
informasi yang dibutuhkan.
Analytical skills : auditor internal harus harus memiliki kemampuan untuk melihat
65
kejadian-kejadian yang tidak berhubungan dengan data-data yang ada, sehingga dapat
memberikan gambaran kepada auditor mengenai suatu hal yang dianggap tidak biasa
dan material.
Testing and analysis skills : berhubungan dengan analytical skills, seorang auditor harus
mampu mereview data-data kejadian atau populasi untuk menguji kinerja, sehingga
dapat menentukan apakah sudah efektif atau belum.
Documentation skills : mampu mengambil hasil dari observasi audit, pengujian data dan
dokumen, baik secara verbal maupun grafis, dalam menggambarkan lingkungan yang
sudah diobservasi.
Negotiating skills : karena sering terjadi perbedaan pendapat antara penemuan dan
rekomendasi, auditor harus mampu menegosiasikan hasil observasinya secara sukses.
66
67
penyelenggaraan tiap sampel ditetapkan audit objektif, internal auditor harus mereview hasil dari
kesalahan-kesalahan yang mungkin dideteksi dalam sampel untuk menentukan apakah itu sebenarnya
kesalahan, jika tepat, sifat dan penyebab kesalahan.
68
Suatu prosedur yang kuat harus memiliki 100% backup file harian dalam folder file audit
internal.
Membatasi pengguna
Seorang pengguna sumber e-office haruslah dibatasi (terutama apabila laptop sering dibawa
pulang ke rumah)
Monitor compliance
Seorang anggota dari tim audit internal harus secara 69elative mereview dan memonitor
kepatuhan terhadap prosedur e-office auditor.
Selain itu terdapat suatu praktik terbaik dalam dokumentasi audit internal diantaranya:
Mendeskripsikan seluruh pekerjaan dalam suatu narasi agar pihak luar dapat memahami
ketika mereview dokumen audit
Dokumen konsep audit diobservasi tetapi tidak mendeskripsikan asumsi atau ide
spekulatif.
69
Simplifikasi
Memperlihatkan informasi kunci pada publik dengan menyertakan summary dan brief
description
Mengupdate dokumentasi secara 70elativ tetapi hanya ketika terjadi suatu kesalahan
General
70
hal tersebut. Mengkaji ulang bukti dan membuat ketepatan rekomendasi audit dapat menjadi sulit jika
audit menemukan pembatas yang kompleks atau area yang sangat tidak jelas.
13.7 Kemampuan Komunikasi Auditor Internal
Auditor internal pada semua level sebaiknya mengembangkan kemampuan untuk berdiskusi dan
mempresentasikan temuan audit dan rekomendasi audit internal yang terkait. Mereka juga harus
mampu berkomunikasi dengan yang lainnya dalam perusahaan tentang kerja mereka secara tepat dan
untuk membantu yang lainnya dalam memahami nilai dari auditor internal.
13.8 Kemampuan Bernegosiasi Auditor Internal
Ketika berfokus pada rekomendasi yang dikembangkan di dalam laporan atau selama mereview bukti audit di lapangan, auditor internal akan mendiskusikan banyak area dimana manajemen
dan yang lainnya tidak setuju dengan asumsi auditor internal dan penemuan-penemuan potensialnya.
Internal auditor harus berkomunikasi dalam rangka negosiasi mengenai isu atau pendapat, baik
itu berhadapan secara langsung, melalui telepon, ataupun tulisan. Berikut adalah beberapa elemen
kunci dari proses negosiasi.
Tahap I : Memulai Negosiasi Penawaran Awal
1. Information
Belajar sebanyak mungkin mengenai isu audit atau masalah yang didiskusikan
2. Leverage Evaluation
Sebagai permulaan, evaluasi pemicu atau kekuatan 71elative negosiasi kita dan pemicu dari
pihak lain.
3. Analysis
Apa saja isu yang berkembang, hal ini penting ketika memulai review mengenai laporan audit
yang bermasalah.
4. Rapport
Bangun hubungan dengan auditee dan dengan pihak lawan. Audit internal harus menentukan
terlebih dahulu apakah pihak lawan akan kooperatif ; apabila tidak, maka pertimbangkan untuk
memperkerjakan manajemen senior sebagai mediator praktikal.
5. Goals and Expectations
Tujuan berbeda dengan ekspektasi, apa yang menjadi ekspektasi dari internal audit ketika sesi
ini selesai.
6. Type of Negotiation
Bagaimana jenis negosiasinya, apakah kompetitif, kooperatif, atau tidak biasa, apakah
berhadapan langsung, melalui fax, menggunakan mediator, atau dengan cara lain.
71
7. Budget
Setiap negosiasi mengeluarkan biaya. Audit internal akan menghabiskan waktu staff dan
manajemen untuk bertemu dan bernegosiasi, yang mungkin dapat digunakan untuk
mengerjakan pekerjaan audit lainnya .
8. Plan
Kembangkan rencana negosiasi sementara.
Tahap II : Tahap Penawaran
1. Logistics
Tentukan tempat, waktu, dan cara negosiasi. Hal ini penting apabila melibatkan beberapa unit
atau lokasi di dalam prosesnya.
2. Opening Offers
Penawaran terbaik apa yang kita punya, apakah akan memodifikasi rekomendasi atau tidak.
3. Subsequent Offers
Bagaimana kita menyesuaikan rencana negosiasi untuk merespon pergerakan lawan yang tidak
bisa diantisipasi.
4. Tactics
Tentukan taktik yang akan kita gunakan, dan perkirakan taktik apa yang digunakan oleh lawan.
5. Concessions
Tentukan konsesi apa yang akan dibuat, dan bagaimana membuatnya.
6. Resolution
Temukan cara terbaik untuk menyelesaikan masalah. Temukan solusi yang dapat dirundingkan
dan kreatif.
Tahap III : Tahap Penutup
1. Logistics
Tentukan cara dan waktu yang tepat untuk menutup pertemuan negosiasi. Apakah pada saat
pertemuan tersebut atau nanti setelah auditor internal menyajikan revisi mereka.
2. Documentation
Siapkan dokumen terperinci yang menggambarkan jalannya pertemuan, dengan penekanan pada
perubahan rencana dan persetujuan kedua belah pihak.
3. Emotional Closure
Dalam menutup pertemuan, penting untuk mengidentifikasi kepentingan dan perubahan dari
tiap pihak. Apabila kita mengabaikan surat tersebut, maka persetujuan tersebut kemungkinan
bukan yang terakhir.
4. Implementation
72
Meskipun audit internal setuju untuk membuat perubahan pada laporan audit mereka dan
auditee setuju untuk merubah beberapa prakteknya, perjanjian negosiasi akan menjadi kurang
berguna kecuali diimplementasikan dengan tepat.
13. 9 Komitmen untuk Belajar Auditor Internal
Semua auditor internal harus menanamkan komitmen untuk belajar secara konstan dan
berkelanjutan sebagai bentuk kompetensi yang paling utama. Contohnya, di tahun 2008, SEC
mengkonversikan aturan-aturan akuntansi dari GAAP menjadi IFRS (international financial reporting
standards). Walaupun auditor internal tidak perlu memahami secara mendalam atas perubahan aturan
akuntansi ini, namun mereka harus mengetahui dampak-dampak yang mungkin terjadi atas perubahan
tersebut.
13.10 Pentingnya Core Competencies Auditor Internal
Kompetensi-kompetensi yang tersaji pada bab ini sangat penting bagi semua auditor internal.
Ketika topiknya adalah kemampuan berkomunikasi yang bagus atau kemampuan untuk belajar pada
daerah yang kurang dikuasai, hal tersbut bagus untuk dipraktekkan, keakraban yang kuat dan
penggunaan kunci kompetensi audit internal yang didiskusikan disini merupakan elemen yang
dibutuhkan bagi setiap CBOK auditor internal.
73
Chapter 16
DOCUMENTING RESULTS THROUGH PROCESS MODELING AND WORKPAPERS
16.1 Internal Audit Documents Requirement
Dokumentasi internal audit mengacu pada laporan audit diterbitkan, rencana kegiatan, dan
bahan lain yang mendukung laporan, lembar kerja audit, key meeting minute, alat audit dengan bantuan
komputer dan teknik (CAATTs) bahan, dan data lain serta informasi untuk mendukung internal audit.
Tentu saja, fungsi internal audit harus menetapkan dan mengikuti beberapa standar minimum retensi
dokumentasi.
SEC mengharuskan bahwa catatan disimpan untuk tujuh tahun setelah auditor menyimpulkan
audit atau mereview laporan keuangan. Untuk internal audit, periode retensi catatan akan menjadi
minimal tujuh tahun setelah laporan audit dikeluarkan. Sebuah fungsi internal audit harus mengatur
untuk mempertahankan semua catatan penting dari internal audit untuk periode retensi tujuh tahun.
Berikut adalah tiga aspek penting dokumentasi internal audit.
Proses pemodelan
Dokumen manajemen
Internal auditor kadang memulai proses auditnya dari area baru dimana tidak adanya laporan
audit sebelumnya atau belum pernah dilakukan audit pada bagian tersebut dan mungkin
dokumentasi perusahaan yg minim tentang bagian tersebut. Internal auditor perlu mengamati
operasi, laporan tinjauan dan prosedur, dan mengajukan pertanyaan untuk mengembangkan
pemahaman dari proses baru. Dokumentasi yang dihasilkan penting untuk memahami
lingkungan pengendalian internal dan untuk membuat rekomendasi-konsultasi yang
bersangkutan pada saat yang tepat.
Proses pemodelan
Proses pemodelan adalah cara yang membantu auditor internal menavigasi melalui kegiatan :
74
sederhana. Proses pemodelan merupakan alat penting auditor internal baik untuk review dari
proses perusahaan yang ada dan untuk menyarankan daerah untuk perbaikan.
Lembar kerja
Lembar kerja adalah dokumen-dokumen yang menggambarkan kerja internal auditor dan
menyediakan dasar dan pemahaman untuk internal audit. Lembar kerja internal audit juga dapat
memiliki makna hukum. Lembar kerja internal audit adalah catatan pokok pekerjaan tampilan audit dan
pada suatu saat mereka dapat memberikan bukti tentang apa yang terjadi atau tidak terjadi saat
pengadutian berlangsung.
Fungsi utama dari lembar kerja auditor meliputi:
- Dasar perencanaan audit. Lembar kerja audit sebelumnya dari auditor dengan informasi latar belakang
untuk melakukan review saat ini di daerah secara keseluruhan yang sama.
- Rekaman audit yang dilakukan. Lembar kerja menjelaskan tampilan audit saat ini dan juga
memberikan referensi ke sebuah program audit yang dibentuk.
- Penggunaan audit.
- Deskripsi situasi minat khusus. Seperti kebijakan dan prosedur, akurasi, efisiensi, kinerja personil,
atau potensi penghematan biaya.
- Dukungan untuk kesimpulan audit tertentu. Lembar kerja memberikan materi pembuktian yang cukup
yang akan disertakan dalam laporan audit.
- Referensi sumber. Lembar kerja dapat menjawab pertanyaan tambahan yang diajukan oleh
manajemen maupun oleh auditor eksternal.
- Staf penilaian kinerja staf selama audit secara langsung tercermin dalam atau ditunjukkan oleh lembar
kerja.
# Lembar kerja standar
Lembar kerja dirancang terutama untuk mendukung internal audit individu dan dapat digunakan
oleh anggota lain dari fungsi internal audit, termasuk pengelolaan dan jaminan kualitas. Lembar kerja
harus mengikuti serangkaian standar yang konsisten dan dapat berdiri sendiri. Lembar kerja standar
audit internal harus mencakup bidang-bidang:
- Relevansi untuk tujuan audit
- Penyingkatan detail
# Lembar kerja dokumen organisasi
Seperti halnya dalam sistem pengarsipan manual, bahan lembar kerja diklasifikasikan menurut jenis
dasar mereka dan dikelompokkan bersama dalam sebuah file. Lembar kerja dapat dipisahkan ke dalam
bidang audit yang luas:
75
File permanent
File administrasi
76
mendapatkan informasi yang mereka butuhkan dengan lebih jelas dan detail. Berikut adalah langkahlangkah yang dilakukan oleh auditor internal :
Understanding the Process Modeling Hierarchy
Disini internal auditor harus memahami bagaimana satu proses dengan proses yang lain saling
berhubungan. Beberapa proses kunci yang membantu internal auditor untuk berkomunikasi lebih baik
kepada lainnya,
Sistem
Proses
Aktivitas
Pelanggan eksternal
Pelanggan internal
Describing and Documenting Key Process
Deskripsi proses disiapkan oleh auditor internal,dimana harus menjadi bagian dari kertas kerja
audit untuk ditinjau sebagai penjelasan dalam bagian selanjutnya. Tujuan mereka adalah untuk
menggambarkan aliran input dan output antara kegiatan proses. Audit internal menggembangkan
pendekatan 77elative77na konsisten untuk diagram aliran prosesnya. Dua pendekatan yang paling
mudah digunakan dan dipahami adalah :
1. Input/output process flowcharts
Pendekatan ini baik digunakan untuk objek yang berhubungan dengan objek fisik. Fokusnya
adalah pada objek pasif yang sedang dikonsumsi, diproduksi atau diubah oleh aktivitas
proses.
2. Work-flow description process flowcharts
Pendekatan ini menekankan pada urutan kegiatan daripada aktivitas yang tidak bekerja.
Process Modeling and the Internal Audit
Model proses adalah alat yang penting bagi auditor internal yang digunakan baik untuk
mengkaji proses perusahaan yang ada maupun untuk menyarankan bagian mana yang membutuhkan
perbaikan.
16.3 Internal Audit Workpapers
Workpaper merupakan bukti audit untuk mendeskripsikan hasil dari internal audit. Bukti audit
yang didokumentasikan pada kertas kerja auditor, seharusnya cukup untuk mendukung asersi audit dan
kesimpulannya. Fungsi utama dari kertas kerja auditor mencakup :
1. Dasar untuk merencanakan audit
2. Pencatatan dari kinerja audit
3. Penggunaan selama audit
4. Deskripsi situasi yang diperhatikan
5. Mendukung kesimpulan audit spesifik
6. Sumber referensi
77
7. Penilaian staf
8. Koordinasi audit
a. Workpaper standard
Internal auditor harus mencatat informasi relevan untuk mendukung kesimpulan dan hasil
perikatan. Standard kinerja internal audit harus mencakup area-area seperti:
a. Relevansi untuk audit objektif
b. Penyingkatan (condensation) dari detail
c. Kejelasan dari presentasi
d. Kecermatan kertas kerja
e. Tindakan dalam item terbuka
f. Standard bentuknya, yang mencakup :
Preparation of headings
Enterprise
Cross-indexing
b. Workpapers formats
Exhibit 16.5 menunjukkan kertas kerja yang dipersiapkan secara manual dari audit operasional
atas observasi persediaan fisik.
c. Workpaper document organization
Untuk kebanyakan internal audit, kertas kerja dapat dipisahkan dalam beberapa area audit:
1. File permanen
Beberapa data mungkin mencakup :
Chart dari akun dan 78elativ dari kebijakan utama dan prosedur
Laporan keuangan mengenai entitas potensial yang berguna untuk data analitis
2. File administrative
Workpaper 78elative78nal78e files mungkin tidak dibutuhkan untuk audit kecil.
3. File prosedur audit
78
Completed questionnaries
Review activities
Enterprise documents
Internal auditor kadang mencatat informasi yang diperoleh dari sumber luar. Penting untuk
mencatat sumber seperti komentar langsung pada workpaper. Auditor butuh referensi hukum
dan regulasi untuk mendukung kerja auditnya.
(IV)
Saat interview, internal auditor membuat very rough notes, penulis personal form of shorthand
readable only by the author. Auditor harus menulis atau memasukkan ulang rough notes ini ke
komentar workpaper. Karena ada alasan untuk review lagi, original note sheets harus termasuk
dalam workpaper, terletak di belakang workpaper manual binder atau di bagian file.
e. Workpaper Review Processes
79
Bergantung pada ukuran staf audit dan kepentingan 80elative dari given audit, mungkin ada
multiple review atas workpaper, satu melalui in-charge auditor, dan lainnya melalui senior member dari
manajemen internal audit. Beberapa internal audit function menyiapkan memorandum atau workpaper
review checklist untuk dokumen dan perluasan reviewnya. Poin dari review ini atau pertanyaan may
simply highlight electrical errors, seperti missing cross-references. Pertanyaan ulang harus kembali
diajukan, dan reviewer harus mengambil tanggung jawab untuk memastikan bahwa open questions
telah diatasi. Proses review workpaper memastikan bahwa semua report findings memiliki dukungan
melalui bukti audit sebagai dokumentasi dalam workpaper.
skedul
audit.
Pada kesimpulan audit, material workpaper dapat didownload ke system pusat server department audit.
Backup, security, & continuity
Untuk personal emails, internal auditor dapat menggunakan salah satu small portable services.
Pengamanan yang dibuat dan pengendalian password harus diinstal, seperti jika system dicuri,
kontennya tidak bisa dengan mudah diakses. Prosedurnya juga membuat file internal audit untuk di
backed up dan didownload ke sistem server internal audit pada regular basis
Hardware & software resource management
Dengan relatively efficient dan lower cost resources yang tersedia, tidak ada alas an kenapa
internal audit function tidak punya system server terdedikasi untuk tujuan internal audit
CAATT Repository
Setiap usaha yang dibuat grup dan organize sumau CAATT related materials dengan catatan
workpaper internal audit
Audit reports, risk management, & internal audit administration
Internal audit butuh persiapan dan distribusi a alarge body of material, ternasuk laporan audit,
risk management analysis, budgets, dan komunikasi dengan audit komite. Dokumen 7 tahun
menggunakan rule should appaly ke catatan administrative internal audit, dan ditempatkan dalam folder
aman dalam sisten server departemen audit.
80
81
Chapter 17
PELAPORAN HASIL AUDIT INTERNAL
Sebuah laporan audit merupakan dokumen formal di mana internal auditor merangkum
pekerjaannya dengan melaporkan observasi dan rekomendasi. Laporan audit merupakan produk akhir
yang paling penting dari kegiatan audit internal bagi pengguna, baik di dalam dan di luar perusahaan.
Laporan Audit memberikan bukti tentang karakter 82egular82tor82 kegiatan audit internal dan
memungkinkan orang lain untuk mengevaluasi kontribusi ini. Laporan audit yang efektif, harus
didukung oleh audit lapangan kualitas tinggi, seperti dibahas dalam Bab 9, tetapi audit lapangan yang
sama dapat dibatalkan oleh laporan yang ditulis dengan buruk atau tidak siap. Penyusunan laporan yang
jelas dan efektif harus menjadi perhatian utama bagi auditor internal di semua tingkatan, dari CAE
untuk mengaudit anggota tim staf.
Pelaporan audit internal yang bagus adalah lebih dari sekedar laporan persiapan dan
penampilan. Laporan-laporan audit harus mencerminkan filosofi dasar dari pendekatan total audit
internal suatu perusahaan, termasuk tujuan dasar dari review, mendukung strategi dan kebijakan utama,
prosedur yang mencakup pekerjaan audit, dan kinerja 82egular82tor82 dari staf audit. Sementara
laporan audit adalah sarana utama komunikasi, auditor internal akan kurang efektif jika komunikasi
mereka dengan perusahaan terbatas hanya untuk laporan yang dipublikasikan. Komunikasi juga harus
dilakukan melalui wawancara selama penelitian lapangan, menutup pertemuan ketika temuan audit
yang pertama kali disajikan, pertemuan dengan manajemen senior dan komite audit untuk
memberitahukan mereka tentang hasil audit, dan kontak lainnya di seluruh perusahaan. Semua anggota
dari perusahaan audit internal harus memiliki komunikator efektif baik dalam kata-kata lisan dan
tulisan. Bab ini membahas tujuan dan gaya penyajian laporan audit internal, termasuk berbagai format
dan metode tersebut menyajikan hasil pekerjaan audit kepada manajemen dan lainnya di perusahaan.
Laporan audit merupakan komponen utama komunikasi audit internal.
17.1
dan dijadwalkan dan menyampaikan hasil audit itu. Secara alamiah, laporan audit internal umumnya
kritis dan cenderung untuk menekankan hal-hal seperti mengidentifikasi kelemahan pengendalian
internal. Sementara itu tepat untuk melaporkan bahwa audit internal mereview beberapa daerah dan
tidak menemukan masalah, jika departemen audit atau sejumlah individu secara konsisten tidak
menemukan masalah dalam sebagian besar audit yang dijadwalkan, mungkin perlu meninjau
82
pendekatan penilaian risiko audit internal atau memeriksa kembali aktivitasnya. Apakah dokumen
tertulis resmi diedarkan kepada manajemen tingkat senior dan dewan atau presentasi lisan informal di
akhir audit lapangan, semua laporan internal audit harus selalu memiliki empat tujuan dasar dan
komponen, yaitu:
1. Tujuan, waktu, dan ruang lingkup review
Laporan audit harus mengikhtisarkan high-level objectives atas review, dimana review dilakukan,
dan high-level scope audit internal
2. Deskripsi atas temuan
Berdasarkan kondisi yang diamati dan ditemukan selama review, laporan audit harus menjelaskan
hasil audit. Seringkali bagian ini adalah di mana laporan itu menjelaskan apa, jika ada yang salah
dengan kondisi yang ditemukan, serta mengapa itu salah. Istilah yang salah di sini termasuk
kelemahan pengendalian internal, pelanggaran prosedur perusahaan, atau salah satu dari berbagai
kekhawatiran lainnya audit internal.
3. Saran untuk perbaikan
Laporan audit harus mencakup rekomendasi, berdasarkan temuan, untuk memperbaiki kondisi dan
penyebabnya. Tujuan dari saran ini laporan meliputi laporan tentang perbaikan kondisi diamati serta
rekomendasi untuk meningkatkan operasi.
4. Dokumentasi atas perencanaan dan klarifikasi atas pandangan auditee
Merupakan bagia dimana auditee dapat secara formal menanggapi temuan-temuan audit internal
dan menyatakan rencana untuk tindakan perbaikan.
Audit internal harus berusaha untuk membantu manajemen untuk melakukan pekerjaan yang
lebih efektif, memahami bahwa untuk mengidentifikasi pengendalian internal dan merekomendasikan
solusi yang berguna, maka dia harus bekerja sama secara penuh dan menjalin hubungan yang lebih erat
dengan manajemen.
17.2
mengambil berbagai format yang berbeda dan gaya, mulai dari dokumen berbasis Web untuk laporan
83
hardcopy kertas. Dalam format apapun, sebuah laporan audit merupakan dokumen laporan resmi yang
berisi kepentingan dan rekomendasi audit internal, berikut empat tujuan dibahas sebelumnya. Dalam
beberapa tahun terakhir, manajemen kadang ditempatkan pembatasan atau kendala pada audit internal
yang terbatas dari menyiapkan laporan audit yang efektif. Sebagai contoh, beberapa manajer senior, di
masa lalu dan hari-hari dari dokumen kertas, mungkin telah menyatakan bahwa semua laporan audit
harus satu halaman atau kurang dalam ukuran. Jenis permintaan kadang-kadang terjadi karena fungsi
audit internal menuliskan pada halaman dan halaman temuan laporan audit yang mungkin tampak
signifikan kepada auditor internal tetapi tidak kepada manajemen senior.
Pentingnya pelaporan audit telah berubah setelah Sox. Dalam sidang kongres yang mengarah ke
tindakan, kritik diarahkan pada komite audit yang kadang-kadang hanya menerima laporan diringkas
tetapi tidak menerima tingkat detail mengenai temuan audit. Dengan Sox, anggota komite audit dan
manajemen senior untuk menerima salinan lengkap dari semua laporan audit. Sementara itu adalah hak
mereka untuk meminta laporan diringkas juga, mereka masih bertanggung jawab untuk menerima dan
memahami semua temuan audit yang dilaporkan. Temuan kontrol internal harus jelas diuraikan dalam
laporan audit internal. Bagian ini membahas laporan audit formal diterbitkan serta mekanisme alternatif
untuk pelaporan audit internal.
(a) Pendekatan untuk Menerbitkan Laporan Audit
Laporan audit merangkum review atas pengendalian internal yang mungkin disajikan
secara berbeda dari laporan pengendalian kelangsungan bisnis atau salah satu prosedur
investigasi kecurangan. Apapun subyek audit internal harus selalu memenuhi format umum,
dimulai dengan halaman sampul, deskripsi atas pekerjaan yang dilakukan, serta temuan-temuan
dan rekomendasi-rekomendasi audit internal. Laporan audit juga harus dimulai dengan halaman
pendahuluan. Halaman pendahuluan harus mengandung elemen-elemen berikut:
84
Umumnya meliputi pernyataan tujuan audit yang merupakan informasi singkat atas
ruang lingkup audit secara singkat dan tanggal perkiraan pekerjaan lapangan audit.
jenis perusahaan, gaya manajemen keseluruhan, dan ketrampilan staf audit internal. Audit
internal ingin mengkomunikasikan apa yang dilakukan, ditemukan, dan yang harus diperbaiki.
Elemen kunci dari laporan audit internal haruslah temuan audit dan rekomendasi.
Pendekatan alternative untuk mengembangkan dan menerbitkan laporan audit meliputi:
85
Auditor internal diarahkan kepada proyek yang mungkin menemukan exception atau
kelemahan audit internal di beberapa area untuk direview. Exception yang direview seprti
halnya observasi audit internal merupakan subjek temuan audit. Auditor akan menemukan
jumlah dan variasi exeption yang besar di hampir keseluruhan review. Beberapa akan secara
relative menjadi penting dan sedangkan beberapa akan menjadi tidak penting (minor).
Namun, tidak terlalu penting menyantumkan hal minor didalam laporan yang nantinya
diserahkan kepada komite audit dan senior manajemen melalui laporan audit formal kecuali hal
tersebut merepresentasikan trend. Kemudian audit internal perlu mempertimbangkan item-item
melalui temuan yang disimpulkan dan mencakup keseluruhan kondisi.
Dalam menyimpulkan fieldwork audit internal harus meyakinkan dirinya sendiri bahwa
informasi yang cukup untuk mengembangkan temuan audit, dan serta bagaimana tersebut
disajikan telah dimiliki. Setelah itu perlunya diskusi informal dengan 86egul manajemen
melalui presentasi formal laporan audit.
Laporan audit disajikan dengan mengikuti format yang memungkinkan pembacanya
untuk memahami isu audit dengan mudah. Apapun sifat atau temuan audit, pembacanya harus
dapat menangkap temuan audit dan memutuskan dengan cepat apa yang salah dan apa yang
perlu dibenarkan. Temuan audit yang tersusun dengan buruk membuat pembacanya
mempertanyakan apakah masalah yang terjadi dan mengapa harus dipertimbangkan. Sedangkan
laporan audit yang baik harus berisi :
Pernyataan Kondisi. Kalimat pertama dalam laporan temuan harus menyimpulkan hasil
dari review audit internal atas area yang diperhatikan. Hal ini dapat memberikan
86
perbandingan mengenai apakah hal tersebut dan apakah yang seharusnya. Tujuannya adalah
untuk member gambaran kepada perhatian pembacanya. Ex :
Peralatan produksi telah dijual pada bargain rate dan tidak mengikuti kebijakan disposisi
asset tetap
WIP inventory divisi ABC tidak benar dinilai berdasarkan GAAP
Apakah yang ditemukan?. Temuan harus mendiskusikan antara prosedur dan hasil dari
prosedur tersebut. Bergantung kompleksitasnya, temuan dapat disimpulkan melebihi satu
kalimat atau dapat berupa diskusi ekstensif menjelaskan prosedur audit. Ex :
Berdasarkan sampel laporan beban employee yang diisi untuk kuarter ke empat 20XX,
agen penyewaan mobil yang telah dipilih oleh perusahaan, tidak digunakan selama 65%
Penyebab atau alasan penyimpangan audit. Mengapa penting bagi manajemen ketika
membaca laporan audit?. Alasan adanya penyimpangan dari ketentuan, standar, atau
jelas namun demikian harus dipertimbangkan sebagai tindakan positif yang dilaporkan.
Laporan keadaan mitigasi. Keadaan mitigasi secara umum terdiri dari factor yang berkaitan
dengan masalah atau kondisi yang telah didiskusikan dalam laporan audit selama
manajemen tidak memiliki atau memiliki pengendalian yang kecil. Semenjak factor ini
mengurangi tanggung jawab manajemen atas suatu kondisi, maka harus dilaporkan sebagai
88
tidak dicapai atas temuan dan rekomendasi, auditee harus memberikan kesempatan untuk
Semakin berkembangnya teknologi, hasil audit dapat dilaporkan dalam format yang
beragam. Format laporan audit yang familiar dan sering kali paling bagus untuk menyajikan
pekerjaan audit adalah berbasis text. Beberapa 89egular89tor yang kurang formal dan lebih
ringkas dimana audit internal dapat melaporkan hasil dari pekerjaannya antara lain :
Laporan Lisan. Dalam beberapa situasi, audit internal mungkin ingin untuk melaporkan
hasil dari pekerjaan dan rekomendasinya secara lisan. Gaya pelaporan ini harus berlangsung
setidaknya secara interim, ketika tim audit internal yang bertugas melaporkan hasil dari
pekerjaannya diakhir konferensi penutup fieldwork. Di kasus lain, laporan lisan mungkin
merupakan hasil dari tindakan perbaikan yang diperlukan secara mendadak, dan presentasi
cukup rendah.
Laporan audit deskriptif regular. Dalam banyak tugas audit, pekerjaan tersebut harus
diselesaikan dengan persiapan laporan audit deskriptif regular. Bentuk dan isinya akan
17.3
89
Informasi dan statistic area yang akan diaudit dapat diperoleh selama survey dan akan
disertakan dalam kertas kerja. Hal ini dilakukan untuk memastikan bahwa informasi yang dibutuhkan
telah diperoleh di awal audit, dan hail ini akan mencegah adanya penundaan dalam proses penulisan
laporan final. Tujuan dan scope dari review, ditentukan ketika memulai audit.
Ketika temuan audit akan dikembangkan dan diselesaikan, mereka dapat dimasukan pada
laporan yang tepat, bersama dengan komentar pendahuluan auditee. Proses pelaporan audit akan
dimulai dengan mengidentifikasi temuan, draft laporan untuk mendiskusikan temuan tersebut dan
rekomendasi yang berkaitan, mendiskusikan isu audit yang telah diidentifikasi dengan manajemen
beserta penyajian presentasi draft laporan, penyelesaian tanggapan manajemen atas yemuan audit, dan
publikasi laporan audit formal yang mencakup seluruh area yang direview.
a) Draft laporan audit
Auditor internal harus mempersiapkan draft laporan usulan temuannya dan rekomendasi beserta
dengan tanggapan manajemen. Draft tersebut kemudian akan dikirimkan kepada manajer yang
bertanggung jawab langsung atas area yang diaudit. Orang ini yang nantinya akan member
tanggapan dan mengikhtisarkan tindakan perbaikan yang harus dilaksanakan. Audit internal
akan mengkombinasikan tanggapan auditee dengan laporan asli pada header halaman dan draft
temuan dan rekomundasi untuk menghasilkan laporan audit akhir.
Pondasi utama dalam mengesahkan adalah pekerjaan audit yang dilaksanakan oleh staf audit
internal yang perlu untuk ditambah review dan konfirmasi personel auditee. Keuntungan dari
pengesahan in ada dua :
1. Menyajikan cross check akurasi, kelengkapan, dan kualitas pekrjaan audit.
2. Membantu untuk mendorong hubungan partenship dengan 90egul manajemen yang
memiliki semangat kooperatif dan komitmen untuk bekerja dengan solusi yang
memadai.
Pengesahan harus dilakukan dalam tahapreview, satu hal yang paling utama yang
memperngaruhi adalah pesentasi draft laporan kepada manajemen audite. Strategi waktu
pengiriman draft report adalah :
At the exit conference. Audit internal secara umum menemukan kesusahan untuk
mengirimkan draft laporan audit yang lengkap pada akhir fieldwork exit conference.
Banyak audit terlalu kompleks dan mungkin terdapat banyak pertanyaan final atau
klarifikasi atau perubahan yang diperlukan untuk menyetujui draft laporan audit dikirim
pada saat exit conference. Sebelum keberangkatan tiem audit field. Tim audit telah
mendiskusikanperhatiannya dengan 90egul manajemen dalam exit conference formal
dan kemudiang menyiapkan draft laporan, disertai komentar tambahan atau klarifikasi
yang mungkin timbul selama konferensi. Hal ini ,erupakan pendekatan yang lebih
realistis dari pada yang sebelumnya. Tekanan dalam menyelesaikan pekerjaan audit
90
dapat menyebabkan tim audit mengambil jalan pintas sesuai keinginannya untuk
menyelesaikan perikatan ini. Setelah menyelesaikan fieldwork. Pada situasi ini tim audit
untuk mereview field dan membuat penyesuaian dengan tepat untuk draf laporan audit,.
Exit atau closing conference harus melibatkan anggota dari tim audit dan 91egul manajemen
yang bertanggung jawab atas area yang direview. Dalam konferensi ini, temuan utama dan
rejomendasi yang diusulkan akan direview, dan persetujuan harus dicapai antara sudit dan
91egul manajemen dan untuk menjamin persetujuan tersebut lebih jauh lagi atas temuan
audit dan rekomendasi. Konferensi penutup ini akan memberikan audit internal lesempatan
utama untuk mengkonfirmasi kekuatan hasil audit dan untuk membuat modifikasi yang
dibutuhkan laporan audit sebagai pembenaran.
b) Laporan Audit: Follow-Up dan Summary
Setelah manajemen telah menyampaikan tanggapan laporan audit, audit internal harus
menggabungkan tanggapan dengan draft temuan dan rekomendasi untuk melepaskan laporan
akhir audit. Laporan ini ditujukan untuk manajemen sekurang-kurangnya satu tingkat atas
manajemen auditee, dengan tembusan kepada komite audit dan lainnya sesuai petugas dari
perusahaan.
Setelah laporan audit akhir ini telah diterbitkan, audit internal harus menjadwalkan
tindak lanjut penelaahan untuk memastikan bahwa tindakan yang diperlukan berdasarkan audit
itu sebenarnya diambil. Audit internal harus memainkan hanya terbatas, peran spesifik setelah
laporan audit telah dirilis, seperti membuat sendiri yang tersedia untuk menanggapi pertanyaanpertanyaan, dan meninjau kembali situasi pada saat audit dijadwalkan berikutnya di daerah
tersebut. Banyak perusahaan telah mengadopsi tipe menengah pendekatan dimana koordinasi
rekomendasi audit laporan tindak lanjut ditempatkan di kantor lain-biasanya dalam fungsi
pengawas atau beberapa lebih netral administratif layanan grup. Tindakan perbaikan kemudian
diawali dengan garis bertanggung jawab atau manajer staf, tetapi tanggapan dapat dilakukan
terhadap kelompok koordinasi. Jika ada yang tidak semestinya.penundaan dalam berurusan
dengan rekomendasi, kantor koordinasi dapat mengeluarkan tindak lanjut laporan status. Dalam
pendekatan ini, salinan dari tanggapan ini juga dapat diberikan kepada audit internal untuk
informasi.
Audit internal memiliki tanggung jawab untuk menghasilkan laporan audit yang dapat
dibaca, dimengerti,dan persuasif. Tujuannya adalah untuk mengeluarkan laporan bahwa akan
91
perintah perhatian manajer yang memiliki tanggung jawab untuk berbagai operasional kegiatan
dan untuk mendorong mereka untuk mengambil tindakan koreksi yang tepat. Tujuannya
keduanya adalah untuk laporan audit yang akan membangun rasa hormat terhadap upaya audit
internal. Audit internal menerima hasil akhir dalam pengetahuannya tentang tindakan yang
diambil oleh auditee berdasarkan rekomendasi laporan audit internal. Kombinasi internal audit
keterampilan teknis dan kemampuan untuk berkomunikasi hasilnya untuk orang-orang yang
terbaik akan memastikan penerimaan dan dukungan aktif adalah elemen dari baik pelaporan
audit. Pentingnya bagian menggarisbawahi kerja audit internal kebutuhan untuk memberikan
laporan audit perhatian. Ini berarti bahwa harus CAE aktif terlibat dalam proses laporan audit,
dan semua tingkat staf audit internal harus berpikir dalam hal kebutuhan laporan akhir.
c) Audit Laporan dan Retensi Workpaper
Laporan formal audit internal dan workpapers pendukungnya merupakan dokumen
penting mendukung kegiatan audit internal. Prosedur harus dilaksanakan untuk menyimpan
catatan untuk setiap pemeriksaan yang dilakukan sebagai bagian dari catatan enterprise-wide
reguler prosedur penyimpanan. Sedangkan penyimpanan catatan-catatan ini sekali diperlakukan
lebih informal sebagai keputusan internal audit upaya terbaik fungsi. Aturan Sox mengharuskan
semua audit yang terkait dengan catatan harus dipertahankan untuk jangka waktu tujuh tahun.
Meskipun aturan ini ditujukan auditor eksternal, mereka berlaku untuk audit internal juga.
Laporan audit internal dan workpapers pembantu dapat mendukung bahan dalam
tindakan litigasi atau bahkan pemerintah yang sah. Suatu perusahaan mungkin diperlukan untuk
menghasilkan catatan kerja internal audit untuk membuktikan, di pengadilan hukum, apa yang
dilakukannya atau tidak lakukan di beberapa daerah. Juga, perintah pengadilan mungkin
mengharuskan perusahaan mengungkapkan catatan-catatan pendukung beberapa masalah.
Catatan tujuh tahun Soxs retensi aturan mengatakan bahwa perusahaan harus berhati-hati untuk
melestarikan dan mengatur semua pendukung catatan yang meliputi banyak daerah. Laporan
audit internal dan workpapers pendukung catatan penting perusahaan yang memiliki aturanaturan retensi rekaman yang sama.
17.4
komponen kunci sukses audit internal. Auditor internal harus memiliki pemahaman yang baik tentang
masalah yang terkait dengan komunikasi efektif dan cara mengatasinya dengan mereka. Situasi terus
92
timbul dalam internal fungsi audit ketika individu perlu berkomunikasi satu sama lain. Ini termasuk
memberikan instruksi lisan kepada staf auditor, membahas masalah operasional selama pertemuan
keluar audit, konseling bawahan, mewawancarai calon karyawan, atau melakukan review kinerja staf.
Semua situasi ini melibatkan hubungan pribadi yang berbeda tetapi terdiri dari aliran dua arah terus
pesan. Auditor internal harus memahami proses ini untuk mengidentifikasi jenis masalah yang dapat
mendistorsi atau benar-benar mencegah komunikasi yang efektif. Masalah ini mempengaruhi semua
langkah dalam proses komunikasi dan mencakup:
Tidak memberikan pertimbangan yang tepat untuk hubungan kekuatan pesan pengirim dan
penerima. Komunikasi dengan supervisor garis sering berbeda dari yang dengan seorang senior.
Mengabaikan stres emosional sementara oleh baik pengirim atau penerima. Pertemuan keluar audit
sering berubah menjadi sebuah situasi yang penuh dengan konflik dan stres kecuali komunikator
internal audit membutuhkan perawatan untuk mempertimbangkan potensi masalah emosional.
Gagal untuk benar mengevaluasi kapasitas penerima untuk menerima dan memahami pesan. Jika
audit internal bertemu dengan masalah kontrol parah di bidang teknis dalam proses pekerjaannya,
isu-isu tersebut harus dikomunikasikan benar.
Penggunaan kata-kata yang dapat memiliki beberapa arti atau dapat menyampaikan tidak disengaja
makna. Kami telah membahas masalah ini ketika menyiapkan laporan audit, tetapi ini adalah semua
yang lebih penting dalam komunikasi verbal.
Tidak semestinya tergesa-gesa dalam transmisi pesan yang melemahkan kejelasan dan atau
kredibilitas. Pesan sering harus dikomunikasikan secara perlahan sehingga semua pihak akan
mengerti.
Persepsi bahwa pengirim keinginan untuk memenuhi kebutuhan pribadi, dengan demikian
menyebabkan emosional resistensi dan blok. Sering kali orang lain melihat auditor internal orang
memiliki agenda pribadi. Lainnya cepat menyadari hal ini, dan komunikasi bisa menjadi tersumbat.
Kegagalan untuk membangun fondasi yang dibutuhkan untuk pesan inti dan terkait buruk waktu.
Keprihatinan audit internal tidak efektif dikomunikasikan ketika mereka hanya dibuang di
pangkuan auditee.
Dampak tindakan nonverbal, seperti nada suara, ekspresi wajah, dan cara komunikasi. Sebagai
contoh, di beberapa bagian dunia, bersila dengan telapak kaki menunjuk ke pendengar dapat dilihat
sebagai penghinaan ekstrim.
93
Tidak memberikan pertimbangan kepada persepsi dan perasaan terkait dengan penerima. Auditor
harus berusaha untuk memahami bagaimana pesan akan diterima dan diterjemahkan oleh penerima
mereka.
Kedua belah pihak dalam komunikasi-terutama utama penggerak-belajar dari pertanyaan dan
komentar yang dibuat oleh penerima dalam menanggapi serangkaian pesan. Ini disebut feedback.
Bagian dari komunikasi dua arah yang efektif adalah untuk mendorong umpan balik sehingga auditor
internal memiliki dasar yang terbaik untuk menentukan apakah manajerial tujuan tercapai. Pendekatan
yang berbeda mungkin diperlukan untuk mendorong dan memanfaatkan umpan balik yang baik.
Sebuah komponen mendengarkan terkait-adalah penting dalam rangka pemanfaatan umpan balik yang
lebih baik dan untuk menunjukkan minat pada orang lain pandangan. Jika tidak, hasil seperti pesan bisa
untuk menciptakan emosional respon yang secara signifikan penerimaan blok penerima dan
pemahaman tentang dimaksudkan pengirim pesan.
Berbagai kebutuhan orang berhubungan alternatif untuk kompetisi, konflik, dan kerjasama.
Secara tradisional, konflik telah dilihat sebagai merusak dan tidak diinginkan. Namun, bila dikelola
dengan benar, konflik dapat berguna dalam mencapai organisasi kesejahteraan. Auditor internal perlu
belajar untuk memanfaatkan konflik ke titik di mana itu konstruktif tetapi untuk mengontrol ketika itu
mengancam untuk keluar dari tangan. Internal tanggung jawab audit tak terhindarkan menghasilkan
situasi yang menciptakan kompetisi dan potensi konflik. Manajemen kemudian memiliki tantangan
untuk mengeksploitasi manfaat kompetisi dan konflik yang sehat tapi untuk mengontrol proses untuk
menghindari ekses. Selama review mereka, auditor sering menemukan diri mereka dalam konflik
dengan berbagai elemen dari perusahaan. Auditor dapat menyebabkan auditee kehilangan tingkat
berdiri kompetitif dalam usaha mereka, dan auditee mungkin tidak setuju dengan internal audit hanya
pada dasar itu. Dalam jalannya review, konflik sering terjadi, dan auditor efektif harus menggunakan
konflik ini untuk berkomunikasi dengan manajemen dan meyakinkan untuk mengambil tepat tindakan.
Namun, auditor internal yang efektif perlu memahami bagaimana mengendalikan konflik.
Dalam perusahaan yang khas, ada kebutuhan terus benar keseimbangan stabilitas dan
perubahan. Manajemen mencari stabilitas dengan mengembangkan kebijakan dan prosedur dimana
operasi standar untuk meningkatkan kontrol internal dan untuk memastikan penanganan terbaik
berulang sejenis peristiwa. Namun, kondisi yang berubah panggilan kebijakan diubah dan prosedur.
Mencari keseimbangan yang tepat antara stabilitas dan perubahan diperlukan adalah sulit, karena faktor
yang terlibat biasanya sulit untuk menganalisis dan mengukur. Salah satu kendala untuk mengubah
adalah bahwa perusahaan sering membuat kebijakan dan prosedur, dan kebijakan tersebut cenderung
menjadi bias yang menguntungkan mereka, sehingga membuat mereka tidak menyadari dan tidak
94
responsif
terhadap
kebutuhan
untuk
berubah.
Audit
internal
merasa
kesulitan
ketika
merekomendasikan kebijakan atau perubahan prosedural melalui audit laporan. Selain itu, orang
biasanya tidak ingin menerima perubahan bahkan ketika kebutuhan untuk itu cukup jelas. Pada tingkat
tertinggi, perlunya perubahan mungkin melibatkan strategi baru, bisnis baru usaha, perubahan produk,
atau kebijakan pendukung baru. Perubahan terkait mungkin melibatkan struktur organisasi baru,
relokasi tanaman, produksi baru proses, atau perubahan pada orang, tapi auditor internal sering tidak
membuat rekomendasi untuk perubahan pada tingkat itu.
Ketika membuat rekomendasi mereka, auditor internal harus memahami bagaimana perusahaan
akan menghadapi perubahan. Bagaimana audit internal mencapai diperlukan perubahan dengan cara
yang terbaik akan melayani kesejahteraan yang lebih tinggi tingkat perusahaan? Dalam semua kasus,
sifat dan ruang lingkup tindakan yang diperlukan tergantung pada pentingnya
tertentu
direkomendasikan berubah. Karena individu menempatkan prioritas tinggi pada mereka kebebasan
bertindak, pertimbangan manusia yang sangat penting dalam desain dan pelaksanaan kontrol ini.
Karena semua manajer bertanggung jawab untuk internal kontrol dan pada saat yang sama tunduk
kepada mereka, dampak yang direkomendasikan kontrol perbaikan pada orang harus dipertimbangkan
hati-hati. Mungkin tidak dalam tahap proses manajemen adalah pemahaman dan pertimbangan orang
begitu kritis.
17.5
semua auditor internal sehubungan dengan hubungan mereka dengan audit komite, manajemen senior,
dan satu sama lain. Sementara semua ini adalah kepentingan untuk auditor internal sebagai bagian dari
kajian mereka dan analisis pengendalian internal, juga harus menarik perhatian para CAE dan komite
audit. Beberapa unik dan masalah khusus menghadapi auditor internal dalam kegiatan mereka,
termasuk gambar masalah, karena auditor sering dianggap sebagai fokus berlebihan pada rinci
kepatuhan atau mengendalikan masalah dan dipandang oleh banyak orang sebagai ancaman. Seperti
telah dibahas dalam bab-bab sebelumnya, gambar ini mungkin telah diperoleh karena cara di mana
auditor internal pernah digunakan dalam perusahaan. Sampai batas tertentu, gambar juga dihasilkan
karena beberapa hari ini auditor internal tidak melakukan cukup melalui pekerjaan audit mereka dan
cara untuk membangun hubungan pribadi yang lebih baik gambar.
Sekarang auditor internal menghadapi beberapa masalah serius untuk merubah gambar ini.
Auditor Internal dibebankan dengan tanggung jawab pelindung tertentu yang cenderung membuat lain
95
dalam perusahaan melihat mereka sebagai antagonis atau petugas polisi. Internal audit peran total harus
pergi jauh melampaui peran sempit memberikan pelayanan pelindung. Sebaliknya, auditor internal
harus peduli dengan kesejahteraan total perusahaan di semua tingkat dan sehubungan dengan
aktivitasnya. Dalam semua, aspek komunikasi dan hubungan dengan orang-orang terus tantangan yang
melibatkan target untuk audit internal yang selalu bergerak maju. Keberhasilan audit internal dalam
pertemuan tantangan yang menyediakan salah satu peluang terbesar untuk melayani perusahaan dan
untuk mencapai kesejahteraan maksimum.
96
CHAPTER 23
BOARD AUDIT COMMITTEE COMMUNICATIONS
Bab lain telah berbicara tentang bagaimana mengelola banyak proses audit internal atau
bagaimana untuk meningkatkan prosedur audit internal. Internal audit melaporkan kepada komite audit,
yang menyetujui kegiatan secara keseluruhan, perencanaan dan review hasil audit internal. Namun,
hubungan di sini adalah sedikit berbeda dari seorang supervisor. Komite Audit menjadi jauh lebih aktif
dalam pengawasan kegiatan audit internal sejak peluncuran Sarbanes-Oxley (Sox), tetapi biasanya
komite tidak secara fisik hadir sehari-hari. Audit chief executive (CAE) audit internal, sering menjadi
kontak utama dengan komite audit dan harus mendidik dan memberikan saran komite pada isu-isu audit
internal. Banyak komite audit memahami masalah pelaporan keuangan yang terkait dengan auditor
eksternal mereka tapi kadang-kadang melihat audit internal sebagai sumber yang tidak terpecaya.
Bab ini membahas tentang peranan dan tanggung jawab komite audit untuk audit internal. Kami
membahas, peran dalam menyetujui audit charter, menunjuk CAE, menyetujui rencana audit, dan
mereview hasil audit internal. Bab ini juga membahas jenis pelaporan bahwa audit internal harus
menyediakan komite audit untuk menyajikan hasil kerja mereka dan untuk menyoroti isu-isu yang
mungkin memerlukan tindakan lebih lanjut. Sox mengamanatkan tanggung jawab komite audit lainnya,
seperti peran dalam mengelola program pelanggaran whistleblower keuangan.
Di sini kita membahas bagaimana audit internal dapat membantu komite audit dalam inisiatif
tersebut. Komite audit memiliki tanggung jawab untuk mengatur arah keseluruhan untuk audit internal.
Sementara banyak anggota audit internal sering tidak mungkin memiliki kontak sehari-hari banyak
dengan anggota komite audit, semua orang di sana harus menyadari bahwa komite audit adalah sumber
terakhir untuk melaporkan hal yang memerlukan perhatian yang tidak biasa dan untuk mencari resolusi.
Semua auditor internal harus memiliki tubuh yang umum dari pengetahuan (CBOK) pemahaman
tingkat tinggi peran dan tanggung jawab komite audit di hari ini, perusahaan.
23.1
charter audit formal yang telah dibahas pada Bab 12. Sebuah komite audit juga menyetujui rencana
keseluruhan audit internal untuk melanjutkan kegiatan melalui periode berjalan dan seterusnya. Sebagai
salah satu komite beberapa operasi yang ditetapkan oleh dewan, komite audit memiliki peran unik
dibandingkan dengan komite dewan lainnya. Ini terdiri dari hanya direksi luar-memberikan
kemerdekaan dari manajemen perusahaan-dan harus terdiri dari direktur luar yang umumnya
memahami, memonitor, mengkoordinasi, dan menafsirkan pengendalian internal dan aktivitas
97
keuangan yang terkait untuk seluruh forum. Sebagaimana dibahas dalam Bab 4, salah satu anggota
komite audit harus ditunjuk sebagai ahli keuangan peraturan Sox. Dalam rangka memenuhi tanggung
jawabnya kepada jajaran direksi, kepada pemegang saham, dan untuk masyarakat, komite audit perlu
untuk memulai dan mengelola fungsi audit internal yang harus menjadi set independen dari mata dan
telinga dalam perusahaan, memberikan penilaian pengendalian internal dan hal-hal lain.
Komentar dalam bab ini didasarkan pada struktur perusahaan seperti satu dengan SEC.
Perusahaan non-publik lainnya akan mendapatkan keuntungan dari sebuah struktur komite audit juga.
Sebagai contoh, banyak yang non-profit atau perusahaan swasta yang cukup besar untuk memiliki
papan formal direksi dan fungsi audit internal. Meskipun tidak diamanatkan untuk melakukannya oleh
Sox dan aturan-aturan SEC, organisasi tersebut akan mendapatkan keuntungan dari komite audit hanya
dewan direktur independen. Auditor internal di perusahaan ini akan menguntungkan kedua fungsi audit
internal dan manajemen perusahaan secara keseluruhan dengan menyarankan jenis pendekatan.
Sedangkan auditor eksternal memiliki tanggung jawab utama untuk dewan suatu perusahaan
direktur untuk membuktikan keakuratan dan kewajaran laporan keuangan, audit internal memiliki peran
lebih besar dalam menilai pengendalian internal atas keandalan pelaporan keuangan, efektivitas dan
efisiensi operasi, dan perusahaan itu kepatuhan terhadap hukum dan peraturan yang berlaku. Dewan
direksi Perusahaan memiliki komite audit formal untuk beberapa waktu, dan audit internal selalu
memiliki hubungan pelaporan jangka panjang kepada dewan komite audit direksi. Namun, banyak yang
telah berubah sejak Sox pada pertengahan 2002.
Pada tahun pertama abad ini, masalah utama yang berevolusi dari runtuhnya Enron dan skandal
keuangan yang terkait adalah fakta bahwa komite audit tidak melakukan evaluasi yang cukup pada tata
kelola perusahaan independen. Sebagai contoh, pada tahun 1999 Blue Ribbon Komite Meningkatkan
Efektivitas Komite Audit Perusahaan dibentuk oleh NYSE, SEC, American Institut Akuntan Publik
(AICPA), dan lain-lain. Ia mengeluarkan serangkaian rekomendasi pada peningkatan kemandirian,
operasi, dan efektivitas komite audit. Bursa efek kemudian diadopsi standar baru direktur komite audit
independen sebagai daftar persyaratan untuk dilakukan secara bertahap selama 18 bulan berikutnya,
dan Audit Dewan Standar AICPA menaikkan standar untuk auditor eksternal sehubungan dengan
komite audit. Kegagalan keuangan berikutnya Enron dan lain-lain menunjukkan inisiatif ini tidak
cukup. Hasilnya adalah kerja legislatif yang menyebabkan Sox.
Hari ini, karena perjalanan Sox, komite audit telah memperluas tanggung jawab dan audit
internal memiliki tanggung jawab yang lebih besar untuk melayani terbaik komite audit. Walaupun
komite audit biasanya memiliki kontak teratur terutama dengan CAE, semua auditor internal harus
memiliki pemahaman tentang hubungan ini sangat penting. Kami membahas tanggung jawab komite
98
audit tinggi dan bagaimana audit internal yang lebih baik dapat bekerja dengan komite audit sesuai
dengan peraturan Sox.
23.2
jawab untuk kontrol internal dan pengawasan pelaporan keuangan. Karena itu tanggung jawab
pengawasan, anggota komite audit harus direktur independen dengan tidak ada hubungannya dengan
manajemen perusahaan. Komite audit dapat mengundang anggota pengurus atau orang lain untuk
menghadiri pertemuan komite dan bahkan untuk bergabung dalam pada musyawarah. Namun, setiap
tamu yang diundang tersebut di luar tidak dapat menjadi anggota suara penuh. Dewan direksi suatu
perusahaan merupakan badan resmi yang diberikan tanggung jawab untuk keseluruhan pemerintahan
bahwa perusahaan bagi investor pemiliknya atau pemberi pinjaman. Karena semua anggota dewan
dapat dipegang secara hukum bertanggung jawab melalui tindakan mereka atas setiap isu, dan dewan
dan komite yang membuat sebagian besar bisnis formal melalui resolusi, yang menjadi masalah catatan
perusahaan. Perusahaan dari berbagai komite dewan, termasuk komite audit, didirikan melalui resolusi
tersebut. Exhibit 23.1 adalah papan sampel resolusi untuk membentuk komite audit. Jenis resolusi
didokumentasikan dalam catatan dari papan tulis dan umumnya tidak direvisi kecuali beberapa kondisi
yang membutuhkan perubahan. Resolusi tersebut adalah contoh dari tata kelola perusahaan yang
menetapkan aturan dimana beberapa perusahaan beroperasi. Meskipun tidak dipublikasikan dalam
laporan tahunan dan sejenisnya, adanya resolusi dewan yang tepat menjadi masalah dalam hal regulasi
dan litigasi hanya ketika sebuah papan perlu mengandalkan pada resolusi mengizinkan.
Meskipun tidak merupakan persyaratan yang diperlukan, kebanyakan perusahaan fungsi audit
internal secara rutin beroperasi melalui sebuah piagam formal internal audit, dokumen (dibahas dalam
Bab 12) yang disetujui oleh komite audit untuk menjelaskan peran audit internal dan tanggung jawab.
Institute of Internal Auditor (IIA) telah memberikan beberapa panduan untuk menyusun piagam audit
internal, tetapi charter tersebut tidak mengikuti standar tertentu atau format. Mereka harus secara
formal negara, antara lain, bahwa audit internal memiliki akses penuh terhadap semua catatan dan
fasilitas dalam perusahaan. Charter audit internal mencakup kegiatan fungsi audit internal tetapi bukan
kegiatan komite audit dewan perusahaan. NYSE menyarankan diusulkan charter komite audit dewan
pada bulan Desember 1999, tetapi dengan ada persyaratan bahwa komite audit harus memiliki seperti
piagam. Sox, bagaimanapun, kini telah mengamanatkan bahwa setiap komite audit dewan harus
mengembangkan piagam audit sendiri resminya akan diterbitkan sebagai bagian dari laporan tahunan
proxy.
99
Tujuan dari sebuah piagam komite audit dewan adalah untuk menetapkan komite audit
bertanggung jawab tentang:
dokumen piagam, untuk kegiatan komite audit dewan hanya sebagai CAE, mewakili fungsi audit
internal perusahaan itu, secara teratur pergi sebelum dewan komite audit. Sementara beberapa mungkin
terlihat pada kebutuhan piagam komite audit sebagai halaman tambahan untuk menambahkan bulk ke
pernyataan proxy sudah tebal, itu adalah komitmen formal oleh komite audit dewan untuk memastikan
integritas laporan keuangan dan mengawasi fungsi audit internal dan eksternal. Tidak ada format yang
diperlukan tunggal atau isi dokumen ini diamanatkan untuk piagam, namun NYSE telah menerbitkan
sebuah piagam model yang telah diadopsi oleh banyak perusahaan publik saat ini. Format bervariasi
dari satu perusahaan ke yang lain, tapi audit charter komite umumnya mencakup:
1. Tujuan dan kekuasaan komite audit
2. Komposisi komite audit
3. Jadwal pertemuan
4. Komite audit prosedur
5. Komite audit kegiatan utama
a. Tata kelola perusahaan
b. Pelaporan Publik
c. Akuntan independen
d. Audit dan akuntansi
e. Kegiatan Lainnya
6. Discretionary kegiatan
a. Akuntan independen
b. Audit internal
c. Akuntansi
d. Kontrol dan sistem
e. Pelaporan Publik
f. Kepatuhan tanggung jawab pengawasan
g. Penilaian risiko
h. Tanggung jawab pengawasan keuangan
i. imbalan kerja rencana investasi tanggung jawab fidusia
7. Komite audit keterbatasan
Banyak komite audit charter berisi deskripsi dari kategori yang tercantum. Beberapa tampaknya
telah dikembangkan oleh perusahaan penasehat hukum dengan bahasa untuk menutupi setiap
100
kontingensi sehingga lebih jelas dan ringkas. Tidak setiap perusahaan seperti Microsoft dalam hal
ukuran dan sumber daya, tetapi semua perusahaan dengan pendaftaran SEC harus sesuai dengan aturan
Sox. Entitas yang lebih kecil tidak akan memiliki sumber daya atau perlu merilis piagam komite audit
berbasis Web. Tapi mereka tetap harus memiliki komite audit direktur independen, sebagaimana
diamanatkan oleh Sox, serta piagam komite audit. Ini adalah jenis dokumen resolusi dewan direksi
yang akan menjadi bagian dari arsip perusahaan.
Apakah lebih besar atau kecil, perusahaan masih harus memiliki kontrol internal yang efektif dan
fungsi audit internal. Ini terutama penting saat ini, sebagai sumber daya yang terbatas audit internal
tidak bisa lagi mengandalkan auditor eksternal untuk melakukan tugas-tugas mereka mungkin telah
dilakukan di masa lalu. CAE untuk itu perusahaan kecil harus meninjau ulang bahan-bahan yang
dipublikasikan oleh IIA, AICPA, atau Sistem Informasi Audit dan Control Association, dan bekerja
dengan
auditor
internal
dari
perusahaan-perusahaan
kecil
lain
dalam
masyarakat
untuk
keuangan
Perusahaan
dan
pengendalian
internal
atas
keuangan
pelaporan, dan kinerja fungsi audit internal dan independen Perusahaan auditor. Komite mereview dan
menilai aspek-aspek kualitatif pelaporan keuangan untuk pemegang saham, proses Perusahaan untuk
mengelola risiko bisnis dan keuangan, dan memenuhi persyaratan hukum yang signifikan, etika, dan
peraturan yang berlaku. Komite ini bertanggung jawab langsung atas penunjukan (tunduk pada
ratifikasi pemegang saham), kompensasi, retensi, dan pengawasan auditor independen
Keanggotaan
Keanggotaan Komite terdiri dari setidaknya tiga direktur, yang semuanya harus memenuhi persyaratan
independensi yang dibentuk oleh Dewan dan hukum yang berlaku, peraturan, dan persyaratan daftar.
Setiap anggota dalam penilaian Dewan Direksi memiliki kemampuan untuk membaca dan memahami
laporan keuangan yang mendasar dan dinyatakan memenuhi kecanggihan keuangan standar yang
ditetapkan oleh persyaratan dari Pasar Bursa NASDAQ, LLC. Setidaknya satu anggota Komite harus
101
dalam penilaian Dewan akan sebuah komite audit ahli keuangan seperti yang didefinisikan oleh
aturan dan peraturan Komisi Sekuritas dan Bursa. Dewan menunjuk anggota Komite dan ketua. Dewan
dapat menghapus setiap anggota dari Komite setiap saat dengan atau tanpa sebab.
Secara umum, tidak ada anggota Komite dapat melayani lebih dari tiga komite audit perusahaan publik
(termasuk Komite Audit Perseroan) pada waktu yang sama. Untuk tujuan ini, layanan pada komite
audit dan secara substansial anak perusahaan yang dimiliki dianggap sebagai layana pada komite audit
tunggal.
Operasi
Komite bertemu sedikitnya enam kali dalam setahun. Pertemuan tambahan dapat terjadi sebagai
Komite atau kursi yang dianggap dianjurkan. Panitia akan menyebabkan disimpan memadai
risalah, dan akan melaporkan tindakan dan kegiatan pada triwulan berikutnya rapat Dewan. Anggota
Komite akan dilengkapi dengan salinan setiap menit pertemuan dan setiap tindakan yang diambil
dengan persetujuan bulat. Komite ini diatur oleh aturan yang sama tentang pertemuan (termasuk rapat
melalui telepon konferensi atau mirip peralatan komunikasi), tindakan tanpa rapat, pemberitahuan,
surat pernyataan pemberitahuan, dan kuorum dan persyaratan suara seperti yang berlaku kepada
Dewan. Komite ini berwenang dan diberdayakan untuk mengadopsi aturan prosedurnya sendiri tidak
konsisten dengan (a) ketentuan Piagam ini, (b) ada ketentuan dalam Anggaran Rumah Tangga
Perusahaan, atau (c) undang-undang negara bagian Washington.
Komunikasi
Auditor independen yang melapor langsung kepada Komite. Komite ini diharapkan memelihara
komunikasi bebas dan terbuka dengan auditor independen, auditor internal, dan manajemen.
Komunikasi ini akan mencakup sesi periodik eksekutif swasta dengan masing-masing pihak.
Pendidikan
Perusahaan bertanggung jawab untuk memberikan anggota baru dengan orientasi yang sesuai briefing
dan kesempatan pendidikan, dan Komite penuh dengan sumber daya pendidikan terkait dengan prinsip
akuntansi dan prosedur, topik akuntansi saat ini penting berkaitan dengan Perusahaan, dan hal-hal lain
yang mungkin diminta oleh Komite. Perusahaan akan membantu Komite dalam memelihara melek
finansial sesuai.
Kewenangan
102
Panitia akan memiliki sumber daya dan wewenang yang diperlukan untuk tugas debit dan
tanggung jawab. Komite memiliki wewenang tunggal untuk mempertahankan dan mengakhiri nasihat
luar atau ahli lain atau konsultan, yang dianggap tepat, termasuk otoritas tunggal untuk menyetujui
perusahaan biaya dan persyaratan retensi lainnya. Perusahaan akan memberikan kepada Komite
dengan pendanaan yang tepat, sebagai Komite menentukan, untuk pembayaran kompensasi kepada
auditor independen Perseroan, di luar pengacara, dan penasehat lainnya yang dianggap biaya yang
sesuai,
dan
administrasi
dari
Komite
yang
diperlukan
atau
sesuai
dalam melaksanakan tugasnya. Dalam melaksanakan peran pengawasan, Komite diberdayakan untuk
menyelidiki setiap masalah yang perlu mendapat perhatian. Panitia akan memiliki akses ke
Perusahaan buku, catatan, fasilitas, dan personil. Setiap komunikasi antara Komite dan penasehat
hukum dalam rangka mendapatkan nasihat hukum akan dipertimbangkan komunikasi istimewa
Perusahaan, dan Komite akan mengambil semua langkah yang diperlukan untuk melestarikan sifat
istimewa orang-orang komunikasi. Komite dapat membentuk dan mendelegasikan wewenang untuk
subkomite dan dapat mendelegasikan kewenangan untuk satu atau lebih anggota yang ditunjuk komite.
Tanggung Jawab
Tanggung jawab khusus Komite dalam melaksanakan peran pengawasan yang dimaksud dalam
Komite Audit Tanggung Jawab Kalender. Kalender akan Tanggung Jawab diperbaharui setiap tahun
diperlukan untuk mencerminkan perubahan dalam persyaratan peraturan, berwibawa bimbingan, dan
praktek pengawasan berkembang. Yang paling baru-baru ini diperbarui Tanggung Jawab Kalender akan
dianggap sebagai addendum Piagam ini. Komite mengandalkan keahlian dan pengetahuan manajemen,
auditor internal, dan auditor independen dalam melaksanakan tanggung jawab pengawasannya.
Manajemen Perusahaan bertanggung jawab untuk menentukan laporan keuangan Perseroan adalah
lengkap, akurat, dan sesuai dengan prinsip akuntansi yang berlaku umum dan membangun memuaskan
pengendalian internal atas pelaporan keuangan. Auditor independen bertanggung jawab untuk
mengaudit laporan keuangan Perusahaan dan efektivitas Perusahaan pengendalian internal atas
pelaporan keuangan. Ini bukan tugas Komite untuk merencanakan atau melakukan audit, untuk
menentukan bahwa laporan keuangan secara lengkap dan akurat dan dalam sesuai dengan prinsip
akuntansi yang berlaku umum, untuk melakukan investigasi, atau memastikan kepatuhan terhadap
hukum dan peraturan atau standar Perusahaan bisnis perilaku, kode etik, kebijakan internal, prosedur,
dan kontrol.
23.3
103
Sebuah kritik utama komite audit pada pra-Sox pada hari-hari setelah jatuhnya Enron bahwa
banyak anggota dewan yang menjabat sebagai komite audit tampaknya tidak memahami keuangan dan
masalah pengendalian internal. Orang-orang terpilih untuk dewan komite audit karena hubungan
mereka dengan senior, manajemen bisnis atau profesional latar belakang tapi mereka sering tidak
memahami kontrol keuangan atau internal yang kompleks isu seputar banyak perusahaan. Sox sekarang
mengharuskan bahwa setidaknya salah satu dari audit Komite direktur independen harus apa yang
disebut ahli keuangan dengan beberapa persyaratan yang cukup spesifik untuk peran itu, seperti
diuraikan dalam Bab 4 tinjauan Sox. Ini anggota dewan pakar keuangan bisa sangat baik menjadi
terbaik atau terdekat audit audit internal sekutu komite dan mungkin sangat baik menjadi titik awal
untuk CAE untuk mengikat erat audit internal untuk komite audit dewan. Hari ini khas audit anggota
komite dan tentunya para pakar keuangan tentu dalam yang baru dan menantang posisi dengan mandat
hukum dan banyak tekanan. Sox telah menyebabkan banyak perubahan tata kelola perusahaan, dewan
direksi, dan komite audit. Dalam banyak situasi, audit CAE dan internal mungkin thread unik dari
kesinambungan tata kelola perusahaan, dan audit internal dapat membantu komite audit di era baru ini
melalui pendekatan tiga langkah:
Langkah 1. Melalui laporan dan presentasi, memberikan ringkasan rinci arus audit internal proses untuk
penilaian risiko, perencanaan dan melakukan audit, dan pelaporan hasil melalui laporan audit.
Langkah 2. Bekerja dengan sumber daya manusia dan sumber daya lainnya, rencana ini kepada komite
audit untuk membantu meluncurkan etika Sox yang diperlukan dan program whistleblower seperti
dibahas dalam Bab 24.
Langkah 3. Mengembangkan rencana rinci untuk meninjau dan menilai pengendalian internal dalam
perusahaan.
Ini
adalah
komponen
kunci
dari
Sox,
Bagian
404
pengendalian
internal
104
Bukti 23.3 adalah audit kesehatan penilaian internal check survei internal yang dapat diperluas atau
diubah tergantung pada kondisi saat ini. Idenya di sini adalah bahwa audit internal harus pergi melalui
tingkat tinggi organisasi kesehatan penilaian diri, bertanya sendiri bagaimana ia lakukan di saat ini dan
apa yang harus dilakukan untuk meningkatkan, dan kemudian membuat perbaikan yang diperlukan. Ini
juga di sepanjang garis dari penilaian kontrol-diri, seperti dibahas dalam Bab 11.
Setelah audit internal melalui latihan seperti koreksi diri, audit proses dan kegiatan yang sedang
berlangsung harus disajikan kepada komite audit dan dewan secara keseluruhan dan manajemen.
Tujuannya adalah untuk memastikan bahwa semua pihak menyadari proses audit internal dan isu-isu
yang sedang berlangsung. Informasi tersebut harus disampaikan kepada anggota kunci manajemen
terlebih dahulu sebelum presentasi komite audit untuk memastikan pesan bahwa audit internal akan
dipahami dengan baik dan konsisten dengan inisiatif manajemen lainnya. Tergantung pada perusahaan
dan sejarah masa lalu, audit internal dapat menerima terlalu sedikit atau bahkan kredit terlalu banyak
untuk perannya dalam tata kelola perusahaan proses.
23.4
internal suatu perusahaan. Sesuai Sox, konsep ini lebih dari sekedar teori; audit internal melaporkan
kepada komite audit secara tertulis tetapi secara efektif dilaporkan kepada CFO ( chief financial
officer) atau beberapa petugas korporat senior.
Fungsi audit internal modern saat ini harus mempunyai suatu piagam, yang secara aktif
berhubungan dengan komite audit perusahaan. Piagam ini seringnya sangat
spesifik mengenai hubungan dengan audit internal dan secara tipikal memerlukan audit
komite ke:
Review sumber-sumber daya, rencana, aktivitas, penempatan pegawai, dan struktur organisasi
respon manajemen. Laporan audit dan komunikasi di diskusikan dalam Chapter 17.
Review dengan manajemen, CAE, dan akuntan independen ketercukupan dari pelaporan
keuangan dan sistem pengawasan intern. Review harus meliputi lingkup dan hasil program
audit internal serta kooperasi gangguan atau keterbatasan, bila ada, dikenakan oleh manajemen
terhadap perilaku program audit internal.
105
Poin ini adalah bagian dari hubungan antara audit internal dan komite auditnya untuk sekali
waktu, tetapi piagam komite audit diterbitkan dalam susunan yang formal. CAE harus bekerja
berdekatan dengan komite audit untuk memastikan hubungan komunikasi yang efektif sudah
berlangsung, seperti yang di diskusikan di poin ketiga. Beberapa departemen audit internal telah
mengatur kebiasaan, kelebihan waktu, dari penyediaan komite audit hanya dengan sebuah ringkasan
dari audit internal penemuan laporan atau baru saja menerbitkan laporan pada audit internal yang telah
memutuskan menemukan laporan audit yang signifikan. Sox meletakkan ini dalam suatu perspektif
baru. Audit internal seharusnya tidak hanya mengirimkan komite audit sesuatu yang sepertinya
diperlukan untuk dilihat.Mandat Sox dimana audit internal harus menyediakan komite audit dengan
semua laporan audit dan semua respon manajemen yang mendukung. Bahkan ketika audit internal
membangitkan sejumlah besar laporan audit, seperti untuk perusahaan ritel dengan audit tentang
banyaknya unit lebih kecil yang di simpan yang sering mempunyai sedikit penemuan signifikan, komite
audit harus menerima informasi yang rinci
disediakan, tetapi laporan lengkap untuk semua audit harus disediakan juga.
(a) Pertemuan Chief Audit Executive
Tipikal pelaporan CAE secara 106egular106tor106ve kepada manajemen perusahaan, tetapi
komite audit bertanggungjawab untuk perekrutan dan pembubaran audit internal ekselutif ini. Dewan
Komite Kompensasi bisa saja
terlibat saat
Objektivitas disini bukan untuk menolak hak manajemen perusahaan menyebutkan orang yang akan
mengelola departemen audit internal, yang melayani kebutuhan yang beragam dari manajemen
perusahaan dan komite audit. Keikutsertaan komite audit untuk memastikan independensi dari fungsi
audit internal ketika ada suatu kebutuhan berbicara mengenai pengidentifikasian isu dalam review dan
penilaian control internal dan aktivitas lainnya dari suatu perusahaan.
Keikutsertaan 106egula komite audit dalam pemilihan CAE bisa mengambil/menangani
sejumlah formulir tetapi secara tipikal mencakup review dari usul direktur yang diikuti dengan
wawancara formal. Manajemen Perusahaanseringnya terutama
CFOsecara tipikal berkonsultasi dengan dewan komite audit mengenai kandidat potensial
CAE, mempersilahkan waktu untuk komite audit mereview dan memberikan komentar, serta
kadang-kadang mewawancarai, sebelum perubahan apapun dibuat. Di banyak contoh, perusahaan akan
berhadapan dengan kebutuhan untuk menyebut satu CAE baru karena orang yang sudah ada yang
berhenti atau dipromosikan. Manajemen dapat menyarankan promosi seseorang dari dalam perusahaan
atau dapat merekrut orang luar, tetapi komite audit akan mempunyai keputusan terakhir. Perjanjian
terhadap adekuasi dari kualifikasi untuk melayani kebutuhan dari manajemen dan dewan komisaris
106
adalah kondisi penting dari satu hubungan efektif yang sedang berjalan antara manajemen senior dan
komite audit.
Komite audit biasanya tidak terlibat dalam berbagai hal 107egular107tor107ve sehari-hari
mengenai CAE dan keseluruhan fungsi audit internal tetapi harus memastikan berjalannya kualitas
fungsi audit internal. Sebagai contoh, pejabat CAE harus melanjutkan untuk mempunyai peluang
promosi atau untuk mendapatkan tanggung-jawab lain sebagai bagian dari satu program pengembangan
manajemen. Dalam contoh lain, manajemen senior dapat menyatakan perasaan yang kuat bahwa CAE
harus ditransfer atau diakhiri oleh karena konsen manajemen yang kuat. Di situasi lainnya, komite audit
harus mereview usul tindakan personil dan menyediakan CAE dengan perekrutan yang adil atas isu
yang terlibat. Komite audit sendiri dapat merasakan bahwa CAE tidak melakukan pekerjaan yang
cukup, baik dalam mentaati permintaan komite audit atau dalam mengarahkan fungsi audit internal,
atau keduanya. Dalam kasus lain,dewan komite audit secara tipikal akan menyatakan konsen itu pada
manajemen perusahaan dan memulai proses untuk penggantian personil. Dalam kasus yang ekstrim
dimana ada perselisihan paham mengenai CAE, komite audit bisa merekrut konsultan eksternal untuk
melakukan pekerjaan audit review yang diinginkan oleh komite atau bisa mengarahkan manajemen,
melalui dewan derivative, untuk melakukan perubahan.
Keseluruhan isu di sini adalah bahwa komite audit mempunyai kemampuan merekrut atau
memecat CAE, tetapi harus sedang berjalan ditingkat kooperasi. Komite audit secara umum tidak
berada di tempat basis sehari-hari untuk menyediakan 107egular107t audit internal rinci dan harus
memenuhi persyaratan manajemen untuk beberapa dukungan rinci. CAE atau anggota apapun dari
audit internal tidak bisa mengabaikan begitu saja permintaan manajemen sesuai dengan klaim laporan
beberapa orang saja pada komite audit dan tidak bertanggungjawab pada manajemen lini perusahaan.
Dengan cara yang sama, manajemen perusahaan harus memastikan bahwa internal audit adalah bagian
dari perusahaan, bukan orang luar.
107
perusahaan, menggambarkan standar yang diikuti, dan mendefinisikan hubungan antara komite audit
dan audit internal. Poin selanjutnya adalah pentingnya pengkhususan sebagaimana mengirimkan satu
pesan khusus pada manajemen senior dimana CAE bisa pergi ke satu pihak atasankomite audit
kalau sekiranya kontroversi atau isu pengawasan intern signifikan.
Komite audit bertanggungjawab untuk persetujuan piagam audit internal, seutuhnya, dewan
bertanggungjawab untuk menyetujui piagam komite audit. Kita mendiskusikan piagam audit internal di
sini karena inilah tanggung jawab komite audit, tetapi piagam audit internal juga melindungi detil yang
lebih besar/rinci dalam diskusi Chapter 12 tentang membuat piagam dan membangun satu fungsi audit
internal yang efektif. Siapakah bertanggungjawab untuk draft piagam audit internal ini? Teorinya
komite audit mungkin akan men-draft dokumen ini sebagai sebuah aktivitas dewan komite. Pada
kenyataannya, CAE biasanya memelopori dalam membuat draft piagam ini dan/atau akan menyarankan
perbaikan sesuai pada satu piagam yang sudah ada pada dewan komite audit.
Sementara itu piagam audit internal memberi hak pekerjaan yang dilakukan harus dilakukan,
anggota komite audit tidak boleh berada dalam suatu posisi untuk membuat persyaratan draft piagam
audit rinci. CAE secara tipikal bekerja berdekatan dengan dewan komite audit untuk membuat draft
persyaratan ini. Selain dari pada piagam, spesifikasi alami dan lingkup dari tanggung-jawab
pelayananan audit internal pada komite audit harus formal dan diuraikan. Tanggung-jawab ini bisa
meliputi 108egular108 ditulisnya laporan status audit, pertemuan-pertemuan yang secara teratur
dijadwalkan dengan komite audit, dan keduanya, yaitu hak dan kewajiban akses langsung audit internal
pada komite audit.
Sementara itu pemahaman ini secara tipikal tidak memerlukan resolusi komite audit formal, kedua
belah pihak harus mempunyai satu pemahaman jelas tentang tanggung-jawab audit internal untuk
menyajikan laporan dan untuk mengikuti rapat komite audit. Penerimaan piagam audit internal dan
perbekalan yang berhubungan oleh ketertarikan semua pihak berarti bahwa audit internal bebas dari
penghalang yang sangat mungkin mencegahnya dari penyingkapan kebutuhan pada komite audit,
bahkan kesensitivan yang alami.
Pernyataan piagam hubungan audit internal pada komite audit ini menjadi penting karena audit
internal juga mempunyai hubungan pekerjaan sehari-hari dengan manajemen perusahaan. Sementara
itu komite audit memilih CAE, anggota lain dari tim audit direkrut dan dibayar oleh perusahaan, bukan
komite audit independen. Manajemen Senior sering melupakan audit internal itu memiliki hubungan
pelaporan di dalam perusahaan. Manajemen Perusahaan kadang-kadang memberikan diskon untuk
kebutuhan ini untuk piagam audit internal atas alasan-alasan bahwa tidak batasan pada audit internal
108
independen. Meskipun demikian, piagam audit internal yang kuat, yang disetujui oleh komite audit,
adalah ketetapan penting corporate governance.
(c) Persetujuan Rencana dan Anggaran Audit internal
Idealnya, komite audit sudah mengembangkan keseluruhan pemahaman mengenai total
kebutuhan audit internaldari suatu perusahaan. Penilaian tingkat-tinggi yang mencakup berbagai
Kendali dan isu pelaporan keuangan khusus, mempersilahkan komite audit menentukan porsi audit atau
pengkajian resiko yang diperlukan untuk dilakukan baik oleh audit internal atau penyedia lain. Sebagai
bagian dari peran ini, komite audit bertanggungjawab untuk mereview dan menyetujui semua rencana
serta anggaran audit internal tingkat tinggi. Tanggung jawab ini konsisten dengan peran komite audit
sebagai 109egular109tor terakhir usaha audit secara keseluruhan. Manajemen Perusahaan dan CAE
mungkin mempunyai ide-ide milik mereka sendiri tentang apa diperlukan untuk dilakukan, tetapi
tindakan ini adalah satu tanggung jawab komite audit. Adalah penting bahwa pihak kunci bersamasama mempertimbangkan dan dengan penuh kewajaran merekonsiliasi, tetapi komite audit mempunyai
kata akhir di sini.
Review komite dari semua rencana audit internal itu sangat penting jika kebijakan-kebijakan
danrencana untuk masa depan harus ditentukan secara efektif. Tanggung-jawab baru audit karena
pengenalan tentang Sox telah mengubah peran yang sudah berjalan beberapa lama, dan semua pihakpihak berkepentingan harus memahami sifat alami keseluruhan rencana audit. Manajemen Perusahaan,
auditor internal, dan audit eksternal kemudian akan tahu apa yang harus diharapkan dari pemasok
layanan audit. Komite audit harus mengasumsikan peran koordinasi tingkat-tinggi. Walaupun ada
keterbatasan praktis hingga sebagaimana komite audit aktif bisa dilibatkan dalam proses perencanaan
terperinci, beberapa keterlibatan mendomenstrasikan suatu nilai yang tinggi. Secara tipikal, dewan
komite audit adalah orang yang paling aktif dalam merencanakan review ini, tetapi saat dia adalah
subyek untuk keterbatasan waktu. Audit internal harus menyiapkan suatu dokumen perencanaan
tahunan menyeluruh untuk komite yang memberikan rencana rinci untuk tahun yang akan datang
sebaik rencana jangka panjang. Format yang diusulkan untuk rencana ini didiskusikan di bab 6 dalam
analisis risiko dan di Chapter 12 dalam aktivitas pengorganisasian audit internal. Selain itu, audit
internal harus menyiapkan laporan ringkas dari aktivitas audit masa lampau dan taksiran kembali dari
pemenuhan nya untuk memberikan komite audit suatu pemahaman dari area signifikan dalam review
masa lampau. Walaupun audit internal harus melaporkan aktivitas kepada komite audit secara
109egular, laporan ringkasan aktivitas masa lampau ini memberikan suatu ikhtisar area untuk
penekanan audit dan gap acara penting potensial dalam pemenuhan audit. Tampilan 23.4 adalah satu
contoh dari satu tahun-rencana audit untuk dipresentasikan kepada komite audit. CAE akan menyajikan
109
jenis laporan kepada komite audit ini, mencakup untuk masing-masing audit tertentu dan dengan detil
pendukung yang cukup untuk menjawab pertanyaan. Laporan ringkasan aktivitas masa lalu ialah
penting untuk memperlihatkan jadwal area dalam rencana tahun berjalan dan penyempurnaan rencana
tersebut.
Di banyak perusahaan, rencana audit tahunan mengembangkan melalui dua proses, analisis
risiko internal dan diskusi dengan keduanya, yaitu manajemen senior serta komite audit. Manajemen
dan komite dapat menyarankan area untuk review potensial audit internal, dan audit internal harus
mengembangkan rencana di dalam batasan dari anggaran dan keterbatasan sumber daya. Jika komite
audit telah mengusulkan review beberapa area tetapi audit internal khusus tidak mampu untuk
melakukan audit yang telah direncanakan terhadap beberapa batasan yang diketahui, CAE harus
dengan jelas mengkomunikasikan kekurangan itu kepada komite audit.
(d) Review dan Tindakan Komite Audit atas Audit Finding yang Signifikan
Tanggung jawab penting komite audit adalah mereview dan mengambil tindakan atas audit
finding yang signifikan yang dilaporkan oleh auditor internal dan eksternal, manajemen, dan lain-lain.
Audit internal dan yang lain seharusnya tidak memfilter audit finding dan mengatakan kepada komite
audit apa yang dikatakan signifikan, kepentingan dan efisiensi dari kesuleruhannya akan dilayani lebih
baik oleh audit internal yang secara teratur melaporkan audit finding yang signifikan seperti halnya
keadaan dan disposisi temuan. Dalam memberi reaksi atas audit finding yang signfikan, membutuhkan
kombinasi atas pemahaman, kompetensi, dan kerjasama pihak-pihak utama yang berkepentingan
seperti audit internal, manajemen, auditor eksternal, dan komite audit sendiri.
Kesejahteraan
keseluruhan perusahaan menjadi standar untuk menilai jasa audit internal, dan kepentingannya dengan
manajemen memiliki batas tertentu yang saling bertentangan.
23.5
menyetujui anggaran yang diusulkan dan rencana audit, serta menerbitkan laporan keuangan yang
diaudit. Firma akuntan public terutama tidak lagi memiliki divisi konsultasi, dan dilarang memberikan
jasa outsourcing audit internal kepada perusahaan yang nanti akan diaudit. Oleh karena itu, komite
audit harus lebih menyadari dan sensitive atas hal ini, dimana Sox mengharuskan komite audit
untukmenyetujui seluruh jasa audit eksternal, termasuk comfort letter, sama seperti halnya jasa
nonaudit dari auditor eksternl yang dilarang. Namun auditor kesternal masih diperbolehkan untuk
menyediakan jasa pajak , sama halnya dengan jasa pengecualian yang diminimalisir mereka dilarang
110
untuk memberikan jasa non audit secarakontemporer dengan audit laporan keuangan , jasa tersebut
seperti :
Pembukuan dan jasa lain yang berkaitan dengan pencatatan akuntansi atau laporan keuangan
Audit internal harus mempertimbangkan penawaran layanan yang tepat dan konsisten dengan audit
charternya.
23.6
penyimpanan, dan perwatan atas keluhan yang berkaitan dengan akuntansi, pengendalian internal
akuntansi, atau masalah auditing, termasuk prosedur untuk kerahasiaan yang diajukan oleh karyawan
atas kekhawatiran akuntansi dan permasalahan audit. Akibatnya akan menghadapi tantangan
dokumentasi karena banyak masalah yang harus dilaksanakan dengan cara yang rahasia. Audit internal
seharusnya menawarkan jasanya kepada komite audit untuk membangun prosedur dokumentasi dan
komunikasi dalam area dibawah ini :
wishtleblower.
Disposisi permasalahan whistleblower. Dokumentasi harus dijaga untuk mecatat sifat dari
investigasi tindak lanjut dan disposisi yang terkait. Meskipun Sox mengamanatkan program
whistleblower tidak memiliki program penghargaan tunai, dokumentasi lengkap yang
mencakup tindakan yang diambil serta setiap net saving harus dijaga.
Kode Etik. Sox membuat komite audit bertanggung jawab untuk mengimplementasikan kode
etik perusahaan untuk CEO dan CFO. Komite audit harus merangkum seperangkat peraturan
111
bagi perilaku yang tepat dan membuat senior officernya menyatakan bahwa mereka telah
membaca dan memahami serta menyetujui untuk mematuhinya.
23.7.
dalam mendokumentasi dan menangani masalah tersebut. Untuk perusahaan besar, komite audit dapat
terdiri dari mungkin enam orang, sedangkan dalam sebuah perusahaan yang lebih kecil, biasanya terdiri
dari hanya dua orang. Direktur komite audit yang independen biasanya merupakan orang yang sibuk
yang mungkin melayani beberapa dewan dengan sedikit dukungan adminitrasi langsung. Audit internal
dapat memberikan bantuan yang penting. Berdasarkan Sox, komite audit memiliki peran penting
dimana memiliki salah satu posisi terbaik untuk mememberikan fasilitas. CAE memberikan skses
terbuka kepada komite aduit melalui presentasi pada pertemian rutin dan pertemuan rahasia satu demi
satu. Dahulu, pertemuan ini lebih formal dengan komunikasu sebenarnya yang terbatas, namun telah
dirubah oleh Sox oleh karena itu saat ini komite audit dan ahli keuangan yang dirancangnya memiliki
seluruh tanggung jawab baru audit internal adalah sumber daya yang baik untuk membantu anggota
komite audit untuk memenuhi tanggung jawab mereka terkait dengan Sox melalui komunikasi yang
erat serta dengan menawarkan tugas dokumentasi tertentu komite audit. Perluasan persyaratan jasa
audit internal merupakan suatu peluang dan tantangan, karena perubahan yang dilakukan Sox, auditor
internal yang modern harus menyadari perluasan penting komite audit.
112
Chapter 24
Program Etika dan Whistleblower
Auditor internal selalu dipandang sebagai para pemimpin etis dalam perusahaan. Setiap kali ada
pertanyaan dari transaksi yang menimbulkan pertanyaan atau penipuan dalam operasi, misalnya,
tanggapan manajemen selalu memanggil internal audit untuk menyelidiki. Karena standar profesional
mereka yang kuat, didukung oleh kode etik profesional baik yang diakui, auditor internal harus menjadi
pemimpin yang etis dalam perusahaan.
Pengetahuan dan pemahaman tentang auditor internal, kode perilaku profesional, seperti yang
dibahas dalam Bab 8 mengenai standar audit internal profesional, adalah kunci badan audit internal
umum tentang kebutuhan pengetahuan (CBOK). Etika dan enterprise-wide kode etik memiliki peran
yang lebih besar pada saat ini. Selama bertahun-tahun, banyak perusahaan mengucapkan kata-kata
tentang komitmen mereka untuk etika tetapi tidak pernah ada tindak lanjutnya. Namun, dengan adanya
serangkaian skandal akuntansi utama AS pada 1980-an, peluncuran Komite of Sponsoring kerangka
Organisasi Internal Kontrol pada 1990-an, dan yang sekarang ini, Peraturan Sarbanes-Oxley (SOx),
telah ada penekanan hampir di seluruh dunia tentang pentingnya membangun lingkungan etis di seluruh
perusahaan.
Sementara audit internal memiliki peran yang terus-menerus, banyak dari inisiatif ini juga telah
diluncurkan oleh departemen lain, termasuk sumber daya manusia (SDM) dan badan hukum. Sekedar
mempromosikan lingkungan etika bagi semua stakeholder perusahaan, inisiatif seluruh perusahaan
harus menekankan pemangku kepentingan kode etik individu yang kuat, pengakuan nilai-nilai inti
perusahaan, dan program whistleblower. Saat ini karyawan dan pemangku kepentingan di semua
tingkat didorong untuk berpikir dan bertindak berbeda dari pada tahun terakhir. Program whistleblower
adalah contoh di sini. Seluruh konsep di balik program ini adalah bahwa setiap karyawan atau pihak
lain yang mengamati beberapa hal yang salah di lingkungan kerja dan independen meniup peluit atau
melaporkan kepada manajemen senior, tanpa adanya ketakutan akan tindakan balasan. Konsep seperti
ini telah memiliki standar di AS, banyak aturan hukum dan telah menjadi unsur SOx, seperti dibahas
dalam Bab 4. Meskipun belum tentu penerima yang ditunjuk dari laporan whistleblower, internal
auditor perlu memahami peran dan whistleblowing bagaimana kegiatan ini dapat disimpan dalam
lingkungan kontrol perusahaan.
Bab ini membahas kode etik, etika perusahaan, dan program whistleblower dari kedua
perusahaan-lebar dan perspektif audit internal. Internal auditor perlu memahami konsep ini dan
bagaimana mereka harus diterapkan untuk perusahaan secara keseluruhan. Selain itu, di beberapa
113
perusahaan yang lebih kecil dengan lebih terbatas sumber daya, audit internal dapat dipanggil untuk
memulai dan mengelola banyak jika tidak semua aspek suatu perusahaan, etika dan program
whistleblower. Pengetahuan tentang kode auditor internal perilaku merupakan kebutuhan CBOK dasar;
pemahaman keseluruhan kode etik, program whistleblower, dan etika perusahaan adalah penting untuk
total perusahaan dan harus area audit pengetahuan kunci internal juga.
Bab ini juga menjelaskan bagaimana membangun etika dan fungsi whistleblower yang
konsisten dengan SOx dan nilai kepada semua stakeholder perusahaan: karyawan, petugas, vendor, dan
kontraktor. Lebih dari tujuan SOx untuk mencegah kecurangan pelaporan keuangan, program etika
yang efektif adalah suatu pengelolaan yang penting dan kepatuhan alat untuk seluruh perusahaan.
Bab ini juga sempat terlihat di Hukuman Pedoman Organisasi, AS- wortel berbasis-dan-tongkat
pendekatan yudisial untuk meningkatkan kepatuhan perusahaan kuat program. Bab ini diakhiri dengan
panduan untuk melakukan operasional dan kepatuhan audit atas fungsi-fungsi ini.
24.1
banyak terlibat dengan meninjau dan membantu untuk meningkatkan etika perusahaan mereka. Hal ini
menjadi lebih lebih penting ketika SOx dimandatkan atau kode etik menandatangani laporan perilaku
dari pejabat senior dan menyerukan untuk program whistleblower diarahkan oleh komite audit.
Sebagaimana diuraikan pada Bab 4, mandat SOx bahwa komite audit perusahaan harus memiliki
direktur keuangan mereka (CFO) menandatangani pernyataan etika. Sementara ini tidak ada jaminan
bahwa CFO akan selalu mengikuti praktek-praktek bisnis yang etis, resiko pribadi dari denda besar atau
bahkan hukuman penjara. Namun, satu set kuat nilai-nilai pribadi seluruh perusahaan serta komitmen
terus-menerus atau keinginan untuk selalu melakukan hal yang benar sering kali bahkan lebih penting.
Sementara peraturan SOx yang terbatas pada pejabat eksekutif keuangan, perusahaan biasanya akan
menemukan nilai lebih dalam meluncurkan dan melaksanakan program seperti itu untuk seluruh
perusahaan dan stakeholder kunci. Beberapa kode etik dan aturan perilaku yang sangat spesifik dan
berhubungan hanya untuk petugas keuangan, namun, perusahaan akan menemukan nilai yang lebih
besar dalam memiliki satu set aturan berlaku untuk semua, dan audit internal mungkin ingin
mempertimbangkan dan menyarankan manajemen untuk bergerak ke arah itu.
Perusahaan dari semua ukuran dan bidang bisnis saat ini harus membentuk fungsi etika yang
efektif, termasuk pernyataan misi dan kode etik. Meskipun program etika perusahaan penting saat ini,
perusahaan tidak bisa mengklaim memiliki menerapkan program seperti ini dengan hanya menerbitkan
kode organisasi bisnis dan melakukannya bersama untuk seluruh karyawan untuk membacanya.
Program etika yang efektif memerlukan komitmen formal antara perusahaan dan karyawan dan agen
114
untuk melakukan hal yang benar. Banyak perusahaan saat ini telah memiliki unsur-unsur program etika
di tempat yang lainnya menganggap mereka memiliki etika karena praktek-praktek yang baik, bukan
karena masalah baru-baru ini. Semua, terlalu sering mereka mendirikan "etika program" berjumlah
sedikit lebih dari satu kode etik karyawan diberikan kepada karyawan baru pada hari pertama mereka
pada pekerjaan mungkin ditambah beberapa karyawan poster atau brosur. Karyawan baru diminta
untuk membaca dan menandatangani kode etik perusahaan itu sebagai bagian dari bahan
menyelesaikan menyewa seperti baru sebagai bentuk pemotongan pajak, rencana medis pilihan, dan
pilihan karyawan lainnya. Terlalu sering kode etik ditandatangani, mengajukan diri, dan dilupakan. Ini
bukan merupakan program etika yang efektif untuk perusahaan.
Program etika efektif untuk perusahaan dimulai dengan pemahaman risiko lingkungan dan
kemudian memerlukan kode etik yang efektif. Sementara penekanan mungkin sedikit berbeda pada
berbagai tingkatan, setiap orang harus menyadari dari perusahaan itu nilai dan misi secara keseluruhan.
Sebagai pihak yang alami tertarik pada baik, praktek bisnis yang etis, audit internal harus dalam posisi
kunci untuk membantu peluncuran sebuah perusahaan-wide etika berfungsi jika seseorang tidak ada
atau untuk membantu memperbaiki semua program saat ini. Hanya sebagai auditor internal harus
memahami bagaimana untuk mengevaluasi dan merekomendasikan kontrol akuntansi internal yang
efektif, mereka harus memiliki pemahaman dasar tentang unsur-unsur dari program etika organisasi
yang efektif.
A) Langkah Pertama Etika: Mengembangkan Pernyataan Misi
Setiap perusahaan, tidak peduli apa ukuran, harus memiliki pernyataan misi formal untuk
menggambarkan tujuan dan nilai-nilai secara keseluruhan. Pernyataan misi harus menjadi petunjuk
untuk membiarkan karyawan, pelanggan, pemegang saham, dan pemangku kepentingan lainnya tahu
apa perusahaan singkatan dan apa tidak. Sekali sedikit lebih dari lelah yang terdengar slogan,
pernyataan misi perusahaan yang efektif telah menjadi sangat penting untuk mempromosikan etika
organisasi yang kuat dan tata kelola perusahaan yang baik. misi yang efektif dapat menjadi aset besar
untuk suatu, perusahaan yang memungkinkan untuk lebih mencapai tujuan organisasi dan tujuan.
Sebuah pernyataan misi perusahaan yang kuat merupakan elemen penting dalam etika dan
inisiatif tata kelola perusahaan. Meskipun kebanyakan perusahaan tidak akan menghadapi krisis seperti
apa Johnson & Johnson lakukan dengan Tylenol tercemar, hal semacam ini mungkin telah membantu
beberapa perusahaan untuk lebih menghindari skandal akuntansi yang menyebabkan SOx.
Bekerja dengan fungsi petugas etika dan manajemen senior, audit internal dapat membantu
untuk mengevaluasi pernyataan misi atau menulis ulang dan memulai yang baru. Jika karyawan atau
pemangku kepentingan lainnya tidak menyadari pernyataan misi perusahaan atau jika mereka
115
melihatnya sebagai sedikit lebih dari satu set kata-kata berarti, ada kebutuhan untuk meninjau kembali
dan merevisi dokumen itu. Sebuah pernyataan misi sering dibuat buruk lebih berbahaya daripada baik,
membuat anggota sinis dan tidak bahagia organisasi yang menolak perubahan. Jika perusahaan tidak
memiliki pernyataan misi atau nilai-nilai, audit internal harus merekomendasikan perakitan tim untuk
mengembangkan sebuah pernyataan yang mencerminkan nilai-nilai keseluruhan perusahaan dan tujuan.
Jika pernyataan yang ada disambut dengan sinisme selama survei etika, sekarang saatnya untuk
membuat ulang dan merevisinya. Namun, apapun yang direvisi harus dibuat dengan hati-hati. Jika
hanya diluncurkan dengan tidak ada persiapan, dapat dilihat dengan sinis bahkan lebih.
Sebuah pernyataan misi yang baik juga merupakan titik awal yang baik untuk pesan manajemen
senior. Sebuah pernyataan misi yang baik harus membuat pernyataan positif tentang perusahaan dan
menginspirasi para pemangku kepentingan perusahaan untuk memanfaatkan energi mereka, semangat,
dan komitmen untuk mencapai tujuan dan sasaran. Idenya adalah untuk menciptakan rasa tujuan dan
arah yang akan dibagi di seluruh perusahaan. Mungkin salah satu contoh terbaik dari pernyataan misi
itu diungkapkan oleh Presiden AS John F. Kennedy di awal 1960-an:
This nation should dedicate itself to achieving the goal, before this decade is out, of landing a
man on the moon and returning him safely to Earth.
Bangsa ini harus mendedikasikan dirinya untuk mencapai tujuan, sebelum dekade ini keluar, dari
manusia mendarat di bulan dan mengembalikannya dengan selamat ke Bumi.
Kata-kata sederhana menggambarkan misi dan visi yang jauh lebih baik daripada dokumen luas
yang berhalaman banyak.
Setelah perusahaan telah mengembangkan sebuah pernyataan misi baru atau telah merevisi
yang sudah ada, itu harus diterapkan di semua anggota perusahaan dengan tingkat yang baik publisitas.
Menggunakan pendekatan nada-at-the-top, manajer senior harus menjelaskan alasan untuk laporan misi
baru dan mengapa itu akan penting bagi perusahaan. Ini harus dipasang pada billboard fasilitas, dalam
laporan tahunan, dan tempat lain untuk mendorong semua pemangku kepentingan untuk membaca dan
menerimanya. Pernyataan misi, bagaimanapun, seharusnya tidak berdiri dengan sendirinya.
Serangkaian langkah kunci lainnya yang dibutuhkan untuk membangun etika yang efektif dan fungsi
kepatuhan.
(B) Memahami Etika Lingkungan Risiko
Program etika yang efektif tidak dapat melindungi perusahaan dari risiko gempa bumi besar
atau beberapa peristiwa bencana besar lainnya, melainkan bisa, bagaimanapun, membantu untuk
melindungi dari berbagai risiko operasional dan bisnis lainnya. Sama seperti beberapa petugas
116
akuntansi memutuskan untuk melanggar aturan sebelum SOx, sikap yang dapat diterima untuk
mengabaikan aturan etika bisa menimbulkan risiko di banyak daerah lain. Para pekerja kantor yang
salinan perusahaan perangkat lunak atau catatan untuk digunakan pada komputer di rumah, pekerja
pabrik yang melompati prosedur pemeriksaan produk akhir untuk menghemat waktu, atau vendor yang
sedikit kapal-kapal barang dari dipesan karena "mereka tidak pernah memeriksa" pemberitahuan
pengiriman semua contoh lentur aturan dan meningkatkan risiko perusahaan. Jenis praktek sering
berkembang karena kesenjangan yang dirasakan antara manajemen senior dan staf. Karyawan yang
secara teratur melihat manajer account melebihi batas beban tanpa dampak segera mencoba
membengkokkan aturan di daerah lain.
Audit internal dapat memimpin utama di sini dalam survei sikap karyawan dan praktek. sikap
Etika dan risiko dapat dinilai melalui baik review ditargetkan temuan dari audit masa lalu atau ulasan
khusus berdasarkan survei sikap karyawan dan stakeholder etika. Audit internal dapat menyelesaikan
pekerjaan ini etika survei melalui koordinasi dengan fungsi etika perusahaan, jika kelompok tersebut
ada. Sifat seperti fungsi etika yang dibahas dalam paragraf yang akan datang. Jika fungsi etika formal
ada, audit internal harus meninjau hasil setiap survei yang dilakukan di sana, membuat rencana untuk
merevisi atau memutakhirkan seperlunya. Sebuah survei etika merupakan cara yang sangat baik untuk
memahami sikap perusahaan dan merupakan bantuan untuk mendukung proses tata kelola perusahaan.
(i)Terkait Temuan Etika-Masa Lalu Dari Audit atau Audit Khusus
Jika audit internal telah menyelesaikan sejumlah besar audit operasional dan keuangan
kepatuhan terkait baru-baru ini, pemeriksaan ulang temuan laporan workpaper dan audit atau bahkan
tanggapan dapat memberikan wawasan tentang sikap etika secara keseluruhan. Temuan workpaper
Konsisten meliputi "kecil" pelanggaran mungkin menunjukkan tren keseluruhan dalam sikap etika.
Sebuah contoh di sini akan menjadi kegagalan berkelanjutan karyawan untuk mengikuti beberapa
proses yang relatif kecil atau prosedur, seperti mengamankan tanda tangan persetujuan kedua pada
transaksi bernilai kecil, meskipun kebijakan menyerukan untuk tanda tangan kedua, atau kegagalan
untuk mendokumentasikan aplikasi informasi teknologi baru , meskipun persyaratan sistem
dokumentasi pembangunan. Tim audit yang bertanggung jawab mungkin telah memutuskan hal itu
"terlalu kecil" untuk disertakan dalam ringkasan laporan audit final, tapi temuan tersebut sering
menunjuk potensi masalah sikap etis. Bahkan lebih buruk lagi, kadang-kadang jenis temuan yang
dilaporkan dalam laporan audit hanya untuk menepis dalam laporan tanggapan.
Beberapa yang sedang berlangsung "kecil" temuan tersebut tidak dapat menunjukkan
pelanggaran etika yang sedang berlangsung tetapi untuk daerah-daerah di mana aturan hanya perlu
diubah. Namun, auditor internal menelaah laporan audit masa lalu dan workpapers untuk masalah etika
117
yang terbaik mungkin bekerja dengan unit yang tepat dalam perusahaan untuk mendapatkan seperti
prosedur aturan yang tidak masuk akal berubah. audit internal mungkin juga mempertimbangkan
meluncurkan audit khusus untuk menilai sikap etis tersebut. Ini akan menjadi tinjauan kepatuhan yang
kuat yang mencakup beberapa daerah kunci di perusahaan atau review sangat terfokus dalam satu
departemen atau kelompok. Jenis internal audit memberikan penilaian secara keseluruhan sikap etis
dalam perusahaan.
(ii) Surveys Etika Sikap Karyawan Dan Stakeholder
Dilakukan dengan benar, karyawan, pejabat, dan survei stakeholder dapat menjadi cara yang
sangat baik untuk menilai sikap etika perusahaan. Idenya adalah untuk mengumpulkan informasi
sebanyak mungkin tentang sikap etika dan praktek dari kelompok besar dalam perusahaan, seperti
pekerja pabrik (jika sesuai), staf kantor, manajer senior, vendor, dan lain-lain. Survei ini akan
mencakup beberapa pertanyaan umum, tetapi setiap kelompok juga akan menerima pertanyaan khusus
ditujukan kepada tanggung jawabnya. Kelompok perwira senior, misalnya, akan menerima set yang
sama pertanyaan sikap organisasi yang diberikan kepada semua tapi mendapatkan pertanyaan spesifik
terkait SOx kontrol internal.
Tidak pernah mudah untuk menyusun sebuah survei pengumpulan fakta yang menerima tingkat
respon yang tinggi, dan bantuan penggunaan khusus harus dipertimbangkan. Daripada serangkaian
pertanyaan membutuhkan hanya ya-atau-tidak ada tanggapan, survei harus terdiri dari banyak
"Pernahkah Anda. . . "Pertanyaan di mana orang-orang yang menyelesaikan survei ini dapat
memberikan jawaban selama atau sesingkat seperti yang mereka inginkan. Terbuka tanggapan
membuat kompilasi hasil yang lebih sulit, tetapi informasi menarik dan berharga bisa diperoleh.
Persyaratan kunci dari jenis survei adalah bahwa hal itu harus sebagai anonim mungkin. Survei
harus dikirim langsung ke rumah karyawan bersama dengan surat lamaran dari chief executive officer
(CEO) menjelaskan tujuan mereka dan tujuan. Kembali amplop, prestamped, diarahkan ke kotak pos
khusus harus dimasukkan. Tujuan utama di sini akan untuk survei sikap etika, namun, jika perusahaan
telah membentuk fungsi hotline whistleblower, sebagaimana akan dibahas, survei ini juga
memungkinkan masyarakat untuk melaporkan hal-hal tersebut. Meringkas hasil survei bisa menjadi
tantangan besar, terutama jika responden telah memberikan respon dalam bentuk-bebas. audit internal
atau petugas etika akan bertanggung jawab untuk menyiapkan laporan ringkasan dengan tujuan
meninjau hasil dengan komite audit dan manajemen senior.
Survei etika akan memungkinkan audit internal, tim etika kantor yang ditunjuk, atau orang lain
untuk mendapatkan pemahaman yang umum tentang etika lingkungan dalam perusahaan. Hal ini dapat
menjadi langkah pertama untuk meluncurkan fungsi etika formal atau upgrade dan meningkatkan yang
118
sudah ada. Survei ini juga akan menyediakan manajemen umum dengan beberapa wawasan ke dalam
suasana etika secara keseluruhan di perusahaan. Meskipun tidak disyaratkan SOx, informasi ini akan
meningkatkan praktek tata kelola perusahaan dengan menyorot area dimana perbaikan diperlukan.
(C) Merangkum Hasil Etika Survey: Apakah Kita Memiliki Masalah itu?
Hasil survei sikap etika atau penilaian dari audit internal masa lalu dapat memberikan beberapa
jaminan bahwa hal-hal yang cukup bagus di seluruh perusahaan. Lebih sering, bagaimanapun, mereka
dapat menaikkan beberapa tanda-tanda meresahkan mulai dari penyimpangan kepatuhan kecil tapi terus
menerus, untuk vendor yang disurvei mengklaim taktik negosiasi berat tangan, kepada karyawan yang
menyatakan mereka telah diminta untuk membengkokkan aturan. Pertanyaan keras dengan hasil seperti
itu adalah apakah mereka mewakili pengecualian mengganggu atau ujung gunung es masalah etika
yang jauh lebih besar. Pada titik ini, audit internal dan petugas etika perusahaan seharusnya bertemu
dengan manajemen senior untuk mengembangkan beberapa langkah selanjutnya.
Seperti disebutkan, SOx berbicara tentang etika dan isu-isu whistleblower hanya dalam hal
pejabat keuangan senior dan penipuan keuangan potensial. A, kuat efektif program etika,
bagaimanapun, akan bermanfaat bagi seluruh perusahaan selain memberikan kepatuhan SOx. Jika
perusahaan sudah tidak memiliki program etika mapan, audit internal adalah area logis untuk
membantu menetapkan jenis program.
24.2
tata kelola perusahaan, kode etik perusahaan memberikan panduan yang mendukung bagi para
stakeholder. SOx frase menggunakan kode etik, kami menggunakan kode nama yang lebih tradisional
perilaku. Kode-kode ini telah berada di tempat di perusahaan besar selama bertahun-tahun. SOx
mensyaratkan bahwa semua pendaftar berkembang seperti kode untuk pejabat keuangan senior untuk
mempromosikan penanganan jujur dan etis dari setiap konflik kepentingan dan kepatuhan terhadap
peraturan pemerintah dan peraturan yang berlaku. Bahkan jika perusahaan tidak datang di bawah aturan
SOx, ada banyak manfaat untuk mengembangkan dan menerbitkan kode etik yang tepat. Kode SOx
yang diamanatkan, tetapi perusahaan-perusahaan dari berbagai ukuran bisa mendapatkan keuntungan
dari kode yang mencakup seluruh pemangku kepentingan.
Perusahaan efektif hari ini harus mengembangkan dan menegakkan kode etik yang berlaku
mencakup etika, bisnis, dan aturan hukum bagi seluruh pemangku kepentingan perusahaan: petugas
keuangan disorot dalam SOx, seluruh karyawan lainnya, dan pemangku kepentingan kelompok yang
lebih besar. Audit internal adalah tidak biasanya kelompok katalis untuk menyusun atau membuka
119
seperti kode etik, tetapi dapat menjadi peserta utama dalam kedua membantu untuk memulai kode dan
kemudian menentukan bahwa kode mempromosikan praktek bisnis yang etis di seluruh perusahaan.
(A) Kode Etik Isi: Pesan apa yang ada pada kode itu?
Kode etik harus menjadi mengatur, menghapus ambigu aturan yang menjelaskan apa yang
diharapkan dari semua pemangku kepentingan perusahaan, petugas, karyawan, kontraktor, vendor, dan
lain-lain. Kode harus didasarkan pada kedua nilai-nilai dan isu-isu hukum di sekitar perusahaan.
Artinya, sementara semua perusahaan dapat berharap untuk memiliki kode etik larangan terhadap
diskriminasi seksual dan rasial, kontraktor pertahanan dengan isu-isu terkait kontrak-banyak mungkin
memiliki kode etik yang agak berbeda dari operasi toko makanan cepat saji. Namun, kode harus
berlaku untuk semua anggota perusahaan dari tingkat yang paling senior seorang pegawai administrasi
paruh waktu. Sebagai contoh, kode etik aturan yang melarang pelaporan keuangan yang salah adalah
sama apakah diarahkan pada CFO untuk pelaporan keuangan yang tidak benar triwulanan atau bagiantimer untuk kartu waktu yang salah atau penipuan mingguan.
Jika perusahaan sudah memiliki kode etik, audit internal mungkin ingin jadwal review dari
waktu ke waktu untuk kembali kode tersebut. Terlalu sering, kode yang lebih tua pada awalnya
dirancang sebagai aturan bagi karyawan tingkat bawah dengan sedikit perhatian bagi anggota yang
lebih senior dari perusahaan. Sebagaimana telah kita bahas, SOx pedoman tata kelola perusahaan
dimaksudkan untuk perwira senior, tetapi juga harus berlaku untuk semua pemangku kepentingan
perusahaan. Bekerja dengan anggota senior manajemen dan komite audit, audit internal dapat
memeriksa kode etik yang ada untuk menentukan apakah aturan masih layak era pasca-SOx.
Daerah ini topik ditemukan dalam kode stakeholder perusahaan khas perilaku. Kode sebenarnya harus
memiliki aturan tertentu dalam setiap bidang ini.
I.
Pengantar
a. Tujuan
kode
etik
ini:
Suatu
pernyataan
umum
tentang
latar
belakang
e. Tanggung jawab untuk mengakui kode: sebuah deskripsi kode pengakuan proses untuk
semua stakeholder
II.
120
b. Perusahaan membeli praktek: pedoman dan kebijakan untuk menangani dengan vendor
III.
IV.
Konflik Kepentingan
a. Pekerjaan sampingan: batasan kerja meneerima dari pesaing
b. Investasi personal: aturan mengenai menggunakan data perusahaan untuk membuat
keputusan investasi pribadi
c. Hadiah dan mafaat lainnya: aturan mengenai menerima suap dan hadiah yang tidak tepat
d. Mantan karyawan: aturan yang melarang memberikan bantuan kepada eks-karyawan
dalam bisnis
e. Anggota keluarga: aturan tentang memberikan bisnis kepada anggota keluarga,
menciptakan potensi konflik kepentingan, dan hubungan anggota keluarga karyawan
V.
VI.
Mematuhi Hukum
a. Di dalam informasi dan insider trading: Sebuah aturan yang kuat yang melarang insider
trading atau dinyatakan mendapatkan manfaat dari informasi orang dalam.
121
b. Politik kontribusi dan kegiatan: Sebuah pernyataan yang kuat terhadap peraturan
kegiatan politik.
c. Penyuapan dan suap: Sebuah aturan perusahaan menggunakan suap atau menerima suap.
d. kesepakatan bisnis asing: Aturan mengenai berurusan dengan agen asing sesuai dengan
yang Korup Asing Practices Act.
e. keselamatan Tempat Kerja: Sebuah pernyataan tentang kebijakan perusahaan untuk
mematuhi aturan OSHA.
f. Produk keamanan: Sebuah pernyataan tentang komitmen perusahaan untuk keamanan
produk.
g. Perlindungan lingkungan: Sebuah peraturan mengenai komitmen perusahaan untuk
mematuhi dengan undang-undang lingkungan yang berlaku.
Kata-kata
ini
adalah
contoh
dari
nada
dan
gaya
yang
baik
kode
etik.
Ini menempatkan tanggung jawab pada penerima kode, mencoba untuk menjelaskan isu-isu yang jelas
cara, dan menyarankan diharapkan tanggapan dan tindakan.
Banyak perusahaan telah menemukan nilai dalam menambahkan serangkaian pertanyaan yang
sering diajukan (FAQ) ke kode bersama dengan jawaban yang disarankan. FAQs memungkinkan
pembaca untuk lebih memahami masalah, pertanyaan, dan aturan. Tim menyusun kode baru atau revisi
melakukan harus memastikan bahwa itu adalah jelas dan dipahami oleh semua. Ini bisa menjadi
mengedit nyata tantangan.
Kode etik untuk usaha yang berbeda terlihat berbeda dalam hal gaya, format,
dan ukuran. Beberapa kode adalah dokumen yang rumit; lainnya tulang sangat telanjang. Kode etik
perusahaan sudah tersedia melalui situs Web perusahaan atau etika atau departemen audit internal.
Disarankan bahwa tim merevisi suatu perusahaan perusahaan menghubungi kode dalam industri
mereka untuk memeriksa kode-kode mereka.
Perusahaan global menghadapi masalah lain ketika mengembangkan kode etik. Meskipun
korporasi mungkin berkantor pusat di Amerika Serikat, hal itu mungkin karena signifikan
operasi di seluruh dunia, di mana kunci manajer, karyawan, dan stakeholder lainnya
tidak menggunakan bahasa Inggris sebagai bahasa utama mereka. Meskipun biaya tambahan
terjemahan, perusahaan harus mempertimbangkan memproduksi versi kode di setidaknya bahasa utama
digunakan dalam operasi perusahaan. Jika ada beberapa lokasi dan jumlah hanya kecil
berbagai
bahasa
masing-masing
asing
bahasa
pemangku
lokal
kepentingan,
mungkin
ringkasan
cocok.
dari
Namun,
kode
mereka
etik
utama
versi
dalam
ringkasan
tentu harus menekankan bimbingan SOx penipuan yang sama keuangan yang terkandung dalam
utama kode etik.
122
diserahkan
kepada
seluruh
stakeholder
kebisingan
banyak,
dan
kemudian pada dasarnya mengajukan dan dilupakan. Jika dokumen merupakan kode yang baru atau
bahkan melakukan revisi besar, perusahaan harus melakukan upaya besar untuk memberikan
melakukan salinan kepada seluruh karyawan dan stakeholder. Mengingat kita saat ini aturan SOx,
langkah
pertama
yang
baik
akan
hadir
untuk
secara
resmi
kode
baru
ke
perusahaan manajer top, khususnya petugas keuangan. Di masa lalu, kode kadang-kadang melakukan
penerimaan hanya menerima token dari kelompok perwira senior, yang merasa dokumen benar-benar
untuk staf, bukan mereka. Skandal keuangan yang menuju ke SOx disorot perbedaan ini. Baik Enron
dan WorldCom telah kode etik perusahaan yang memadai, tapi pejabat perusahaan mereka ternyata
tidak merasa aturan-aturan ini diterapkan kepada mereka.
Kelompok manajemen senior harus kemudian secara resmi mengakui bahwa mereka memiliki
membaca,
memahami,
dan
akan
mematuhi
kode
etik.
Dengan
tim
manajemen
berdiri di belakang kode, perusahaan berikutnya harus menyajikan dan memberikan kode untuk
semua pemangku kepentingan perusahaan. Hal ini dapat dilakukan secara bertahap beberapa dengan
pengiriman ke lokal atau lebih fasilitas utama pertama diikuti oleh unit yang lebih kecil, lokasi asing,
dan lainnya stakeholder. Daripada hanya termasuk salinan kode dengan dokumen penggajian,
perusahaan harus melakukan upaya formal untuk menampilkan kode di cara yang akan mendapatkan
perhatian
Kode etik baru dapat dikomunikasikan melalui video oleh CEO, Webcast, sesi pelatihan, atau
cara lain untuk menekankan pentingnya. Khusus metode komunikasi dapat digunakan untuk kelompok
lain, seperti vendor atau kontraktor, tetapi perusahaan harus bertujuan untuk mendapatkan semua
pemangku kepentingan untuk secara resmi mengakui bahwa mereka akan mematuhi kode etik. Hal ini
dapat dicapai dengan Internet atau telepon respon sistem, di mana setiap pihak perusahaan diminta
untuk menanggapi tiga pertanyaan:
1. Apakah Anda menerima dan membaca salinan kode etik? Jawaban Ya atau Tidak
2. Apakah Anda memahami isi kode etik? Jawaban Ya jika Anda memahami kode etik atau
Tidak jika Anda memiliki pertanyaan.
3. Apakah Anda setuju untuk tunduk oleh kebijakan dan pedoman dalam kode etik?
Jawaban Ya jika Anda setuju untuk mematuhi kode dan No jika Anda tidak.
Tanggapan
harus
dicatat
pada
database
daftar
nama
karyawan
dan
tanggal kajian mereka dan penerimaan atau nonacceptance. Setiap pertanyaan dari item
123
Jika seseorang menolak untuk menerima kode karena pertanyaan, supervisor atau orang lain
harus mendiskusikan masalah tersebut dengan orang untuk mendapatkan resolusi akhirnya. Perusahaan
tersebut harus mengharapkan semua karyawan setuju untuk menerima dan mematuhi kode etik. Setelah
itu
kode
etik
hanyalah
peraturan
kerja,
dan
kegagalan
konsisten
untuk
perusahaan.
Selain
menerbitkan
kode
etik
dan
mendapatkan
stakeholder
penerimaan, ada juga kebutuhan untuk mekanisme untuk melaporkan pelanggaran kode dan untuk
menyelidiki dan penanganan pelanggaran-pelanggaran tersebut.
Jika perusahaan menerbitkan kode etik yang kuat bersama dengan sebuah pesan dari CEO
tentang pentingnya praktek etika yang baik, semua stakeholder diharapkan untuk mengikuti aturanaturan. Namun, orang adalah orang-orang, dan akan selalu ada beberapa yang melanggar aturan atau
berjalan di tepi. Sebuah perusahaan perlu membentuk cara untuk memungkinkan karyawan atau orang
luar untuk melaporkan pelanggaran terhadap kode di sebuah cara aman dan cara rahasia. Sebagian
besar bahwa mekanisme pelaporan dapat ditangani melalui fasilitas whistleblower, seperti dibahas
dalam Bagian 24.3. Lainnya potensi pelanggaran harus ditangani pada tingkat yang berbeda.
Pertimbangkan staf perempuan karyawan dengan seorang pengawas laki-laki yang "petunjuk" yang
nikmat seksual bersama dengan dia adalah yang baik cara untuk maju dalam perusahaan. Larangan
pelecehan seksual dalam kode melakukan belum tentu berhenti pengawas, dan sering karyawan tidak
dapat dengan mudah melaporkan situasi ini ke tingkat satu manajer di atas supervisor.
Selain fasilitas whistleblower, perusahaan harus membentuk lainnya mekanisme pelaporan
pelanggaran kode potensi perilaku. Karena beberapa orang mungkin tidak ingin untuk memanggil
fungsi etika hotline, sebuah pos baik dipublikasikan office kotak alamat kadang-kadang sangat efektif.
Stakeholder dapat didorong untuk mengirim surat sedemikian kotak PO, anonim atau tidak, untuk
melaporkan pelanggaran etika. Berdasarkan tanggapan, fungsi etika, Sumber Daya Manusia (SDM),
atau lainnya yang sesuai fungsi dalam perusahaan harus menyelidiki masalah tersebut dan mengambil
tindakan yang diperlukan.
124
Sebuah kode etik menggambarkan serangkaian aturan untuk tindakan diharapkan dalam
perusahaan. Ketika aturan ini dilanggar, masalah ini harus diselidiki dan tindakan diambil secara
konsisten, tidak peduli apa peringkat para pemangku kepentingan perusahaan. Jika kode etik melarang
pembuatan salinan perangkat lunak perusahaan-dan harus- hukuman bagi seorang analis staf di kantor
penjualan jauh atau manajer senior di perusahaan markas harus sama. Dengan asumsi mereka berdua
membaca larangan dalam penerimaan kode dan diakui, hukuman untuk pelanggaran harus konsisten.
Jika tidak, aturan akan tampak hanya berlaku untuk beberapa.
Sebagian besar pelanggaran kode etik dapat ditangani melalui perusahaan yang normal prosedur
HR, yang seharusnya telah membentuk proses dimana pelanggaran pertama mungkin mengakibatkan
konseling verbal atau percobaan dengan terminasi untuk pelanggaran berulang. Beberapa hal harus
dilaporkan
kepada
otoritas
di
luar.
Sebuah
pelanggaran
SOx
peraturan, seperti pengaturan rekening baru-baru ini ditemukan tidak berdokumen lembar, akan
dilaporkan kepada Komisi Sekuritas dan Bursa (SEC); pencurian barang dari sebuah gudang akan
dilaporkan ke jaksa daerah. Ketika hal ini ditemukan dan dilaporkan kepada pihak berwenang di luar,
bergerak hal di luar perusahaan's kontrol. Tujuan keseluruhan di sini adalah bagi perusahaan untuk
memiliki beberapa proses di tempat untuk mendorong semua stakeholder untuk mengikuti praktek etika
yang baik, sebagaimana didefinisikan dalam kode etik, dan untuk menyediakan mekanisme yang
konsisten untuk melaporkan pelanggaran dan mengambil tindakan disiplin jika diperlukan.
(D) Menjaga Kode Etik Kini
Banyak aturan dasar perilaku etis yang baik dan aturan khusus perusahaan-banyak tidak akan
berubah dari tahun ke tahun. Misalnya, aturan yang menyatakan bahwa semua stakeholder memiliki
tanggung
jawab
untuk
merawat
aset
perusahaan
mereka,
apakah
properti,
kas,
sumber daya komputer, atau orang lain, aturan tidak akan berubah dari waktu ke waktu. Usaha harus
review kode etik mereka dipublikasikan secara berkala, setidaknya sekali setiap dua tahun,
untuk membuat panduan tertentu masih berlaku dan arus. Tinjauan periodik mungkin termasuk kode
pernyataan mengenai kebutuhan keuangan yang akurat dan tepat waktu pelaporan di semua tingkatan
atau komitmen perusahaan untuk menghindari semua jenis keuangan penipuan. Perubahan kode etik
tidak boleh dianggap enteng. Setiap revisi harus pergi melalui pengumuman yang sama dan proses
peluncuran seperti yang dijelaskan untuk kode perkenalan. Kode direvisi harus diterbitkan untuk semua
pemangku kepentingan bersama dengan penjelasan tentang perubahan dan syarat untuk reacknowledge
penerimaan.
Sebuah kode etik dan revisi meminta penegasan kembali stakeholder dapat mahal,
membutuhkan sumber daya perusahaan khusus dari fungsi etika, HR, internal audit, dan lain-lain.
125
Seiring dengan pernyataan misi, perusahaan harus menjaga kode etik dan prinsip-prinsip yang
mendukung di depan semua pemangku kepentingan di setiap saat. Hal ini dapat dicapai melalui
referensi konstan kode, seperti dalam poster papan buletin di semua fasilitas, pertanyaan dan jawaban
dalam instruktif publikasi, atau segmen di kelas pelatihan karyawan. audit internal harus memainkan
peran kunci dalam mempromosikan kepatuhan kode dan pengawasan melalui review audit dan
berkelanjutan
kontak
di
seluruh
perusahaan.
Auditor
Internal
harus
sangat
menyadari kode perusahaan mereka perilaku dan menggunakannya sebagai dasar pelaporan
pelanggaran dan rekomendasi keputusan selama semua audit internal lainnya.
24.3
melihat beberapa bentuk kesalahan dapat independen dan anonim melaporkan bahwa tindakan untuk
perusahaan atau badan pengawas dengan tidak takut akan pembalasan. Whistleblower program sudah
ada selama beberapa tahun untuk mendukung federal AS kontraktor hukum, peraturan kesehatan dan
keselamatan, dan lain-lain. SOx, bagaimanapun, telah pindah aturan-aturan ini ke dalam kantor bisnis
semua perusahaan publik Amerika Serikat. Audit komite menetapkan prosedur whistleblower ini, tetapi
fungsi-fungsi lain, seperti departemen etika, HR, atau internal audit, benar-benar mengaturnya.
Banyak perusahaan yang telah membentuk fungsi etika juga memiliki hotline atau etika
pertanyaan serupa saluran telepon. Etika hotline ini dapat memberikan awal titik untuk fungsi
whistleblower SOx, tetapi mereka biasanya perlu penyesuaian atau finetuning. Terlalu sering,
melaporkan insiden yang tidak diselidiki dengan benar atau kerahasiaan tidak sekuat yang diperlukan.
Sebuah slip-up di sini dapat menyebabkan masalah utama untuk perusahaan jika stakeholder
whistleblowing merasa hal belum terselesaikan atau kerahasiaan individu telah diganggu. audit internal
seringkali dapat menjadi utama bantuan disini melalui review dari proses yang ada, rekomendasi yang
sesuai kontrol, dan memberikan bimbingan kepada komite audit.
Program whistleblower SOx-mandat anggota komite audit hadir dengan tantangan lain. Dewan
khas anggota direksi komite audit dapat sadar seperti fungsi perusahaan melalui presentasi masa lalu,
tetapi hampir pasti tidak akan menyadari proses yang diperlukan untuk mendirikan whistleblower
efektif program. kelompok audit internal dapat membantu wakil komite audit untuk menetapkan
program whistleblower yang efektif yang akan sesuai dengan SOx. Bagian ini membahas cara untuk
mendirikan program whistleblower yang efektif dan bagaimana audit internal dapat membantu untuk
memulai atau refresh fungsi.
126
berdasarkan
ketentuan
ini.
Meskipun
ada
belum
banyak
whistleblower hal yang berkaitan dengan SOx pada saat ini, jika pengalaman dari yang lain undangundang whistleblower diterapkan di sini, kita bisa melihat lebih banyak secara berkelanjutan. Karyawan
atau stakeholder yang mendaftar keluhan whistleblower akan dilindungi sampai masalah teratasi. SOx
tidak berusaha untuk menghindari keluhan sembrono oleh mensyaratkan bahwa pengungkap harus
memiliki
"masuk
akal"
keyakinan
bahwa
praktek
tindakan
kerja
yang
merugikan
berpotensi
menjadi
"Dilindungi informan" saksi. Beberapa sumber hukum menekankan bahwa karyawan ini undangundang perlindungan yang luar biasa dan menggarisbawahi keseriusan SOx aturan ini.
SOx mengharuskan komite audit untuk membentuk suatu proses penerimaan dan pengobatan
pengaduan yang diterima mengenai akuntansi, kontrol akuntansi internal, atau audit hal-hal dan untuk
"penyerahan, rahasia anonim oleh karyawan" tentang akuntansi dipertanyakan atau masalah audit.
Stakeholders yang percaya mereka telah sah diberhentikan atau didiskriminasi, karena mereka
whistleblower tindakan, dapat mencari bantuan dengan mengajukan pengaduan, dalam waktu 90 hari
setelah tanggal pelanggaran, dengan DOL atau melalui melakukan tindakan distrik pengadilan federal.
Yang dirugikan biasanya kebutuhan untuk mengamankan bantuan hukum untuk mencari bantuan, tetapi
banyak hukum perusahaan akan bersemangat untuk terlibat. Proses ini bisa memakan waktu dan mahal
untuk perusahaan terdakwa. Para prosedural aturan di sini, termasuk beban pembuktian bagi majikan
dan karyawan, ikuti Udara 21 statute2 bagi karyawan maskapai penerbangan. Untuk misalnya, untuk
menang pada keluhan sebelum DOL, karyawan harus menunjukkan bahwa alasan diskriminatif adalah
"faktor" di personil yang tidak menguntungkan tindakan. Relief akan ditolak, namun, jika majikan
menunjukkan dengan "jelas dan bukti meyakinkan "bahwa itu akan mengambil tindakan personil yang
sama di tidak adanya aktivitas dilindungi.
127
Seorang karyawan yang berlaku sedemikian tindakan berhak untuk ganti rugi penuh
termasuk pemulihan, kembali membayar dengan bunga, dan kompensasi untuk litigasi biaya dan biaya
pengacara. Namun, jika DOL tidak mengeluarkan keputusan akhir dalam 180 hari pengajuan keluhan
whistleblower itu, masalah ini mungkin akan dipindahkan ke pengadilan distrik federal. Masalah rumit,
yang whistleblower dirugikan dapat mengambil tindakan terhadap berbagai bidang, mencari
perlindungan di bawah undang-undang federal dan negara bagian serta setiap perjanjian perundingan
bersama. Pengusaha yang terkena potensial "Ganda bahaya" untuk tindakan whistleblower dengan
kewajiban di bawah kedua SOx dan negara atau federal undang-undang tentang debit salah dan
penyebab serupa tindakan. Selain itu, whistleblower dirugikan dapat mencari ganti rugi melalui
tindakan pengadilan terpisah.
Berdasarkan
pengalaman
administrasi
dan
peradilan
pada
energi
nuklir
dan
dan
disajikan
dalam
sebuah
laporan
audit
formal
dimana
manajemen
dapat menguraikan rencana untuk tindakan korektif. Namun, bagaimana jika audit internal
Tim menemukan sebuah akuntansi, pengendalian internal, atau bahan audit yang berada di luar
ruang lingkup audit saat ini dan tidak secara resmi dilaporkan dalam laporan audit? Bisa salah satu
anggota tim audit secara independen melaporkan hal tersebut di bawah whistleblower SOx
128
prosedur? Dapatkah auditor internal yang bertemu dengan akuntansi SOx dan internal
kontrol hal yang bukan merupakan bagian dari audit dijadwalkan pergi melalui pelapor
rute perlindungan untuk melaporkan hal itu? Bagaimana jika anggota tim audit internal belum
telah berkinerja baik dan pengakhiran ketakutan? Dapatkah yang menggali auditor berkinerja buruk
ditulis beberapa temuan yang potensial, mungkin dari workpapers masa lalu, dan laporan mereka di
luar departemen audit untuk memperoleh perlindungan whistleblower dan keamanan pekerjaan sampai
Hal ini diselesaikan?.
Tim audit internal adalah jelas bagian dari pengelolaan, dan tanggung jawab pertama
auditor internal adalah melaporkan setiap hal-hal yang tidak patut atau ilegal ditemukan selama
pemeriksaan untuk manajemen audit internal untuk disposisi. anggota tim audit internal
tidak boleh mencoba untuk bekerja sebagai whistleblower independen sebagai bagian dari internal
mereka audit bekerja. audit internal harus mengembangkan kebijakan yang jelas menyatakan bahwa
setiap akuntansi SOx, hal pengendalian internal, atau audit ditemui selama perjalanan dari audit
dijadwalkan harus didokumentasikan dalam workpapers audit dan dikomunikasikan untuk manajemen
audit
internal
untuk
resolusi.
Kedua
tim
internal
audit
dan pengelolaan fungsi diaudit harus memahami bahwa tujuan dari audit internal adalah untuk tidak
membiarkan lepas tim pelapor potensial dalam suatu departemen buku dan catatan. Semua barang yang
ilegal atau tidak layak harus diselidiki dan dilaporkan melalui proses audit internal yang normal.
(C) Meluncurkan Bantuan Perusahaan atau Fungsi Hotline
Banyak perusahaan memiliki fungsi membantu atau hotline, dikelola melalui etika departemen, HR,
atau penyedia independen, yang memungkinkan setiap karyawan atau stakeholder untuk memanggil
anonim dan baik mengajukan pertanyaan, melaporkan kekhawatiran, atau pukulan peluit pada beberapa
hal. Idenya adalah untuk memberikan fasilitas yang independen mana semua pihak bisa bertanya atau
melaporkan kesalahan yang mungkin di tingkat manapun. Hotline fungsi hukum tidak diperlukan,
tetapi memungkinkan karyawan atau pemangku kepentingan lainnya untuk mengajukan pertanyaan,
untuk melaporkan kesalahan yang mungkin, dan bahkan untuk mencari nasihat. Item dilaporkan dapat
berkisar dari tuduhan pencurian harta perusahaan, HR keluhan, atau mengganggu pertanyaan. Dalam
kebanyakan kasus, operator telepon akan mengambil semua informasi yang diperlukan, mengajukan
pertanyaan bila diperlukan, dan kemudian lulus kejadian ke otoritas yang sesuai untuk penyelidikan dan
resolusi. Operator hotline biasanya memberikan kejadian melaporkan sejumlah kasus sehingga
pemanggil kemudian dapat memeriksa pada resolusi.
Keberadaan sebuah hotline etika dan fasilitas whistleblower adalah nilai yang kecil kecuali jika
dikomunikasikan dan dijual kepada semua anggota perusahaan. Cara yang baik untuk memulai proses
129
ini adalah melalui kode etik pegawai, dibahas sebelumnya. Bahkan jika seperti hotline telah
diluncurkan, fakta bahwa line dapat digunakan untuk setiap pelapor potensi SOx perlu
dikomunikasikan. Tujuannya harus menyelidiki dan segera menyelesaikan semua panggilan-dan
terutama panggilan whistleblower-internal untuk menghindari peneliti luar dan pengacara.
24.4 Audit Fungsi Etika Perusahaan
Tujuan dari audit internal etika dan fungsi whistleblower adalah untuk menilai apakah
kelompok etika adalah mengikuti prosedur yang baik pengendalian internal, memanfaatkan sumber
daya yang efektif, sesuai dengan prosedur kerahasiaan yang baik, dan mengikuti piagam
departemennya otorisasi fungsi etika. Etika dan fungsi whistleblower mungkin sedikit berbeda dari
perusahaan ke perusahaan, tetapi audit internal harus mendapatkan pemahaman yang rinci tentang
bagaimana fungsi beroperasi dan prosedur yang biasanya dilakukan. Sebagai fungsi etika perusahaan
itu, internal audit harus berharap untuk menemukan prosedur setidaknya sama baiknya dengan audit
internal tentang sesuai dengan bidang-bidang seperti kerahasiaan dokumen dan dengan kebijakan
perusahaan pada biaya perjalanan. Lain etika fungsi tanggung jawab dapat menunjukkan daerah-daerah
dimana audit internal dapat menyarankan perbaikan. Sebagai contoh, kode etik's departemen etik
biasanya harus memiliki bentuk pengakuan atau proses dimana karyawan menunjukkan bahwa mereka
telah membaca dan memahami kode. Sebuah etika fungsi mungkin tidak menetapkan prosedur yang
tepat di sini untuk memastikan bahwa semua yang baru direkrut karyawan melalui proses pengakuan
kode. audit internal dapat menilai proses ini dan merekomendasikan perbaikan apabila diperlukan.
Exhibit 24.4 menjelaskan prosedur audit internal untuk review suatu perusahaan
etika dan fungsi pengaduan. Karena hubungan, dekat berkelanjutan yang harus ada antara fungsi etika
dan audit internal, CAE harus mendiskusikan penelaahan direncanakan dengan direktur etika secara
rinci untuk menjelaskan alasan dan tujuan pemeriksaan. Privasi dan kerahasiaan dapat menjadi isu di
jenis review. Sebuah panggilan untuk hotline mungkin telah menunjuk beberapa bentuk potensial
karyawan penyimpangan atau wahyu whistleblower SOx, yang etika akan ingin untuk menjaga rahasia
sampai masalah ini diselesaikan. Meskipun audit internal yang sedang berlangsung paparan ke daerah
sensitif lain dan masalah dalam perusahaan, direktur dari fungsi etika mungkin enggan untuk memiliki
auditor
internal
review
bahan-bahan
tertentu.
CAE harus menunjukkan paparan sedang berlangsung audit internal untuk sensitif lainnya informasi
dan persyaratan yang mengikuti standar profesional yang sesuai.
Exhibit 24.4 Langkah-langkah Audit untuk Tinjauan Fungsi dan Etika dari Whistleblower
1. Laporan Misi Perusahaan
130
1.1. Review pernyataan misi perusahaan untuk menilai apakah secara aktif dikomunikasikan
dan menekankan pentingnya etika pemerintahan dan bisnis praktek.
1.2. Jika pernyataan misi tampaknya kurang atau membutuhkan pembaruan, membahas daerah
atau rencana untuk perbaikan dengan komite audit.
1.3. Bertemu dengan anggota manajemen yang sesuai untuk menilai program-program yang
terus menerus untuk mempromosikan pernyataan misi seluruh perusahaan.
2. Etika Fungsi Administrasi
2.1. Menentukan siapa yang memiliki tanggung jawab untuk mengelola program etika secara
keseluruhan di perusahaan. Bertemu dengan fungsi untuk menilai kegiatan yang sedang
berlangsung dan program.
2.2. Mengembangkan pemahaman dan dokumen fungsi etika, termasuk unit struktur dan
pelaporan hubungan.
2.3. fungsi etika's Review piagam dan dokumentasi proses lainnya kunci, dan menentukan
bahwa mereka konsisten dengan inisiatif perusahaan lainnya.
2.4. Tentukan apakah ada beberapa bentuk fungsi hotline di tempat, dan menilai nya span
kegiatan.
2.5. Menilai fungsi etika prosedur keamanan kantor untuk kecukupan catatan, file, dan
keamanan workstation.
2.6. Jika kontraktor luar yang digunakan untuk menyediakan etika atau layanan hotline, review
dan dokumen kontrak pengaturan.
3. Kode Etik Proses
3.1. Mendapatkan salinan kode etik saat ini.
3.1.1. Menentukan bahwa kode tersebut saat ini dan secara teratur diperbarui.
3.1.2. Diskusikan kode dengan sampel staf perusahaan untuk menentukan bahwa
memahami kode dokumen.
3.1.3. Diskusikan kode dengan manajer dipilih di semua tingkatan untuk menentukan apakah
ada kekhawatiran tentang isu-isu kode atau konten.
3.2. Menilai kecukupan proses untuk memperoleh pengakuan kode.
3.2.1.
Pilih
sampel
karyawan
dan
menentukan
bahwa
mereka
mengakui
penerimaan kode.
3.2.2. Menentukan bahwa semua petugas telah menerima kode.
3.2.3. Menilai kecukupan prosedur untuk setiap karyawan yang gagal / menolak kode
pengakuan.
131
Mengembangkan
pemahaman
umum
proses
whistleblower
di
tempat,
dan
Menilai
kecukupan
proses
penebangan
pesan
whistleblower
atau
panggilan
Review
proses
disposisi
panggilan,
dan
memilih
sampel
panggilan
terbaru
Komite
Audit
Tanggung
Jawab.
Bertemu
dengan
perwakilan
komite
audit
menentukan pengetahuan dan pemahaman tentang etika dan program whistleblower dalam
tempat.
Dengan
asumsi
hal
ini
dapat
diselesaikan
dengan
tepat,
tinjauan
operasional
dari fungsi etika akan memberikan jaminan tambahan manajemen untuk integritas kontrol dalam fungsi
etika, komponen operasi di mana sebagian besar manajer memiliki eksposur sedikit atau pengalaman.
24.5 Meningkatkan Penerapan Tata Kelola Perusahaan
Sebuah program etika yang kuat, berdasarkan pernyataan misi berarti dan kode melakukan,
merupakan unsur kunci dalam setiap program secara keseluruhan tata kelola perusahaan di perusahaan.
skandal akuntansi yang mengarah ke SOx itu, dalam banyak hal, skandal di tingkat atas dari
perusahaan, baik yang disebabkan oleh petugas keuangan licik, CEO serakah, atau-jangan tanya-setiap
perusahaan akuntansi-pertanyaan publik. Eksekutif tim di perusahaan skandal akuntansi yang
menetapkan aturan mereka sendiri dengan sedikit pertimbangan diberikan ke seluruh perusahaan.
Akibatnya, SOx terutama difokuskan pada kelompok senior. Namun, kuat secara keseluruhan program
132
etika akan meningkatkan perusahaan praktek tata kelola perusahaan keseluruhan, bukan hanya orangorang di eksekutif kantor.
Etika dan proses whistleblower dibahas dalam bab ini adalah penting baik untuk kepatuhan SOx
dan tata kelola perusahaan, tidak peduli apa ukuran organisasi. Auditor Internal harus menyadari
praktek-praktek sebagai bagian dari CBOK mereka dan harus memainkan peran kunci dalam
membantu baik untuk memulai dan meninjau proses ini.
133
Chapter 25
DETEKSI DAN PREVENTIF KECURANGAN
Tergadang juga aktivitas yang perlu dipertanyakan bahkan akibat adanya kecurangan. Aktivitas
kecurangan dapat terjadi pada seluruh level di dalam perusahaan, pada pertengahan 2002, ketika Sox
berlaku, officer di dalam korporasi muncul sebagai pengacau utama yang menyebabkan banyaknya
kecurangan. CEO bekerjasama dengan CFO dapat melakukan kecurangan dengan memanipulasi laba
untuk meningkatkan keuntungan yang dilaporkan dan kompensasi bonus. Seorang manajer tingkat
menengah atau bahkan karyawan tingkat stafpun dapat melakukan tindakan kecurangan untuk
keuntungan pribadi ataupun frustasi kerja.
Auditor internal yang efektif perlu untuk mengenali potensi kecurangan di dalam praktekpraktek bisnis sebagai bagian dari audit dan kemudian harus memberikan rekomendasi pengendalian
dan prosedur untuk membatasi peningkatan aktivitas kecurangan.
Bab ini akan menguraikan pedoman yang berisi kondisi umum yang akan dijumpai audit
internal ketika menghadapi kecurangan yang potensial setelah itu akan mendiskusikan langkah-langkah
untuk mengidentifikasi, menguji, dan proses kecurangan itu.
25.1. Understanding and Recognizing Fraud
Kecurangan adalah salah satu istilah yang sering digunakan banyak orang meskipun mereka
tidak sepenuhnya memahami apa yang dibicarakan. Langkah pertama yang penting bagi auditor
internal disini adalah memahami definisi yang sesuai dengan dictionary dan hukum mengenai apakah
kecurangan itu.
Ketika kecurangan ditemukan di dalam perusahaan, audit internal sering kali menjadi sumber
pertama yang dipanggil untuk melakukan investigasi dalam menentukan besarnya kecurangan yang
dilaporkan. Dalam situasi lain, auditor internal menemukan kecurangan selama schedule audit dan
kemudian menginvestigasi dan melaporkan hal tersebut kepada konsulat perusahaan atau otoritas
hukum lainnya.
Bab ini juga mendiskusikan inisiatid IIA untuk mereview kecurangan dalam audit internal
seperti halnya prosedur untuk mendeteksi dan mencegah kecurangan system komputer. Dulunya
kecurangan ada diluar tanggung jawab auditor, namun saat ini mereka memiliki tanggung jawab yang
meningkat untuk mendeteksi kecurangan dalam review aktivitas yang dilkukannya dengan memberikan
134
rekomendasi pengendalian yang tepat untuk pertahanan atas adanya kecurangan dimasa yang akan
datang.
25.2. Red Flags: Fraud Detection Signs for Internal Auditors
Auditor dan manajemen harus melihat indicator aktivitas kecuangan yang mungkin lebih dalam
lagi. Oleh karena itu mereka perlu untuk melihat yang dinamakan dengan red flag.
Beberapa tipe sinyal red flag yang dapat menunjukkan aktivitas kecurangan keuangan yang
potensial antara lain yaitu :
Operasi yang tidak teratur di berbagai bidang seperti pembelian, penerimaan, gudang atau
kantor regional.
Saldo bank tidak direkonsiliasi dengan dasar waktu atau terdapat stale item di dalam
rekonsiliasi bank
Saldo buku besar pembantu yang diluar kondisi secara terus menerus
Perbedaan antara perhitungan fisik inventory dan pencatatan perpetual yang tidak dijelaskan
secara berkelanjutan.
Transfer dana yang berkelanjutan atau tidak biasa anatar rekening bank perusahaan
Prosedur penyaringan karyawan baru yang buruk, termasuk tidak adanya latar belakang atau
referensi
135
Officer atau karyawan dengan gaya hidup yang lebih dari kemampuannya
Karyawan yang memiliki hubungan erat satu sama lain di daerah dimana pemisahan tugas yang
dielakkan
Penyalahgunaan akun beban seperti manajer yang tidak mengikuti peraturan yang telah dibuat
Namun, auditor internal sering kali gagal mendeteksi kecurangan untuk alasan berikut :
Penekanan yang tidak cukup pada isu kecurangan yang potensial dalam audit finding yang
sering menunjuk kepada red flag.
Perhatian akan kecurangn menerima dukungan yang tidak tepat dari manajemen.
Beberapa hal dibawah ini merupakan daftar beberapa tipe alasan untuk melakukan kecurangan yang
antara lain yaitu :
136
Frustasi pekerjaan, sehingga karyawan berpikiran bahwa perusahaan mereka tidak peduli pada
mereka, dan mereka merasa bebas untuk melakukan tindakan yang tidak benar.
Semua orang memiliki sikap tersebut, salam situasi ini sangat umum dalam lingkungan bertipa
small retail dimana karyawan berpikir orang lain yang mencuri.
Tantangan untuk mengalahkan system, yang kemungkinan terdapat hacker dalam lingkungan
system terotomatisnya.
Kelemahan pengendalian internal membuat kecurangan menjadi mudah, hal ini merupakan
memotivasi dasar banyaknya penipuan karena dengan lemahnya pengendalian membuat
kecurangan tidak akan terdeteksi.
Rendahnya kesetiaan atau rasa memiliki organisasi. Saat ini pemilik operasi bisnis mungkin
kontinen dan lapisan bisnisnya jauh sehingga tidak terlalu peduli dalam perkembangan.
kecurangan dilakukan hanya oleh satu orang saja. Deteksi kecurangan akan lebih sulit dideteksi
ketika terdapat kolusi diantara banyak orang.
Ketika beberapa orang melakukan kecurangan bersama-saman, akan selalu ada kemungkinan
seseorang pangkatnya akan diputuskan. Kecurangan yang melibatkan senior manajemen akan sulit
untuk terdeteksi, sedangkan yang terjadi di level perusahaan yang lebih rendah akan lebih mudah
untuk terdeteksi dengan investigasi auditor internal yang tepat.
137
Auditor tidak memiliki tanggung jawab untuk merencanakan dan melaksanakan audit
untuk memperoleh keyakinan yang memadahi ata adanya salah saji, baik disebabkan oleh
error atau kecurangan yang tidak material dengan laporan keuangan yang dideteksi.
Meskipun selama periode munculnya kecurangan keuangan yang mengarah pada
Treadway Commission Report on Fraudulent Financial Reporting pada tahun 1987, standard
audit AICPA tetap tidak mengharuskan auditor internal bertanggung jawab atas deteksi
kecurangan.
Kemudian tanggung jawab ini dinyatakan kembali dalam SAS No.82 yang berisi Auditor
memiliki tanggung jawab untuk merencanakan dan melaksanakan audit untuk memperoleh
keyakinan yang memadai mengenai apakah laporan keuangan bebas dari salah saji material, baik
disebabkan oleh error atau kecurangan.
Berdasarkan Sox dan PCAOB yang baru, pada desember 2002, AICPA menerbitkan SAS
No, 99 mengenai tanggung jawab auditor untuk mendeteksi kecurangan pelaporan keuangan.
SAS Np. 99 ini, merupakan perubahan utama tanggung jawab auditor eksternal, dimana mereka
harus mengambil sikap skeptisme 138llegal138onal (keraguan) terhadap kemungkinan adanya
kecurangan.
Karakteristik terjadinya kecurangan yang timbul dari penyalahgunaan asset dan pelaporan
keuangan. Factor resiko yang terkait dengan salah saji penyalahgunaan asset yaitu :
1) Insentif/Tekanan
a) Kewajiban keuangan personal dapat menciptakan tekanan bagi manajemen atau
karyawan yang memiliki akses ke kas atau asset lain yang rentan terhadap pencurian
atau penyalahgunaan
b) Hubungan yang merugikan antara perusahaan dan karyawan dengan akses ke kas atau
asset lain yang rentan atas penucurian memotivasi karyawan tersebut untuk
menyalahgunakan asset. Hubungan tersebut seperti :
Promosi, kompensasi, atau reward lain yang tidak konsisten dengan yang
diharapkan.
atau
keadaan
tertentu
yang
dapat
meningkatkan
kerentanan
138
Inventory dengan ukuran yang kecil, jumlah yang banyak, atau yang
memiliki permintaan besar.
Asset tetap dengan ukuran yang kecil, berharga, atau yang kurang jarang
diamati oleh pemilik.
b) Pengendalian internal yang tidak memadai atas asset dapat meningkatkan kerentanan
penyalahgunaan asset. Penyalahgunaan asset ini meningkat ketika :
Pada perubahan SAS No.99 mengakui bahwa manajemen sering kali dalam posisi
mengesampingkan pengendalian untuk melakukan kecurangan laporan keuangan.dalam standard
tersebut menyatakan bahwa penekanan utama auditor eksternal dalam mendeteksi kecurangan
adalah prosedur untuk melaksanakan periktan audit. Untuk membebankan standard audit deteksi
kecurangan bagi anggotanya, AICPA memberikan langkah-langkah yang kuat untuk membawa
auditor eksternal dengan cepat kearah situasi yang mendorong adanya kecurangan baik dengan
material pendidikan maupun studi kasus yang dapat ditemui di dalam web pagenya.
25.4 IIA Standards for Detecting and Investigating Fraud
139
Auditor internal banyak menghadapi kecurangan potensial dalam review yang telah
dijadwalkannya. Mereka lebih banyak terlibat dalam review transaksi yang lebih rinci daripada
auditor eksternal dan selain itu mereka dapat melihat dokumen atau transaksi yang dipertanyakan
lebih sering lagi. Apabila manajemen merasa terdapat kecurangan yang potensial di dalam
perusahaan, langkah pertama yang hamper sering dilakukan adalah menghubungi auditor internal
yang memiliki beberapa hubungan dan komunikasi dengan departemen hokum perusahaan.
Standard professional praktek audit internal oleh IIA, menyatakan bahwa kecurangan
mencakup pandangan secara umum. Auditor internal harus memikirkan hal yang terjadi sebagai
kemungkinan kesalahan dan harus melihat setiap bukti atas aktivitas yang tidak tepat atau
140llegal di dalam audit.
Mengakui bahwa mungkin sulit untuk mendeteksi kecurangan, standard IIA 2004
1210.A2 yang direvisi menyatakan bahwa : auditor internal harus memiliki pengetahuan yang
cukup untuk mengidentifikasi indicator kecurangan tetapi tidak diharapkan untuk memiliki ahli
yang memiliki tanggung jawab utama dalam mendeteksi dan menginvestigasi kecurangan.
Dalam melaksanakan tanggung jawab ini, auditor internal harus menentukan misalnya,
apakah :
Lingkungan organisasi mendorong kesadaran pengendalian dan sasaran serta tujuan
realistis perusahaan telah ditentukan
Kebijakan tertulis yang ada menjelaskan aktivitas yang dilarang dan tindakan yang
diperlukan ketika pelanggaran ditemukan.
Kebijakan otoriasi yang tepat untuk transaksi telah dibangun dan dikembangkan
Kebijakan, praktek, prosedur, laporan dan mekanisme lain dikembangkan untuk
memonitor aktivitas dan menjaga asset terutama pada area yang beresiko tinggi.
Sumber komunikasi memberikan informasi yang cukup dan dapat dipercayakepada
manajemen
Rekomendasi perlu dibuat untuk pembentukan dan peningkatan pengendalian biaya
efektif untuk mencegah kecurangan.
25.5 Fraud Investigations for Internal Auditors
Selain membantu dalam membangun dan mereview pengendalian untuk mencegah dan
mendeteksi kecuranga, auditor internal seringkali terlibat dalam investigasi kecurangan. Ketika
menghadapi informasi yang berpotensi kecurangan, langkah awal auditor internal adalah
140
Masalah akses internet. Perusahaan sering membuat panduan dan pengendalian untuk
membatasi penggunaan internet, namun web begitu meluas yang sulit untuk memishkan
pribadi dari penggunaan bisnis. Peraturan tersebut sering kali dilanggar oleh karyawan dan
sering kali dilewati dengan menggunakan perangkat lunak yang memungkinkan mereka
untuk berkeliling dalam system firewall.
Penggunaan personal sumberdaya TI yang tidak tepat. Perusahaan harus menetapkan aturan
yang menyatajan bahwa tidak boleh ada file atau program pribadi di dalam work supplied
systems.
141
Keamanan
komputer
dan
kecurangan
konfidensial.
Karyawan
dapat
melanggar
perlindungan password dan mendapatkan akses yang tidak layak ke system komputer dan
file.
Informasi pencurian melalui perangkat USB. Saat ini perangkat penyimpanan yang
berukuran kecil dapat dipasang pada system komputer dan digunakan untuk mendownload
beberapa gigabyte informasi.
Pencurian informasi atau kecurangan penyalahgunaan komputer. Ini adalah salah satu hal
yang tidak benar untuk mengakses system komputer dengan melanggar pengendalian
password dan untuk melihat, memodifikasi, atau menyalin data atau files dengan tidak tepat
yang dapat menyebabkan terjadinya computer crime.
Penggelapan atau transfer dana elektronik tanpa otorisasi. Mencuri uang atau sumber daya
lain melalui transaksi yang tidak tepat atau tidak terotoriasi merupakan penyebab yang
masalah kecurangan system dan jaringan TI yang signifikan.
Hal diatas merupakan hal yang dianggap kecil untuk pelanggaran TI. Namun, auditor
tidak perlu mereview bagian ini, karena ada daerah yang memiliki resiko lebih tinggi yang
menghabiskan waktu dan sumberdaya yang terbatas.
25.7 Fraud Detection and the Internal Auditor
Akibat adanya skandal keuangan yang menimbulkan terbentuknya Sox, AICPA dan auditor
eksternal memiliki tugas utama untuk mendeteksi lebih baik aktivitas kecurangan dalam audit
laporan keuangan. Auditor internal juga perlu untuk lebih banyak mempertimbangkan kecurangan
dalam pekerjaannya. Seseuai dengan SAS No.99, auditor internal seringkali terlibat dalam
pekerjaan investigasi kecurangan. Auditor internal harus memiliki pemahaman CBOK mengenai
red flag yang menindikasikan kemungkinan kecurangan sama halnya dengan prosedur review
yang termasuk dalam investigasi kecurangan dalam semua audit internal.
142
CHAPTER 27
PROFESSIONAL CERTIFICATIONS : CIA, CISA, and MORE
Sertifikasi profesional banyak dipandang sangat bermanfaat, tetapi yang lain tampaknya tidak
melihatnya begitu berharga. misalnya, dan tidak untuk memilih pada industri, industri asuransi diisi
dengan berbagai jenis dan tingkat sertifikasi. Pembeli potensial dari asuransi jiwa misalnya dapat
menghadapi orang penjualan dengan aliran inisial sertifikasi setelah nama pada kartu bussines. Apakah
sertifikasi inisial tersebut mempunyai pengaruh terhadap perilaku konsumen dalam memutuskan untuk
membeli asuransi kepada seorang sales asuransi atau sales asuransi lainnya?. Bagi banyak orang
jawabannya mungkin tidak. Sertifikasi inisial tersebut mungkin akan membantu memberitahu
konsumen apakah tenaga penjualan asuransi tersebut berpengalaman atau tidak.
Auditor internal juga memiliki kebutuhan untuk sertifikasi profesional yang kuat dan terorganisir.
Banyak telah bergabung profesi dengan tidak ada persyaratan sertifikasi spesifik di luar gelar sarjana
kuliah yang mereka ambil. Yang lain mencapai derajat akuntansi dan disiapkan untuk ujian sertifikasi
akuntan publik. Manajemen pernah berasumsi bahwa potensi calon auditor internal harus memiliki
CPA untuk menjadi memenuhi syarat sebagai auditor internal, tapi seiring berjalannya waktu banyak
menyadari bahwa profesi auditor internal membutuhkan orang-orang dengan kualifikasi lebih dari
sekedar CPA. Keadaan berubah atas desakan dari Institut Internal Auditor (IIA) professional. Dan
hasilnya adalah adalah sertifikasi auditor internal bersertifikat (CIA). Sekarang di luar atau terpisah dari
CIA, seorang internal auditor dapat menjadi auditor sistem informasi yang bersertifikat (CISA),
pemerika fraud bersertifikat (CFE), atau banyak lagi dari sertifikasi. Beberapa dari sertifikasi ini
mungkin sangat berharga bagi beberapa auditor internal yang khas. Bab ini mendiskusikan sertifikasi
professional yang paling penting untuk auditor internal modern. khususnya, bab ini seperti di CIA dan
CISA sertifikasi, termasuk kualifikasi dan persyaratan pemeriksaan.
27.1 Certified Internal Auditor Responsibilities and Requirements
Didukung oleh IIA, sertifikai CIA merupakan satu-satunya sertifikasi yang diterima di seluruh
dunia untuk bidang internal audit dan mengandug standar-standar mayoritas yang diperlukan oleh
seorang internal auditor dalam menjalankan pekerjaannya. Ujian CIA pertama kali diadakan pada
agustus 1974 dengan 654 peserta dan ada lebih 50000 orang yang mengikuti sampai sekarang. Ujian
CIA memakan waktu 11 jam dan terdiri dari 4 bagian yaitu :
1.
2.
3.
4.
143
Dengan mengajukan diri menjadi peserta ujian CIA, berarti seseorang itu setuju untuk menerima
segala kondisi dari program itu termasuk keseluruhan persyaratan, ujian dan penerimaan kode etik CIA,
pendidikan berkelanjutan profeional (CPE) dan banyak kondisi lainnya yang disyratkan oleh
departemen sertifikasi.
Untuk mengajukan diri menjadi peserta ujian CIA, peserta harus merupakan sarjana atau setara
dengan sarjana seperti sarjana akuntansi dari institusi yang terakreditasi. Para kandidat peserta CIA
harus menunjukan moral yang tinggi dan karakter professional dan harus mengumpulkan sebuah
referensi karakter kepada CIA. Sebagai tambahan internal auditor harus memenuhi syarat mempunyai
pengalaman sebagai internal audit dalam 24 bulan atau pengalaman lainnya yang sama dalam bidang
audit, eksternal audit, internal control. Untuk lulusan dari S2 disyaratkan mempunyai pengalaman kerja
minimal 1 tahun. Pengalaman kerja harus diverifikasi oleh CIA atau supervisor dari calon peserta ujian
CIA itu sendiri.
(a) The IIA Examinations
versi
nasional
berbagai
sertifikasi
akuntan.
CIA
adalah
satu-satunyadiakui
secara
144
kandidatharushadiruntuk
mengujisitus
examinations,saatiniCIAditawarkanmelalui
komputersituspengujian(CBT).Calonharus
sebuahsituspengujian"tiket,"
untukproctored
sit-down
rantaiseluruh
memenuhipersyaratan
dankemudian
mengaturuntuk
duniaberbasis
pendaftaran,
menerima
mengunjungisebuah
situspengujianberwenang.
27.2
sertifikasi klasifikasi professional yakni CCSA ,CGAP, dan CFSA. Inilah beberapa saringan dari 125
pertanyaan pilihan ganda yang terdahulu masing masing 3 jam 15 menit.Ketiga sertifikasi klasifikasi
professional ini dapat digunakan pada pergantian untuk bagian IV dari pemeriksaan regular dari
CIA.Masing-masing bagian ini kemudian di lanjutkan dengan beberapa CBT testing facility sebagai
pemeriksaan CIA
(a)
CCSA REQUIREMENTS
Bab 11 menjelaskan proses penilaian kontrol diri IIA. Tes CCSA menguji pemahaman kandidat
mengenai pentingnya fundamental CSA, proses, dan topik-topik terkait seperti risiko, kontrol,
dan tujuan bisnis. Tes tersebut untuk menguji pengetahuan mereka tentang proses CSA di enam
proses pengetahuan CSA dengan lebih detail daripada yang disajikan dalam teks bab 11 ini. CCSA
sendiri akan memberikan seorang praktisi tingkat keahlian di bidang ini, tetapi harus dikombinasikan
dengan yang lain sertifikasi, seperti CIA. Penyelesaian pemeriksaan CCSA juga dapat berfungsi
sebagai pengganti alternatif untuk bagian IV pemeriksaan reguler CIA.
(b) CGAP REQUIREMENTS
145
CFSA adalah sertifikasi khusus lainnya yang dikeluarkan oleh IIA dan disesuaikan untuk
membuktikan kompetensi dan profesionalisme internal auditor dalam bidang perbankan, asuransi, dan
layanan sekuritas keuangan. Ujian CFSA mencakup area sebagai berikut :
Domain 1
Domain 2
: Perbankan
Domain 3
: Asuransi
Domain 4
: Sekuritas
Pengetahuan khusus yang diminta oleh masing-masing domain sangat berbeda. Karena spesialisasi
aturan dan praktiknya antarnegara, ujian CFSA hanya terbatas di Amerika Serikat dan Kanada.
(d) Importance of the CIA Specialty Certification Examinations
Sementara pemeriksaan CIA yang sangat penting bagi auditor internal sebagai tingkat profesional
dan manajer meninjau mandat auditor internal mereka, mungkin ada nilai profesional yang terbatas
untuk sertifikasi khusus untuk auditor internal IIA. Sebagai contoh, CFSA adalah sebutan baru yang
tidak diakui secara luas, dan auditor internal mengklaim kredensial tersebut tidak mungkin terkesan
terlalu banyak orang saat ini.
Namun, mencapai CFSA atau penunjukan CCSA dapat menjadi penting bagi auditor internal
yang bekerja di daerah-daerah khusus. Untuk auditor internal bekerja di lingkungan pemerintah di
tingkat manapun, misalnya, CIA bersama dengan GAAP bisa sangat berharga.
Pemeriksaan CIA keseluruhan harus menjadi ujian penting dan pengukuran untuk semua auditor
internal. Pengetahuan tentang bidang topik CIA, juga merupakan set yang sangat baik persyaratan
CBOK untuk auditor internal. Semua auditor internal harus mempertimbangkan pencapaian CIA
sebagai tujuan profesional prima.
27.3 Persyaratan Certified Information System Auditor (CISA)
Seperti disebutkan, ISACA didirikan oleh auditor internasional yang merasa IIA tidak
memberikan perhatian yang cukup untuk masalah sistem teknologi dan informasi (IS) atau teknologi
informasi (TI). Selama bertahun-tahun, kedua kelompok profesional telah beroperasi dalam cara yang
agak paralel, dan ISACA memiliki ujian sertifikasi yang mirip tapi lebih fokus pada TI daripada CIA
IIA, pengujian CISA, dan gelar profesional. Pengujian CISA ini terbuka untuk semua individu yang
memiliki minat dan keterampilan dalam IS audit, kontrol, dan keamanan.
Selain melalui pengujian CISA, seorang calon harus memiliki minimal lima tahun sistem
informasi profesional audit, kontrol, atau keamanan yang berhubungan dengan pengalaman kerja.
Maksimum satu tahun dari pengalaman sistem informasi atau satu tahun pengalaman audit keuangan
146
atau operasional dapat diganti untuk salah satu dari lima tahun dari system informasi audit, kontrol,
atau pengalaman keamanan.
Pengujian CISA memiliki pendidikan yang sama, pengalaman, dan persyaratan pendidikan
berkelanjutan seperti untuk pengujian CIA dibahas sebelumnya. Ini adalah teknis yang cukup tingkat
pengujian, dan meskipun seorang calon mungkin telah mencapai sertifikasi CIA, CISA membutuhkan
pengetahuan teknis dalam serangkaian bidang yang luas.
Gelar CISA telah diterima secara global standar pencapaian dalam audit sistem informasi,
kontrol, atau bidang keamanan sejak tahun 1978 dan telah diakui oleh banyak pemerintah dan
kelompok bisnis besar di seluruh dunia.
27.4 Certified Information Security Manager Certification
Tawaran kedua oleh ISACA dan secara relatif sertifikasi baru dan ujiannya, yaitu Certified
Information Security Manager Certification (CISM). Program ini diresmikan pada 2004. Dasar adanya
sertifikasi CISM adalah kelanjutan profesionalisme bagi yang sudah memiliki tingkat pengalaman yang
tinggi dalam keamanan IS. Program CISM sangat mirip dengan ujian CISSP.
Ujian CISM dilaksanakan dua kali dalam satu tahun dan berhubungan dengan lima informasi area
keamanan manajemen. Ujian ini menggambarkan suatu pekerjaan yang membutuhkan informasi
keamanan manajer, sebagai validasi oleh pemimpin industri terkemuka, subyek yang ahli dalam
menangani masalah, dan praktisi industri.
Saat ini, CISM adalah test yang baru dan sertifikat dengan track record yang sedikit. Karena CISM
didukung oleh organisasi ISACA yang sangat kuat dan dapat diyakinkan, kita dapat berharap CISM
dapat berkembang dalam status dan diakui. Menyiapkan dan mendudukkan beberapa ujian keahlian
adalah latihan pembelajaran terbaik untuk beberapa professional, internal auditor dapat menunggu
untuk melihat bagaimana perkembangan pengakuan CISM sebelum mengambil ujian ini.
27.5 certified fraud examiner
Perhatian terkait kecurangan dan investigasinya telah meningkat kepentingannya.
The
Association of Certified Fraud Examiners (ACFE) merupakan organisasi profesional yang sangat
terlibat dalam masalah terkait kecurangan dalam auditor internal. Organisasi ini memiliki sertifikasi
profesional sendiri bernama Certified Fraud Examiner (CFE). Mendapatkan gelar CFE merupakan
indikator keunggulan dalam profesi yang antifraud. Anggota CFE dapat mencalonkan dirinya untuk
menjadi pimpinan dalam komunitas antifraud.
Penilaian CFE terdiri dari empat area :
1. Criminology dan Etika
147
2. Transaksi keuangan
3. Legal Elements of Fraud
4. Penilaian dan Investigasi kecurangan
27.6 CISSP Information Syatems Security Professional Certification
Sebuah organisasi profesional mengetahui sebagai Internal Information Systems Security
Certification Consortiumatau (ISC)2 yang bertanggung jawab untuk salah satu lebih menantang dan
lebih baik yang diakui audit internal terkait sertifikasi profesional dan pemeriksaan, bahwa dari Sistem
Informasi Certified Professional Keamanan (CISSP). Ujian CISSP erat disupervisi, materi pelatihan
ditinjau dan disetujui oleh (ISC) 2, dan kualitas keseluruhan pemeriksaan tinggi. Orang dengan
sertifikasi CISSP hampir pasti memiliki pengetahuan yang tinggi IS keamanan.
27.7 ASQ Internal Audit Certifications
ASQ mensponsori jaringan luas pengujian dan sertifikasi untuk semua aspek operasi, termasuk
ujian dan sertifikasi Certified Quality Auditor (CQA). CQA adalah seorang professional yang
memahami standard dan prinsip-prinsip dari audit manajemen kualitas dan tehnik dalam menguji,
membuat pertanyaan, mengevaluasi, dan melaporkan untuk memutuskan kesesuaian kualitas sistem dan
defisiensi. CQA menganalisis seluruh elemen dari kualitas sistem dan memberikan penilaian terhadap
derajat ketaatannya untuk kriteria manajemen industri dan evaluasi kualitas dan sistem pengendalian.
Perbedaan antara auditor internal reguler dengan CQA terletak pada grup penjaminan kualitas dan
menghabiskan lebih banyak waktu pada review orientasi proses yang bersaing dengan review keuangan
dan operasional IIA internal auditor. CQA juga sering bekerja pada area produksi dan melakukan lebih
banyak review daripada level CIA internal auditor.
Meskipun banyak auditor ASQ juga merupakan member IIA, mereka juga sering melaksanakan
professional CQA certification. Untuk mencapai sertifikasi auditor berkualitas, para kandidat harus
melewati 5 jam, ujian soal multiple choiceyang mengukur pemahaman dari profesi audit
berkualitas.Batas minimum professional CQA auditor berkualitas, yaitu CQA auditor berkualitas harus:
Memiliki pengetahuan untuk menunjukkan tipe yang berbeda dari tujuan, secara etis
pertemuan
menggunakan
tehnik
audit
yang
diterima
dan
diverifikasi,
Mampu secara objektif menyajikan hasil audit yang sesuai standard dan mengevaluasi
keeffektivan hasil dan aktivitas koreksi yang sesuai etika dan seiring waktu.
Mengetahui dan mampu mengaplikasikan tehnik dan tool dasar auditing, seperti flowcharting,
variasi
konsep,
tehnik
observasi,
dan
tehnik
pengujian
fisik.
CQA juga
harus
149
Chapter 28
INTERNAL AUDITOR SEBAGAI KONSULTAN PERUSAHAAN
Suatu peran internal auditor sebagai konsultan bisnis kadang-kadang sedikit ambigu. Sampai
saat ini, Institute of Internal Auditor (IIA) International Standards for the Professional Practice of
Internal Auditing (Standar Internasional Praktik Profesional Audit Internal), seperti yang dijelaskan
dalam Bab 8, melarang auditor internal dari bertindak sebagai konsultan bisnis. Gagasan sudah bahwa
auditor internal berada di sana untuk meninjau dan menilai pengendalian internal dan kemudian untuk
membuat rekomendasi untuk perbaikan kontrol dan tindakan korektif melalui laporan audit internal.
Berpikir kemudian adalah bahwa konsultasi internal audit tindakan yang mungkin menciptakan konflik
kepentingan. Standar ini tidak ada konsultasi-tidak diikuti terlalu dekat; auditor internal yang sering
bertindak seperti konsultan sebagai bagian dari mereka manajemen berorientasi review. Penulis
mengingat hari sebelumnya sebagai suatu informasi teknologi (IT) auditor internal. Dengan lima tahun
ditambah mengembangkan dan merancang TI aplikasi dan pemahaman yang kuat tentang proses
pengembangan sistem, itu sulit untuk tidak bertindak sebagai seorang konsultan. Banyak auditor
internal lainnya semua tapi diabaikan konsultasi larangan ketika membuat rekomendasi audit internal.
Larangan konsultasi audit internal menjadi lebih kuat pada hari-hari awal Sarbanes-Oxley Act
(Sox). Sementara undang-undang Sox awal hampir tidak disebutkan internal audit, banyak orang
merasa bahwa audit internal akan melanggar aturan ini tidak ada konsultasi- jika itu membantu
manajemen untuk menginstal efektif Bagian 404 proses pengendalian internal. Aturan sejak berubah,
bagaimanapun, dan baru sekarang IIA standar tegas izin auditor internal untuk bertindak sebagai
konsultan manajemen dalam tertentu yang ditunjuk dan ditentukan review audit. Banyak standar IIA
sekarang dipisahkan menjadi berbeda membuktikan (yaitu, audit) dan konsultasi bagian bimbingan.
Bab ini membahas potensi peran audit internal sebagai konsultan internal untuk keseluruhan
perusahaan auditor. Kami membahas konsultasi standar IIA dan bagaimana layanan konsultasi internal
audit dapat cocok dan antarmuka dengan sebaliknya normal kegiatan audit internal. Selain itu, kami
melihat bagaimana audit internal dapat memberikan konsultasi internal untuk perusahaan dengan cara
yang tidak bertentangan normal audit membuktikan fungsi.
Menjabat sebagai konsultan perusahaan adalah peran yang diperluas dan penting bagi banyak
internal auditor. Konsultasi internal mungkin tidak sesuai dengan semua fungsi audit internal. Dalam
beberapa kasus, industri, keprihatinan komite audit, atau bahkan ukuran internal fungsi audit dapat
membatasi rencana untuk menawarkan layanan konsultasi internal. Mana pengaturan ini tampaknya
bekerja, bagaimanapun, audit internal biasanya memiliki bagian dalam pengetahuan dan pengalaman
menjadi konsultan internal penting dan berkuasa. Semua auditor internal harus memiliki tubuh yang
150
umum (CBOK) tingkat pengetahuan tentang perbedaan antara audit internal membuktikan tanggung
jawab dan menjabat sebagai konsultan internal. Selain itu, ketika auditor internal memilih untuk
bertindak sebagai konsultan perusahaan, mereka harus memiliki tingkat CBOK baik pemahaman
konsultasi praktik terbaik.
28.1
manajemen dengan analisis menyediakan, informasi, dan rekomendasi untuk peningkatan kontrol dan
operasi. Kontrol internal dapat dievaluasi untuk:
-
Pengamanan aset
Standar IIA sekarang secara khusus menjelaskan audit internal baik sebagai pembuktian dan
kegiatan konsultasi. Mereka memungkinkan auditor internal untuk memberikan jasa konsultasi
berkaitan dengan operasi yang merupakan tanggung jawab mereka sebelumnya, dengan ketentuan
bahwa mereka mengungkapkan penurunan potensial untuk kemerdekaan mereka atau obyektivitas
terkait untuk jasa konsultasi yang diusulkan sebelum menerima engagement. Standar IIA menetapkan
konsultasi audit internal sebagai penasehat dan terkait dengan audit layanan klien kegiatan, sifat dan
ruang lingkup yang disepakati dengan klien dan yang dimaksudkan untuk menambah nilai dan
meningkatkan tata kelola perusahaan, manajemen risiko, dan mengontrol proses tanpa auditor internal
dengan asumsi tanggung jawab manajemen. Contohnya termasuk nasihat, saran, fasilitasi, dan
pelatihan.
Sering ada kesenjangan yang besar antara membuktikan tingkat audit internal dan apa yang
diperlukan untuk menjadi konsultan yang efektif. Dalam laporan internal audit, auditor internal
mungkin merekomendasikan perubahan, tetapi mereka tidak dapat memastikan bahwa perubahan
terjadi. Internal auditor hanya sering melakukan audit pembuktian, membuat rekomendasi mengenai
berbagai tingkat, dan kemudian bekerja sama untuk membuat hasil yang lebih baik.
Menjabat sebagai konsultan internal, auditor internal dapat diadakan untuk standar yang lebih
tinggi kinerja dan akuntabilitas. Dalam situasi ini, mereka harus bertindak sebagai tujuan dan kritis
orang luar di dalam perusahaan mereka sendiri, memberikan fakta-fakta keras dan berita buruk di
luar temuan laporan audit, termasuk isu-isu bahwa manajemen kadang-kadang tidak mau mendengar.
Selain itu, mereka harus siap untuk memberikan kebenaran manajemen di luar kesalahan saja,
151
kelalaian, dan kelemahan pengendalian internal. Mereka juga perlu untuk menjadi baik di percakapan
konsultasi yang berhubungan dengan off-the-record, yang kadang-kadang lebih penting daripada
laporan audit tertulis. Internal auditor yang menguasai prinsip-prinsip konsultasi internal yang efektif
dapat menggunakan metode terkait dan teknik untuk menggali lebih dalam dan menyampaikan
kebenaran.
Menjabat sebagai perusahaan konsultan sering tempat auditor internal yang agak berbeda peran
dari audit internal normal membuktikan penugasan, di mana audit internal penggunaannya audit tujuan
perencanaan dan pengukuran risiko untuk merencanakan dan jadwal audit. Walaupun manajemen
biasanya memiliki beberapa fleksibilitas dalam menunda atau menjadwal ulang review yang
direncanakan, audit internal memiliki wewenang dan tanggung jawab untuk jadwal itu. Selain itu, audit
internal pada umumnya dapat menentukan ruang lingkup sendiri, jadwal waktu, dan tugas tim audit.
Penjadwalan audit internal biasanya beroperasi pada kolaborasi dasar, dan manajemen lokal dapat
menegosiasikan kunjungan audit atau bahkan banding kepada manajemen senior dan akhirnya komite
audit jika mereka berkeberatan dengan terencana mengunjungi audit internal, audit internal umumnya
memiliki tanggung jawab untuk melancarkan audit internal review.
Tanggung jawab untuk memulai dan untuk penjadwalan tugas konsultan adalah sering sangat
berbeda. Manajemen melibatkan auditor internal untuk datang dan membantu sebagai konsultan di
beberapa daerah. Tujuan tugas, waktu, ditugaskan tim, ruang lingkup pekerjaan yang harus dilakukan,
dan hampir segala sesuatu yang lain tidak dikenakan audit internal rencana tetapi untuk negosiasi
dengan kelompok manajemen meminta. Dalam beberapa hal, pada saat pemeriksaan internal yang
bertindak sebagai konsultan perusahaan, manajemen berusaha keluar dan terlibat dengan audit internal
yang sama dengan kontrak dengan sebuah perusahaan luar yang menawarkan jasa konsultan. Sebuah
proyek konsultasi diluncurkan melalui keterlibatan formal surat, seperti dibahas dalam Bagian 28.4 dan
juga ditunjukkan dalam Lampiran 7.3, dan proyek seringkali hasil dengan cara, informal hampir
kolaboratif. Di luar itu lelucon lama oleh beberapa skeptis manajemen-Halo, saya dari audit internal,
dan aku di sini untuk membantu Anda -auditor internal yang bertindak sebagai konsultan perusahaan
benar-benar telah membawa dalam karena manajemen telah meminta bantuan konsultasi.
Ada juga beberapa perbedaan penting lainnya antara operasi audit internal sebagai konsultan
internal dan penggunaan manajemen dari luar, independen perusahaan konsultan. Mungkin perbedaan
terkuat adalah bahwa jika manajemen memutuskan bahwa tidak menyetujui dari konsultan eksternal,
dapat memecat mereka. Hal-hal yang tidak mudah bila menggunakan sumber daya audit konsultasi
internal. Walaupun manajemen dapat mengakhiri keterlibatan konsultasi internal audit, tim audit yang
sama masih merupakan bagian dari keseluruhan perusahaan. Di sisi sangat positif, bagaimanapun,
internal auditor bertindak sebagai internal konsultan lebih memahami sistem organisasi, budaya,
152
masalah, dan lebar berbagai hal lainnya. Seorang konsultan eksternal sering tidak punya mendalam
pengetahuan.
Standar audit internal konsultasi sekarang jelas mendefinisikan internal audit potensi berperan
sebagai konsultan internal. Namun, beberapa anggota manajemen senior atau komite audit mungkin
tidak menyadari bahwa standar audit internal sekarang memungkinkan seperti formal kegiatan
konsultasi internal. Fungsi audit internal perlu merencanakan dan secara resmi memulai kegiatan
internal konsultasi. Tentu saja, audit internal pertama-tama harus membahas pengaturan, pertama
dengan komite audit. Kepala eksekutif audit harus menjelaskan bagaimana hal ini, komponen baru
diperluas jasa audit internal untuk manajemen dapat membawa nilai bagi perusahaan. Tentu saja, audit
internal tidak boleh melupakan bahwa tanggung jawab utama adalah untuk mengkaji kecukupan dan
efektivitas internal kontrol dalam perusahaan. Audit internal membuktikan peran sangat signifikan.
28.2
perlu mendapat persetujuan dari komite audit dan untuk sepenuhnya menunjukkan kepada manajemen
bahwa ia memiliki kemampuan dan tujuan cukup untuk bertindak sebagai konsultan perusahaan. Fakta
bahwa standar audit internal sekarang memungkinkan keterlibatan konsultan audit internal tidak berarti
bahwa setiap fungsi audit internal harus melakukannya. Jumlah lainnya peluang audit internal mungkin
membatasi kemampuan internal audit untuk melakukan kegiatan konsultasi apapun di luar audit normal
membuktikan review. Selain itu, seperti yang dibahas, beberapa anggota manajemen tidak mungkin
sepenuhnya memahami peran potensial audit internal sebagai konsultan internal, memikirkan hal itu
hanya dalam membuktikan peran.
Jika fungsi audit internal ingin mulai menawarkan konsultasi internal, harus mengembangkan
strategi konsultasi dan peran serta kemampuan mereka melalui piagam audit. Namun, karena masa lalu
IIA standar melarang auditor internal dari bertindak sebagai konsultan, peran ini diperluas potensi
internal audit mungkin tidak dipahami dengan baik. Departemen audit internal itu sendiri perlu
mengembangkan strategi untuk kegiatan konsultasi internal yang tidak bertentangan dengan misi
utamanya, review pengendalian internal, dan yang membawa nilai perusahaan secara keseluruhan.
Beberapa wilayah yang perlu dipertimbangkan ketika mengembangkan praktek konsultasi internal
meliputi:
Apa jenis konsultasi audit internal akan dipertimbangkan? Audit internal mungkin memiliki
keahlian untuk melakukan review internal kontrol di daerah khusus banyak tetapi tidak
memiliki keahlian konsultasi yang diperlukan di daerah tersebut. Apakah itu membantu dengan
proses baru transaksi keuangan, meningkatkan IT pengendalian aplikasi, atau bahkan hanya
153
dokumentasi umum, audit internal harus secara jelas memahami dan mendefinisikan apa yang
internal. Selain itu, sering laporan konsultasi tidak harus rinci, tingkat tinggi ringkasan diterima.
Menjual program audit konsultasi internal. Jika audit internal akan memberikan jasa konsultasi
kepada perusahaan secara keseluruhan, ia harus menjual dan mempromosikan kegiatan ini.
Meskipun kami tidak menyarankan makan siang kekuatan untuk mempromosikan program,
audit internal harus mengembangkan sebuah katalog jasa informal untuk menjelaskan
konsultasi dengan kemampuan dan persembahan.
28.3
jawab antara auditor internal yang bertindak sebagai konsultan internal dan melakukan audit
membuktikan mereka bekerja. Sebelum 1970-an, American Institute Akuntan Publik Kantor Akuntan
dipisahkan publik antara auditor BPA dan profesional menyediakan jasa konsultasi. Sebuah perusahaan
154
akuntan publik kemudian akan memiliki semacam garis titik-titik di kantor, memisahkan laporan
keuangan auditor yang bersertifikat dari spesialis, seperti konsultan IT. Selama bertahun-tahun,
bagaimanapun, ini garis titik-titik tumbuh fuzzier sebagai konsultan ahli, terutama mereka dengan
kemampuan IT, harus terlibat langsung dalam membantu untuk menyelesaikan audit perusahaan ITterikat berat. Demikian pula, yang kuat BPA auditor keuangan menjadi sangat terlibat dalam membantu
dengan khusus proyek konsultan keuangan.
Pemisahan tugas menjadi hampir transparan sebelum jatuhnya Enron dan perjalanan Sox pada
abad kedua puluh satu dini. Salah satu kerusakan pengendalian internal disorot dalam audiensi legislatif
Sox adalah bahwa perusahaan akuntan publik sering sangat menyarankan bahwa salah satu konsultan
IT yang mengunjungi klien audit keuangan untuk menginstal aplikasi keuangan baru; kantor akuntan
publik akan mengirim perusahaan auditor CPA kembali untuk meninjau pengendalian internal atas
bahwa aplikasi yang sama. Menariknya, auditor keuangan biasanya tidak menemukan banyak masalah
pengendalian internal dalam aplikasi konsultan mereka sendiri baru saja diinstal. Sox telah dilarang ini
potensi konflik-dari pendekatan-bunga, dan praktik akuntansi konsultasi publik sekarang pindah
sebagai perusahaan konsultan independen.
Inti dari contoh ini adalah untuk menunjukkan bahwa pemisahan-pembatasan-tugas antara audit
dan konsultasi dapat mengurai dari waktu ke waktu. Perawatan harus dibayar untuk memisahkan peran
auditor internal yang bertindak sebagai konsultan dari mereka melakukan audit membuktikan fungsi.
Parafrase standar konsultasi audit internal yang dirangkum dalam Bab 8 (lihat Bagian 8.2 (b), 2201),
maka sangat penting bahwa auditor internal membangun pemahaman dengan klien keterlibatan
konsultasi tentang tujuan, ruang lingkup, tanggung jawab masing-masing, dan harapan klien yang lain.
Untuk signifikan Pertunangan konsultasi internal audit, pemahaman ini harus didokumentasikan.
28.4
tugas yang spesifik. Peran konsultan sedikit berbeda dengan auditor internal. Auditor internal memulai
dengan mempersiapkan outlining area audit program untuk mereview atau menetapkan standard.
Konsultan membuat struktur review kepatuhan berdasarkan dengan standard-standard yang ada,
mendiskusikan masalah-masalah dengan manajemen dan mengembangkan solusi secara lebih
kolaboratif.
Untuk menjadi konsultan internal yang efektif, auditor internal perlu untuk melakukan
perubahan dan perlu untuk mengembangkan pendekatan baru. Langkah-langkah tindakan kunci untuk
auditor internal yang berperan sebagai konsultan internal antara lain :
a)
Oportunitas konsultasi internal datang kepada audit internal karena tiga alasan yang antara lain :
i. Konsultasi dalam membantu mengimplementasikan rekomendasi laporan audit internal
setelah menyelesaikan review internal.
Berdasarkan arahan standar audit internal dan komite audit, mengharuskan manajemen
auditee harus menanggapi temuan laporan audit dengan rencana tindakan perbaikan dalam
waktu dekat. Dalam beberapa kasus, temuan audit menekankan kebutuhan untuk beberapa
bentuk tindakan perbaikan di dalam manajemen, dimana mungkin memiliki sumber keahlian
yang terbatas untuk mengimplementasikan adanya perbaikan yang disarankan.
Audit internal yang bertindak sebagai konsultan mungkin memiliki sumberdaya yang
tepat untuk mengimplementasikan rekomendasi laporan audit.
156
Proses awalnya, mengharuskan audit internal untuk memperoleh informasi lebih banyak
mengenai kemungkinan tugas tersebut untuk mengetahui ukuran dari suatu masalah. Apabila
seluruh hal telah cocok, audit internal harus membuat aktivitas konsultasi internalnya menjadi
formal dengan adanya surat perikatan konsultasi.
permasalahan layanan pelanggan dalam satu operasi unit usaha. Konsultan menetapakan
157
158
kepada manajemen. Audit internal harus menawarkan jasa konsultasi internal di luar dari
Atestasi audit 159rofess. Dalam rangka untuk melakukannya, hal ini harus menyajikan perusahaan
dengan suatu piagam yang direvisi dan menggambarkan pernyataan rinci kemampuan konsultasi serta
tawaran. Perhatiannya pada harus membayar untuk mendukung independensi dari dua fungsi ini di
dalam audit internal. Walaupun seorang 159rofessional audit internal mungkin sedang mengerjakan
satu proyek atestasi dan di dalam konsultasi proyek di waktu lain, aktivitas ini harus terpisahkan dan
independen, kenyataan keduanya dan dalam persepsi lain.
Dengan terorganisir dengan baik, suatu audit internal konsultasi proyek akan menyediakan
sumber daya kepada manajemen dalam satu cara yang tidak lagi berbeda dari atestasi review audit
internal tradisional dengan laporan audit internal mereka yang memusatkan terhadap penemuan dan
merekomendasikan tindakan. Bagaimanapun, jika suatu fungsi audit internal ingin menyediakan
konsultasi internal sebagai suatu tawaran tambahan, pekerjaan ini harus
seprofesional pekerjaan
159
atestasi internal audit. Selain dari pada itu, kepedulian besar harus berikan kepada pengorganisasian
aktivitas konsultasi audit internal sehingga tidak dirasa oleh lainnya sebagai pelayanan sendiri. Oleh
karena itu, penemuan atestasi audit internal tidak akan menerangkan sebagai pekerjaan promosi untuk
meningkatkan konsultasi proyek.
Auditor internal harus juga mempunyai suatu pemahaman CBOK tentang standar hubungan
konsultasi serta proses konsultasi. Sekalipun fungsi audit internal dipilih untuk tidak terlibat dalam
konsultasi internal di luar pekerjaan atestasi normal, semua auditor internal harus memahami peran dan
tempat konsultasi di keseluruhan proses audit internal.
160