Chapter 1

FOUNDATIONS OF INTERNAL AUDITING

Pengertian Audit Internal

Sebuah cara yang efektif untuk memulai buku ini tentang audit internal modern untuk
merujuk standar profesional dari Institute of Internal Auditors (IIA). internal ini auditor
organisasi profesi mendefinisikan praktek audit internal berikut: Audit internal adalah fungsi
penilaian independen yang dibentuk dalam suatu organisasi untuk memeriksa dan
mengevaluasi kegiatannya sebagai layanan untuk organisasi.
Pekerjaan audit internal dibedakan dari audit terkait seperti pekerjaan yang dilakukan
oleh akuntan publik luar atau pihak lain (seperti pemerintah regulator) yang tidak secara
langsung merupakan bagian dari suatu organisasi. Adapun definisi IIA dari audit internal
meliputi sejumlah istilah penting yang berlaku untuk profesi:
1. Independen berarti audit yang bebas dari pembatasan yang secara signifikan dapat
membatasi ruang lingkup dan efektivitas review atau pelaporan kemudian temuan yang
dihasilkan dan kesimpulan.
2. Penilaian menegaskan perlunya evaluasi yang merupakan dorongan internal auditor ketika
mereka mengembangkan kesimpulan mereka.
3. Didirikan menegaskan bahwa audit internal adalah, fungsi definitif formal organisasi
modern.
4. Memeriksa dan mengevaluasi menggambarkan peran aktif auditor internal, pertama untuk
fakta pertanyaan dan kemudian untuk evaluasi menghakimi. Kegiatannya mengkonfirmasi
lingkup yurisdiksi luas pekerjaan audit internal yang berlaku untuk semua kegiatan dari
organisasi modern.

5. Istilah kegiatannya (its activities)mengkonfirmasi lingkup yurisdiksi yang luas dari audit
internal pekerjaan yang berlaku untuk semua kegiatan dari perusahaan modern .
6. Layanan mengungkapkan bahwa bantuan dan bantuan kepada manajemen dan anggota lain
organisasi adalah produk akhir dari semua pekerjaan audit internal.
7. Untuk organisasi menegaskan bahwa jumlah Popper terkait lingkup jasa audit internal
ke seluruh organisasi, termasuk semua personil, dewan direksi dan komite yang audit,
pemegang saham, dan pemangku kepentingan lainnya.

Audit internal juga dapat diakui sebagai kontrol organisasi yang fungsi dengan
mengukur dan mengevaluasi efektivitas pengendalian lainnya. ketika sebuah organisasi
menetapkan perencanaan dan kemudian mulai menerapkan nya rencana dalam hal operasi, ia
harus melakukan sesuatu untuk memantau operasi untuk memastikan pencapaian tujuan yang
telah ditetapkan. Upaya-upaya lebih lanjut dapat dianggap sebagai kontrol. Sementara fungsi
audit internal itu sendiri salah satu jenis kontrol yang digunakan, ada berbagai kontrol
lainnya. Peran khusus internal Audit adalah untuk membantu mengukur dan mengevaluasi
kontrol-kontrol lainnya. Dengan demikian, intern auditor harus memahami kedua peran
mereka sendiri sebagai fungsi kontrol dan sifat dan ruang lingkup jenis-jenis kontrol dalam
organisasi.
Sejarah Dan Latar Belakang Audit Internal
Hal yang biasa bagi setiap kegiatan-kegiatan termasuk kontrol seperti auditing- intern
untuk datang menjadi ada sebagai hasil dari kebutuhan yang muncul. Organisasi bisnis 1942,
ketika audit internal modern yang baru saja mulai, sangat berbeda dari organisasi abad kedua
puluh satu kami hari ini.
Misalnya, selain dari beberapa perangkat elektromekanis dan kegiatan di laboratorium
penelitian, komputer sistem tidak ada. Organisasi tidak perlu untuk pemrogram komputer
sampai mesin ini mulai menjadi berguna untuk berbagai pencatatan dan
fungsi komputasi lainnya. Demikian pula, organisasi harus sangat sederhana
sambungan telepon di mana operator telepon dialihkan semua panggilan yang masuk ke
sejumlah telepon desktop yang.
Hari ini, kita semua terhubung melalui luas, web di seluruh dunia otomatis
telekomunikasi dan Internet. The meningkatnya kompleksitas bisnis modern dan organisasi
lain telah menciptakan kebutuhan untuk spesialis yang sama di berbagai kontrol bisnis:
auditor internal. Kita dapat lebih memahami sifat audit internal hari ini jika kita tahu sesuatu
tentang perubahan kondisi di masa lalu dan kebutuhan yang berbeda ini
perubahan yang dibuat.
Pada tingkat yang paling primitif, evaluasi atau fungsi audit internal dapat
ada apabila salah satu orang duduk kembali dan survei sesuatu yang ia punya
dilakukan. Pada saat itu, individu meminta dia-sendiri seberapa baik suatu tugas tertentu
telah dicapai dan, mungkin, bagaimana mungkin akan dilakukan dengan lebih baik jika itu
menjadi dilakukan lagi.
Tugas audit internal pertama biasanya berasal untuk memenuhi kebutuhan operasional
sangat dasar dan tajam didefinisikan. Paling awal khusus perhatian manajemen adalah apakah
aset organisasi sedang benar dilindungi, apakah prosedur dan kebijakan perusahaan sedang
memenuhi dengan, dan apakah catatan keuangan yang dipertahankan secara akurat.
 Untuk sebagian besar, upaya audit internal ini awalnya dipandang sebagai terkait erat
perpanjangan pekerjaan auditor eksternal. Akibat dari semua faktor ini adalah bahwa ini
auditor internal awal adalah dipandang sebagai memainkan peran yang relatif sempit dalam
organisasi mereka, dengan terbatas tanggung jawab dalam total spektrum manajerial. Internal
auditor awal sering dipandang sebagai checker berorientasi finansial catatan dan lebih dari
polisi
Petugas dari rekan kerja. Dalam beberapa organisasi, auditor internal memiliki besar
tanggung jawab untuk rekonsiliasi dibatalkan cek gaji dengan laporan bank atau
memeriksa matematika dalam dokumen bisnis biasa.
Dalam organisasi ritel, auditor internal sering bertanggung jawab untuk mendamaikan
penjualan tunai harian untuk mencatat penerimaan penjualan. Memahami sejarah audit
internal penting karena tua gambar masih berlanjut, sampai batas tertentu, untuk auditor
internal modern saat ini. Hal ini agar meskipun karakter fungsi audit internal saat ini sangat
berbeda.
Seiring waktu, operasi berbagai organisasi meningkat dalam volume dan kompleksitas,
menciptakan masalah manajerial dan tekanan baru pada manajemen senior.
Hubungan Terhadap Operasional, Keuangan Dan Informasi Sistem Audit
Selama tahun 1960, ada kecenderungan kuat bagi banyak orang untuk menggunakan
istilah operasional audit di tempat audit internal tradisional. Alasannya adalah bahwa intern
audit adalah istilah diikat terlalu erat dengan audit keuangan dasar, termasuk eksternal.
Dalam bentuknya yang paling ekstrim, yang disebut fungsi audit operasional akan
memisahkan sendiri sepenuhnya dari daerah keuangan disebut. Mereka akan mengklaim,
misalnya, tidak memiliki keahlian di kontrol keuangan mengelilingi piutang operasi.
Sebaliknya, mereka mungkin melihat proses kontrol dan mengabaikan isu apakah kas yang
diterima dicatat dengan benar dan diikat ke rekening keuangan, termasuk buku besar.
Cakupan akuntansi dan kontrol keuangan dan proses juga memberikan kesempatan
bagi memperluas jangkauan layanan audit internal ke dalam wilayah operasional yang lebih
luas. Karena catatan akuntansi dan keuangan secara langsung atau tidak langsung
mencerminkan semua kegiatan operasional, audit internal berorientasi finansial ulasan pintu
sering terbukauntuk kegiatan lainnya.
Dalam hal strategi, sebuah ditinggalkan audit internal akuntansi dan keuangan daerah
dapat membuat vakum yang akan mengundang munculnya fungsi audit jenis lainnya. Audit
Mutu Internal Jaminan dan ASQ Kualitas Audit "misalnya, akan membahas berapa banyak
tradisional auditor internal di masa lalu diabaikan Organisasi Internasional untuk
 Standardisasi (ISO) "kualitas" gerakan di awal hari, yang menyebabkan hampir profesi yang
terpisah dari kualitas auditor.
Fungsi audit internal saat ini perlu memiliki cakupan yang memadai kunci akuntansi
dan keuangan daerah, dan tanggung jawab siapa yang melakukan itu pasti akan meluas ke
gambaran wilayah operasional yang lebih luas. kegagalan untuk menutupi area keuangan
utama adalah salah satu argumen perusahaan audit eksternal dibuat untuk manajemen senior
ketika mereka menawarkan untuk menyediakan outsourcing perusahaan audit internal jasa.
Selama beberapa tahun menjelang diberlakukannya SOA, hampir muncul bahwa kantor
akuntan publik yang mengambil alih audit internal melalui pengaturan outsourcing mereka.
Sekarang, auditor eksternal organisasi dilarang juga melakukan audit internal untuk
organisasi yang sama.
Auditor internal saat ini adalah elemen jauh lebih penting dalam rangka pengendalian
internal secara keseluruhan organisasi daripada mereka yang tidak yang bertahun-tahun di
masa lalu. Agar efektif di sini, auditor internal harus mendapatkan pemahaman yang kuat
tentang pengendalian internal, dan keterlibatan audit internal dengan Bagian SOA 404 ulasan
memerlukan beberapa pemahaman yang berlaku umum prinsip akuntansi (GAAP) dan
kontrol keuangan yang terkait. Oleh karena itu, auditor internal saat ini perlu memahami
keuangan dan operasional serta sistem informasi kontrol.

FOUNDATIONS OF INTERNAL AUDITING

Independen
Defenisi audit internal
Penilaian menegaskan perlunya evaluasi

Didirikan audit internal sabgai fungsi definitif formal

Defenisi audit internal organisasi modern
menurut IIA
Memeriksa dan mengevaluasi

Layanan adalah produk akhir dari semua pekerjaan

audit internal.
Hubungan Terhadap Operasional, Keuangan
Menegaskan cakupan untuk organisasi
Sejarah Dan Latar Belakang
Dan Informasi Sistem Audit
Audit Internal
 Chapter 2
Internal Audits Common Body of Knowledge
Apa yang dimaksud dengan CBOK (Common Body of Knowledge)
CBOK diberbagai profesi diartikan sebagai batas minimum kecakapan yang dibutuhkan
untuk kinerja yang lebih efektif dalam suatu profesi tersebut. Dibanding menaruh semua
pengetahuan dibidang yang mana praktisi, seperti misalnya internal auditor, perlu terlihat
ahli dalam profesi tersebut, suatu CBOK lebih memfokuskan pada pengetahuan minimal
yang diperlukan oleh setiap professional dalam disiplin ilmu tersebut untuk menghasilkan
kinerja yang lebih efektif.
CBOK juga merujuk pada berbagai organisasi profesional yang yang dikembangkan atau
berusaha dikembangkan untuk CBOK organisasi tersebut. Contohnya : BAI (Bank
Administration Institute) yang membuat CBOK sebagai acuannya terutama dalam hal
risikonya.
Hubungan antara CBOK dengan pengetahuan lainnya bagi seorang internal auditor dapat
dilihat pada gambar berikut:

Institute of Internal Auditors Research Foundation CBOK

Audit internal dikembangkan dari suatu dukungan utama akuntansi dan pengecekan
keakuratan matematika, hingga evaluasi pengendalian internal spesialis saat ini. Profesi
auditor internal memiliki sejarah yang panjang. Berdasarkan International Standards for the
Practice of Internal Auditing IIA, auditor internal saat ini bekerja di perusahaan, organisasi
non-profit, dan seluruh kantor pemerintahan.
Diluar standar yang telah dibuat IIA dan beberapa review persyaratan legal audit internal.
Tidak terdapat aturan pasti mengenai panduan benar dan salah dalam praktek audit internal.
Selain itu, auditor internal saat ini mengikuti sejumlah besar praktek terbaik dibawah
keseluruhan panduan dari standar IIA. Banyak praktek terbaik audit internal yang
dikomunikasikan dari satu auditor ke auditor lainnya melalui publikasi dan aktivitas IIA,
mengikuti motto Progress through Sharing (Kemajuan melalui Berbagi) mereka. Meski
demikian, setelah bertahun-tahun, audit internal profesional menunjukkan kebutuhan akan hal
yang lebih formal dan pengembangan dalam CBOK audit internal. Lembaga Riset IIA (the
IIA Research Foundation-IIARF) meluncurkan upaya utama pada tahun 2006 untuk
mengembangkan semacam CBOK untuk profesi audit internal. Hasil awalnya pada tahun
2008, dipublikasikan pada studi riset pertengahan tahun 2007.
Tujuan yang dinyatakan oleh survey ini mencakup dan menggambarkan bagian dari praktek
audit internal profesional diseluruh dunia, termasuk:
Pengetahuan dan kemampuan dalam proses auditor internal
Kemampuan dan tingkat peorganisasian yang digunakan untuk praktek kerja audit
internal
Kewajiban yang dapat ditunjukkan auditor internal
Struktur organisani audit internal
Beberapa tipe industri yang mempraktekan audit internal
Regulasi lingkungan di beberapa negara

CBOK IIARF bertujuan mendokumentasikan pemahaman tentang peran nilai tambah unik
yang dimiliki audit internal perusahaan di seluruh dunia, berdasarkan pemahaman ini, suatu
tujuan CBOK IIARF menjasi lebih baik dalam menentukan masa depan audit internal dan
memastikan bahwa hal tersebut berisi semangat dan kontribusi relevan terhadap
perusahaan.
Sayangnya, tujuan CBOK IIARF tidak mengembangkan seperangkat standar level tinggi
dalam pelaksanaan audit internal, seperti pendekatan yang digunakan dalam PMBOK PMI
maupun praktek terbaik untuk Perpustakaan Informasi Teknologi Infrastruktur (Information
Technology Infrastructure LibraryITIL). IIARF ditujukan hanya untuk memperoleh
pengetahuan yang lebih baik mengenai aktivitas dan tugas auditor internal saat ini dalam
berbagai bagian unit IIA di seluruh dunia dan operasi individu seperti fungsi kepala audit
internal termasuk Chief Audit Executives (CAEs), manajer audit, senior audit
internal/supervisor, staf, dan hal lainnya yang terkait audit internal.
Meskipun disebut sebagai CBOK, pendekatan IIARF tidak menentukan seperangkat
pengetahuan umum akan praktek terbaik audit internal melainkan untuk mensurvei apa yang
dilakukan auditor internal disaat praktek publikasi studi dari negara ke negara. Untuk
mengembangkan studi IIARF, sebuah tim kontraktor dikontrak, format rinci standar survey
dikembangkan, dan survey ini dikirim kepada 9000 fungsi individual audit internal.
Survey CBOK IIARF dilakukan terhadap survei tipe-pelanggan yang serupa dimana
partisipan ditanyai untuk bersedia memberikan tanggapan atas pertanyaan berdasarkan skor 1
sampai 5 untuk setiap pertanyaan. Tanggapan dengan skor 5 berarti responden sangat setuju
dengan pertanyaan survey, skor 4 berarti setuju, dan skor 1 mengindikasikan responden
sangat tidak setuju dengan pertanyaan survey. Hasilnya akan dipubikasikan sebagai nilai
tengah atas bebagai tanggapan; tidak ada nilai standar deviasi yang ditunjukkan dalam
tingkatan tanggapan-tanggapan tersebut.
Kelemahan survei ini ialah hasil dari survei tersebut dapat membingungkan. Selain itu, survei
ini juga tidak dapat menghasilkan informasi lebih lanjut yang dapat emndukung jenis
tanggapan atau variasi dari skor yang tercatat. Berikut ini 3 pernyataan evaluasi CBOK
IIARF yang berada di bawah skor 4 dan diatas skor 3,5:
1. Kegiatan Internal audit anda membawa sebuah pendekatan sistematis untuk
mengevaluasi keefektivan proses penguasaan.
2. Cara aktivitas internal audit kita menambah nilai untuk proses penguasaan adalah
melalui akses langsung kepada komite audit.
3. Ijin dengan IIAs Standard s for the Professional Practice of Internal Auditing adalah
sebuah factor kunci dari kegiatan audit internal anda untuk menambah nilai untuk
proses penguasaan.

Dengan laporan seluruh level responden yang relatif rendah untuk pertanyaan-pertanyaan ini,
maka perhatian beberapa manajemen audit internal harus dipusatkan pada hal ini. IIA
menyatakan merencanakanm untuk memperbarui studi CBOK IIARF setiap tiga tahun dan
menunjukkan rencana umum untuk mengembangkan dan melepas produk lain dan penawaran
untuk meningkatkan dan membangun CBOK audit internal.
CBOK IIARF tidak memberi pedoman dalam praktek terbaik audit internal. CBOK IIRF
hanya memberikan gambaran garis bersar aktivitas audit internal dan bagaimana
mempraktekannya. Standar IIA dibentuk melalui upaya keras komite relawan. Melalui bagian
IIA lokal mereka, auditor internal seharusnya bisa lebih terlibat dalam proses pengembangan
standar IIA. Yang paling penting ialah, standar IIA ini secara efektif menentukan body of
knowledge atau seperangkat praktik terbaik bagi audit internal.

WHAT DOES AN INTERNAL AUDITOR NEED TO KNOW ? apa yang perlu diketahui
oleh seorang auditor internal?
Seorang auditor internal semestinya mengembangkan pengetahuan umum mengenai esensi
dari seluruh topik yang dibahas dalam buku ini.
Auditor internal yang berpengalaman biasanya terspesialisasi dalam beberapa area dan
memliliki tingkatan yang lebih besar atas pengetahuan industri spesifik. Bagaimanapun
perusahan manufaktur industri alat berat atau yang menyediakan beberapa jasa financial,
seorang auditor internal berpengalaman seharusnya mengembangkan kemampuan dan
pengetahuan mengenai bagian spesifik tersebut.
Pengetahuan tersebut bisa didapat dari membaca publikasi industry-spesifik, menghadiri
pameran perdagangan , atau hanya mendengar lebih banyak. Setelah memperbanyak
pengetahuan tentang industry-spesifik , seorang auditor internal dapat menggunakan beberapa
pengetahuan tersebut dan menggabungkannya dengan prinsip-prinsip audit secara layak.

MODERN INTERNAL AUDITING S CBOK GOING FORWARD

Kita mengenal bahwa lapangan dan profesi dari internal auditing adalah luas. IIA telah
memgumumkan rencana utama untuk membangun dan memperluas IIARF CBOK itu sendiri
di tahun- tahun kedepan . Akan tetapi, pulikasi terbaru IIARF CBOK menemukan bahwa
akhir-akhir ini sejumlah auditor internal tidak mengikuti standar IIA , IIA mereview temuan
ini dan hanya menerbitkan lebih banyak materi dasar untuk kedepannya. Laporan praktek ini
menunjukan kebutuhan pengetahuan auditor internal secara nyata.
 Chapter 3
Internal Control Framework: The COSO Standard

PENTINGNYA PENGENDALIAN INTERNAL YANG EFEKTIF

Pengendalian internal adalah suatu proses yang diimplementasikan menajemen
yang didesain untuk mendapatkan penjaminan yang layak atas informasi keuangan dan
proses bisnis perusahaan. Pengendalian internal yang efektif atas proses bisnis tercapai
jika (1) misi yang telah ditetapkan tercapai dengan cara etis, (2) menghasilkan data yang
akurat dan handal, (3) memenuhi undang-undang dan kebijakan berusaha yang berlaku, (4)
menyediakan penggunaan asset yang ekonomisasi dan efisien, (5) menyediakan keamanan
asset yang tepat.
Sistem pengendalian internal terus menjadi dasar dari kegiatan operasional dan
akuntansi dari proses bisnis yang efektif.
Aktivitas utamanya meliputi mengevaluasi dan menilai berbagai tingkat
pengendalian.
Manajer bertanggung jawab menciptakan dan mengelola pengendalian internal ini,
dan auditor internal menilai efektivitasnya serta membuat rekomendasi yang diperlukan.

INTERNAL CONTROLS STANDARDS: BACKGROUND

Definisi pengendalian internal menurut SAS (Statement on Auditing Standards)
No. 1: pengendalian internal terdiri dari perencanaan bisnis dan semua metode yang
terkoordinasi serta pengukuran yang dipakai entitas untuk mengamankan asetnya,
mencocokkan keakuratan dan kehandalan data akuntansi, mengembangkan efisiensi
operasional, dan mendukung ketaatan untuk menentukan kebijakan manajerial.
Foreign Corrupt Practices Act of 1977 melarang penyuapan pada pejabat asing dan
mendorong ketentuan diwajibkannya pemeliharaan bku dan pencatatan yang akurat sebaik
system pengendalian internal akuntansi.
FCPA membawa dampak yang signifikan baik untuk auditor internal, maupun
eksternal, karena untuk pertama kalinya manajemen bertanggung jawab atas sistem
pengendalian internal akuntansi yang memadai untuk menyediakan penjaminan yang layak
bahwa transaksi diotorisasi dan dicatat untuk nenyediakan penyiapan laporan keuangan
yang sesuai dengan GAAP.
 Selain itu FCPA menyatakan bahwa akuntabilitas dipelihara untuk penggunaan aset
dan aksesnya hanya diperbolehkan dengan otorisasi atas persediaan fisik periodik.
FCPA meningkatkan pentingnya pengendalian internal dan peraturan anti penyuapan.
FCPA merupakan langkah awal untuk membantu perusahaan memikirkan tentang
kebutuhan pengendalian internal yang efektif, meskipun tidak ada pedoman atau standar
atas ketentuan yang ditetapkan oleh FCPA

EVENTS LEADING TO THE TREADWAY COMMISSION

FCPA mengharuskan laporan perusahaan untuk mencatat pengendalian internal
mereka, teatapi tidak meminta auditor eksternal untuk membuktikan apakah perusahaan
sudah mematuhi peraturan pelaporan pengendalian internal FCPA.
The Cohen Commission merupakan high-level commission on auditors
responsibility. Mereka menyarankan adanya laporan tentang pengendalian internal, dimana
auditor eksternal perlu memberikan opini atas kewajaran asersi pengendalian manajemen
dalam financial statement internal control letter yang disusulkan.
FEI mengesahkan rekomendasi The Cohen Commission ttg internal control dan
setuju bahwa perusahaan harus melaporkan bagaimna pengendalian akuntansi internal
mereka.
Selanjutnya SEC menerbitkan peraturan yang meminta laporan manajemen atas
sistem pengendalian akuntansi internal perusahaan. SEC menyatakan bahwa informasi
efektivitas pengendalian internal dibutuhkan untuk mmbantu investor melakukan evaluasi
yang lebih baik atas kinerja manajemen dan integritas laporan keuangan yang diterbitkan ke
publik.
Expectation gap merupakan masalah yang dialami oleh AICPA, dimana standar audit
mereka tdk menyediakan petunjuk yg cukup untuk auditor eksternal atau pengguna laporan.
Untuk mengatasinya AICPA menerbitkan peraturan2 baru, termasuk SAS No.30
tentang Pelaporan Pengendalian Akuntansi Internal, serta SAS No.55 tentang
Pertimbangan Struktur Pengendalian Internal dalam Audit Laporan Keuangan.
Proses pengendalian internal misalnya kebijakan dan prosedur yang berfokus pada
efektivitas, efisiensi, ekonomis, dan ekonomisasi proses pengambilan keputusan
manajemen atau prosedur yang meliputi aktivitas riset&development. SAS No.55 ini
mendefinisikan internal control dalam 3 elemen kunci: (1) Lingkungan Pengendalian, (2)
Sistem Akuntansi, dan (3) Prosedur Pengendalian.
 The National Commission on Fraudulent Financial Reporting atau Treadway
Commission bertujuan untuk mengidentifikasi factor penyebab kecurangan pada laporan
keuangan dan memberikan saran untuk meminimalisnya. Komisi ini meminta manajemen
melaporkan efektivitas system pengendalian internal dan menentukan elemen kunci apa
saja yang membentuknya, termasuk lingkungan pengendalian yg kuat, codes of conduct,
audit komite yang kompeten dan ikut terlibat, serta fungsi audit internal yang kuat.

KERANGKA PENGENDALIAN INTERNAL COSO

Pengendalian internal menurut COSO: pengendalian internal adalah proses, dipengaruhi
oleh dewan direksi, manajemen, dan personel lain, disusun untuk menyediakan keyakinan
yang layak dalam rangka meraih tujuan dalam kategori: (1) efektivitas dan efisiensi operasi,
(2) kehandalan laporan keuangan, (3) kepatuhan terhadap undang2 dan peraturan yang
berlaku.
Inti dari kerangka pengendalian internal COSO adalah kita harus mempertimbangkan
bagaimana tiap pengendalian internal saling berhubungan dengan pengendalian internal lain.
a. Lingkungan Pengendalian
Merupakan pondasi/dasar struktur pengendalian internal menurut COSO, yang berpengaruh
terhadap struktur semua aktivitas dan penilaian risiko, termasuk sejarah dan budaya
perusahaan.
i. Integritas dan Nilai Etika
Nilai ini merupakan pesan yang dikomunikasikan oleh manajer senior. Jika perusahaan
telah mengembangkan code of conduct yang kuat, yang menentukan integritas dan nilai
etika, dan bila para pemegang kepentingan mengikutinya, seluruh pemegang
kepentingan akan memiliki keyakinan bahwa perusahaan telah memiliki nilai yang
baik. Code of conduct mendeskripsikan peraturan tentang perilaku etika.
Gangguan yang mendorong para pemegang kepentingan untuk mengadakan audit: tidak
ada pengendalian atau ada, tapi tidak efektif; tingginya desentralisasi, sehingga
menurunkan kesadaran top-manager akan tindakan manajer di bawahnya; fungsi
internal audit yang lemah; sanksi tindakan yang tidak benar kurang berat atau tidak
dipublikasikan.
ii. Komitmen untuk Kompetensi
Perusahaan perlu untuk menspesifikasi tingkat kompetensi yang diperlukan untuk
berbagai job-desk serta mewujudkan persyaratan tersebut menjadi tingkat pengetahuan
 dan keterampilan yang diperlukan. Dengan menempatkan orang yang tepat dalam
pekerjaan yang tepat dan memberikan pelatihan yang cukup yang diperlukan,
perusahaan telah memenuhi komponen pengendalian internal COSO yang penting.
iii. Dewan Direksi dan Komite Audit
Dewan direksi dan komite audit harus benar-benar pihak yang independen. Dengan
menetapkan kebijakan dan me-review seluruh kegiatan perusahaan, dewan direksi dan
komite audit memiliki tanggung jawab penting untuk menetapkan pengendalian pada
tingkat atas.
iv. Filosofi Manajemen dan Gaya Operasi
Komponen ini harus dipahami oleh auditor internal dan menjadikannya pertimbangan
dalam mengevaluasi efektivitas pengendalian internal. Tidak ada gaya dan filosofi yang
paling baik, tetapi faktor ini penting dalam mempertimbangkan komponen
pengendalian internal lainnya.
v. Struktur Organisasi
Struktur organisasi adalah tatanan atau pendekatan atas usaha bekerja individu untuk di
ditugaskan dan disatukan guna meraih seluruh tujuan. Struktur organisasi merupakan
aspek penting dari pengendalian internal perusahaan. Komponen ini menyediakan
kerangka untuk aktivitas perencanaan, pelaksanaan, pengawasan, dan pemantauan guna
membantu meraih tujuan. Komponen ini berhubungan dengan bagaimana fungsi2 yg
ada dikelola dan diorganisir.
vi. Pembagian Kewenangan dan Tanggung Jawab
Pengendalian internal sangat terpengaruh dengan tingkat dimana individu sadar akan
tanggung jawabnya. Hal ini akan menuntunnya menjadi chief executive, yang memiliki
tanggung jawab besar untuk semua aktivitas yang berhubungan dengan entitas,
termasuk sistem pengendalian internal.
vii. Kebijakan SDM dan Praktika
Kebijakan dan praktika seputar SDM meliputi:
- rekrutmen dan penetapan kerja (hiring)
- orientasi/pengarahan pegawai baru
- evaluasi, promosi, dan kompensasi
- tindakan disiplin
Komponen ini penting karena jika tidak ada kebijakan dan prosedur SDM yang kuat,
maka pesan dari atas dalam sturktur perusahaan tidak akan tersampaikan.
viii. Lingkungan Pengendalian COSO dalam Perspektif
 Kerangka pengendalian internal COSO berupa piramid, dimana lingkungan
pengendalian menjadi pondasi. Perusahaan yang sedang membangun pengendalian
internal yang kuat harus memperhatikan komponen ini baik2. Akan tetapi komponen
lain juga tidak kalah penting. Evaluasi atas pengendalian internal COSO bukan hanya
mempertanyakan apakah debet dan kredit sudah balance? akan tetapi karena
kebutuhan kebijakan yang kuat, yang fundamental tapi mungkin berbeda untuk tiap
perusahaan.

b. Penilaian Risiko
Kemampuan perusahaan untuk meraih tujuannya memiliki risiko, dari internal maupun
eksternal. COSO mendeskripsikan penilaian risiko dlm 3 tahapan: (1) mengestimasi
signifikansi risiko; (2) menilai kemungkinan atau frekuensi terjadinya risiko; (3)
mempertimbangkan bagaimana risiko harus dikelola dan tindakan apa yg hrs dilakukan.
Kerangka pengendalian internal COSO menyarankan risiko harus dipertimbangkan dari
3 perspektif:
Risiko perusahaan dari faktor eksternal
Meliputi pengembangan teknologi yang dapat mempengaruhi sifat dan jgka waktu riset
dan development atau mendorong adanya perubahan proses produksinya; perubahan
kebutuhan atau harapan konsumen; penetapan harga; garansi; atau aktivitas jasa
(services).
Risiko perusahaan dari faktor internal
Misalnya gangguan server IT; kualitas kayawan; atau akses atas aktiva yang lebih
bebas.
Specific activity-level risks
Meliputi bidang pemasaran, IT, dan keuangan.

c. Aktivitas Pengendalian
- Macam aktivitas pengendalian:
Top-level reviews
Manajemen dan internai auditor pada berbagai tingkat harus me-review hasil kinerja
mereka, membandingkannya dengan budget, statistika kompetitif, dan ukuran
benchmark lain.
Fungsional langsung atau manajemen aktivitas
 Manajer pada berbagai tingkat harus me-review laporan operasional dari sistem
pengendalian mereka dan mengambil tindakan korektif yang tepat.
Proses informasi
IT mengandung banyak pengendalian dimana sistem secara internal mengecek
kepatuhan dalam area tertentu dan kemudian melaporkan pengecualian pengendalian
internalnya. Hal-hal yang dilaporkan sebagai pengecualian harus mendapatkan tindakan
korektif secara otomatis dari prosedur sistem, atau operatornya, atau maanjemen.
Pengendalian fisik
Perusahaan harus memiliki pengendalian yang tepat atas aset fisiknya, termasuk aset
tetap. Persediaan, dan surat berharga.
Indikator kinerja
Manajemen seharusnya mengumpulkan data2 yg berhubungan, baik operasional
maupun keuangan satu sama lain dan melakukan tindakan analitis, investigasi, dan
korektif yang tepat.
Pemisahan tugas
Tugas2 harus dipisahkan antara orang2 yg berbeda untuk mengurangi risiko terjadinya
tindakan yang salah atau tidak tepat.

- Integrasi aktivitas pengendalian dengan penilaian

Pengendalian internal merupakan proses dan aktivitas pengendalian yang tepat harus
dilakukan untuk mengidentifikasi risiko.

- Pengendalian atas sistem informasi

Kerangka pengendalian internal COSO menyoroti beberapa area IT untuk mengevaluasi
kecukupan seluruh pengendalian internal. Pengendalian umum meliputi sentralisasi
server atau pengendalian penyimpanan data manajemen, termasuk penjadwalan
pekerjaan, manajemen database, dan perencanaan bisnis berkelanjutan. Kerangka
pengendalian internal COSO menyimpulkan adanya kebutuhan untuk
mempertimbangkan pengaruh keterlibatan teknologi ketika mengevaluasi aktivitas
pengendalian sistem informasi.

d. Komunikasi dan Informasi

- Hubungan antara informasi dan pengendalian internal
 Informasi yang penting harus dapat mengalir dari tingkat atas sampai ke bawah.
Kerangka pengendalian internal IT COSO harus menekankan pentingnya menjaga
informasi dan sistem pendukung yang sesuai dengan kebutuhan perusahaan secara
keseluruhan. Sistem informasi yang efektif dilakukan untuk mendukung perubahan di
berbagai tingkat.
Strategic and integrated systems
Dengan strategic system, laporan engendalian internal COSO mengharuskan manajer
mempertimbangkan perencanaan, desain, dan implementasi sistem informasinya sebagai
bagian dari strategi perusahaan secara keseluruhan. Strategic system ini mandukung
bisnis perusahaan dan membantu menjalankan misinya. Selain itu COSO juga
menekankan pentingnya sistem informasi yang terintegrasi dengan operasi lain.
Kualitas informasi
Untuk menentukan kualitas informasi, harus diketahui apakah: isi dari informasi yang
dilaporkan sudah tepat; informasi tsb tepat pada waktunya dan tersedia saat dibutuhkan;
informasi tsb didapat sekarang atau minimal terbaru; data dan informasi benar; informasi
tsb dapat diakses oleh pihak yang tepat.

- Aspek komunikasi pengendalian internal

Menurut pengendalian internal COSO, komponen komunikasi yang paling penting adalah
bahwa para pemegang kepentingan harus menerima pesan dari manajer senior untuk
mengingatkan mereka akan tanggung jawab pengnedalian internal. Hal ini penting untuk
memastikan bahwa perusahaan akan mengikuti prinsip pengendalian internal yang
efektif. Komunikasi harus berjalan dua arah, dan COSO menekankan bahwa para
pemegang kepentingan harus juga melapor kepada perusahaan secara keseluruhan.
Komunikasi ke atas ini memiliiki 2 komponen: (1) komunikasi normal: proses dimana
para pemegang kepentingan diharapkan untuk melaporkan status, kesalahan, atau
masalah melalui supervisor mereka, (2) komunikasi rahasia: merupakan mekanisme
dimana seseorang dapat melaporkan berbagai hal kepada personel atasnya secara anonim.
Pengendalian internal COSO menjelaskan elemen komunikasi sbb: entitas yang
budayanya dipahami dengan baik oleh seluruh personel perusahaan dan memiliki banyak
sejarah beroperasi dengan integritas, umunya hanya akan mengalami sedikit kesulitan
mengkomunikasikan pesannya. Entitas tanpa tradisi akan perlu banyak jalan untuk
mengkomunikasikan pesannya.
e. Pengawasan
- Aktivitas pemantauan yang terus-menerus (ongoing)
Contoh aktivitas pemantauan yang terus-menerus:
Fungsi normal manajemen operasional
Review manajemen atas laporan operasional dan keuangan merupakan aktivitas
pemantauan terus-menerus yang penting.
Komunikasi dari pihak eksternal
Elemen ini berhubungan erat dengan komponen komunikasi dari pihak eksternal.
Struktur perusahaan dan aktivitas supervisory
Ketika manajer senior harus selalu me-review laporan dan melakukan tindakan
korektif, supervisi tingkat pertama dan sturktur perusahaan yg berhubungan memiliki
peran penting dalam pemantauan.
Physical inventory dan rekonsiliasi aset

- Evaluasi pengendalian internal yang terpisah

Pengendalian internal COSO mememberikan pedoman proses evaluasi untuk me-review
pengendalian internal. Evaluator harus: (1) mengembangkan pemahaman atas desain
sistem; (2) menguji pengendalian kunci; (3) mengembangkan kesimpulan berdasarkan
hasil pengujian. Selain itu juga dapat dilakukan benchmarking, yaitu proses
membandingkan proses yang dilakukan perusahaan dengna prosedur pengendalian yang
dilakukan oleh perusahaan sejawat (peer). Dokumentasi yang baik akan membuat
evaluasi atas pengendalian internal lebih efktif. Tapi tidak semua didokumentasikan. Bila
ada proses yang tidak didokumentasikan, informal, tapi cukup efektif, maka tim review
akan perlu untuk menyiapkan dokumentasi evaluasi sendriri guna menjelaskan
bagaimana proses tsb bekerja dan ttg sifat dasar pengendalian internalnya.

- Pelaporan kekurangan pengendalian internal

COSO menyatakan: jika kekurangan pengendalian internal perusahaan dapat
mempengaruhi pencapaian tujuannya, maka harus dilaporkan kepada pihak yang dapat
melakukan tindakan yang diperlukan. Penemuan kekurangan pengendalian internal
seharusnya dilaporkan tidak hanya kepada individu yang bertanggung jawab atas fungsi
atau aktivitas yang terkait, yang dapat melakukan tindakan korektif, tetapi juga minimal
 dilaporkan pada manajemen yang berada satu tingkat di atasnya. Proses ini memugkinkan
individual tsb menyediakan dukungan atau pandangan yang diperlukan untuk melakukan
tindakan korektif, dan untuk mengkomunikasikan dengan pihak lain dalam perusahaan
yang aktivitasnya mgkn terpengaruh. Bilamana penemuan kekurangan melewati batas
organisasi, maka pelaporannya harus menyesuaikan juga dan diarahkan sedemikan rupa
sehingga mencukupi untuk dapat dilakukan tindakan yang tepat.

DIMENSI LAIN DARI KERANGKA PENGENDALIAN INTERNAL COSO

Tiga dimensi yang berada pada bagian atas kerangka pengendalian internal COSO:
Kehandalan laporan keuangan
Kepatuhan terhadap undang-undang dan peraturan yang berlaku
Efektivitas dan efisiensi operasi
Chapter 6
Risk Management: COSO ERM

Setiap perusahaan membutuhkan suatu pengidentifikasian setiap risiko yang mungkin

untuk mereka hadapi setelah itu memanage resiko-resiko tersebut ketingkatan yang wajar
atau dapat dikendalikan. Pemahaman mengenai risoko ini merupakan komponen utama
dalam pencapaian Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.

Setiap manajer pada satuan kerja, baik operasional ataupun non-operasional, adalah
manajer resiko. Sebagaimana teori manajemen menjelaskan bahwa unsure inti manajemen
adalah planning,doing,dan controlling, maka sebagai pemilik dari risiko yang timbul dari
kegiatannya(planning,doing), manajer risiko haruslah sebagai pengendali(controlling) dari
risiko tersebut.

Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu sendiri.
Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan suatu
mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.

Mengapa manajemen resiko itu penting? Sikap orang ketika menghadapi resiko
berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang
sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh
dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu
untuk mengerti betapa resiko itu penting untuk ditangani dengan baik.
RISK MANAGEMENT FUNDAMENTAL

Dalam upaya pencapaian nilai itu, setiap organisasi sama-sama menghadapi

ketidakpastian. Ketidakpastian ini mengandung risiko yang sangat potensial untuk
menghilangkan kesempatan pencapaian tujuan perusahaan.

Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk
meminimalkan resiko atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas
organisasi. Suatu proses manajemen risiko yang efektif memerlukan empat langkah:

1. IDENTIFIKASI RISIKO

Pengidentifikasian risiko merupakan proses analisa untuk menemukan secara

sistematis dan berkesinambungan atas risiko (kerugian yang potensial) yang dihadapi
perusahaan. Karenanya diperlukan checklist untuk pendekatan yang sistematik dalam
menentukan kerugian potensial. Salah satu alternatif sistem pengklasifikasian
kerugian dalam suatu checklist adalah; kerugian hak milik (property losses),
kewajiban mengganti kerugian orang lain (liability losses) dan kerugian personalia
(personnel losses). Checklist yang dibangun sebelumnya untuk menemukan risiko dan
menjelaskan jenis-jenis kerugian yang dihadapi oleh sesuatu perusahaan.

Perusahaan yang sifat operasinya kompleks, berdiversifikasi dan dinamis,

maka diperlukan metode yang lebih sistematis untuk mengeksplorasi semua segi.
Metode yang dianjurkan adalah;

a. Questioner analisis risiko (risk analysis questionnaire).

b. Metode laporan Keuangan (financial statement method).

c. Metode peta-aliran (flow-chart).

d. Inspeksi langsung pada objek.

e. Interaksi yang terencana dengan bagian-bagian perusahaan.

f. Catatan statistik dari kerugian masa lalu.

g. Analisis lingkungan.

Jenis Risiko Perusahaan

 2. KUNCI PENILAIAN RISIKO (RISK ASSESSMENT)

Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah berikutnya

adalah untuk menilai kemungkinan relatif yang signifikansi. Berbagai pendekatan yang dapat
digunakan di sini, mulai dari analisis pendekatan kualitatif hingga analisis pendekatan
kuantitatif. Hal ini dapat membantu memutuskan mana dari serangkaian resiko yang paling
berpotensi terhadap peristiwa yang paling menghawatirkan manajemen. Manajer
bertanggungjawab terhadap penilaian resiko dengan menggunakan pendekatan kuesioner:

1. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke depan?
Menggunakan skor dari 1 sampai 9, jika :
 Skor 1 maka hampir tidak ada kemungkinan bahwa risiko terjadi selama
periode berjalan.

Skor 9 maka pasti akan ada yang terjadi selama periode berjalan.

Skor 2 sampai 8 tergantung pada bagaimana Anda merasakan kemungkinan

antar kedua

2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?

Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan

tergantung pada keuangan risiko yang signifikan. Sebuah risiko yang dapat menurunkan
biaya laba bersih per saham harus memenuhi syarat untuk nilai maksimal 9.

3. ANALISIS RISIKO

Setelah melakukan identifikasi resiko, maka tahap berikutnya adalah pengukuran

resiko dengan cara melihat potensial terjadinya seberapa besar severity (kerusakan) dan
probabilitas terjadinya risiko tersebut. Penentuan probabilitas terjadinya suatu event sangatlah
subyektif dan lebih berdasarkan nalar dan pengalaman.

Kesulitan dalam pengukuran risiko adalah menentukan kemungkinan terjadi suatu

risiko karena informasi statistik tidak selalu tersedia untuk beberapa risiko tertentu. Selain itu,
mengevaluasi dampak severity (kerusakan) seringkali cukup sulit untuk asset immateriil.
Dampak adalah efek biaya, waktu dan kualitas yang dihasilkan suatu resiko. Setelah
mengetahui probabilitas dan dampak dari suatu resiko, maka kita dapat mengetahui potensi
suatu resiko Probabilitas terjadinya resiko sering disebut dengan risk likelihood; sedangkan
dampak yang akan terjadi jika resiko tersebut terjadi dikenal dengan risk impact dan tingkat
kepentingan resiko disebut dengan risk value atau risk exposure.

COSO ERM: ENTERPRISE RISK MANAGEMENT

COSO Enterprise Risk Management adalah sebuah kerangka kerja untuk membantu
perusahaan untuk memiliki definisi yang konsisten terhadap risiko mereka. Ini juga
merupakan alat yang penting untuk memahami dan meningkatkan pengendalian internal
SOx. Dokumen kerangka COSO ERM dimulai dengan mendefinisikan manajemen risiko
perusahaan:

Enterprise risk management is a process, effected by an entitys board of directors,

management and other personnel, applied in a strategy setting and across the enterprise,
designed to identify potential events that may affect the entity, and manage risk to be within
its risk appetite, to provide reasonable assurance regarding the achievement of entity
objectives.

Terdapat beberapa poin penting dalam definisi ini, yaitu:

ERM adalah proses.

Proses ERM dilaksanakan oleh orang-orang dalam perusahaan.

ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.

Konsep risk appetite harus dipertimbangkan.

ERM memberikan keyakinan positif yang masuk akal tapi tidak pada pencapaian
objektif.

ERM dirancang untuk membantu mencapai tujuan.

ELEMEN KUNCI COSO ERM

Bagan ini menunjukkan kerangka COSO ERM ini sebagai tiga dimensi kubus dengan
komponen-komponen:

1. Empat kolom vertical mewakili tujuan strategis risiko perusahaan.

2. Delapan baris horizontal atau komponen risiko.

3. Beberapa tingkat untuk menggambarkan setiap perusahaan, dari tingkat induk

entitas sampai anak perusahaan individual.

Bagian ini menjelaskan komponen horizontal COSO ERM; kemudian bagian lainnya
membahas dua dimensi dan bagaimana mereka semua berhubungan satu sama lain. Tujuan
kerangka ERM adalah untuk menyediakan model bagi perusahaan untuk mempertimbangkan
dan memahami mereka terkait risiko kegiatan di semua tingkat, serta bagaimana dampak
risiko komponen satu sama lain. Tujuan bab ini adalah untuk membantu Auditor Internal -dari
kepala audit eksekutif (CAE) untuk staf auditor-untuk lebih memahami COSO ERM dan
belajar bagaimana dapat membantu mengelola berbagai risiko yang dihadapi perusahaan.

a. Komponen Lingkungan Internal

Komponen lingkungan internal ERM COSO terdiri dari unsur-unsur:

Filosofi Manajemen Risiko.

Risk Appetite.

Sikap dewan direksi.

Integritas dan nilai-nilai etika.

Komitmen terhadap kompetensi.

Struktur organisasi.

Penugasan wewenang dan tanggung jawab.

Standar Sumber daya manusia

b. Menetapkan Tujuan

Peringkat tepat di bawah lingkungan internal dalam kerangka COSO ERM,

pengaturan obyektiv yang menguraikan kondisi penting untuk membantu manajemen
menciptakan proses ERM yang efektif. Elemen ini mengatakan bahwa, di samping
lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian sasaran strategis,
sesuai dengan misi terhadap operasional, pelaporan, dan kepatuhan kegiatan. COSO
ERM.Menetapkan tujuan COSO ERM dimulai dengan misi keseluruhan, untuk (1)
mengembangkan sasaran strategis untuk mendukung pemenuhan yang misi, (2) menetapkan
strategi untuk mencapai tujuan, (3) mendefinisikan tujuan yang terkait, dan (4)
mendefinisikan selera risiko untuk menyelesaikan strategi itu. pameran ini diadaptasi dari
bahan COSO ERM bimbingan.

c. Identifikasi Peristiwa

Insiden perusahaan atau kejadian-eksternal yang mempengaruhi penerapan strategi

ERM dan pencapaian tujuannya. Sementara kecenderungan kita adalah untuk memikirkan
peristiwa dalam arti negatif-menentukan apa salah-mereka. Banyak perusahaan saat ini
memiliki kinerja perangkat monitoring yang kuat untuk memantau biaya, anggaran, jaminan
mutu, kepatuhan, dan sejenisnya.

Proses pemantauan harus mencakup: (1) Peristiwa ekonomi eksternal, alam, dan politik, (2)
faktor social, (3) peristiwa infrastruktur internal, (4) proses internal, (5) teknologi internal
maupun eksternal,

d. Penilaian Risiko

Penilaian risiko memungkinkan perusahaan untuk mempertimbangkan apa efek

peristiwa terkait risiko potensial tersebut terhadap prestasi perusahaan terhadap tujuannya.
Risiko ini harus dinilai dari dua perspektif: kemungkinan risiko yang terjadi dan dampak
potensinya. Sebagai bagian penting dari proses penilaian risiko, juga perlu
mempertimbangkan risiko yang melekat:

Risiko Inheren. Faktor besar yang mempengaruhi risiko inheren perusahaan adalah
ukuran dari anggarannya, kekuatan dan kecanggihan manajemen, dan hanya sifat dari
kegiatannya. Risiko inheren di luar kendali manajemen dan biasanya berasal dari
faktor eksternal.

Risiko Residual. Ini adalah resiko yang tersisa setelah tanggapan manajemen risiko
ancaman dan penanggulangan telah diterapkan. Ada hampir selalu beberapa tingkat
risiko residual.

e. Respon Risiko

Setelah dinilai dan mengidentifikasi risiko yang lebih signifikan, COSO ERM diukur
mengenai tanggapan terhadap berbagai risiko yang teridentifikasi. tanggapan risiko dapat
ditangani dalam salah satu dari empat cara dasar:

1. Penghindaran. Ini adalah strategi berjalan menjauh dari risiko seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari wilayah geografis berisiko, atau
menjatuhkan lini produk. Kesulitannya adalah bahwa perusahaan seringkali tidak bisa
drop garis produk atau berjalan kaki sampai setelah kejadian risiko telah terjadi
dengan nya terkait biaya. Penghindaran dapat menjadi berpotensi mahal strategi jika
investasi tersebut dilakukan untuk masuk ke suatu daerah dengan penarikan
berikutnya untuk menghindari risiko.

2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko

tertentu. Diversifikasi lini produk dapat mengurangi resiko terlalu kuat dari
 ketergantungan pada satu baris kunci produk; membelah operasional TI menjadi dua
yang terpisah secara geografis lokasi akan mengurangi risiko beberapa bencana
kegagalan.

3. Berbagi. Hampir semua perusahaan secara teratur berbagi risiko mereka melalui
pembelian asuransi, tetapi teknik berbagi risiko lainnya juga tersedia. Untuk transaksi
keuangan, perusahaan dapat melakukan lindung nilai operasi melindungi dari
fluktuasi harga yang mungkin, atau dapat berbagi risiko bisnis potensial dan manfaat
melalui perusahaan perjanjian usaha patungan atau struktural lainnya pengaturan.
Idenya adalah untuk memiliki pihak lain menerima beberapa potensi risiko serta
berbagi dalam penghargaan yang dihasilkan.

4. Penerimaan. Ini adalah strategi tindakan apapun, seperti ketika perusahaan

selfinsures dengan mengambil tindakan untuk mengurangi risiko potensial. Pada
dasarnya, perusahaan harus melihat kemungkinan risiko dan dampak dalam terang
risiko mendirikan toleransi dan kemudian memutuskan apakah akan menerima resiko
itu atau tidak.

f. Kegiatan Pengendalian

ERM kegiatan pengendalian adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan tanggapan risiko yang diidentifikasi. Setelah memilih respon resiko
yang memadai, perusahaan harus memilih kontrol aktivitas yang diperlukan untuk
memastikan bahwa risiko tanggapan dijalankan secara tepat waktu dan efisien. Setelah
melalui risiko identifikasi kejadian COSO ERM, penilaian, dan respon proses, risiko
pemantauan memerlukan empat langkah:

1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan menetapkan
pengendalian prosedur untuk memantau atau benar bagi mereka.

2. Buat api prosedur pengujian bor-tipe untuk menentukan apakah mereka terkait
pengendalian risiko prosedur yang bekerja secara efektif.

3. Lakukan tes proses pemantauan risiko untuk menentukan apakah mereka bekerja efektif
dan seperti yang diharapkan.

4. Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan risiko

monitoring proses.
 Banyak kegiatan pengendalian di bawah pengendalian COSO internal cukup mudah
untuk mengidentifikasi dan uji karena sifat akuntansi. Kegiatan ini umumnya mencakup
kontrol daerah-daerah pengendalian internal:

o Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi harus tidak menjadi
orang yang sama yang mengotorisasi transaksi tersebut.

o Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali dengan transaksi yang menciptakan hasil tersebut.

o Keamanan dan integritas. Pengendalian proses harus memiliki kontrol yang tepat
prosedur seperti bahwa hanya orang-orang yang berwenang dapat meninjau kembali
atau memodifikasi mereka.

o Dokumentasi. Proses harus didokumentasikan.

g. Informasi dan Komunikasi

Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus

dikomunikasikan dari satu komponen COSO ERM ke yang lain dalam diagram alir
sederhana, melakukannya merupakan proses yang jauh lebih kompleks dalam praktek. Dasar
proses dalam banyak perusahaan terdiri dari web kompleks sistem informasi operasional dan
keuangan yang sering tidak terkait dengan baik. Hubungan ini menjadi lebih kompleks untuk
proses ERM banyak, mengingat bahwa banyak aplikasi enterprise dasar tidak langsung
meminjamkan diri untuk identifikasi risiko, penilaian, dan proses risiko-respon-tipe.

h. Pemantauan

The COSO ERM Framework Aplikasi dokumen menunjukkan bahwa pemantauan

dapat meliputi jenis kegiatan:

o Pelaksanaan mekanisme pelaporan manajemen yang berkelanjutan seperti uang tunai

posisi, unit penjualan, dan data keuangan kunci.

o Periodik terkait risiko proses pelaporan peringatan akan memantau aspek-aspek kunci
dari didirikan risiko kriteria, termasuk tingkat kesalahan dapat diterima atau item
diselenggarakan di ketegangan.

o Lancar dan status pelaporan berkala temuan terkait risiko dan rekomendasi dari
laporan audit internal dan eksternal, termasuk status ERM terkait SOx
mengidentifikasi kesenjangan.
 o Perbarui informasi terkait risiko dari sumber seperti peraturan pemerintah-revisi, tren
industri, dan berita ekonomi secara umum.

DIMENSI LAIN ERM COSO:RISIKO OBJEK PERUSAHAAN

a. Tujuan Operasional Manajemen Risiko

Setelah tiga dimensi kerangka ERM, komponen operasi, digunakan untuk

mengidentifikasi risiko atas setiap unit usaha. Identifikasi ini membutuhkan informasi yang
rinci, kemudian dikumpulkan dan dianalisis, khususnya untuk sebuah perusahaan besar yang
mencakup beberapa wilayah geografis, lini produk, atau bisnis proses. Review audit internal
atau survei yang langsung dipengaruhi oleh risiko tersebut dapat membantu untuk
mengumpulkan informasi latar belakang lebih rinci tentang potensi risiko operasional.

b. Tujuan Pelaporan Manajemen Risiko

Tujuan pelaporan risiko ini meliputi keandalan laporan suatu perusahaan dari
internalnya dan eksternal baik itu dari keuangan perusahaan dan data non keuangan.
Pelaporan yang akurat sangat penting untuk suatu keberhasilan perusahaan dalam banyak
dimensi.

c. Risiko Kepatuhan Tujuan Hukum dan Peraturan

Setiap jenis perusahaan harus sesuai dengan berbagai hukum dan pemerintah yang dikenakan
atas standar industri atau peraturan. Sementara risiko kepatuhan dapat dipantau dan diakui,
risiko hukum kadang-kadang tidak terduga. Hasilnya adalah litigasi diarahkan terhadap
perusahaan yang pernah memproduksi produk yang mengandung asbes tertentu, panggilan
ganti rugi berdasarkan risiko manusia yang potensial di masa mendatang. COSO ERM
merekomendasikan bahwa risiko terkait kepatuhan dipertimbangkan untuk masing-masing
komponen kerangka risiko, baik dalam konteks lingkungan internal pemerintah, pengaturan
tujuan, atau pemantauan risiko, serta di seluruh perusahaan.

RISIKO AUDIT DAN PROSES ERM COSO

Sebuah perusahaan dapat meningkatkan proses secara keseluruhan sama halnya Sox
pengendalian internal melalui implementasi yang efektif dan efisien COSO ERM. Dengan
berfokus pada kerangka COSO ERM serta manajemen risiko umum baik praktek, audit
internal dapat membantu perusahaan dengan perencanaan dan melakukan review proses
manajemen risiko perusahaan. Untuk meninjau praktek COSO ERM dan implementasi
prosedur, auditor internal, baik sebagai peninjau audit internal kontrol atau konsultan
manajemen, perlu mengembangkan pengertian pengendalian COSO ERM dan proses. Selain
itu, setiap kajian internal audit proses ERM perusahaan harus dikembangkan melalui
perencanaan internal audit berbasis risiko yang akan dibahas lebih lanjut di materi
selanjutnya. Internal Audit harus meninjau sisi perusahaan ERM proses menggunakan
beberapa alat ini:

Proses flowchart Sebagai bagian dari setiap proses ERM yang diidentifikasi, diagram
alur proses dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi dalam perusahaan. Ini dibutuhkan untuk melihat dokumentasi yang disiapkan
untuk risiko terkait proses, menentukan kondisi saat ini, dan menggambarkan semua
kecukupan semua tingkatan proses risiko perusahaan.

Tinjauan bahan dan pengendalian risiko. Sebuah proses ERM menghasilkan dalam
volume besar bahan pedoman, terdokumentasi, format laporan, dan sejenisnya. Proses
ERM berharga untuk risiko dan pengendalian bahan audit internal

Pembandingan. Meskipun sering disalahgunakan istilah, benchmarking adalah proses

untuk melihat fungsi dalam lingkungan lain untuk menilai operasi mereka dan untuk
mengembangkan pendekatan berdasarkan praktek-praktek.

Kuesioner. Kuesioner adalah metode yang baik untuk mengumpulkan informasi pada
efektivitas ERM dari berbagai macam orang. Mereka dapat dikirimkan disetujui
stakeholder. Ini merupakan teknik audit internal yang baik.
 Chapter 7
Performing Effective Internal Audits (Menampilkan internal audit yang efektif)

Diasumsikan bahwa fungsi internal audit yang efektif dimulai dengan sebuah charter
audit yang disetujui seperti halnya dengan persetujuan komite audit untuk sebuah rencana
tahunan aktivitas internal audit perusahaan. Pada bab ini, akan menjelaskan langkah langkah
yang penting untuk melaksanakan review audit internal atas pengendalian internal. Secara
virtual, seluruh audit internal dimulai dengan menetapkan charter audit internal yang telah
disetujui, penegasan kembali tujuan awal audit, pengembangan rencana audit individual
secara terperinci. Kemudian, program audit internal beserta review awal dan dokumentasi
atas pengendalian internal, pengujian untuk menentukan apakah telah berjalan sesuai dengan
yang diharapkan, laporan hasil audit secara berkelanjutan. Seluruhnya dijelaskan berdasarkan
inti dari ketentuan CBOK.
Seorang auditor internal yang efektif bertindak sebagai perangkat garis depan dari
mata dan telinga untuk komite audit dan manajer senior, dan harus melakukan lebih dari
sekedar review kewajiban perusahaan dengan dokumentasi yang dipublikasi dan prosedur.
7.1 Mengorganisir dan Merencanakan Internal Audit
Sebelum fungsi internal audit dapat menjalankan audit apapun, dibutuhkan beberapa building
blocks sebagai tempat untuk menyeimbangkan sebuah fungsi internal audit yang efektif.
Pondasi building blocks internal audit ini antara lain:
a. Sebuah rencana efektif dari organisasi dan sebuah piagam untuk melaksanakan aktivitas
audit internal.
b. Sebuah rencana audit tahunan atau jangka panjang
c. Standar dan pendekatan efektif untuk menampilkan semua internal audit.
Audit internal akan lebih efektif jika semua anggota dari staff audit ikut konsisten, prosedur
yang professional dalam menampilkan review mereka. Mereka akan menjadi sumber daya
perusahaan yang kuat pada pandangan manajer, yang selalu mengharapkan konsistensi,
pendekatan yang berkualitas dari sumber daya audit internal.
7.2 Aktivitas audit internal yang berkenaan dengan persiapan
Masing-masing proyek audit internal harus berhati-hati merencanakan sebelum memulainya.
Audit harus dimulai sebagai sebuah elemen yang terskedul pada perencanaan tahunan audit
internal dan proses memperkirakan resiko, berdasarkan permintaan special komite audit atau
manajemen, atau sebagai respon pada kejadian yang tidak direncanakan, seperti penemuan
kecurangan, peraturan baru, atau kejadian ekonomi yang tidak terduga.
Setelah internal audit mengembangkan rencana untuk bekerja untuk tahun mendatang,
perencanaan dan penjadwalan audit internal individu dering menjadi tantangan. Di samping
rencana yang well-thought-out, kejadian yang tidak terjadwal, permintaan dari manajer, atau
situasi seperti hasil yang tidak menguntungkan dari audit lain mungkin akan menyebabkan
perubahan pada sebuah rencana jangka panjang audit internal. Meskipun sering ada tekanan
untuk memulai contohnya audit special secara tiba-tiba, sebuah audit yang terencana dengan
baik akan hampir selalu menyajikan hasil audit yang lebih baik. Sebagai tambahan, audit
internal dapat memperoleh penghematan yang signifikan pada waktu dan usaha dengan
perencanaan lanjutan yang cukup dan pekerjaan yang berkenaan dengan persiapan.
a. Menentukan tujuan audit baik yang menyeluruh maupun individual
Audit internal harus secara umum menetapkan rencana-rencana untuk aktivitas audit
internal yang secara khas menutupi periode fiscal tahunan.
b. Menjadwal audit dan memperkirakan waktu
(tahunan/triwulan/bulanan;person;scope;object) yang paling penting adalah jumlah staf
setiap penugasan harus dibuat scheduling yang lebih rinci
c. Survey awal: mereview kertas kerja sebelumnya, mereview laporan audit sebelumnya,
entitas organisasi, materi audit lainnya yg berhubungan.
7.3 Memulai Audit Internal
Dimulai dengan membuat surat perikatan, surat ini harus memperingatkan manajer audit
dari :
1. Adressee, komunikasi harus dialamatkan kepada manajer secara langsung
bertanggung jawab kapada unit yg di audit.
2. Tujuan dan scope dari audit
3. Tanggal mulai yg diharapkan dan lama waktu audit yang direncanakan
4. Tanggung jawab perorangan untuk melakukan review
5. Persiapan kebutuhan lanjutan, seperti akses jaringan telekomunikasi, akses untuk
kunci sistem IT atau database.
6. Salinan surat perikatan
7. Laporan operasi lainnya
a) Survey lapangan untuk internal audit, merupakan hal yg sangt kritikal/penting dalam
penetapan arah, detail scope, dan hasil audit. Survey lapangan mengijinkan auditor untuk,
1. Menyesuaikan dirinya dengan proses local utama di tempat dan
2. Evaluasi struktur pengendalian dan level dari resiko pengendalian pada proses yang
bervariasi dan sistem yang termasuk dengan audit.
 Informasi yang harus ditemukan selama survey lapangan:
1. Struktur organisasi termasuk nama-nama dari orang-orang penting adalah benar
2. Manual and directives
3. Laporan (reports) yang terkait misalnya penganggaran, operasi, studi biaya,dll
4. Observasi perorangan
5. Diskusi dengan orang-orang penting untuk mengetahui area-area yg bermasalah, hasil
sebenarnya dari operasi perusahaan, dan perubhan rencana atau reorganisasi.
b) Dokumentasi hasil survey lapangan internal audit pada kertas kerja audit. (bisa berupa
flowchart)
c) Kesimpulan survey lapangan auditor
Tujuan utama dari suvei lapangan adalah untuk menyocokkan asumsi yang dibuat dari
perencanaan audit sebelumnya, yang bertujuan untuk mengembangkan pemahaman pada
sistem kunci dan proses. dengan survey awal, auditor diharapkan menyesuaikan scope
dan tujuan audit yang direncanakan dengan keadaan sebenarnya.
7.4 Mengembangkan dan menyiapkan audit program
Untuk mencapai konsistensi audit, auditor internal harus menggunakan audit program
untuk melakukan prosedur audit dengan konsisten dan cara yang efektif untuk tipe audit
yang sama. Istilah program mengarah pada seperangkat prosedur audit hamper mirip
dengan program komputer, instruksi yang dijalankan sama dengan instruksi program
setiap proses dijalankan.
a. Format audit program dan persiapannya
Audit program adalah sebuah prosedur yang menjelaskan langkah demi langkah yang
harus dilakukan oleh internal audit ketika sedang melakukan kerja lapangan. Program
ini harus diselesaikan setelah survey lapangan dan survey sebelumnya selesai
dilakukan dan sebelum memulai audit yang sebenarnya. Hal yang paling penting dari
program itu adalh program itu harus mengidentifikasi aspek area yang harus
diperikasi kedepannya dan area yang sensitive yang membutuhkan penekanan audit.
Tujuan penting lainnya dari audit program adalah sebagai peralatan pemandu baik
untuk onternal auditor yang kurang atau yang mempunyai pengalaman lebih.
b. Tipe-tipe dari bukti audit
Bukti audit meliputi semua audito internal review atau pengamatan. Auditor internal
harus mengumpulkan bukti audit untuk mendukung evaluasi auditor- internal audit
standart yang disebut bukti audit yang cukup, competent,relevant, dan berguna-. Liat
exhibit 7-8
7.5 Melakukan Audit Internal
a. Prosedur awal fieldwork internal audit
Auditor dan anggota tim audit harus memulai audit dengan rapat bersama anggota
yang tepat dari manajemen perusahaan yang diaudit untuk menentukan kerangka
perencanaan awal audit, termasuk area yang harus diaudit, laporan khusus atau
dokumen yang dibutuhkan, dan orang2 yg akan diwawancarai. Auditor harus meminta
semua pihak organisasi yang terpengaruh untuk member mereka jadwal sementara
kinerja audit yang direncanakan. Auditor yang sedang bekerja harus bertemu dengan
manajemen perusahaan untuk mendiskusikan berbagai masalah dan mencari
pemecahannya. Bila ada komponen kunci dalam audit yang telah direncanakan
meleset, manajemen audit harus mengembangkan strategi peninjauan kembali untuk
menyelesaikan masalah termasuk, yang meliputi:
Meninjau kembali prosedur audit untuk melaksanakan pengujian tambahan
dalam area yang berbeda
Menyelesaikan audit tanpa menggunakan data yang hilang tersebut.
Menyelesaikan bagian audit yang lain dan menjadwalkan kunjungan
selanjutnya untuk melaksanakan pengujian.
b. Teknik bantuan audit fieldwork
Manajemen audit unternal harus mengkomunikasikan semua masalah teknik audit
kepada para stafnya yang harus dipahami oleh yang auditor yang sedang bekerja agar
bisa dicari solusinya sesegera mungkin.
c. Audit Management Fieldwork Monitoring
Bila audit membutuhkan waktu yang lama atau membutuhkan sumber daya yang
terlalu banyak, maka manajemen audit internal harus meriview progress audit secara
berkala dan menyediakan pengarahan teknis melalui kunjungan dan komunikasi.
Tujuannya untuk mereview progress kerja dan membantu menyelesaikan masalah
yang ada
d. Penemuan audit yang potensial, penemuan awal audit biasanya mempunyai elemen-
elemen ini:
1. Identifikasi penemuan
2. Kondisi
3. Referensi kepada dokumen pekerjaan audit
4. Rekomendasi awal auditor
 5. Hasil dari diskusi hasil temuan dengan manajer
6. merekomendasikan disposisi dari penemuan
e. modifikasi audit program dan jadwal
audit program memrupakan petunjuk keseluruhan pelaksanaan internal audit yang
dikembangkan dari data survey awal dan dari file internal audit terdahulu. Kebutuhan
modifikasi audit program sangat diperlukan sangat internal audit telah
mengembangakan audit program umum untuk mereview unit yang hamper sama.
Perubahan itu dibutuhkan dalam jadwal audit sebagai progress kerja dan fleksibilitas
harus direncanakan untuk menghadapi persyaratan yang tidak terduga.
f. Melaporkan temuan audit persiapan kepada manajer
Penemuan audit potensial harus diriview oleh management unit selama pelaksanaan
audit untuk menentukan apakah mereka memang fakta dan berpengaruh signifikan.
7.6 Membungkus perikatan bidang Internal Audit
Internal audit harus dikelola dengan cara yang sama seperti proyek lainnya yang
membutuhkan waktu personal dan sumber daya lain serta emmberi hasil yang dapat
dikomunikasikan. Sumber daya personal dan biayanya harus direncankan dan
dianggarkan pada tingkat yang terinci. Perluasan waktu atas audit harus ditinjau lebih
lanjut manajemen audit internal untuk menyediakan overview dari audit yang telah
direncanakan atau yang masih berjalan. Periode selama 3 bulan seringkali merupakan
waktu yang tepat untuk aktivitas yang direncanakan.
7.7 Melakukan Internal Audit Individual
Seorang auditor internal harus melaksanakan kinerja dan memiliki kemampuan untuk
merencanakan dan melaksanakan audit internal individual.
Proses audit internal :
1. Sebagai bagian dari perencanaan audit, melaksanakan analisis resiko untuk
mengidentifikasi resiko pengendalian yang potensial
2. Berdasarkan hasil anlisis resiko dan kendala lain mengembangkan audit plan.
3. Menjadwal audit internal di awal dan mengalokasikan sumber daya
4. Mereview laporan audit terdahulu dan kertas kerja yang melingkupi audit area
5. Mengunjungi lokasi dan melaksanakan survey lapangan yang melingkupi area dari
audit yang direncanakan.
6. Berdasarkan kertas kerja dan survey lapangan yang dibuat, menyiapkan audit program
7. Menyiapkan dan menyampaikan surat perikatan audit dan merencanakan untuk
memulai audit internal
 8. Memulai audit internal lapangan dan audit internal yang telah direncanakan.
9. Mendokumentasikan proses dan melaksakan prosedur audit yang telah direncankan
10. Mengembangkan audit point sheet yang melingkupi penemuan awal internal audit
11. Menyelesaikan dokumentasi audit dan mengiktisarkan penemuan audit yang
potensial.
12. Menyelesaikan audit internal lapangan dan meriview temuan audit yang diusulkan
dengan auditee.
Nilai yang paling penting yang disediakan oleh proses audit internal kepada komite audit dan
manajemen merupakan laporan hasil pelaksanaan audit di lapangan secara rinci atau sebagai
bagian dari operasi keseluruhan.
 Chapter 10
Audit Program and Establishing the Audit Universe

Definisi Lingkup dan Tujuan Internal Audit Universe

Audit universe adalah kumpulan dari semua area yang tersedia untuk di audit dalam suatu
perusahaan. Beberapa contoh aktivitas yang bisa diaudit:
Kebijakan, prosedur, dan praktik pada suatu tingkatan perusahaan, dan lokasi yang
spesifik, seperti unit-unit internasional.
Manufacturing, distribusi, atau unit-unit rantai persediaan.
Sistem Informasi pada infrastruktur dan tingkatan aplikasi spesifik.
Kontrak utama atau lini produk
Fungsi-fungsi pembelian, akuntansi, keuangan, pemasaran, dan pengelolaan.
Kita harus mendefinisikan entitas audit dengan suatu cara, dimana internal audit individual
dapat menghemat biaya. Contohnya:
Pada banyak instansi, hal ini mungkin paling efisien untuk menunjuk proses umum yang
mencakup semua unit pada keseluruhan entitas audit, terutama jika kebijakan dan
prosedur umum mencakup semua unit individual.
Untuk rantai multirestoran dengan banyak unit kecil, boleh jadi akan menjadi terbaik
untuk mendefinisikan setiap restoran kecil individual sebagai unit yang diaudit, dengan
tidak ada perencanaan untuk menjadwalkan proses spesifik pada setiap restoran, dalam
audit yang terpisah. Tim internal audit disini mereview semua operasi atau cara kerja
pada restoran utama, bukannya proses umum, seperti prosedur pengendalian kas untuk
semua unit restoran.
Tim internal audit seharusnya juga mendefinisikan beberapa poin penting audit untuk
memastikan konsistensinya dalam pelaksanaan audit dari semua audit internal potensial. Poin
penting ini bertindak sebagai suatu garis besar umum untuk dokumen perencanaan audit dan
program kerja audit, serta membantu menghasilkan laporan mengenai status pengendalian di
dalam lingkungan pengendalian perusahaan.
Empat jenis poin penting audit untuk seluruh keamanan informasi:
Pengendalian akses IT
Sistem konfigurasi keamanan
Pemantauan dan tanggapan peristiwa
Manajemen dan administrasi keamanan
Empat poin penting audit untuk elemen universe infrastruktur IT :
1. Struktur dan strategi
2. Metodologi dan prosedur
3. Pengukuran dan pelaporan
4. Perkakas dan teknologi
Penilaian kapabilitas dan tujuan internal audit
Auditor internal harus mengetahui segala sesuatu tentang jenis bisnis, transaksi, kemudian
pengaruhnya terhadap keuangan. Internal audit harus realistis dalam mengembangkan daftar
audit universe, yang pertimbangan utamanya adalah pengendalian risiko (prioritas
berdasarkan tingkat risiko audit). Internal audit seharusnya menganalisis setiap calon
potensial internal auditor dengan cara:
Menetapkan sasaran pengendalian tingkat tinggi untuk setiap calon audit universe
Menilai risiko tingkat tinggi untuk calon audit universe
Mengkoordinasi aktivitas internal audit dengan audit lainnya dan menarik perhatian
pemerintah
Mengembangkan sasaran pengendalian tingkat tinggi untuk audit yang ditunjuk oleh
audit universe
Mengembangkan daftar pertanyaan pendahuluan mengenai penilaian pengendalian untuk
setiap audit

Audit Universe Time and Resources Limitations

Walaupun dalam hal ini kita masih berhadapan pada suatu tingkatan sangat tinggi, langkah
berikutnya adalah melihat sisa materi dalam pendahuluan audit universe, jika waktu dan
sumberdaya tersedia untuk tinjauan ulang materi tersebut. Dalam beberapa situasi, mungkin
ada terlalu banyak materi audit yang ditinggalkan dalam audit universe untuk mencukupi
dalam periode waktu yang layak. Disamping itu, internal audit juga menetapkan jadwal di
periode sekarang atau dalam tiga sampai lima tahun siklus, yang memerlukan ketrampilan
internal audit khusus. Sumber daya internal audit perlu ada dalam suatu area karena
keamanan jaringan TI digunakan untuk perencanaan, kesinambungan dan pengujian, dimana
keterampilan internal audit atau sumber daya akan diperlukan.
Menjual Audit Universe pada Komite Audit dan Manajemen
CAE dan tim kunci internal auditor mungkin melakukan usaha besar-besaran untuk
membangun dan mengurus internal audit universe, dan mungkin memohon bantuan dan saran
dari senior manajemen dalam hal kontens dan asumsi-asumsi dari audit universe, tetapi
komite audit adalah entitas yang bertanggungjawab untuk memeriksa dan menerima
dokumen. Pada akhirnya komite audit bertanggungjawab jika ada pertanyaan mengenai
mengapa internal audit tidak melihat beberapa area, dan CAE seharusnya memberi laporan
singat secara hati-hati pada komite audit dan menjelasakan kunci asumsi-asumsinya.
Membuat Program Audit: Komponen Kunci Audit Universe
Setelah auditor menentukan penekanan yang sesuai atas masing-masing dari 5 jenis
pengujian (prosedur pengendalian intern, uji pengendalian, uji substansi, uji analisis, uji
saldo), program audit khusus untuk masing-masing jenis tersebut harus dirancang.
Prosedur audit ketika dikombinasikan akan membentuk program audit. Mungkin akan ada
suatu kumpulan program sub audit untuk masing-masing siklus transaksi.
a. Format program audit dan persiapannya
Prgram audit adalah suatu prosedur yang mendeskripsikan mangenai langkah-langkah
dan pengujian-penguijan yang akan dilakukan oleh auditor ketika melakukan lingkungan
kerjanya. Program audit harus diselesaikan setelah melengkapi persiapan dan melakukan
survey lapangan, dan sebelum memulai pelaksanaan lingkungan kerja audit. Program audit
harus dibentuk sesuai beberapa kriteria, yang paling penting dalam program audit adalah
auditor harus mengidentifikasi aspek-aspek daam area yang akan diperiksa lebih lanjut dan
sensitive area yang akan meminta penekanan audit. Sehingga pengalaman auditor sangat
penting.
Ada beberapa jenis format program audit secara umum :
Satuan prosedur umum audit
Program dengan instrukrur terinci untuk auditor
Checklist atau daftar nama untuk implikasi pemeriksaan

b. Jenis bukti program audit

Internal auditor harus mengumpulkan bukti audit yang didukung evaluasi, dimana standar
bukti internal audit adalah mencakup empat kriteria yaitu sufficient (cukup), kompeten,
relevan, dan berguna. Suatu program audit, yang dibentuk dengan baik, harus dapat menjadi
petunjuk auditor dalam proses mengumpulka bukti audit. Internal auditor akan menemukan
berbagai jenis bukti yang dapat berguna dalam pengembangan kesimpulan atau emuan audit.
Audit Universe dan Pemeliharaan Program
Dokumen universe audit adalah gambaran umum dari semua unit audit yang
memperbolehkan pemeriksaan fungsi internal audit perusahaan. Hal ini adalah perencanaan
yang menegaskan luas dan lingkup aktivitas internal audit. Untuk beberapa tingkatan, jika
dipertanyakan setelah ditemukan kenyataan bahwa mengapa tim internal audit tidak pernah
menjadwalkan pemeriksaan di beberapa area, internal audit dapat menjelaskan bahwa area
tersebut tidak termasuk annual perencanaan internal audit, karena hal tersebut tidak pernah
ditetapkan sebagai bagian deskripsi internal audit universe. Universenya adalah peta big-
picture yang mencakup teoritis internal audit dan perencanaan aktivitas internal audit yang
terus menerus.