SUMMARY CH9 Mengelola Fungsi Audit Internal

* Chief Audit Executive = Posisi senior dalam organisasi yang bertanggung jawab atas kegiatan audit internal. Istilah ini juga mencakup jabatan-jabatan seperti auditor umum, kepala audit internal, kepala auditor internal, direktur audit internal, dan inspektur jenderal.
* Fungsi audit internal dikelola secara efektif ketika:

1. Hasil pekerjaan audit internal mencapai tujuan dan tanggung jawab yang termasuk dalam piagam audit internal
2. Fungsi audit internal sesuai dengan Standar
3. Individu yang merupakan bagian dari fungsi audit internal menunjukkan kesesuaian dengan Kode Etik dan Standar
4. Fungsi kegiatan audit internal mempertimbangkan tren dan masalah yang muncul yang dapat berdampak pada efektivitas fungsi audit internal

* Piagam audit internal = Dokumen tertulis formal yang menetapkan tujuan, wewenang, dan tanggung jawab fungsi audit internal. Piagam audit internal berada di bawah piagam komite audit

Independence and Objectivity
* Objektivitas Individu = Sikap mental yang tidak bias yang memungkinkan auditor internal untuk melakukan keterlibatan sedemikian rupa sehingga mereka memiliki keyakinan yang jujur pada produk kerja mereka dan tidak ada kompromi kualitas yang signifikan. Objektivitas mengharuskan auditor internal untuk tidak menempatkan penilaian mereka pada masalah-masalah audit dengan yang lain.
* Kemandirian Organisasi = Jalur pelaporan eksekutif kepala audit dalam organisasi yang memungkinkan fungsi audit internal untuk memenuhi tanggung jawabnya bebas dari gangguan.
* Standar IIA 1130 = Penurunan Nilai terhadap Kemandirian atau Objektivitas: Jika independensi atau obyektivitas terganggu pada fakta atau penampilan, detail penurunan nilai harus diungkapkan kepada pihak yang tepat. Sifat pengungkapan akan tergantung pada penurunan nilai.

Proficiency and Due Professional Care
* Proficiency /kecakapan = Pengetahuan, keterampilan, dan kompetensi lain yang dibutuhkan auditor internal untuk melaksanakan tanggung jawab masing-masing
* Due professional care = Auditor internal harus menerapkan kehati-hatian dan keterampilan yang diharapkan dari auditor internal yang cukup bijaksana, namun, auditor internal tidak diharapkan sempurna.

* Rencana audit internal yang diusulkan dapat meliputi:

1. daftar audit engagements yang diusulkan dan spesifikasi mengenai apakah engagement adalah jaminan atau konsultasi
2. Rasional untuk memilih setiap engagement yang diusulkan (misalnya, peringkat risiko, waktu sejak audit terakhir, perubahan manajemen, ctc.)
3. Tujuan dan ruang lingkup dari setiap engagement yang diusulkan
4. Daftar inisiatif atau proyek yang dihasilkan dari strategi audit internal tetapi mungkin tidak terkait langsung dengan engagement audit

Fungsi audit internal dalam berbagai posisi yang berkorelasi dengan peran dan fungsi tsb, diantaranya:

* Staf auditor atau staff auditor TI = bertanggung jawab untuk melakukan kerja lapangan di bidang keuangan, operasional, kepatuhan, dan sistem informasi sesuai dengan jadwal audit yang ditetapkan untuk tujuan menentukan keakuratan catatan keuangan, efektivitas praktik bisnis, dan kepatuhan terhadap kebijakan, prosedur, undang-undang, dan peraturan.
* Auditor senior atau auditor senior TI = bertanggung jawab atas tahap perencanaan engagement, membimbing auditor staf dalam kerja lapangan mereka, memastikan bahwa jadwal engagement dipenuhi, meninjau kertas kerja yang disiapkan oleh staf auditor, membantu dalam persiapan komunikasi engagement, melakukan langkah-langkah penyelesaian engagement, dan mengevaluasi kinerja auditor staf.
* Manajer audit atau manajer audit TI = mengawasi dan mengelola engagement sesuai dengan jadwal audit yang ditetapkan, membantu dalam pengembangan dan pemeliharaan rencana audit internal tahunan dan model risiko untuk area yang ditugaskan, masalah komunikasi keterlibatan, dan mengawasi auditor senior.
* Direktur atau direktur audit TI = membantu pengembangan strategi dan perencanaan audit internal secara keseluruhan, termasuk presentasi dan peninjauan strategi, misi, piagam, dan rencana audit internal dengan komite audit dan manajemen senior
* Kepala eksekutif audit /CAE = mengembangkan, mengarahkan, mengatur, memantau, merencanakan, dan mengelola rencana dan anggaran audit internal, sebagaimana disetujui oleh komite audit, untuk tujuan menentukan akurasi catatan keuangan, efektivitas praktik bisnis, dan kepatuhan terhadap kebijakan yang berlaku, prosedur, hukum, dan peraturan­­

Gambar 1 – Model Three Lines of Defense

* First line of defense = Manajemen memiliki dan bertanggung jawab untuk menilai dan memitigasi risiko dan untuk mempertahankan kontrol internal yang efektif. Garis pertahanan internal ini tidak independen dari manajemen.
* Second line of defense = Area berbeda dalam organisasi bekerja bersama untuk membantu dalam mitigasi risiko dengan memfasilitasi dan memantau upaya manajemen risiko organisasi. Area-area ini juga terlibat dalam komunikasi informasi terkait risiko yang berlaku. Garis pertahanan internal ini juga tidak independen dari manajemen. Fungsi audit internal berkoordinasi dengan bidang-bidang ini dengan bermitra dalam penilaian risiko, meminta dan memberikan umpan balik tanggtentang perubahan area organisasi, dll. Upaya koordinasi ini tidak membahayakan independensi atau obyektivitas fungsi audit internal.
* Third line of defense = Fungsi audit internal adalah garis pertahanan internal ketiga. Perbedaan utama antara garis pertahanan ini dan dua yang pertama adalah bahwa ia tidak tergantung pada manajemen.

* Tata kelola = Kombinasi proses dan struktur yang diterapkan oleh dewan untuk menginformasikan, mengarahkan, mengelola, dan memantau kegiatan organisasi menuju pencapaian tujuannya.
* Standar IIA 2110: Tata kelola mensyaratkan fungsi audit internal untuk “menilai dan membuat rekomendasi yang tepat untuk meningkatkan proses tata kelola organisasi untuk:

1. Membuat keputusan strategis dan operasional
2. Mengawasi manajemen dan kontrol risiko
3. Mempromosikan etika dan nilai-nilai yang sesuai dalam organisasi
4. Memastikan manajemen kinerja dan akuntabilitas organisasi yang efektif
5. Mengkomunikasikan risiko dan mengontrol informasi ke area yang sesuai dalam organisasi dan
6. Mengkoordinasikan kegiatan, dan mengkomunikasikan informasi di antara, dewan, [independen luar] dan auditor internal, penyedia jaminan lainnya, dan manajemen

* Manajemen risiko = Suatu proses untuk mengidentifikasi, menilai, mengelola, dan mengendalikan peristiwa atau situasi potensial untuk memberikan jaminan yang masuk akal mengenai pencapaian tujuan organisasi.
* Aktivitas internal auditor yaitu menentukan apakah proses manajemen risiko efektif atau tidak merupakan penilaian yang dihasilkan dari penilaian auditor internal yang:

1. Tujuan organisasi mendukung dan menyelaraskan dengan misi organisasi
2. Risiko signifikan diidentifikasi dan dinilai
3. Respons risiko yang sesuai dipilih yang menyelaraskan risiko dengan selera risiko organisasi
4. Informasi risiko yang relevan ditangkap dan dikomunikasikan secara tepat waktu di seluruh organisasi, memungkinkan staf, manajemen, dan dewan untuk melaksanakan tanggung jawab mereka.

* Kontrol/pengendalian = Setiap tindakan yang diambil oleh manajemen, dewan, dan pihak lain untuk mengelola risiko dan meningkatkan kemungkinan tujuan dan sasaran yang ditetapkan akan tercapai. Rencana manajemen. mengorganisir, dan mengarahkan kinerja tindakan yang memadai untuk memberikan jaminan yang masuk akal bahwa tujuan dan sasaran akan tercapai.

* Quality assurance/ jaminan kualitas = Proses memastikan bahwa fungsi audit internal beroperasi sesuai dengan serangkaian standar yang mendefinisikan unsur-unsur spesifik yang harus ada untuk memastikan bahwa temuan-temuan fungsi audit internal itu sah.
* Program jaminan dan peningkatan kualitas = Penilaian berkelanjutan dan berkala dari seluruh spektrum pekerjaan audit dan konsultasi yang dilakukan oleh fungsi audit internal.
* Persyaratan Program Jaminan dan Peningkatan Kualitas

1. Program jaminan kualitas dan peningkatan / quality assurance and improvement program (QAIP) adalah penilaian berkelanjutan dan berkala dari seluruh spektrum pekerjaan audit dan konsultasi yang dilakukan oleh kegiatan audit internal. Penilaian berkelanjutan dan berkala ini terdiri dari proses-proses yang ketat dan komprehensif; supervisi berkelanjutan dan pengujian audit internal dan pekerjaan konsultasi; dan validasi berkala atas kesesuaian dengan Definisi Audit Internal, Kode Etik, dan Standar.
2. Penilaian mengevaluasi dan menyimpulkan kualitas kegiatan audit internal dan menghasilkan rekomendasi untuk perbaikan yang sesuai. QAIP meliputi evaluasi:

* Kesesuaian dengan Definisi Audit Internal, Kode Etik, dan Standar, termasuk tindakan korektif yang tepat waktu untuk memperbaiki setiap kasus ketidaksesuaian yang signifikan.
* Kecukupan piagam kegiatan audit, tujuan, sasaran, kebijakan, dan prosedur
* Kontribusi terhadap tata kelola organisasi, manajemen risiko, dan proses kontrol.
* Kepatuhan terhadap hukum, peraturan, dan standar pemerintah atau industri yang berlaku.
* Efektivitas kegiatan peningkatan berkelanjutan dan penerapan praktik terbaik.
* Sejauh mana kegiatan audit internal menambah nilai dan meningkatkan operasi organisasi.

1. Upaya QAIP juga mencakup tindak lanjut rekomendasi yang melibatkan modifikasi sumber daya, teknologi, proses, dan prosedur yang tepat waktu.
2. Untuk memberikan akuntabilitas dan transparansi, CAE mengkomunikasikan hasil penilaian program eksternal dan, jika sesuai, kualitas internal kepada berbagai pemangku kepentingan kegiatan (seperti manajemen senior, dewan, dan auditor eksternal).

* Semakin banyak alat teknologi yang tersedia yang memungkinkan peningkatan produktivitas dan efisiensi, memungkinkan lebih sedikit waktu yang dihabiskan untuk tanggung jawab administratif dan lebih banyak pada layanan jaminan dan konsultasi yang diberikan kepada pihak yang diaudit dan pelanggan.
* Alat dan teknik analisis data bisa sangat berharga karena memungkinkan pengujian 100 persen, menghasilkan hasil dan kesimpulan yang pasti. Selain itu, alat dan teknik ini juga dapat digunakan sebagai sumber pemasok untuk audit berkelanjutan, pemantauan berkelanjutan, dan / atau deteksi penipuan
* Alat pemantauan otomatis, mirip dengan alat analisis data, memungkinkan fungsi audit internal untuk lebih efisien melakukan audit berkelanjutan dengan memungkinkan auditor internal untuk memantau dan mengevaluasi sejumlah besar data (informasi) yang jika tidak mungkin tidak mungkin atau praktis.
* Kontrol Penilaian Diri (control self-assessment) = Proses yang difasilitasi dimana pemilik kontrol memberikan penilaian diri terhadap kecukupan desain dan efektivitas operasi kontrol yang menjadi tanggung jawab mereka.
* Continuous auditing /audit yang berkelanjutan = Penggunaan teknik terkomputerisasi untuk mengaudit pemrosesan transaksi bisnis secara berkelanjutan