audit internal merupakan jaminan, independen obyektif dan kegiatan konsultasi yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola. Profesional yang disebut auditor internal yang digunakan oleh organisasi untuk melakukan kegiatan audit internal.
Ruang lingkup audit internal dalam suatu organisasi yang luas dan mungkin melibatkan topik-topik seperti efektivitas operasi, keandalan pelaporan keuangan, menghalangi dan menyelidiki penipuan, menjaga aset, dan kepatuhan terhadap hukum dan peraturan.
audit internal sering melibatkan pengukuran sesuai dengan kebijakan perusahaan dan prosedur. Namun, auditor internal tidak bertanggung jawab atas pelaksanaan kegiatan perusahaan; mereka menyarankan manajemen dan Dewan Direksi (atau serupa badan pengawas) tentang bagaimana untuk melaksanakan tanggung jawab mereka. Sebagai hasil dari lingkup yang luas keterlibatan mereka, auditor internal dapat memiliki berbagai latar belakang pendidikan dan profesional yang lebih tinggi.
perusahaan publik yang diperdagangkan biasanya memiliki departemen audit internal, dipimpin oleh seorang Ketua Eksekutif Audit ("CAE") yang umumnya laporan kepada Komite Audit Dewan Direksi, dengan pelaporan administrasi kepada Chief Executive Officer.
profesi ini tidak diatur, meskipun ada sejumlah badan internasional penetapan standar, contoh satunya adalah Institut Auditor Internal ("IAI"). The IIA telah menetapkan Standar Praktik Profesional Audit Internal dan memiliki lebih dari 150.000 anggota yang mewakili 165 negara, termasuk sekitar 65.000 Internal Auditor Certified.
Sejarah audit internal
Profesi Internal Audit terus berkembang dengan kemajuan ilmu manajemen setelah Perang Dunia II. Hal ini konseptual mirip dalam banyak cara untuk audit keuangan oleh kantor akuntan publik, jaminan kualitas dan aktivitas perbankan kepatuhan. Banyak teori yang mendasari audit internal adalah berasal dari konsultan manajemen dan profesi akuntansi publik. Dengan pelaksanaan di Amerika Serikat Act Sarbanes-Oxley tahun 2002, pertumbuhan profesi dipercepat, sebagai auditor internal yang memiliki keahlian yang dibutuhkan untuk membantu perusahaan memenuhi persyaratan hukum.
Organisasi kemerdekaan
Untuk melakukan peran mereka secara efektif, auditor internal memerlukan independensi organisasi dari manajemen, untuk memungkinkan evaluasi terbatas kegiatan manajemen dan personil. Meskipun auditor internal merupakan bagian dari manajemen perusahaan dan dibayar oleh perusahaan, pelanggan utama dari aktivitas audit internal adalah entitas dibebankan dengan pengawasan aktivitas manajemen. Ini biasanya Komite Audit, sub-komite Dewan Direksi. Untuk memberikan kemerdekaan, sebagian besar laporan Audit Kepala Eksekutif kepada Ketua Komite Audit dan hanya dapat diganti dengan persetujuan individu tersebut.
Menurut Institut Auditor Internal, kewajiban Auditor Internal Kemerdekaan mengacu pada:
• 1) Garis pelaporan atau status dari CAE Ketua Eksekutif Audit harus melaporkan ke tingkat dalam organisasi yang memungkinkan kegiatan audit internal untuk memenuhi tanggung jawabnya. Eksekutif kepala audit harus mengkonfirmasi ke papan, setidaknya setiap tahun, independensi organisasi kegiatan audit internal.
• 2) Sikap auditor, prosedur dari departemen audit internal. Kegiatan audit internal harus bebas dari campur tangan dalam menentukan lingkup audit internal, melakukan pekerjaan, dan mengkomunikasikan hasilnya.
• 3) Komunikasi yang tepat. Eksekutif kepala audit harus berkomunikasi dan berinteraksi langsung dengan Dewan Direksi.
Berperan dalam pengendalian internal
Kegiatan audit internal ini terutama diarahkan untuk meningkatkan pengendalian internal. Berdasarkan Kerangka COSO, pengendalian internal secara luas didefinisikan sebagai suatu proses, dilakukan oleh dewan entitas direksi, manajemen, dan personel lain, yang dirancang untuk memberikan keyakinan memadai tentang pencapaian sasaran dalam kategori internal kontrol berikut:
• Efektivitas dan efisiensi operasi.
• Keandalan pelaporan keuangan.
• Kepatuhan terhadap hukum dan peraturan.
Manajemen bertanggung jawab atas pengendalian internal. Manajer menetapkan kebijakan dan proses untuk membantu organisasi mencapai tujuan yang spesifik di masing-masing kategori. Auditor Internal melakukan audit untuk mengevaluasi apakah kebijakan dan proses yang dirancang dan beroperasi secara efektif dan memberikan rekomendasi untuk perbaikan.
Di Amerika Serikat, auditor internal dapat membantu manajemen dengan sesuai dengan Sarbanes-Oxley Act (SOX).
Peran dalam manajemen risiko
standar audit internal profesional memerlukan fungsi untuk memonitor dan mengevaluasi efektivitas proses manajemen organisasi Risiko. Manajemen risiko berkaitan dengan bagaimana sebuah organisasi menetapkan tujuan, kemudian mengidentifikasi, menganalisa, dan menanggapi risiko yang berpotensi dapat mempengaruhi kemampuan untuk mewujudkan tujuan tersebut.
Di bawah manajemen risiko perusahaan COSO (ERM) Framework, risiko jatuh ke dalam strategis, pelaporan operasional, keuangan, dan kategori hukum / peraturan. Manajemen melakukan kegiatan penilaian risiko sebagai bagian dari kegiatan usaha di masing-masing kategori. Contohnya termasuk: perencanaan strategis, perencanaan pemasaran, perencanaan modal, penganggaran, lindung nilai, struktur insentif pembayaran, dan kredit / praktek pinjaman. Sarbanes-Oxley peraturan juga memerlukan penilaian risiko yang luas dari proses pelaporan keuangan. penasehat hukum Perusahaan sering menyiapkan penilaian yang komprehensif mengenai litigasi saat ini dan potensi perusahaan wajah. Auditor Internal dapat mengevaluasi setiap kegiatan ini, atau fokus pada proses yang digunakan oleh manajemen untuk melaporkan dan memantau risiko yang teridentifikasi. Sebagai contoh, auditor internal dapat memberikan saran manajemen mengenai pelaporan memandang ke depan tindakan operasi kepada Dewan, untuk membantu mengidentifikasi risiko yang muncul.
Dalam organisasi yang lebih besar, inisiatif strategis utama yang diterapkan untuk mencapai tujuan dan perubahan drive. Sebagai anggota manajemen senior, Kepala Eksekutif Audit (CAE) dapat berpartisipasi dalam pembaruan status atas inisiatif utama. Hal ini menempatkan CAE dalam posisi untuk melaporkan banyak risiko utama organisasi wajah kepada Komite Audit, atau menjamin pelaporan manajemen yang efektif untuk tujuan itu.
Auditor Internal dapat membantu perusahaan membangun dan memelihara proses Manajemen Risiko. Auditor Internal juga memainkan peran penting dalam membantu perusahaan melaksanakan penilaian risiko SOX 404 top-down. Di kedua daerah terakhir, auditor internal biasanya adalah bagian dari tim proyek dalam peran penasehat.
Peran dalam tata kelola perusahaan
Internal audit kegiatan yang berkaitan dengan tata kelola perusahaan yang umumnya informal, terutama dicapai melalui partisipasi dalam pertemuan dan diskusi dengan anggota Dewan Direksi. Tata kelola perusahaan merupakan kombinasi dari proses dan struktur organisasi yang dilaksanakan oleh Dewan Direksi untuk menginformasikan, langsung, mengelola, dan memantau sumber daya organisasi, strategi dan kebijakan terhadap pencapaian tujuan organisasi. Auditor internal sering dianggap sebagai salah satu dari "empat pilar" tata kelola perusahaan, pilar lainnya adalah Dewan Direksi, manajemen, dan auditor eksternal.
Sebuah area fokus utama dari audit internal yang berhubungan dengan tata kelola perusahaan adalah membantu Komite Audit Dewan Direksi (atau setara) melaksanakan tanggung jawabnya secara efektif. Ini mungkin termasuk melaporkan masalah kritis pengendalian internal, Komite pribadi menginformasikan pada kemampuan manajer kunci, menunjukkan pertanyaan atau topik untuk agenda rapat Komite Audit, dan koordinasi dengan hati-hati dengan auditor eksternal dan manajemen untuk memastikan Komite menerima informasi yang efektif.
Sifat kegiatan audit internal
Berdasarkan penilaian risiko organisasi, auditor internal, manajemen dan pengawasan Dewan menentukan di mana harus fokus upaya audit internal. Kegiatan audit internal umumnya dilakukan sebagai salah satu atau lebih proyek diskrit. Sebuah proyek audit internal yang khas melibatkan langkah-langkah berikut:
1. Menetapkan dan mengkomunikasikan lingkup dan tujuan untuk audit kepada manajemen yang sesuai.
2. Mengembangkan pemahaman tentang bidang usaha yang sedang diperiksa. Ini termasuk tujuan, pengukuran, dan jenis transaksi kunci. Ini melibatkan review dokumen dan wawancara. Diagram alur dan narasi dapat dibuat jika diperlukan.
3. Jelaskan risiko utama yang dihadapi kegiatan usaha dalam lingkup audit.
4. Mengidentifikasi prosedur kontrol yang digunakan untuk memastikan setiap risiko utama dan jenis transaksi dengan benar dikendalikan dan dipantau.
5. Mengembangkan dan melaksanakan sampling berbasis risiko dan pendekatan pengujian untuk menentukan apakah kontrol yang paling penting adalah operasi sebagaimana dimaksud.
6. Laporan masalah diidentifikasi dan rencana aksi bernegosiasi dengan manajemen untuk mengatasi masalah.
7. Menindaklanjuti temuan yang dilaporkan pada interval yang tepat. departemen audit internal mempertahankan database follow-up untuk tujuan ini.
Proyek panjang bervariasi berdasarkan kompleksitas kegiatan yang sedang diaudit dan Internal Audit sumber daya yang tersedia. Banyak dari langkah-langkah di atas berulang dan tidak mungkin semua terjadi dalam urutan yang ditunjukkan.
Dengan menganalisis dan merekomendasikan perbaikan bisnis di daerah kritis, auditor membantu organisasi mencapai tujuannya. Selain menilai proses bisnis, disebut spesialis Teknologi Informasi (TI) Auditor kontrol meninjau informasi teknologi.
Laporan audit internal
Auditor internal biasanya mengeluarkan laporan pada akhir setiap audit yang merangkum temuan mereka, rekomendasi, dan setiap tanggapan atau rencana tindakan dari manajemen. Laporan audit dapat memiliki ringkasan eksekutif, sebuah tubuh yang meliputi isu-isu tertentu atau temuan diidentifikasi dan rekomendasi terkait atau rencana aksi; dan informasi lampiran seperti grafik dan diagram rinci atau informasi proses. Setiap temuan audit dalam tubuh laporan tersebut dapat memuat lima unsur, kadang-kadang disebut "5 C":
1. Kondisi: Apa yang menjadi masalah tertentu yang diidentifikasi?
2. Kriteria: Apa yang menjadi standar yang tidak dipenuhi? Standar ini dapat menjadi kebijakan perusahaan atau benchmark lainnya.
3. Penyebab: Mengapa masalah terjadi?
4. Konsekuensi: Bagaimana risiko / hasil negatif (atau kesempatan terdahulu) karena mencari?
5. Tindakan korektif: Apa yang harus manajemen lakukan tentang menemukan? Apa yang telah mereka setuju untuk melakukan dan kapan?
Rekomendasi dalam laporan audit internal yang dirancang untuk membantu organisasi mencapai tujuan tersebut, yang mungkin berhubungan dengan operasi, pelaporan keuangan atau hukum / kepatuhan peraturan. Mereka mungkin berhubungan dengan keefektifan (yaitu, apakah tujuan telah dipenuhi atau sesuai dengan standar yang dicapai) atau efisiensi (yaitu, apakah output yang dihasilkan dengan masukan minimum).
Temuan audit dan rekomendasi juga telah dikaitkan dengan pernyataan khusus tentang transaksi, seperti apakah transaksi diaudit itu valid atau berwenang, diproses secara lengkap, akurat dihargai, diolah dalam periode waktu yang tepat, dan benar diungkapkan dalam pelaporan keuangan atau operasional, antara unsur-unsur lain.
Mengembangkan rencana keterlibatan
standar auditing internal membutuhkan pengembangan suatu rencana audit penugasan (proyek) berdasarkan penilaian risiko, diperbarui setidaknya setiap tahun. Input dari manajemen senior dan Dewan biasanya disertakan dalam proses ini. Banyak jurusan memperbarui rencana mereka penugasan sepanjang tahun sebagai risiko atau organisasi mengubah prioritas.
Upaya ini membantu memastikan kegiatan audit sesuai dengan tujuan organisasi, dengan menjawab dua pertanyaan kunci: Pertama, apa tujuan adalah organisasi ingin dicapai dalam periode mendatang? Kedua, bagaimana bisa Departemen Audit Internal membantu organisasi dalam mencapai tujuan ini?
auditor internal sering melakukan serangkaian wawancara dari manajemen senior untuk mengidentifikasi keterlibatan potensial. Perubahan pada orang, proses, atau sistem sering menimbulkan ide-ide audit proyek. Berbagai dokumen ditelaah, seperti rencana strategis, laporan keuangan, konsultasi studi, dll Selanjutnya, hasil audit sebelumnya dan penyelesaian isu terbuka dianggap. Sebagai contoh, program otomatis seperti NEMEA Kepatuhan Center dapat mengumpulkan tanggapan, memproduksi dan menulis laporan kepatuhan standar bagi suatu organisasi mencari atau menerbitkan aturan kepatuhan. Bahkan jika area bisnis adalah penting, audit kerja sebelum dan sifat dan status isu terbuka dapat membuat upaya audit lebih lanjut tidak diperlukan. Jika organisasi memiliki manajemen perusahaan formal risiko (ERM) program, risiko yang diidentifikasi di dalamnya membantu membatasi jumlah penilaian risiko terpisah yang dilakukan oleh Internal Audit.
Rencana awal keterlibatan didokumentasikan dan diprioritaskan. Audit sumber daya dan keahlian yang kemudian dianggap dan rencana final disajikan kepada manajemen senior dan Komite Audit. Presentasi bervariasi berdasarkan kebutuhan para pemangku kepentingan dan mungkin termasuk yang berikut:
• Ringkasan tujuan utama, risiko dan audit utama yang sesuai, untuk menggambarkan kesejajaran;
• Analisis usaha audit sepanjang berbagai dimensi (misalnya, dengan segmen usaha, kategori COSO objektif, IT, Sarbanes-Oxley, vs tahun sebelumnya, dll) bersama dengan komentar mengenai perubahan;
• Penjelasan singkat tentang proyek-proyek kritis diidentifikasi;
• Proyek diminta tetapi tidak direncanakan untuk eksekusi karena prioritas dan sumber daya;
co-sourcing • Diperlukan upaya, keahlian luar biasanya di mana diperlukan atau selama periode puncak;
• Koordinasi dengan fungsi risiko lainnya, seperti hukum, kepatuhan atau asuransi, untuk memastikan cakupan risiko organisasi kunci;
• Update pada tingkat staf audit, pengalaman dan sertifikasi, dan
• Lampiran materi, seperti perencanaan pendekatan, asumsi (misalnya, hari per auditor dan tingkat staf) dan deskripsi singkat dari semua audit direncanakan dan prioritas terkait
Praktik Terbaik dalam Internal Auditing
Mengukur fungsi audit internal
Pengukuran fungsi audit internal dapat melibatkan pendekatan balanced scorecard. fungsi audit internal terutama dinilai berdasarkan kualitas nasihat dan informasi yang diberikan kepada Komite Audit dan manajemen puncak. Namun, hal ini terutama kualitatif dan karena itu sulit untuk diukur. "Survei Nasabah" dikirim ke manajer kunci setelah setiap proyek audit atau laporan dapat digunakan untuk mengukur kinerja, dengan survei tahunan kepada Komite Audit. Scoring pada dimensi seperti profesionalisme, kualitas nasihat, ketepatan waktu dari produk kerja, utilitas pertemuan, dan kualitas update status yang khas dengan survei tersebut. Memahami harapan manajemen senior dan komite audit merupakan langkah penting dalam mengembangkan suatu proses pengukuran kinerja, serta bagaimana langkah-langkah seperti membantu menyelaraskan fungsi audit dengan prioritas organisasi.
tindakan kuantitatif juga dapat digunakan untuk mengukur tingkat fungsi tentang pelaksanaan dan kualifikasi personilnya. tindakan utama meliputi:
Rencana penyelesaian: Ini adalah ukuran derajat mana rencana tahunan perikatan selesai, diukur pada suatu titik waktu. Ini mungkin diukur dengan menggunakan jumlah proyek yang diselesaikan, dihitung dengan ukuran yang direncanakan setiap proyek, dengan perkiraan untuk proyek-proyek dalam proses. Diukur sepanjang tahun, dibandingkan terhadap persentase tahun berlalu.
Laporan penerbitan: Ini adalah ukuran waktu yang telah berlalu dari selesainya pengujian untuk penerbitan laporan audit akhir, termasuk rencana aksi manajemen. Hal ini dapat diukur dalam hari rata-rata atau persentase laporan yang dikeluarkan dalam standar tertentu, misalnya 30 hari. Menetapkan harapan untuk waktu respon manajemen untuk melaporkan rekomendasi sangat penting. Selain itu, lingkup dan tingkat perubahan yang terlibat dalam rencana aksi laporan adalah variabel kunci. Sebagai contoh, sebuah laporan untuk toko ritel tunggal membutuhkan hanya tindakan manajer toko mungkin butuh 3-5 hari untuk mengeluarkan. Namun, laporan mengkonsolidasikan temuan dari 20 toko ritel, dengan rencana aksi dengan implikasi nasional yang ditetapkan oleh manajemen puncak, mungkin memakan waktu 30-60 hari dalam organisasi yang kompleks.
Isu penutupan: temuan audit yang dilaporkan sering disebut "masalah" atau "kekurangan." Membutuhkan Profesional standar fungsi audit untuk melacak melaporkan temuan untuk resolusi, yang secara efektif memerlukan pemeliharaan dari isu tindak lanjut database. Jumlah hari yang melaporkan masalah tetap terbuka, atau membuka setelah mereka disepakati tanggal penutupan, merupakan langkah-langkah kunci. Selain itu, pelaporan statistik database seperti sejumlah permasalahan tersebut terbuka (tidak teresolve), tertutup (diselesaikan), dan isu-isu dibuka / ditutup selama periode tertentu adalah statistik yang bermanfaat.
Kualifikasi Staf: Ini dapat diukur melalui persentase staf dengan sertifikasi profesional, gelar sarjana, dan tahun keseluruhan pengalaman.
Staf tingkat utilisasi: Ini diukur sebagai persentase waktu yang dihabiskan untuk proyek, sebagai lawan waktu administrasi seperti pelatihan atau liburan. Banyak departemen audit internal melacak waktu oleh proyek audit. Hal ini biasanya ditangkap dalam sebuah database atau spreadsheet.
Tingkat Staffing: Jumlah posisi diisi relatif ke tingkat staf yang berwenang. Karena tantangan untuk menemukan staf yang berkualitas, departemen mungkin memiliki program rotasi untuk membawa manajemen untuk melengkapi wisata dalam fungsi atau menjadi "tamu" auditor. Audit departemen juga "co-sumber," yang berarti mereka mendapatkan kontrak auditor dari penyedia layanan.
Mengembangkan dan mempertahankan staf
Mengembangkan dan mempertahankan kualitas profesional merupakan perhatian utama dalam profesi. metode kunci untuk mengembangkan dan mempertahankan personil staf internal audit meliputi:
• Menyediakan menantang, tugas bervariasi
• Memastikan kualitas pengawasan
• Memastikan staf berpartisipasi dalam proyek-proyek dari awal sampai akhir, untuk mempelajari semua tahapan proses audit
• Memberikan kesempatan untuk memimpin (di-charge) proyek, dimulai dengan proyek-proyek terstruktur lebih, seperti Sarbanes-Oxley kerja
• Berpartisipasi pada gugus tugas peningkatan departemen, seperti persiapan untuk meninjau jaminan kualitas
• Berpartisipasi dalam merekrut dan proses wawancara untuk karyawan baru
• berputar melalui berbagai tim audit (dalam departemen yang lebih besar) atau audit dari berbagai macam usaha
• Menyediakan kedua pelatihan di luar (misalnya, seminar) dan in-house training (misalnya, sistem perusahaan) selama dua minggu / tahun
• Partisipasi dalam kegiatan penilaian risiko tahunan, apakah mengajukan pertanyaan-pertanyaan kunci atau hanya membuat catatan
Pelaporan temuan kritis
Ketua Eksekutif Audit (CAE) biasanya melaporkan masalah paling penting untuk triwulanan Komite Audit, seiring dengan kemajuan manajemen terhadap penyelesaian mereka. isu-isu kritis biasanya memiliki kemungkinan yang masuk akal menyebabkan kerusakan keuangan atau reputasi besar untuk perusahaan. Untuk masalah yang kompleks, manajer yang bertanggung jawab dapat berpartisipasi dalam diskusi. pelaporan seperti ini penting untuk memastikan fungsi dihormati, bahwa "nada di atas" benar ada dalam organisasi, dan untuk mempercepat resolusi masalah tersebut. Ini adalah masalah penilaian yang cukup untuk memilih masalah yang tepat atas perhatian Komite Audit dan untuk menggambarkan mereka dalam konteks yang tepat.
Tidak ada komentar:
Posting Komentar