Standars for the Professional Practice of Internal Auditing

Setiap profesi membutuhkan serangkaian standar untuk mengatur praktik, prosedur umum, dan
etika. Standar-standar ini memungkinkan spesialis melakukan pekerjaan serupa untuk menyebut
diri mereka profesional karena mereka mengikuti standar praktik terbaik yang diakui dan
konsisten. Standar utama untuk auditor internal adalah Institute of Internal Auditors (IIAs)
International Professional Standards for the Practice of Internal Auditing (IIA standards), satu
set bahan bimbingan yang dikenal auditor sebagai Red Book. Standar ini telah melalui beberapa
revisi selama bertahun-tahun. Perubahan standar ini dari waktu ke waktu mencerminkan cara
profesi audit internal berubah.
8.1 Internal Auditing Professional Practice Standars
Komite audit dan manajemen senior mengharapkan auditor internal untuk melakukan tinjauan
secara kompeten dan konsisten. Audit internal dilakukan dengan menggunakan seperangkat
standar yang diakui untuk memenuhi harapan manajemen. Sebagai perdana menteri dan
memimpin pemeriksaan di seluruh dunia intern perusahaan profesional, IIA, melalui Audit
Internal Dewan Standar, mengembangkan dan isu-isu standar yang mendefinisikan praktik dasar
audit internal. IIA standar dirancang untuk:
1. Menggambarkan prinsip dasar untuk praktik audit internal
2. Menyediakan kerangka untuk menampilkan dan mempromosikan nilai tambah aktivitas
audit internal.
3. Menetapkan dasar untuk mengukur kinerja audit internal.
4. Memelihara peningkatan proses organisasi.
Standar-standar membantu dalam proses tersebut dengan memberikan petunjuk untuk komite
audit dan manajemen untuk mengukur auditor internal mereka dan untuk auditor internal
mengukur diri mereka sendiri. Standar juga mengatur beberapa batasan atas aktivitas audit
internal.
a. Latar belakang dari standar IIA
Audit internal adalah profesi yang mengembangkan standar dan proses sendiri. The Institute of
Internal Auditors, pertama kali dikenal dengan nama Standars for the Professional Practice of
Internal Auditing pada tahun 1978 dengan objek untuk melayani seluruh profesi disemua tipe
bisnis, berbagai tingkatan pemerintahan, dan disemua perusahaan lain dimana auditor internal
ditemukan untuk menggambarkan praktik dari audit internal yang seharusnya. Sebelum standar
1978 tersebut, otorisasi dokumen disebut dengan Statement of Responsibilities of Internal Audit,
yang diterbitkan oleh IIA pada tahun 1947 dan secara berkala mengalami revisi sampai standar
yang sekarang.

Standar dikembangkan oleh Komite Standar Profesional IIA berdasarkan keahlian profesional
serta komentar yang diterima dari anggota IIA dan pihak lain yang berkepentingan. Karena
partisipasi dari kelompok yang beragam yang mengembangkan standar-standar sebelumnya,
bahasa terakhir mereka sering memiliki beberapa tumpang tindih, kompromi, dan
ketidaklengkapan. Akibatnya, standar individu dan pedoman masih dapat digunakan untuk
berbagai interpretasi.
Standar IIA saat ini lebih realistis yang memungkinkan fungsi audit internal untuk melakukan
secara efektif dan efisien. Standar tahun sebelumnya sangat kompleks, kadang-kadang sulit
untuk ditegakkan, dan sering diikuti hanya dengan cara yang umum.
Ada perubahan besar dengan standar IIA dengan revisi tahun 2004 yang mengijinkan auditor
internal untuk bertindak sebagai konsultan serta membuktikan peran mereka sebagai auditor.
Standar sebelumnya , melarang auditor internal bertindak sebagai konsultan. Larangan ini sering
diabaikan selama bertahun-tahun, tapi revisi tahun 2004 mengklarifikasi masalah ini. Secara
khusus, perubahan tersebut memungkinkan auditor internal untuk membantu dalam ulasan dan
penilaian pengendalian internal di bawah Sarbanes-Oxley Act (SOx).
b. IIAs Current Standards: What Has Changed
Standar IIA diperbaharui secara berkala untuk merefleksikan kebutuhan saat ini dari kedua bisnis
dan praktik professional audit internal. Contohnya, tahun 2007, karena beberapa professional
memberikan perhatian tentang siapa yang meriviu auditor internal, standar direvisi dengan
menambahkan atribut standar 1312 di penilaian eksternal:
External assessments should be conducted at least once every five years by a
qualified, independent reviewer or review team from outside the organization. The
potential need for more frequent external assessments as well as the qualifications
and independence of the external reviewer or review team, including any potential
conflict of interest, should be discussed by the CAE [chief audit executive] with the
Board. Such discussions should also consider the size, complexity and industry of the
organization in relation to the experience of the reviewer or review team.
Ini merupakan perubahan yang signifikan untuk standar audit internal, standar yang baru
diperuntukkan untuk resensi eksternal yang memenuhi kualifikasi untuk menilai prosedur mutu
dan standar. Untuk riviu eksternal, dua persyaratan rinci untuk para peninjau, termasuk tim
peninjau eksternal harus terdiri dari individu-individu yang kompeten dalam praktek profesional
audit internal dan proses penilaian eksternal. Semua auditor internal harus sadar riviu persyaratan
mutu, dan CAEs harus memberitahu komite audit persyaratan ini dan membuat pengaturan untuk
riviu periodik tersebut.

c. 2009 New Internal Audit Standards

Pada bulan Januari 2008, IIA merilis versi draft revisi standar IIA. Rancangan perubahan
ini telah melalui periode draf eksposur dan dirilis pada Januari 2009. Perubahan yang
signifikan, mereka merevisi semua persyaratan standar dari kata-kata yang menyatakan
bahwa internal auditor should ke internal must. Perubahan persyaratan standar IIA dari
should ke must dapat menjadi salah satu perubahan yang paling signifikan dalam praktek
audit internal sejak didirikan oleh Victor Brink. Meskipun beberapa mungkin berpendapat
bahwa should dan must berarti tentang hal yang sama, ada persyaratan kepatuhan untuk
auditor internal.
Bagian berikutnya menjelaskan semua standar IIA, berdasarkan yang baru saja dirilis versi 2009.
Selalu ada perubahan, dan auditor internal harus selalu mengecek situs Web IIA (www.theiia.org)
untuk versi resmi saat ini dari standar. Standar ini menetapkan aturan untuk semua aktivitas audit
internal, apakah melakukan audit internal, melayani sebagai konsultan internal, atau mengelola
fungsi audit internal secara keseluruhan.
8.2 Content of the IIA Standards
Versi saat ini dari standar terdiri dari apa yang disebut standar atribut, standar kinerja, dan
standar pelaksanaan. Standar atribut mengatasi karakteristik perusahaan dan pihak yang
melakukan kegiatan audit internal. Standar kinerja menggambarkan sifat kegiatan audit
internal dan memberikan kriteria kualitas dengan kinerja layanan ini dapat dievaluasi.
Sementara atribut dan kinerja standar berlaku untuk semua layanan audit internal, standar
pelaksanaan juga berlaku untuk tipe tertentu dari keterlibatan dan selanjutnya dibagi
antara standar untuk kegiatan jaminan dan konsultasi.
Standar atribut diberi nomor sebagai bagian dari seri nomor 1000, sementara standar
kinerja diklasifikasikan dalam seri 2000. Bagian berikutnya menjelaskan atribut dan
standar kinerja secara rinci serta beberapa standar pelaksanaan deskriptif. Pengetahuan
tentang standar adalah persyaratan CBOK untuk semua auditor internal, dan situs Web
IIA merupakan sumber resmi untuk standar-standar audit internal.
a. Internal Audit Attribute Standards
Standar Atribut menunjukkan kegiatan perusahaan dan kinerja individu kegiatan audit
internal. Nomor dari paragraf nomor 1000-13000, menutupi area yang luas yang
mendefinisikan atribut dari auditor internal modern saat ini. Standar kinerja yang akan
dibahas, telah terdaftar dan diringkas standar ini, yaitu:
1000-Purpose, Authority, and Responsibility. Tujuan, kewenangan, dan tanggung jawab
aktivitas audit internal harus secara resmi ditetapkan dalam piagam audit internal,
konsisten dengan standar, dan disetujui oleh dewan direksi. Standar pelaksanaan terpisah
di sini menyatakan bahwa jaminan audit internal dan jasa konsultasi harus didefinisikan
dalam piagam audit internal.

1100-Independence and Objective. Aktivitas audit internal harus independen, dan auditor
internal harus objektif dalam melakukan pekerjaan mereka. Subbagian di bawah ini
membahas pentingnya kedua objektivitas individu dan organisasi serta kebutuhan untuk
mengungkapkan penurunan independen atau objektivitas audit internal.
1110-Organizational Independence. Ketika standar IIA tidak menentukan bahwa audit
internal harus melapor kepada komite audit, hubungan pelaporan harus bebas dari campur
tangan dalam menentukan lingkup audit internal, melakukan pekerjaan, dan
mengkomunikasikan hasil.
1120-Individual Objectivity. Ini benar-benar mengulangi prinsip dasar audit internal:
Auditor internal harus memiliki sikap netral, tidak memihak, dan menghindari konflik
kepentingan.
1130-Impairments to Independence or Objectivity. Jika independensi audit internal atau
objektivitas terganggu, rincian dari penurunan nilai tersebut harus diungkapkan sebagai
bagian dari pekerjaan audit.
Ada beberapa jaminan dan konsultasi standar atribut di sini yang merangkum standar ini:
1130.A1 & 2-internal auditor harus menahan diri dari menilai operasi tertentu yang
sebelumnya mereka kerjakan. Objektivitas dianggap terganggu jika auditor internal yang
menyediakan layanan untuk kegiatan yang auditor internal memiliki tanggung jawab di
tahun sebelumnya.
1130.C1 & 2-internal auditor dapat memberikan jasa konsultasi yang berkaitan dengan
operasi yang mereka kerjakan sebelumnya.
Ini adalah standar yang penting, karena pengetahuan khusus mereka, auditor internal
kadang-kadang diminta untuk kembali ke kelompok yang pernah mereka diaudit.
1200-Proficience and Due Professional Care. Perjanjian harus dilakukan dengan
profesional. Ada usulan standar implementasi baru yang penting di sini:
1210.A1- CAE harus memperoleh saran dan bantuan yang kompeten jika staf audit
internal tidak memiliki pengetahuan, keterampilan, atau kompetensi lainnya yang
dibutuhkan untuk melakukan semua atau sebagian dari perjanjian.
1210.A2- Seorang auditor internal harus memiliki pengetahuan yang cukup untuk
mengidentifikasi indikator penipuan dan manner yang dikelola oleh organisasi tetapi
tidak diharapkan memiliki keahlian orang yang bertanggung jawab dalam mendeteksi dan
menyelidiki penipuan.
1210.A3- Auditor internal harus memiliki pengetahuan yang cukup tentang risiko
teknologi informasi dan mengkontrol teknik audit berbasis teknologi yang tersedia untuk
melakukan pekerjaan mereka.

Menyadari bahwa ada kebutuhan untuk spesialis audit TI, standar menyatakan bahwa
semua auditor internal harus memiliki pemahaman tentang TI risiko dan kontrol.
Meskipun draft versi standar menyatakan bahwa auditor internal harus
mempertimbangkan penggunaan alat "audit berbasis teknologi" dan teknik, persyaratan
yang kini telah dicabut. Teknik audit dibantu komputer merupakan bagian dari tool kit
auditor internal.
1220-Due Professional Care. Auditor Internal harus menerapkan keterampilan yang
diharapkan dari auditor internal yang bijaksana dan kompeten. Bagian lain dari standar
ini menyatakan bahwa dalam melaksanakan urusan secara profesional, internal audit
harus mempertimbangkan:

Tingkat kerja yang diperlukan untuk mencapai tujuan engagement.

Kompleksitas relatif, materialitas, atau makna dari hal-hal yang prosedur
assurance terapkan.
Kecukupan dan efektivitas manajemen risiko, pengendalian, dan proses tata
kelola.
Kemungkinan dari kesalahan yang signifikan, penyimpangan, atau
ketidakpatuhan.
Biaya assurance dalam kaitannya dengan manfaat potensial.

Standar audit internal ini benar-benar mengatakan bahwa auditor internal harus berhatihati dalam memulai dan melakukan audit internal.
1220.A2 -Dalam melakukan urusan profesional auditor internal harus mempertimbangkan
penggunaan audit berbasis teknologi dan teknik analisis data lainnya.
1220.A3- Auditor internal harus waspada terhadap risiko yang signifikan yang dapat
mempengaruhi tujuan, operasi, atau sumber daya.
1300-Quality Assurance and Improvement Program. CAE harus mengembangkan dan
memelihara kualitas assurance dan memperbaiki program yang mencakup seluruh aspek
kegiatan audit internal dan terus menerus memantau efektivitasnya. Jaminan kualitas dan
program peningkatan harus dirancang untuk memungkinkan evaluasi kesesuaian aktivitas
audit internal dengan standar audit internal serta evaluasi apakah auditor internal
menerapkan kode etik.
1311-Internal Assessments. Manajemen audit internal harus memiliki proses penilaian
internal yang meliputi kedua pemantauan berkelanjutan dari kinerja aktivitas audit
internal dan riviu periodik dilakukan melalui penilaian diri atau orang lain dalam
perusahaan dengan pengetahuan yang cukup tentang praktik audit internal.
1312-External Assessments. Penilaian eksternal harus dilakukan setidaknya sekali setiap
lima tahun oleh peninjau yang berkualifikasi, independen, atau tim peninjau dari luar
organisasi. CAE harus membahas kebutuhan ini untuk penilaian eksternal lebih sering

dengan komite audit dan dewan kualifikasi dan independensi resensi atau review tim
eksternal, termasuk potensi konflik kepentingan.
b. Internal Audit Performance Standards
Standar kinerja menggambarkan karakteristik kegiatan audit internal dan menyediakan kriteria
yang berkualitas terhadap kegiatan tersebut dan dapat diukur. Ada enam standar kinerja,
substandar dan standar pelaksanaan yang akan diuraikan. yang berlaku untuk audit kepatuhan,
penyelidikan terhadap kecurangan, atau pengendalian dari self assesment.
2000 - Mengatur Aktivitas Audit Internal
CAE harus secara efektif mengatur aktivitas Audit Internal untuk memaastikan bahwa hal
tersebut memberikan nilai tambah pada perusahaan. Standar tersebut terdiri dari enam
substandard, yaitu :
2010 Planning
CAE harus menetapkan rencana berbasis risiko yang konsisten dengan kerangka kerja
manajemen risiko perusahaan untuk menentukan prioritas kegiatan audit internal. Jika
kerangka kerja manajemen risiko perusahaan-tingkat tidak ada, CAE harus menggunakan
penilaian risiko sendiri setelah berkonsultasi dengan manajemen puncak dan dewan.
2020 Communication and Approval
CAE harus mengkomunikasikan rencana aktivitas Audit Internal dan sumber daya yang
dibutuhkan selama pelaksanaan aktivitas tersebut, termasuk perubahan interim yang
signifikan, untuk manajemen puncak dan dewan untuk peninjauan dan pengesahan.
2030 Resource Management
CAE harus memastikan bahwa sumber daya audit internal telah tepat, memadai dan efektif
digunakan untuk mencapai rencana yang telah disetujui.
2040 Policies and Procedures
CAE harus menetapkan kebijakan dan prosedur untuk memandu kegiatan audit internal yang
sesuai dengan ukuran dan struktur kegiatan audit internal dan kompleksitas pekerjaan.
2050 Coordination
CAE harus berbagi informasi dan mengkoordinasikan kegiatan dengan penyedia layanan
internal dan eksternal lainnya seperti jasa assurance dan jasa konsultasi untuk memastikan
cakupan yang tepat dan meminimalisasi usaha yang besar.

2060 - Reporting to Senior Management and the Board

CAE harus memberikan laporan secara berkala tentang kinerja yang berkaitan dengan
rencana awal kepada manajemen puncak dan dewan audit internal. Pelaporan tersebut harus
mencakup pengungkapan risiko yang signifikan, termasuk risiko kecurangan, masalah tata
kelola, danhal-hal lain yang diperlukan oleh manajemen puncak dan dewan.
2100 Nature of Work
Standar IIA menyatakan bahwa aktivitas audit internal harus dievaluasi dan memberikan
kontribusi pada perbaikan tata kelola, manajemen risiko, dan proses kontrol menggunakan
sistematika dan pendekatan disiplin ilmu.
2110 Governance
Kegiatan audit internal harus menilai dan memberikan saran yang sesuai untuk meningkatkan
proses tata kelola dalam mencapai tujuan berikut, yaitu :

Mempromosikan etika yang sesuai dan nilai-nilai dalam perusahaan

Memastikan kinerja manajemen dalam organisasi efektif dan akuntabel.
Menhkomunikasikan risiko dan kontrol informasi ke seluruh bagian dalam organisasi
Mengkoordinasikan kegiatan dan mengkomunikasikan informasi antara dewan, auditor
eksternal dan auditor internal, serta manajemen.

8.3 Kode Etik : IAA dan ISACA

a. Kode Etik menurut The Institute of Internal Auditors
1. Integritas
Auditor Internal :
1.1 Akan menjalankan tugas mereka dengan jujur, tekun dan bertanggung jawab
1.2 Akan mentaati hukum dan membuat pengungkapan yang sesuai dengan hukum dan
profesi
1.3 Tidak akan secara sadar menjadi pihak dalam setiap kegiatan illegal, atau terlibat dalam
tindakan tindakan yang tidak terhormat berdasarkan profesi internal audit atau
organisasi.
1.4 Akan menghormati dan berkontribusi terhadap tujuan yang sah dan etis dari organisasi
2. Objektivitas
Auditor Internal :
2.1 Tidak akan berpartisipasi dalam setiap kegiatan atau hubungan yang dapat mengganggu
atau dianggap merusak penilaian objektif mereka. Partisipasi ini mencakup aktivitas atau
hubungan yang mungkin bertentangan dengan kepentingan organisasi.
2.2 Tidak akan menerima apapun yang dapat mengganggu atau dianggap mengganggu
penilaian profesional.
2.3 Akan mengungkapkan fakta material yang mereka ketahui, jika tidak diungkapkan maka
dapat merusak pelaporan dari kegiatan yang sedang diperiksa.
3. Kerahasiaan
Auditor Internal :
3.1 Akan bijaksana dalam penggunaan dan perlindungan informasi yang diperoleh dalam
menjalankan tugas mereka.
3.2 Tidak akan menggunakan informasi untuk keuntungan pribadi atau dengan cara apapun
yang bertentangan dengan hukum atau membahayakan tujuan organisasi yang sah dan etis.

4. Kompetensi

Auditor Internal ;
4.1 Akan terlibat hanya jika mereka memiliki pengetahuan, keterampilan dan pengalaman
yang diperlukan dalam suatu aktivitas.
4.2 Akan melakukan jasa audit internal sesuai dengan Standar Praktek Profesional Audit
Internal.
4.3 Akan terus meningkatkan keahlian, efektivitas serta kualitas mereka.
b. Kode Etik menurut The Information Systems Audit and Control Association, Inc
ISACA dan juga Institute IT Governance adalah perusahaan audit professional yang mewakili
atau membahas terutama tentang audit Teknologi Informasi. The Information Systems Audit and
Control Association, Inc. (ISACA) menetapkan kode etik professional untuk membimbing
perilaku professional dan pribadi anggota asosiasi dan/atau pemegang sertifikasinya.
Anggota ISACA dan pemegang sertifikasi akan:
1. Mendukung pelaksanaan dan mendorong kepatuhan dari standar yang sesuai serta prosedur
dan kontrol untuk sistem informasi.
2. Melakukan tugas mereka dengan objektivitas, due diligence dan profesional, sesuai dengan
standar profesional dan praktik terbaik.
3. Menyajikan sesuai dengan kebutuhan pemangku kepentingan dengan cara yang sah dan jujur,
sambil mempertahankanstandar perilaku dan karakter, dan tidak melakukan tindakan yang tidak
terhormat dengan profesi.
4. Menjaga privasi dan kerahasiaan informasi yang diperoleh selama mereka bertugas, kecuali
pengungkapan diperlukan oleh otoritas hukum. Informasi tersebut tidak akan digunakan untuk
kepentingan pribadi atau diberitahukan kepada pihak yang tidak terkait.
5. Menjaga kompetensi dalam daerah masing-masing dan sepakat untuk melakukan hanya hal
yang dikerjakan, dan dapat diselesaikan dengan kompetensi profesional.
6. Menginformasikan pihak terkait sesuai hasil pekerjaan yang dilakukan dan mengungkapkan
semua fakta yang signifikan kepada mereka.
7. Mendukung pendidikan profesional pemangku kepentingan dalam meningkatkan pemahaman
mereka tentangkeamanan sistem informasi dan kontrol.