Standars for the Professional Practice of Internal AuditingSetiap profesi membutuhkan serangkaian standar untuk mengatur praktik, prosedur umum, dan etika. Standar-standar ini memungkinkan spesialis melakukan pekerjaan serupa untuk menyebut diri mereka profesional karena mereka mengikuti standar praktik terbaik yang diakui dan konsisten. Standar utama untuk auditor internal adalah Institute of Internal Auditors (IIAs) International Professional Standards for the Practice of Internal Auditing (IIA standards), satu set bahan bimbingan yang dikenal auditor sebagai Red Book. Standar ini telah melalui beberapa revisi selama bertahun-tahun. Perubahan standar ini dari waktu ke waktu mencerminkan cara profesi audit internal berubah.8.1 Internal Auditing Professional Practice Standars Komite audit dan manajemen senior mengharapkan auditor internal untuk melakukan tinjauan secara kompeten dan konsisten. Audit internal dilakukan dengan menggunakan seperangkat standar yang diakui untuk memenuhi harapan manajemen. Sebagai perdana menteri dan memimpin pemeriksaan di seluruh dunia intern perusahaan profesional, IIA, melalui Audit Internal Dewan Standar, mengembangkan dan isu-isu standar yang mendefinisikan praktik dasar audit internal. IIA standar dirancang untuk:1. Menggambarkan prinsip dasar untuk praktik audit internal2. Menyediakan kerangka untuk menampilkan dan mempromosikan nilai tambah aktivitas audit internal.3. Menetapkan dasar untuk mengukur kinerja audit internal.4. Memelihara peningkatan proses organisasi.

Standar-standar membantu dalam proses tersebut dengan memberikan petunjuk untuk komite audit dan manajemen untuk mengukur auditor internal mereka dan untuk auditor internal mengukur diri mereka sendiri. Standar juga mengatur beberapa batasan atas aktivitas audit internal.

a. Latar belakang dari standar IIA Audit internal adalah profesi yang mengembangkan standar dan proses sendiri. The Institute of Internal Auditors, pertama kali dikenal dengan nama Standars for the Professional Practice of Internal Auditing pada tahun 1978 dengan objek untuk melayani seluruh profesi disemua tipe bisnis, berbagai tingkatan pemerintahan, dan disemua perusahaan lain dimana auditor internal ditemukan untuk menggambarkan praktik dari audit internal yang seharusnya. Sebelum standar 1978 tersebut, otorisasi dokumen disebut dengan Statement of Responsibilities of Internal Audit, yang diterbitkan oleh IIA pada tahun 1947 dan secara berkala mengalami revisi sampai standar yang sekarang.

Standar dikembangkan oleh Komite Standar Profesional IIA berdasarkan keahlian profesional serta komentar yang diterima dari anggota IIA dan pihak lain yang berkepentingan. Karena partisipasi dari kelompok yang beragam yang mengembangkan standar-standar sebelumnya, bahasa terakhir mereka sering memiliki beberapa tumpang tindih, kompromi, dan ketidaklengkapan. Akibatnya, standar individu dan pedoman masih dapat digunakan untuk berbagai interpretasi.

Standar IIA saat ini lebih realistis yang memungkinkan fungsi audit internal untuk melakukan secara efektif dan efisien. Standar tahun sebelumnya sangat kompleks, kadang-kadang sulit untuk ditegakkan, dan sering diikuti hanya dengan cara yang umum.

Ada perubahan besar dengan standar IIA dengan revisi tahun 2004 yang mengijinkan auditor internal untuk bertindak sebagai konsultan serta membuktikan peran mereka sebagai auditor. Standar sebelumnya , melarang auditor internal bertindak sebagai konsultan. Larangan ini sering diabaikan selama bertahun-tahun, tapi revisi tahun 2004 mengklarifikasi masalah ini. Secara khusus, perubahan tersebut memungkinkan auditor internal untuk membantu dalam ulasan dan penilaian pengendalian internal di bawah Sarbanes-Oxley Act (SOx).

b. IIAs Current Standards: What Has ChangedStandar IIA diperbaharui secara berkala untuk merefleksikan kebutuhan saat ini dari kedua bisnis dan praktik professional audit internal. Contohnya, tahun 2007, karena beberapa professional memberikan perhatian tentang siapa yang meriviu auditor internal, standar direvisi dengan menambahkan atribut standar 1312 di penilaian eksternal:External assessments should be conducted at least once every five years by a qualified, independent reviewer or review team from outside the organization. The potential need for more frequent external assessments as well as the qualifications and independence of the external reviewer or review team, including any potential conflict of interest, should be discussed by the CAE [chief audit executive] with the Board. Such discussions should also consider the size, complexity and industry of the organization in relation to the experience of the reviewer or review team.

Ini merupakan perubahan yang signifikan untuk standar audit internal, standar yang baru diperuntukkan untuk resensi eksternal yang memenuhi kualifikasi untuk menilai prosedur mutu dan standar. Untuk riviu eksternal, dua persyaratan rinci untuk para peninjau, termasuk tim peninjau eksternal harus terdiri dari individu-individu yang kompeten dalam praktek profesional audit internal dan proses penilaian eksternal. Semua auditor internal harus sadar riviu persyaratan mutu, dan CAEs harus memberitahu komite audit persyaratan ini dan membuat pengaturan untuk riviu periodik tersebut.

c. 2009 New Internal Audit Standards

Pada bulan Januari 2008, IIA merilis versi draft revisi standar IIA. Rancangan perubahan ini telah melalui periode draf eksposur dan dirilis pada Januari 2009. Perubahan yang signifikan, mereka merevisi semua persyaratan standar dari kata-kata yang menyatakan bahwa internal auditor should ke internal must. Perubahan persyaratan standar IIA dari should ke must dapat menjadi salah satu perubahan yang paling signifikan dalam praktek audit internal sejak didirikan oleh Victor Brink. Meskipun beberapa mungkin berpendapat bahwa should dan must berarti tentang hal yang sama, ada persyaratan kepatuhan untuk auditor internal.

Bagian berikutnya menjelaskan semua standar IIA, berdasarkan yang baru saja dirilis versi 2009. Selalu ada perubahan, dan auditor internal harus selalu mengecek situs Web IIA (www.theiia.org) untuk versi resmi saat ini dari standar. Standar ini menetapkan aturan untuk semua aktivitas audit internal, apakah melakukan audit internal, melayani sebagai konsultan internal, atau mengelola fungsi audit internal secara keseluruhan.

8.2 Content of the IIA Standards

Versi saat ini dari standar terdiri dari apa yang disebut standar atribut, standar kinerja, dan standar pelaksanaan. Standar atribut mengatasi karakteristik perusahaan dan pihak yang melakukan kegiatan audit internal. Standar kinerja menggambarkan sifat kegiatan audit internal dan memberikan kriteria kualitas dengan kinerja layanan ini dapat dievaluasi. Sementara atribut dan kinerja standar berlaku untuk semua layanan audit internal, standar pelaksanaan juga berlaku untuk tipe tertentu dari keterlibatan dan selanjutnya dibagi antara standar untuk kegiatan jaminan dan konsultasi.

Standar atribut diberi nomor sebagai bagian dari seri nomor 1000, sementara standar kinerja diklasifikasikan dalam seri 2000. Bagian berikutnya menjelaskan atribut dan standar kinerja secara rinci serta beberapa standar pelaksanaan deskriptif. Pengetahuan tentang standar adalah persyaratan CBOK untuk semua auditor internal, dan situs Web IIA merupakan sumber resmi untuk standar-standar audit internal.

a. Internal Audit Attribute Standards

Standar Atribut menunjukkan kegiatan perusahaan dan kinerja individu kegiatan audit internal. Nomor dari paragraf nomor 1000-13000, menutupi area yang luas yang mendefinisikan atribut dari auditor internal modern saat ini. Standar kinerja yang akan dibahas, telah terdaftar dan diringkas standar ini, yaitu:

1000-Purpose, Authority, and Responsibility. Tujuan, kewenangan, dan tanggung jawab aktivitas audit internal harus secara resmi ditetapkan dalam piagam audit internal, konsisten dengan standar, dan disetujui oleh dewan direksi. Standar pelaksanaan terpisah di sini menyatakan bahwa jaminan audit internal dan jasa konsultasi harus didefinisikan dalam piagam audit internal.

1100-Independence and Objective. Aktivitas audit internal harus independen, dan auditor internal harus objektif dalam melakukan pekerjaan mereka. Subbagian di bawah ini membahas pentingnya kedua objektivitas individu dan organisasi serta kebutuhan untuk mengungkapkan penurunan independen atau objektivitas audit internal.

1110-Organizational Independence. Ketika standar IIA tidak menentukan bahwa audit internal harus melapor kepada komite audit, hubungan pelaporan harus bebas dari campur tangan dalam menentukan lingkup audit internal, melakukan pekerjaan, dan mengkomunikasikan hasil. 1120-Individual Objectivity. Ini benar-benar mengulangi prinsip dasar audit internal: Auditor internal harus memiliki sikap netral, tidak memihak, dan menghindari konflik kepentingan.

1130-Impairments to Independence or Objectivity. Jika independensi audit internal atau objektivitas terganggu, rincian dari penurunan nilai tersebut harus diungkapkan sebagai bagian dari pekerjaan audit.

Ada beberapa jaminan dan konsultasi standar atribut di sini yang merangkum standar ini:

1130.A1 & 2-internal auditor harus menahan diri dari menilai operasi tertentu yang sebelumnya mereka kerjakan. Objektivitas dianggap terganggu jika auditor internal yang menyediakan layanan untuk kegiatan yang auditor internal memiliki tanggung jawab di tahun sebelumnya.

1130.C1 & 2-internal auditor dapat memberikan jasa konsultasi yang berkaitan dengan operasi yang mereka kerjakan sebelumnya.

Ini adalah standar yang penting, karena pengetahuan khusus mereka, auditor internal kadang-kadang diminta untuk kembali ke kelompok yang pernah mereka diaudit.

1200-Proficience and Due Professional Care. Perjanjian harus dilakukan dengan profesional. Ada usulan standar implementasi baru yang penting di sini:

1210.A1- CAE harus memperoleh saran dan bantuan yang kompeten jika staf audit internal tidak memiliki pengetahuan, keterampilan, atau kompetensi lainnya yang dibutuhkan untuk melakukan semua atau sebagian dari perjanjian.

1210.A2- Seorang auditor internal harus memiliki pengetahuan yang cukup untuk mengidentifikasi indikator penipuan dan manner yang dikelola oleh organisasi tetapi tidak diharapkan memiliki keahlian orang yang bertanggung jawab dalam mendeteksi dan menyelidiki penipuan.

1210.A3- Auditor internal harus memiliki pengetahuan yang cukup tentang risiko teknologi informasi dan mengkontrol teknik audit berbasis teknologi yang tersedia untuk melakukan pekerjaan mereka.

Menyadari bahwa ada kebutuhan untuk spesialis audit TI, standar menyatakan bahwa semua auditor internal harus memiliki pemahaman tentang TI risiko dan kontrol. Meskipun draft versi standar menyatakan bahwa auditor internal harus mempertimbangkan penggunaan alat "audit berbasis teknologi" dan teknik, persyaratan yang kini telah dicabut. Teknik audit dibantu komputer merupakan bagian dari tool kit auditor internal.

1220-Due Professional Care. Auditor Internal harus menerapkan keterampilan yang diharapkan dari auditor internal yang bijaksana dan kompeten. Bagian lain dari standar ini menyatakan bahwa dalam melaksanakan urusan secara profesional, internal auditharus mempertimbangkan:

Tingkat kerja yang diperlukan untuk mencapai tujuan engagement. Kompleksitas relatif, materialitas, atau makna dari hal-hal yang prosedur assurance terapkan. Kecukupan dan efektivitas manajemen risiko, pengendalian, dan proses tata kelola. Kemungkinan dari kesalahan yang signifikan, penyimpangan, atau ketidakpatuhan. Biaya assurance dalam kaitannya dengan manfaat potensial.

Standar audit internal ini benar-benar mengatakan bahwa auditor internal harus berhati-hati dalam memulai dan melakukan audit internal. 1220.A2 -Dalam melakukan urusan profesional auditor internal harus mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis data lainnya.

1220.A3- Auditor internal harus waspada terhadap risiko yang signifikan yang dapat mempengaruhi tujuan, operasi, atau sumber daya. 1300-Quality Assurance and Improvement Program. CAE harus mengembangkan dan memelihara kualitas assurance dan memperbaiki program yang mencakup seluruh aspek kegiatan audit internal dan terus menerus memantau efektivitasnya. Jaminan kualitas dan program peningkatan harus dirancang untuk memungkinkan evaluasi kesesuaian aktivitas audit internal dengan standar audit internal serta evaluasi apakah auditor internal menerapkan kode etik.

1311-Internal Assessments. Manajemen audit internal harus memiliki proses penilaian internal yang meliputi kedua pemantauan berkelanjutan dari kinerja aktivitas audit internal dan riviu periodik dilakukan melalui penilaian diri atau orang lain dalam perusahaan dengan pengetahuan yang cukup tentang praktik audit internal.

1312-External Assessments. Penilaian eksternal harus dilakukan setidaknya sekali setiap lima tahun oleh peninjau yang berkualifikasi, independen, atau tim peninjau dari luar organisasi. CAE harus membahas kebutuhan ini untuk penilaian eksternal lebih sering dengan komite audit dan dewan kualifikasi dan independensi resensi atau review tim eksternal, termasuk potensi konflik kepentingan.

b. Internal Audit Performance StandardsStandar kinerja menggambarkan karakteristik kegiatan audit internal dan menyediakan kriteria yang berkualitas terhadap kegiatan tersebut dan dapat diukur. Ada enam standar kinerja, substandar dan standar pelaksanaan yang akan diuraikan. yang berlaku untuk audit kepatuhan, penyelidikan terhadap kecurangan, atau pengendalian dari self assesment. 2000 - Mengatur Aktivitas Audit InternalCAE harus secara efektif mengatur aktivitas Audit Internal untuk memaastikan bahwa hal tersebut memberikan nilai tambah pada perusahaan. Standar tersebut terdiri dari enam substandard, yaitu :2010 PlanningCAE harus menetapkan rencana berbasis risiko yang konsisten dengan kerangka kerja manajemen risiko perusahaan untuk menentukan prioritas kegiatan audit internal. Jika kerangka kerja manajemen risiko perusahaan-tingkat tidak ada, CAE harus menggunakan penilaian risiko sendiri setelah berkonsultasi dengan manajemen puncak dan dewan.2020 Communication and ApprovalCAE harus mengkomunikasikan rencana aktivitas Audit Internal dan sumber daya yang dibutuhkan selama pelaksanaan aktivitas tersebut, termasuk perubahan interim yang signifikan, untuk manajemen puncak dan dewan untuk peninjauan dan pengesahan.2030 Resource ManagementCAE harus memastikan bahwa sumber daya audit internal telah tepat, memadai dan efektif digunakan untuk mencapai rencana yang telah disetujui.2040 Policies and ProceduresCAE harus menetapkan kebijakan dan prosedur untuk memandu kegiatan audit internal yang sesuai dengan ukuran dan struktur kegiatan audit internal dan kompleksitas pekerjaan.2050 CoordinationCAE harus berbagi informasi dan mengkoordinasikan kegiatan dengan penyedia layanan internal dan eksternal lainnya seperti jasa assurance dan jasa konsultasi untuk memastikan cakupan yang tepat dan meminimalisasi usaha yang besar.

2060 - Reporting to Senior Management and the BoardCAE harus memberikan laporan secara berkala tentang kinerja yang berkaitan dengan rencana awal kepada manajemen puncak dan dewan audit internal. Pelaporan tersebut harus mencakup pengungkapan risiko yang signifikan, termasuk risiko kecurangan, masalah tata kelola, danhal-hal lain yang diperlukan oleh manajemen puncak dan dewan.2100 Nature of WorkStandar IIA menyatakan bahwa aktivitas audit internal harus dievaluasi dan memberikan kontribusi pada perbaikan tata kelola, manajemen risiko, dan proses kontrol menggunakan sistematika dan pendekatan disiplin ilmu. 2110 GovernanceKegiatan audit internal harus menilai dan memberikan saran yang sesuai untuk meningkatkan proses tata kelola dalam mencapai tujuan berikut, yaitu : Mempromosikan etika yang sesuai dan nilai-nilai dalam perusahaan Memastikan kinerja manajemen dalam organisasi efektif dan akuntabel. Menhkomunikasikan risiko dan kontrol informasi ke seluruh bagian dalam organisasi Mengkoordinasikan kegiatan dan mengkomunikasikan informasi antara dewan, auditor eksternal dan auditor internal, serta manajemen.

8.3 Kode Etik : IAA dan ISACAa. Kode Etik menurut The Institute of Internal Auditors 1. IntegritasAuditor Internal :1.1 Akan menjalankan tugas mereka dengan jujur, tekun dan bertanggung jawab1.2 Akan mentaati hukum dan membuat pengungkapan yang sesuai dengan hukum dan profesi1.3 Tidak akan secara sadar menjadi pihak dalam setiap kegiatan illegal, atau terlibat dalam tindakan tindakan yang tidak terhormat berdasarkan profesi internal audit atau organisasi.1.4 Akan menghormati dan berkontribusi terhadap tujuan yang sah dan etis dari organisasi

2. ObjektivitasAuditor Internal :2.1 Tidak akan berpartisipasi dalam setiap kegiatan atau hubungan yang dapat mengganggu atau dianggap merusak penilaian objektif mereka. Partisipasi ini mencakup aktivitas atau hubungan yang mungkin bertentangan dengan kepentingan organisasi.2.2 Tidak akan menerima apapun yang dapat mengganggu atau dianggap mengganggu penilaian profesional.2.3 Akan mengungkapkan fakta material yang mereka ketahui, jika tidak diungkapkan maka dapat merusak pelaporan dari kegiatan yang sedang diperiksa.

3. Kerahasiaan Auditor Internal :3.1 Akan bijaksana dalam penggunaan dan perlindungan informasi yang diperoleh dalam menjalankan tugas mereka.3.2 Tidak akan menggunakan informasi untuk keuntungan pribadi atau dengan cara apapun yang bertentangan dengan hukum atau membahayakan tujuan organisasi yang sah dan etis.

4. KompetensiAuditor Internal ;4.1 Akan terlibat hanya jika mereka memiliki pengetahuan, keterampilan dan pengalaman yang diperlukan dalam suatu aktivitas.4.2 Akan melakukan jasa audit internal sesuai dengan Standar Praktek Profesional Audit Internal.4.3 Akan terus meningkatkan keahlian, efektivitas serta kualitas mereka.

b. Kode Etik menurut The Information Systems Audit and Control Association, IncISACA dan juga Institute IT Governance adalah perusahaan audit professional yang mewakili atau membahas terutama tentang audit Teknologi Informasi. The Information Systems Audit and Control Association, Inc. (ISACA) menetapkan kode etik professional untuk membimbing perilaku professional dan pribadi anggota asosiasi dan/atau pemegang sertifikasinya.Anggota ISACA dan pemegang sertifikasi akan:1. Mendukung pelaksanaan dan mendorong kepatuhan dari standar yang sesuai serta prosedur dan kontrol untuk sistem informasi.2. Melakukan tugas mereka dengan objektivitas, due diligence dan profesional, sesuai dengan standar profesional dan praktik terbaik.3. Menyajikan sesuai dengan kebutuhan pemangku kepentingan dengan cara yang sah dan jujur, sambil mempertahankanstandar perilaku dan karakter, dan tidak melakukan tindakan yang tidak terhormat dengan profesi.4. Menjaga privasi dan kerahasiaan informasi yang diperoleh selama mereka bertugas, kecuali pengungkapan diperlukan oleh otoritas hukum. Informasi tersebut tidak akan digunakan untuk kepentingan pribadi atau diberitahukan kepada pihak yang tidak terkait.5. Menjaga kompetensi dalam daerah masing-masing dan sepakat untuk melakukan hanya hal yang dikerjakan, dan dapat diselesaikan dengan kompetensi profesional.6. Menginformasikan pihak terkait sesuai hasil pekerjaan yang dilakukan dan mengungkapkan semua fakta yang signifikan kepada mereka.7. Mendukung pendidikan profesional pemangku kepentingan dalam meningkatkan pemahaman mereka tentangkeamanan sistem informasi dan kontrol.