AUDIT INTERNAL AND CORPORATE GOVERNANCE

Disusun Untuk Memenuhi Tugas Mata Kuliah Audit Manajemen dan Kinerja

Dosen Pengampu:
Dr., dra Indira Januarti, M. Si., Akt

Disusun Oleh:

1. Kukuh Herwibawa (12030116140092)

2. Annisa Maulia Priyo (12030116140206)

Kelas C
Kelompok 10

DEPARTEMEN AKUNTANSI

FAKULTAS EKONOMIKA DAN BISNIS

UNIVERSITAS DIPONEGORO

SEMARANG

2019

i
 DAFTAR ISI

BAB I : Board Audit Committee Communications

A. Peran Komite Audit................................................................................1

B. Organisasi dan Piagam Audit.................................................................2
C. Komite Audit Ahli Keuangan dan Audit
Internal....................................................................................................3
D. Tanggung Jawab Komite Audit terhadap Audit Internal........................4
E.

BAB II Program Etika dan Whistleblower

A. Profil Perusahaan...................................................................................3
B. Alat dan bahan membuat batik..............................................................4
C. Teknik membatik...................................................................................5
D. Proses membuat batik............................................................................6
E. Motif batik dan makna

BAB III : Deteksi dan Preventif Kecurangan

B.
C. Saran.....................................................................................................8
D.

Kata Penutup

ii
Kata Pengantar

iii
 BOARD AUDIT COMMITTEE COMMUNICATIONS

Bab ini membahas tentang peranan dan tanggung jawab komite audit untuk audit
internal. Kami membahas, peran dalam menyetujui audit charter, menunjuk CAE, menyetujui
rencana audit, dan mereview hasil audit internal. Bab ini juga membahas jenis pelaporan bahwa
audit internal harus menyediakan komite audit untuk menyajikan hasil kerja mereka dan untuk
menyoroti isu-isu yang mungkin memerlukan tindakan lebih lanjut. SOx mengamanatkan
tanggung jawab komite audit lainnya, seperti peran dalam mengelola program pelanggaran
whistleblower keuangan.

A. Peran Komite Audit

Komite Audit memberikan otorisasi yang luas ini untuk fungsi audit internal melalui
dokumen charter audit formal. Sebuah komite audit juga menyetujui rencana keseluruhan audit
internal untuk melanjutkan kegiatan melalui periode berjalan dan seterusnya. Sebagai salah
satu komite beberapa operasi yang ditetapkan oleh dewan, komite audit memiliki peran unik
dibandingkan dengan komite dewan lainnya. Ini terdiri dari hanya direksi luar-memberikan
keleluasaan dari manajemen perusahaan-dan harus terdiri dari direktur luar yang umumnya
memahami, memonitor, mengkoordinasi, dan menafsirkan pengendalian internal dan aktivitas
keuangan yang terkait untuk seluruh forum. Salah satu anggota komite audit harus ditunjuk
sebagai ahli keuangan peraturan SOx. Dalam rangka memenuhi tanggung jawabnya kepada
jajaran direksi, kepada pemegang saham, dan untuk masyarakat, komite audit perlu untuk
memulai dan mengelola fungsi audit internal yang harus menjadi set independen dari mata dan
telinga dalam perusahaan, memberikan penilaian pengendalian internal dan hal-hal lain.
Perusahaan non-publik lainnya akan mendapatkan keuntungan dari sebuah struktur
komite audit juga. Sebagai contoh, banyak yang non-profit atau perusahaan swasta yang cukup
besar untuk memiliki papan formal direksi dan fungsi audit internal. Meskipun tidak
diamanatkan untuk melakukannya oleh SOx dan aturan-aturan SEC, organisasi tersebut akan
mendapatkan keuntungan dari komite audit hanya dewan direktur independen. Auditor internal
di perusahaan ini akan menguntungkan kedua fungsi audit internal dan manajemen perusahaan
secara keseluruhan dengan menyarankan jenis pendekatan.
Sedangkan auditor eksternal memiliki tanggung jawab utama untuk dewan suatu
perusahaan direktur untuk membuktikan keakuratan dan kewajaran laporan keuangan, audit
internal memiliki peran lebih besar dalam menilai pengendalian internal atas keandalan
pelaporan keuangan, efektivitas dan efisiensi operasi, dan perusahaan itu kepatuhan terhadap
hukum dan peraturan yang berlaku. Dewan direksi perusahaan memiliki komite audit formal
untuk beberapa waktu, dan audit internal selalu memiliki hubungan pelaporan jangka panjang
kepada dewan komite audit direksi. Namun, banyak yang telah berubah sejak SOx pada
pertengahan 2002.
Pada tahun pertama abad ini, masalah utama yang berevolusi dari runtuhnya Enron dan
skandal keuangan yang terkait adalah fakta bahwa komite audit tidak melakukan evaluasi yang
cukup pada tata kelola perusahaan independen. Sebagai contoh, pada tahun 1999 Blue Ribbon
Komite Meningkatkan Efektivitas Komite Audit Perusahaan dibentuk oleh NYSE, SEC,
American Institut Akuntan Publik (AICPA), dan lain-lain. Ia mengeluarkan serangkaian
rekomendasi pada peningkatan kemandirian, operasi, dan efektivitas komite audit. Bursa efek
kemudian diadopsi standar baru direktur komite audit independen sebagai daftar persyaratan
untuk dilakukan secara bertahap selama 18 bulan berikutnya, dan Audit Dewan Standar AICPA
menaikkan standar untuk auditor eksternal sehubungan dengan komite audit. Kegagalan
keuangan berikutnya Enron dan lain-lain menunjukkan inisiatif ini tidak cukup. Hasilnya
adalah kerja legislatif yang memunculkan SOx.

1
 Hari ini, sejalan dengan perkembangan Sox, komite audit telah memperluas tanggung
jawab dan audit internal memiliki tanggung jawab yang lebih besar untuk melayani terbaik
komite audit.

B. Organisasi dan Piagam Komite Audit

Sebuah komite audit merupakan komponen operasional dari dewan direksi dengan
tanggung jawab untuk kontrol internal dan pengawasan pelaporan keuangan. Karena itu
tanggung jawab pengawasan, anggota komite audit harus independen tanpa ada hubungannya
dengan manajemen perusahaan. Komite audit dapat mengundang anggota pengurus atau orang
lain untuk menghadiri pertemuan komite dan bahkan untuk bergabung dalam pada
musyawarah. Namun, setiap tamu yang diundang tersebut tidak dapat menjadi anggota suara
penuh. Dewan direksi suatu perusahaan merupakan badan resmi yang diberikan tanggung
jawab untuk keseluruhan pemerintahan bahwa perusahaan bagi investor pemiliknya atau
pemberi pinjaman. Karena semua anggota dewan dapat dipegang secara hukum bertanggung
jawab melalui tindakan mereka atas setiap isu, dan dewan dan komite yang membuat sebagian
besar bisnis formal melalui resolusi, yang menjadi masalah catatan perusahaan. Perusahaan
dari berbagai komite dewan, termasuk komite audit, didirikan melalui resolusi tersebut. Jenis
resolusi didokumentasikan dalam catatan dari papan tulis dan umumnya tidak direvisi kecuali
beberapa kondisi yang membutuhkan perubahan. Resolusi tersebut adalah contoh dari tata
kelola perusahaan yang menetapkan aturan dimana beberapa perusahaan beroperasi. Meskipun
tidak dipublikasikan dalam laporan tahunan dan sejenisnya, adanya resolusi dewan yang tepat
menjadi masalah dalam hal regulasi dan litigasi hanya ketika sebuah papan perlu
mengandalkan pada resolusi mengizinkan.
Meskipun tidak merupakan persyaratan yang diperlukan, kebanyakan perusahaan
fungsi audit internal secara rutin beroperasi melalui sebuah piagam formal internal audit,
dokumen yang disetujui oleh komite audit untuk menjelaskan peran audit internal dan tanggung
jawab. Institute of Internal Auditor (IIA) telah memberikan beberapa panduan untuk menyusun
piagam audit internal, tetapi piagam tersebut tidak mengikuti standar tertentu atau format.
Mereka harus secara formal, antara lain, bahwa audit internal memiliki akses penuh terhadap
semua catatan dan fasilitas dalam perusahaan. Piagam audit internal mencakup kegiatan fungsi
audit internal tetapi bukan kegiatan komite audit dewan perusahaan. NYSE menyarankan
diusulkan pigam komite audit dewan pada bulan Desember 1999, tetapi dengan ada persyaratan
bahwa komite audit harus memiliki seperti piagam. Bagaimanapun, SOx kini telah
mengamanatkan bahwa setiap komite audit dewan harus mengembangkan piagam audit sendiri
resminya akan diterbitkan sebagai bagian dari laporan tahunan proxy.
Tujuan dari sebuah piagam komite audit dewan adalah untuk menetapkan komite audit
bertanggung jawab tentang:
 Identifikasi, penilaian, dan pengelolaan risiko keuangan dan ketidakpastian
 Terus menerus memperbaiki sistem keuangan
 Integritas laporan keuangan dan pengungkapan keuangan
 Kepatuhan terhadap persyaratan hukum dan peraturan
 Kualifikasi, kemandirian, dan kinerja auditor independen di luar
 Kemampuan, sumber daya, dan kinerja dari departemen audit internal
 Komunikasi yang penuh dan terbuka dengan dan antara akuntan independen,
manajemen, auditor internal, konsultan, karyawan, komite audit

2
 Tidak ada format yang ditentukan untuk piagam ini, namun NYSE telah menerbitkan
sebuah piagam model yang telah diadopsi oleh banyak perusahaan publik saat ini. Format
piagam sangat bervariasi dari satu perusahaan ke yang lain, tapi audit charter komite umumnya
mencakup:
1. Tujuan dan kekuasaan komite audit
2. Komposisi komite audit
3. Jadwal pertemuan
4. Komite audit prosedur
5. Komite audit kegiatan utama
a. Tata kelola perusahaan
b. Pelaporan Publik
c. Akuntan independen
d. Audit dan akuntansi
e. Kegiatan Lainnya
6. Discretionary kegiatan
a. Akuntan independen
b. Audit internal
c. Akuntansi
d. Kontrol dan sistem
e. Pelaporan Publik
f. Kepatuhan tanggung jawab pengawasan
g. Penilaian risiko
h. Tanggung jawab pengawasan keuangan
i. imbalan kerja rencana investasi tanggung jawab fidusia
7. Komite audit keterbatasan

Banyak piagam komite audit berisi deskripsi dari kategori yang tercantum. Beberapa
tampaknya telah dikembangkan oleh perusahaan penasehat hukum dengan bahasa untuk
menutupi setiap kontingensi sehingga lebih jelas dan ringkas. Tidak setiap perusahaan seperti
Microsoft dalam hal ukuran dan sumber daya, tetapi semua perusahaan dengan pendaftaran
SEC harus sesuai dengan aturan SOx. Entitas yang lebih kecil tidak akan memiliki sumber daya
atau perlu merilis piagam komite audit berbasis Web. Tapi mereka tetap harus memiliki komite
audit independen, sebagaimana diamanatkan oleh SOx, serta piagam komite audit. Ini adalah
jenis dokumen resolusi dewan direksi yang akan menjadi bagian dari arsip perusahaan.

C. Komite Audit Ahli Keuangan dan Audit Internal

Sebuah kritik utama komite audit pada pra-SOx setelah jatuhnya Enron bahwa banyak
anggota dewan yang menjabat sebagai komite audit tampaknya tidak memahami keuangan dan
masalah pengendalian internal. Orang-orang terpilih untuk dewan komite audit karena
hubungan mereka dengan senior, manajemen bisnis atau profesional tapi mereka sering tidak
memahami kontrol keuangan atau internal yang kompleks isu seputar banyak perusahaan. SOx
sekarang mengharuskan bahwa setidaknya salah satu dari komite audit independen harus
seorang "ahli keuangan" dengan beberapa persyaratan yang cukup spesifik untuk peran itu.
SOx telah menyebabkan banyak perubahan tata kelola perusahaan, dewan direksi, dan komite
audit.

3
 Dalam banyak situasi, audit CAE dan internal berkesinambungan dengan tata kelola
perusahaan, dan audit internal dapat membantu komite audit di era baru ini melalui pendekatan
tiga langkah:

Langkah 1. Melalui laporan dan presentasi, memberikan ringkasan rinci arus audit internal
proses untuk penilaian risiko, perencanaan dan melakukan audit, dan pelaporan
hasil melalui laporan audit.
Langkah 2. Bekerja dengan sumber daya manusia dan sumber daya lainnya, rencana ini kepada
komite audit untuk membantu meluncurkan etika SOx yang diperlukan dan
program whistleblower.
Langkah 3. Mengembangkan rencana rinci untuk meninjau dan menilai pengendalian internal
dalam perusahaan. Ini adalah komponen kunci dari SOx, Bagian 404
pengendalian internal penilaian persyaratan.

Setelah audit internal melalui latihan seperti koreksi diri, audit proses dan kegiatan yang
sedang berlangsung harus disajikan kepada komite audit dan dewan secara keseluruhan dan
manajemen. Tujuannya adalah untuk memastikan bahwa semua pihak menyadari proses audit
internal dan isu-isu yang sedang berlangsung. Informasi tersebut harus disampaikan kepada
anggota kunci manajemen terlebih dahulu sebelum presentasi komite audit untuk memastikan
pesan bahwa audit internal akan dipahami dengan baik dan konsisten dengan inisiatif
manajemen lainnya. Tergantung pada perusahaan dan sejarah masa lalu, audit internal dapat
menerima terlalu sedikit atau bahkan kredit terlalu banyak untuk perannya dalam tata kelola
perusahaan proses.

D. Tanggung Jawab Komite Audit terhadap Audit Internal

Dewan komisaris komite audit mempunyai satu tanggung jawab primer untuk fungsi
audit internal suatu perusahaan. Sesuai SOx, konsep ini lebih dari sekedar teori; audit internal
melaporkan kepada komite audit “secara tertulis” tetapi secara efektif dilaporkan kepada CFO
( chief financial officer) atau beberapa petugas korporat senior.
Fungsi audit internal modern saat ini harus mempunyai suatu piagam, yang secara aktif
berhubungan dengan komite audit perusahaan. Piagam ini sangat spesifik mengenai hubungan
dengan audit internal dan secara tipikal memerlukan audit komite ke:
 Review sumber-sumber daya, rencana, aktivitas, penempatan pegawai, dan struktur
organisasi audit internal.
 Review pertemuan, kinerja, dan penggantian CAE.
 Review semua audit dan laporan yang disiapkan oleh audit internal bersama-sama
dengan respon manajemen.
 Review dengan manajemen, CAE, dan akuntan independen ketercukupan dari
pelaporan keuangan dan sistem pengawasan intern. Review harus meliputi lingkup dan
hasil program audit internal serta kooperasi gangguan atau keterbatasan, bila ada,
dikenakan oleh manajemen terhadap perilaku program audit internal.

Poin ini adalah bagian dari hubungan antara audit internal dan komite auditnya untuk
sekali waktu, tetapi piagam komite audit diterbitkan dalam susunan yang formal. CAE harus
bekerja berdekatan dengan komite audit untuk memastikan hubungan komunikasi yang efektif
sudah berlangsung, seperti yang di diskusikan di poin ketiga.

1. Pertemuan Chief Audit Executive

Tipikal pelaporan CAE secara administratif kepada manajemen perusahaan, tetapi
komite audit bertanggungjawab untuk perekrutan dan pembubaran audit internal ekselutif

4
 ini. Dewan Komite Kompensasi bisa saja terlibat saat CAE dirancang sebagai pegawai
dari perusahaan. Objektivitas disini bukan untuk menolak hak manajemen perusahaan
menyebutkan orang yang akan mengelola departemen audit internal, yang melayani
kebutuhan yang beragam dari manajemen perusahaan dan komite audit. Keikutsertaan
komite audit untuk memastikan independensi dari fungsi audit internal ketika ada suatu
kebutuhan berbicara mengenai pengidentifikasian isu dalam review dan penilaian control
internal dan aktivitas lainnya dari suatu perusahaan.
Keikutsertaan komite audit dalam pemilihan CAE bisa melihat dan mempertimbangkan
review dari usul direktur yang diikuti dengan wawancara formal. Manajemen Perusahaan—
seringnya terutama CFO— berkonsultasi dengan dewan komite audit mengenai kandidat
potensial CAE, mempersilahkan waktu untuk komite audit mereview dan memberikan
komentar, serta kadang-kadang mewawancarai, sebelum perubahan apapun dibuat.
Manajemen dapat menyarankan promosi seseorang dari dalam perusahaan atau dapat merekrut
orang luar, tetapi komite audit akan mempunyai keputusan terakhir.
Komite audit biasanya tidak terlibat dalam berbagai hal administratif sehari-hari
mengenai CAE dan keseluruhan fungsi audit internal tetapi harus memastikan berjalannya
kualitas fungsi audit internal. Sebagai contoh, manajemen senior dapat menyatakan perasaan
yang kuat bahwa CAE harus ditransfer atau diakhiri oleh karena konsen manajemen yang kuat.
Di situasi lainnya, komite audit harus mereview usul tindakan personil dan menyediakan CAE
dengan perekrutan yang adil atas isu yang terlibat. Komite audit sendiri dapat merasakan bahwa
CAE tidak melakukan pekerjaan yang cukup, baik dalam mentaati permintaan komite audit
atau dalam mengarahkan fungsi audit internal, atau keduanya. Dalam kasus lain,dewan komite
audit secara tipikal akan menyatakan konsen itu pada manajemen perusahaan dan memulai
proses untuk penggantian personil. Dalam kasus yang ekstrim dimana ada perselisihan paham
mengenai CAE, komite audit bisa merekrut konsultan eksternal untuk melakukan pekerjaan
audit review yang diinginkan oleh komite atau bisa mengarahkan manajemen, melalui dewan
derivative, untuk melakukan perubahan.
Keseluruhan isu di sini adalah bahwa komite audit mempunyai kemampuan merekrut
atau memecat CAE, tetapi harus sedang berjalan ditingkat kooperasi. Komite audit secara
umum tidak berada di tempat basis sehari-hari untuk menyediakan supervisi audit internal rinci
dan harus memenuhi persyaratan manajemen untuk beberapa dukungan rinci. CAE atau
anggota apapun dari audit internal tidak bisa mengabaikan begitu saja permintaan manajemen
sesuai dengan klaim laporan beberapa orang saja pada komite audit dan tidak
bertanggungjawab pada manajemen lini perusahaan. Dengan cara yang sama, manajemen
perusahaan harus memastikan bahwa internal audit adalah bagian dari perusahaan, bukan orang
luar.

2. Persetujuan Piagam Audit internal

Piagam audit internal bertindak sebagai satu basis atau otorisasi untuk setiap program audit
internal efektif. Piagam adekuasi khususnya penting untuk mendefinisikan peran dan
tanggung-jawab audit internal serta tanggung jawab untuk melayani komite audit dengan baik.
Misi dari audit internal harus jelas menyediakan layanan pada komite audit demikian pula pada
manajemen senior. Piagam audit internal bukan saja dokumen yang luas tetapi umum juga
dokumen yang secara umum mendefinisikan tanggung-jawab dari audit internal dalam
perusahaan, menggambarkan standar yang diikuti, dan mendefinisikan hubungan antara komite
audit dan audit internal.
Komite audit bertanggungjawab untuk persetujuan piagam audit internal, seutuhnya,
dewan bertanggungjawab untuk menyetujui piagam komite audit. Kita mendiskusikan piagam
audit internal di sini karena inilah tanggung jawab komite audit, tetapi piagam audit internal
juga melindungi detil yang lebih besar/rinci dalam diskusi tentang membuat piagam dan

5
membangun satu fungsi audit internal yang efektif. Siapakah bertanggungjawab untuk
penyusunan piagam audit internal ini? Teorinya komite audit mungkin akan menyusun
dokumen ini sebagai sebuah aktivitas dewan komite. Pada kenyataannya, CAE biasanya
memelopori dalam membuat penyusunan piagam ini dan/atau akan menyarankan perbaikan
sesuai pada satu piagam yang sudah ada pada dewan komite audit.

Sementara itu piagam audit internal memberi hak pekerjaan yang harus dilakukan,
anggota komite audit tidak boleh berada dalam suatu posisi untuk membuat persyaratan draft
piagam audit rinci. CAE secara tipikal bekerja berdekatan dengan dewan komite audit untuk
membuat draft persyaratan ini. Audit internal dan komite audit harus mempunyai satu
pemahaman jelas tentang tanggung-jawab audit internal untuk menyajikan laporan dan untuk
mengikuti rapat komite audit.
Pernyataan piagam hubungan audit internal pada komite audit ini menjadi penting
karena audit internal juga mempunyai hubungan pekerjaan sehari-hari dengan manajemen
perusahaan. Sementara itu komite audit memilih CAE, anggota lain dari tim audit direkrut dan
dibayar oleh perusahaan, bukan komite audit independen. Manajemen Senior sering melupakan
audit internal itu memiliki hubungan pelaporan di dalam perusahaan. Manajemen Perusahaan
kadang-kadang memberikan diskon untuk kebutuhan ini untuk piagam audit internal atas
alasan-alasan bahwa tidak batasan pada audit internal independen. Meskipun demikian, piagam
audit internal yang kuat, yang disetujui oleh komite audit, adalah ketetapan penting corporate
governance.

3. Persetujuan Rencana dan Anggaran Audit internal

Idealnya, komite audit sudah mengembangkan keseluruhan pemahaman mengenai total
kebutuhan audit internal dari suatu perusahaan. Penilaian tingkat-tinggi yang mencakup
berbagai kendali dan isu pelaporan keuangan khusus, mempersilahkan komite audit
menentukan porsi audit atau pengkajian resiko yang diperlukan untuk dilakukan baik oleh audit
internal atau penyedia lain. Sebagai bagian dari peran ini, komite audit bertanggungjawab
untuk mereview dan menyetujui semua rencana serta anggaran audit internal tingkat tinggi.
Tanggung jawab ini konsisten dengan peran komite audit sebagai koordinator terakhir usaha
audit secara keseluruhan. Manajemen Perusahaan dan CAE mungkin mempunyai ide-ide milik
mereka sendiri tentang apa diperlukan untuk dilakukan, tetapi tindakan ini adalah satu
tanggung jawab komite audit.
Review komite dari semua rencana audit internal itu sangat penting jika kebijakan-
kebijakan dan rencana untuk masa depan harus ditentukan secara efektif. Tanggung-jawab baru
audit karena pengenalan tentang SOx telah mengubah peran yang sudah berjalan beberapa
lama, dan semua pihak-pihak berkepentingan harus memahami sifat alami keseluruhan rencana
audit. Manajemen Perusahaan, auditor internal, dan audit eksternal kemudian akan tahu apa
yang harus diharapkan dari pemasok layanan audit. Secara tipikal, dewan komite audit adalah
orang yang paling aktif dalam merencanakan review ini, tetapi saat dia adalah subyek untuk
keterbatasan waktu.
Audit internal harus menyiapkan suatu dokumen perencanaan tahunan menyeluruh
untuk komite yang memberikan rencana rinci untuk tahun yang akan datang sebaik rencana
jangka panjang. Selain itu, audit internal harus menyiapkan laporan ringkas dari aktivitas audit
masa lampau dan taksiran kembali dari pemenuhan nya untuk memberikan komite audit suatu
pemahaman dari area signifikan dalam review masa lampau. Walaupun audit internal harus
melaporkan aktivitas kepada komite audit secara reguler, laporan ringkasan aktivitas masa
lampau ini memberikan suatu ikhtisar area untuk penekanan audit dan gap acara penting
potensial dalam pemenuhan audit. CAE akan menyajikan jenis laporan kepada komite audit
ini, mencakup untuk masing-masing audit tertentu dan dengan detil pendukung yang cukup

6
untuk menjawab pertanyaan. Laporan ringkasan aktivitas masa lalu ialah penting untuk
memperlihatkan jadwal area dalam rencana tahun berjalan dan penyempurnaan rencana
tersebut.
Di banyak perusahaan, rencana audit tahunan mengembangkan melalui dua proses,
analisis risiko internal dan diskusi dengan manajemen senior serta komite audit. Manajemen
dan komite dapat menyarankan area untuk review potensial audit internal, dan audit internal
harus mengembangkan rencana di dalam batasan dari anggaran dan keterbatasan sumber daya.

4. Review dan Tindakan Komite Audit atas Temuan Audit yang Signifikan
Tanggung jawab penting komite audit adalah mereview dan mengambil tindakan atas
temuan audit yang signifikan yang dilaporkan oleh auditor internal dan eksternal, manajemen,
dan lain-lain. Audit internal dan yang lain seharusnya tidak memfilter temuan audit dan
mengatakan kepada komite audit apa yang dikatakan signifikan, kepentingan dan efisiensi dari
keseluruhannya akan dilayani lebih baik oleh audit internal yang secara teratur melaporkan
temuan audit yang signifikan seperti halnya keadaan dan disposisi temuan. Dalam memberi
reaksi atas temuan audit yang signfikan, membutuhkan kombinasi atas pemahaman,
kompetensi, dan kerjasama pihak-pihak utama yang berkepentingan seperti audit internal,
manajemen, auditor eksternal, dan komite audit sendiri. Kesejahteraan keseluruhan
perusahaan menjadi standar untuk menilai jasa audit internal, dan kepentingannya dengan
manajemen memiliki batas tertentu yang saling bertentangan.

E. Komite Audit dan Auditor Eksternalnya

Komite audit memiliki tanggung jawab utama untuk menyewa perusahaan audit
eksternal, menyetujui anggaran dan rencana audit yang diusulkan, serta menerbitkan laporan
keuangan yang diaudit. Firma akuntan public tidak lagi memiliki divisi konsultasi, dan dilarang
memberikan jasa outsourcing audit internal kepada perusahaan yang nanti akan diaudit. Oleh
karena itu, komite audit harus lebih menyadari dan sensitif atas hal ini, dimana SOx
mengharuskan komite audit untuk menyetujui seluruh jasa audit eksternal, termasuk comfort
letter, sama seperti halnya jasa nonaudit dari auditor eksternl yang dilarang. Namun auditor
eksternal masih diperbolehkan untuk menyediakan jasa pajak, sama halnya dengan jasa
pengecualian yang diminimalisir, mereka dilarang untuk memberikan jasa non audit secara
kontemporer dengan audit laporan keuangan , jasa tersebut seperti :
 Pembukuan dan jasa lain yang berkaitan dengan pencatatan akuntansi atau laporan
keuangan klien yang diaudit
 Merancang dan mengimplementasikan teknologi informasi keuangan
 Jasa penaksiran dan penilaian, pendapat kewajaran atau kontribusi dalam berbagai
pelaporan
 Jasa outsourcing audit internal
 Fungsi manajemen atau aktivitas pendukung sumberdaya manusia
 Broaker atau dealer, penasihat investasi, atau jasa investasi bank
 Jasa hukum dan jasa ali lainnya yang tidak berkaitan dengan audit
 Jasa lain yang tidak diijinkan oleh PCAOB.
Audit internal harus mempertimbangkan penawaran layanan yang tepat dan konsisten dengan
piagam auditnya.

F. Program Whistleblower dan Kode Etik

Sox menetapkan kepada komite audit untuk membangun prosedur dalam penerimaan,
penyimpanan, dan perwatan atas keluhan yang berkaitan dengan akuntansi, pengendalian

7
internal akuntansi, atau masalah proses audit, termasuk prosedur untuk kerahasiaan yang
diajukan oleh karyawan atas kekhawatiran akuntansi dan permasalahan audit. Akibatnya akan
menghadapi tantangan dokumentasi karena banyak masalah yang harus dilaksanakan dengan
cara yang rahasia. Audit internal seharusnya menawarkan jasanya kepada komite audit untuk
membangun prosedur dokumentasi dan komunikasi dalam area dibawah ini :
 Dokumentasi pencatatan panggilan whistleblower.
Sox mengamanatkan kepada komite audit untuk membangun program whistleblower
formal dimana karyawan dapat meningkatkan perhatian berkaitan dengan masalah
audit yang tidak tepat tanpa takut akan adanya pembalasan. Biasanya perusahaan besar
sudah memiliki fungsi etika, sehingga hanya perlu mengatasinya dengan cara yang
lebih aman lagi. Ketika perusahaan yang lebih kecil tidak memiliki sumberdaya, audit
internal harus menawarkan fasilitasnya dalam komunikasi, pencatatan tanggal, waktu,
dan nama pemanggil untuk penyelidikan dan disposisi wishtleblower.

 Disposisi permasalahan whistleblower.

Dokumentasi harus dijaga untuk mecatat sifat dari investigasi tindak lanjut dan
disposisi yang terkait. Meskipun Sox mengamanatkan program whistleblower tidak
memiliki program penghargaan tunai, dokumentasi lengkap yang mencakup tindakan
yang diambil serta setiap net saving harus dijaga.

 Kode Etik.
Sox membuat komite audit bertanggung jawab untuk mengimplementasikan kode etik
perusahaan untuk CEO dan CFO. Komite audit harus merangkum seperangkat
peraturan bagi perilaku yang tepat dan membuat senior officernya menyatakan bahwa
mereka telah membaca dan memahami serta menyetujui untuk mematuhinya.

G. Peran Lain Komite Audit

Audit internal dapat menawarkan untuk bertindak sedikit sebagai sekretaris dari komite
audit dalam mendokumentasi dan menangani masalah tersebut. Untuk perusahaan besar,
komite audit dapat terdiri dari mungkin enam orang, sedangkan dalam sebuah perusahaan yang
lebih kecil, biasanya terdiri dari hanya dua orang. Direktur komite audit yang independen
biasanya merupakan orang yang sibuk yang mungkin melayani beberapa dewan dengan sedikit
dukungan adminitrasi langsung. Audit internal dapat memberikan bantuan yang penting.
Berdasarkan SOx, komite audit memiliki peran penting dimana memiliki salah satu posisi
terbaik untuk mememberikan fasilitas.
CAE memberikan akses terbuka kepada komite audit melalui presentasi pada
pertemuan rutin dan pertemuan rahasia satu demi satu. Dahulu, pertemuan ini lebih formal
dengan komunikasi sebenarnya yang terbatas, namun telah diubah oleh SOx oleh karena itu,
saat ini komite audit dan ahli keuangan yang dirancangnya memiliki seluruh tanggung jawab
baru audit internal. Hal ini merupakan sumber daya yang baik untuk membantu anggota
komite audit untuk memenuhi tanggung jawab mereka terkait dengan SOx melalui komunikasi
yang erat serta dengan menawarkan tugas dokumentasi tertentu komite audit. Perluasan
persyaratan jasa audit internal merupakan suatu peluang dan tantangan, karena perubahan yang
dilakukan SOx, auditor internal yang modern harus menyadari perluasan penting komite audit.

8
 PROGRAM ETIKA DAN WHISTLEBLOWER

Bab ini membahas kode etik, etika perusahaan, dan program whistleblower dari kedua
perusahaan-lebar dan perspektif audit internal. Internal auditor perlu memahami konsep ini dan
bagaimana mereka harus diterapkan untuk perusahaan secara keseluruhan. Selain itu, di
beberapa perusahaan yang lebih kecil dengan lebih terbatas sumber daya, audit internal dapat
dipanggil untuk memulai dan mengelola banyak jika tidak semua aspek suatu perusahaan, etika
dan program whistleblower. Pengetahuan tentang kode auditor internal perilaku merupakan
kebutuhan CBOK dasar; pemahaman keseluruhan kode etik, program whistleblower, dan etika
perusahaan adalah penting untuk total perusahaan dan harus area audit pengetahuan kunci
internal juga.
Bab ini juga menjelaskan bagaimana membangun etika dan fungsi whistleblower yang
konsisten dengan SOx dan nilai kepada semua stakeholder perusahaan: karyawan, petugas,
vendor, dan kontraktor. Lebih dari tujuan SOx untuk mencegah kecurangan pelaporan
keuangan, program etika yang efektif adalah suatu pengelolaan yang penting dan kepatuhan
alat untuk seluruh perusahaan.
A. Enterprise Etika, Kepatuhan, dan Tata Kelola
Kode etik adalah komponen utama dari standar profesional audit internal, dan auditor
internal banyak terlibat dengan meninjau dan membantu untuk meningkatkan etika perusahaan
mereka. Hal ini menjadi lebih lebih penting ketika SOx dimandatkan atau kode etik
menandatangani laporan perilaku dari pejabat senior dan menyerukan untuk program
whistleblower diarahkan oleh komite audit.
Program etika yang efektif memerlukan komitmen formal antara perusahaan dan
karyawan dan agen untuk melakukan hal yang benar. Program etika efektif untuk perusahaan
dimulai dengan pemahaman risiko lingkungan dan kemudian memerlukan kode etik yang
efektif.

a. Langkah Pertama Etika: Mengembangkan Pernyataan Misi

Pernyataan misi perusahaan yang efektif telah menjadi sangat penting untuk
mempromosikan etika organisasi yang kuat dan tata kelola perusahaan yang baik. misi yang
efektif dapat menjadi aset besar untuk suatu, perusahaan yang memungkinkan untuk lebih
mencapai tujuan organisasi dan tujuan. Sebuah pernyataan misi perusahaan yang kuat
merupakan elemen penting dalam etika dan inisiatif tata kelola perusahaan.
Jika perusahaan tidak memiliki pernyataan misi atau nilai-nilai, audit internal harus
merekomendasikan perakitan tim untuk mengembangkan sebuah pernyataan yang
mencerminkan nilai-nilai keseluruhan perusahaan dan tujuan.
Sebuah pernyataan misi yang baik juga merupakan titik awal yang baik untuk pesan
manajemen senior. Sebuah pernyataan misi yang baik harus membuat pernyataan positif
tentang perusahaan dan menginspirasi para pemangku kepentingan perusahaan untuk
memanfaatkan energi mereka, semangat, dan komitmen untuk mencapai tujuan dan sasaran.
Idenya adalah untuk menciptakan rasa tujuan dan arah yang akan dibagi di seluruh perusahaan.
Setelah perusahaan telah mengembangkan sebuah pernyataan misi baru atau telah merevisi
yang sudah ada, itu harus diterapkan di semua anggota perusahaan dengan tingkat publisitas
yang baik. Menggunakan pendekatan nada-at-the-top, manajer senior harus menjelaskan
alasan untuk laporan misi baru dan mengapa itu akan penting bagi perusahaan.

9
b. Memahami Etika Lingkungan Risiko
Program etika yang efektif membantu untuk melindungi dari berbagai risiko operasional
dan bisnis lainnya. Audit internal dapat menjadi pemimpin utama di sini dalam survei sikap
karyawan dan praktek. sikap Etika dan risiko dapat dinilai melalui baik review ditargetkan
temuan dari audit masa lalu atau ulasan khusus berdasarkan survei sikap karyawan dan
stakeholder etika. Audit internal dapat menyelesaikan pekerjaan ini etika survei melalui
koordinasi dengan fungsi etika perusahaan, jika kelompok tersebut ada.
i. Terkait Temuan Etika-Masa Lalu Dari Audit atau Audit Khusus
Jika audit internal telah menyelesaikan sejumlah besar audit operasional dan keuangan
kepatuhan terkait baru-baru ini, pemeriksaan ulang temuan laporan workpaper dan audit
atau bahkan tanggapan dapat memberikan wawasan tentang sikap etika secara keseluruhan.
audit internal mungkin juga mempertimbangkan meluncurkan audit khusus untuk
menilai sikap etis tersebut. Ini akan menjadi tinjauan kepatuhan yang kuat yang mencakup
beberapa daerah kunci di perusahaan atau review sangat terfokus dalam satu departemen
atau kelompok. Jenis internal audit memberikan penilaian secara keseluruhan sikap etis
dalam perusahaan.
ii. Survey Etika Sikap Karyawan Dan Stakeholder
Idenya adalah untuk mengumpulkan informasi sebanyak mungkin tentang sikap etika
dan praktek dari kelompok besar dalam perusahaan, seperti pekerja pabrik (jika sesuai),
staf kantor, manajer senior, vendor, dan lain-lain. Survei ini akan mencakup beberapa
pertanyaan umum, tetapi setiap kelompok juga akan menerima pertanyaan khusus
ditujukan kepada tanggung jawabnya.
Survei etika akan memungkinkan audit internal, tim etika kantor yang ditunjuk, atau
orang lain untuk mendapatkan pemahaman yang umum tentang etika lingkungan dalam
perusahaan. Hal ini dapat menjadi langkah pertama untuk meluncurkan fungsi etika formal
atau upgrade dan meningkatkan yang sudah ada. Survei ini juga akan menyediakan
manajemen umum dengan beberapa wawasan ke dalam suasana etika secara keseluruhan
di perusahaan.

c. Merangkum Hasil Etika Survey: Apakah Kita Memiliki Masalah itu?

Hasil survei sikap etika atau penilaian dari audit internal masa lalu dapat memberikan
beberapa jaminan bahwa hal-hal yang cukup bagus di seluruh perusahaan. Jika perusahaan
sudah tidak memiliki program etika mapan, audit internal adalah area logis untuk
membantu menetapkan jenis program.

B. Kode Etik Enterprise

Perusahaan efektif hari ini harus mengembangkan dan menegakkan kode etik yang berlaku
mencakup etika, bisnis, dan aturan hukum bagi seluruh pemangku kepentingan perusahaan:
petugas keuangan disorot dalam SOx, seluruh karyawan lainnya, dan pemangku kepentingan
kelompok yang lebih besar. Audit internal dapat menjadi peserta utama untuk memulai kode
dan kemudian menentukan bahwa kode mempromosikan praktek bisnis yang etis di seluruh
perusahaan.

a. Kode Etik Isi: Pesan apa yang ada pada kode itu?
Kode etik harus menjadi mengatur, menghapus aturan ambigu yang menjelaskan apa
yang diharapkan dari semua pemangku kepentingan perusahaan, petugas, karyawan,

10
kontraktor, vendor, dan lain-lain. Kode harus didasarkan pada kedua nilai-nilai dan isu-isu
hukum di sekitar perusahaan. Kode sebenarnya harus memiliki aturan tertentu dalam setiap
bidang ini.
I. Pengantar
a. Tujuan kode etik ini: Suatu pernyataan umum tentang latar belakang
kode etik, menekankan tradisi perusahaan.
b. Standar etika komitmen perusahaan yang kuat: Sebuah penyajian kembali misi
pernyataan dan pesan pendukung dari chief executive officer
c. Dimana dapat mencari panduan: penjelasan mengenai hotline seketika
d. Ketidakpatuhan Pelaporan: Petunjuk whistleblower-cara untuk melaporkan
e. Tanggung jawab untuk mengakui kode: sebuah deskripsi kode pengakuan
proses untuk semua stakeholder
II. Fair Dealing Standards
a. Perusahaan menjual praktek: panduan untuk menangani dengan pelanggan
b. Perusahaan membeli praktek: pedoman dan kebijakan untuk menangani dengan
vendor
III. Perilaku di tempat kerja
a. Equal Employment Opportunity Standar: sebuah pernyataan omitmen yang kuat
b. Tempat kerja dan kebijakan pelecehan seksual: sebuah pernyataan komitmen
yang sama kuat
c. Alkohol dan penyalah gunaan zat: sebuah pernyataan kebijakan di daerah ini
IV. Konflik Kepentingan
a. Pekerjaan sampingan: batasan kerja meneerima dari pesaing
b. Investasi personal: aturan mengenai menggunakan data perusahaan untuk
membuat keputusan investasi pribadi
c. Hadiah dan mafaat lainnya: aturan mengenai menerima suap dan hadiah yang
tidak tepat
d. Mantan karyawan: aturan yang melarang memberikan bantuan kepada eks-
karyawan dalam bisnis
e. Anggota keluarga: aturan tentang memberikan bisnis kepada anggota keluarga,
menciptakan potensi konflik kepentingan, dan hubungan anggota keluarga
karyawan
V. Enterprise Properti dan Records
a. Enterprise aset: Sebuah pernyataan yang kuat pada tanggung jawab karyawan
untuk melindungi aset.
b. Sistem komputer sumber daya: Suatu perluasan pernyataan aset perusahaan
mencerminkan semua aspek sumber daya sistem komputer.
c. Penggunaan nama perusahaan: Sebuah aturan bahwa nama perusahaan harus
digunakan hanya untuk transaksi normal bisnis.
d. Enterprise catatan: Sebuah peraturan mengenai tanggung jawab karyawan untuk
integritas catatan.
e. Informasi rahasia: Aturan tentang pentingnya menjaga semua perusahaan
informasi rahasia dan tidak mengungkapkan ke luar.

11
 f. Karyawan privasi: Sebuah pernyataan yang kuat mengenai pentingnya menjaga
karyawan rahasia kepada orang luar dan bahkan karyawan lainnya informasi
pribadi.
g. Enterprise Manfaat: Karyawan tidak harus mengambil keuntungan perusahaan
yang mereka tidak berhak.
VI. Mematuhi Hukum
a. Di dalam informasi dan insider trading: Sebuah aturan yang kuat yang melarang
insider trading atau dinyatakan mendapatkan manfaat dari informasi orang
dalam.
b. Politik kontribusi dan kegiatan: Sebuah pernyataan yang kuat terhadap
peraturan kegiatan politik.
c. Penyuapan dan suap: Sebuah aturan perusahaan menggunakan suap atau
menerima suap.
d. kesepakatan bisnis asing: Aturan mengenai berurusan dengan agen asing sesuai
dengan yang Korup Asing Practices Act.
e. keselamatan Tempat Kerja: Sebuah pernyataan tentang kebijakan perusahaan
untuk mematuhi aturan OSHA.
f. Produk keamanan: Sebuah pernyataan tentang komitmen perusahaan untuk
keamanan produk.
g. Perlindungan lingkungan: Sebuah peraturan mengenai komitmen perusahaan
untuk mematuhi dengan undang-undang lingkungan yang berlaku.

c. Komunikasi dengan Stakeholder dan Kepatuhan Menjamin

Jika dokumen merupakan kode yang baru atau bahkan melakukan revisi besar, perusahaan
harus melakukan upaya besar untuk memberikan salinan kepada seluruh karyawan dan
stakeholder.
Kelompok manajemen senior harus kemudian secara resmi mengakui bahwa mereka
memiliki membaca, memahami, dan akan mematuhi kode etik. Dengan tim manajemen
berdiri di belakang kode, perusahaan berikutnya harus menyajikan dan memberikan kode untuk
semua pemangku kepentingan perusahaan.

d. Kode Pelanggaran dan Tindakan Korektif

Sebuah perusahaan perlu membentuk cara untuk memungkinkan karyawan atau orang luar
untuk melaporkan pelanggaran terhadap kode di sebuah cara aman dan cara rahasia. Sebagian
besar bahwa mekanisme pelaporan dapat ditangani melalui fasilitas whistleblower. Lainnya
potensi pelanggaran harus ditangani pada tingkat yang berbeda.
Sebuah kode etik menggambarkan serangkaian aturan untuk tindakan diharapkan dalam
perusahaan. Ketika aturan ini dilanggar, masalah ini harus diselidiki dan tindakan diambil
secara konsisten, tidak peduli apa peringkat para pemangku kepentingan perusahaan.

e. Menjaga Kode Etik Kini

Banyak aturan dasar perilaku etis yang baik dan aturan khusus perusahaan-banyak tidak
akan berubah dari tahun ke tahun. Perusahaan harus mereview kode etik mereka dan
dipublikasikan secara berkala, setidaknya sekali setiap dua tahun, untuk membuat panduan

12
tertentu masih berlaku dan arus. Tinjauan periodik mungkin termasuk kode pernyataan
mengenai kebutuhan keuangan yang akurat dan tepat waktu pelaporan di semua tingkatan atau
komitmen perusahaan untuk menghindari semua jenis keuangan penipuan. Perubahan kode
etik tidak boleh dianggap enteng.

C. Whistleblower dan Fungsi Hotline

Fungsi whistleblower adalah fasilitas di mana seorang karyawan atau stakeholder yang
melihat beberapa bentuk kesalahan dapat independen dan anonim melaporkan bahwa tindakan
untuk perusahaan atau badan pengawas dengan tidak takut akan pembalasan
kelompok audit internal dapat membantu wakil komite audit untuk menetapkan
program whistleblower yang efektif yang akan sesuai dengan SOx. Bagian ini membahas cara
untuk mendirikan program whistleblower yang efektif dan bagaimana audit internal dapat
membantu untuk memulai atau refresh fungsi.

a. Aturan Federal Whistleblower

Berdasarkan aturan-aturan ini SOx, itu adalah kejahatan bagi siapa pun "sadar, dengan
maksud untuk membalas, "untuk mengganggu kerja atau kehidupan setiap orang-
whistleblower-yang menyediakan seorang petugas penegak hukum apapun informasi yang
benar yang berkaitan dengan komisi kemungkinan tindak pelanggaran SOx.
SOx mengharuskan komite audit untuk membentuk suatu proses penerimaan dan
pengobatan pengaduan yang diterima mengenai akuntansi, kontrol akuntansi internal, atau
audit hal-hal dan untuk "penyerahan, rahasia anonim oleh karyawan" tentang akuntansi
dipertanyakan atau masalah audit.

b. Peraturan Sox Whistleblower dan Audit Internal

Tim audit internal adalah jelas bagian dari pengelolaan, dan tanggung jawab pertama
auditor internal adalah melaporkan setiap hal-hal yang tidak patut atau ilegal ditemukan selama
pemeriksaan untuk manajemen audit internal untuk disposisi. anggota tim audit internal
tidak boleh mencoba untuk bekerja sebagai whistleblower independen sebagai bagian dari
internal mereka audit bekerja. audit internal harus mengembangkan kebijakan yang jelas
menyatakan bahwa setiap akuntansi SOx, hal pengendalian internal, atau audit ditemui selama
perjalanan dari audit dijadwalkan harus didokumentasikan dalam workpapers audit dan
dikomunikasikan untuk manajemen audit internal untuk resolusi.
c. Meluncurkan Bantuan Perusahaan atau Fungsi Hotline
Idenya adalah untuk memberikan fasilitas yang independen mana semua pihak bisa
bertanya atau melaporkan kesalahan yang mungkin di tingkat manapun. Hotline fungsi hukum
tidak diperlukan, tetapi memungkinkan karyawan atau pemangku kepentingan lainnya untuk
mengajukan pertanyaan, untuk melaporkan kesalahan yang mungkin, dan bahkan untuk
mencari nasihat.

D. Audit Fungsi Etika Perusahaan

Tujuan dari audit internal etika dan fungsi whistleblower adalah untuk menilai apakah
kelompok etika adalah mengikuti prosedur yang baik pengendalian internal, memanfaatkan
sumber daya yang efektif, sesuai dengan prosedur kerahasiaan yang baik, dan mengikuti

13
piagam departemennya otorisasi fungsi etika. Exhibit 24.4 menjelaskan prosedur audit internal
untuk review suatu perusahaan
etika dan fungsi pengaduan.

Exhibit 24.4 Langkah-langkah Audit untuk Tinjauan Fungsi dan Etika dari
Whistleblower
1. Laporan Misi Perusahaan
1.1. Review pernyataan misi perusahaan untuk menilai apakah secara aktif dikomunikasikan
dan menekankan pentingnya etika pemerintahan dan bisnis praktek.
1.2. Jika pernyataan misi tampaknya kurang atau membutuhkan pembaruan, membahas daerah
atau rencana untuk perbaikan dengan komite audit.
1.3. Bertemu dengan anggota manajemen yang sesuai untuk menilai program-program yang
terus menerus untuk mempromosikan pernyataan misi seluruh perusahaan.

2. Etika Fungsi Administrasi

2.1. Menentukan siapa yang memiliki tanggung jawab untuk mengelola program etika secara
keseluruhan di perusahaan. Bertemu dengan fungsi untuk menilai kegiatan yang sedang
berlangsung dan program.
2.2. Mengembangkan pemahaman dan dokumen fungsi etika, termasuk unit struktur dan
pelaporan hubungan.
2.3. fungsi etika's Review piagam dan dokumentasi proses lainnya kunci, dan menentukan
bahwa mereka konsisten dengan inisiatif perusahaan lainnya.
2.4. Tentukan apakah ada beberapa bentuk fungsi hotline di tempat, dan menilai nya span
kegiatan.
2.5. Menilai fungsi etika prosedur keamanan kantor untuk kecukupan catatan, file, dan
keamanan workstation.
2.6. Jika kontraktor luar yang digunakan untuk menyediakan etika atau layanan hotline, review
dan dokumen kontrak pengaturan.

3. Kode Etik Proses

3.1. Mendapatkan salinan kode etik saat ini.
3.1.1. Menentukan bahwa kode tersebut saat ini dan secara teratur diperbarui.
3.1.2. Diskusikan kode dengan sampel staf perusahaan untuk menentukan bahwa memahami
kode dokumen.
3.1.3. Diskusikan kode dengan manajer dipilih di semua tingkatan untuk menentukan apakah
ada kekhawatiran tentang isu-isu kode atau konten.
3.2. Menilai kecukupan proses untuk memperoleh pengakuan kode.
3.2.1. Pilih sampel karyawan dan menentukan bahwa mereka mengakui penerimaan kode.
3.2.2. Menentukan bahwa semua petugas telah menerima kode.
3.2.3. Menilai kecukupan prosedur untuk setiap karyawan yang gagal / menolak kode
pengakuan.
3.2.4. Menilai kecukupan catatan pengakuan kode.
3.3. Menilai kecukupan proses untuk memperbarui kode etik seperti yang diperlukan.

14
3.4. Menilai proses untuk mendistribusikan kode untuk semua pemangku kepentingan
perusahaan, termasuk lokasi terpencil seperti asing, vendor, dan lain-lain.

4. Hotline / Proses whistleblower.

4.1. Mengembangkan pemahaman umum proses whistleblower di tempat, dan menentukan
bahwa mereka menutupi komite audit persyaratan SOx.
4.2. Menilai kecukupan prosedur untuk mengkomunikasikan program whistleblower untuk
seluruh pemangku kepentingan.
4.3. Menilai kecukupan proses penebangan pesan whistleblower atau panggilan diterima dan
mendokumentasikan interaksi.
4.4. Review proses disposisi panggilan, dan memilih sampel panggilan terbaru menentukan
apakah proses muncul memadai.
4.5. Review keamanan secara keseluruhan proses di tempat, termasuk perlindungan dokumen
penting dan stakeholder whistleblower individu.
4.6. Bertemu dengan sumber daya manusia untuk menentukan bahwa prosedur yang memadai
tempat untuk melindungi / encapsulate setiap pelapor.

5. Komite Audit Tanggung Jawab. Bertemu dengan perwakilan komite audit menentukan
pengetahuan dan pemahaman tentang etika dan program whistleblower dalam tempat.

24.5 Meningkatkan Penerapan Tata Kelola Perusahaan

Sebuah program etika yang kuat, merupakan unsur kunci dalam setiap program secara
keseluruhan tata kelola perusahaan di perusahaan.
Etika dan proses whistleblower dibahas dalam bab ini adalah penting baik untuk
kepatuhan SOx dan tata kelola perusahaan, tidak peduli apa ukuran organisasi. Auditor Internal
harus menyadari praktek-praktek sebagai bagian dari CBOK mereka dan harus memainkan
peran kunci dalam membantu baik untuk memulai dan meninjau proses ini.

15
 DETEKSI DAN PREVENTIF KECURANGAN

Bab ini akan menguraikan pedoman yang berisi kondisi umum yang akan dijumpai
audit internal ketika menghadapi kecurangan yang potensial setelah itu akan mendiskusikan
langkah-langkah untuk mengidentifikasi, menguji, dan proses kecurangan itu.

A. Understanding and Recognizing Fraud

Kecurangan adalah salah satu istilah yang sering digunakan banyak orang meskipun
mereka tidak sepenuhnya memahami apa yang dibicarakan. Langkah pertama yang penting
bagi auditor internal disini adalah memahami definisi yang sesuai dengan dictionary dan
hukum mengenai apakah kecurangan itu.

Ketika kecurangan ditemukan di dalam perusahaan, audit internal sering kali menjadi
sumber pertama yang dipanggil untuk melakukan investigasi dalam menentukan besarnya
kecurangan yang dilaporkan. Dalam situasi lain, auditor internal menemukan kecurangan
selama schedule audit dan kemudian menginvestigasi dan melaporkan hal tersebut kepada
konsulat perusahaan atau otoritas hukum lainnya.

Bab ini juga mendiskusikan inisiatid IIA untuk mereview kecurangan dalam audit
internal seperti halnya prosedur untuk mendeteksi dan mencegah kecurangan system komputer.
Dulunya kecurangan ada diluar tanggung jawab auditor, namun saat ini mereka memiliki
tanggung jawab yang meningkat untuk mendeteksi kecurangan dalam review aktivitas yang
dilkukannya dengan memberikan rekomendasi pengendalian yang tepat untuk pertahanan atas
adanya kecurangan dimasa yang akan datang.

25.2. Red Flags: Fraud Detection Signs for Internal Auditors

Auditor dan manajemen harus melihat indicator aktivitas kecuangan yang mungkin lebih
dalam lagi. Oleh karena itu mereka perlu untuk melihat yang dinamakan dengan red flag.

Beberapa tipe sinyal red flag yang dapat menunjukkan aktivitas kecurangan keuangan
yang potensial antara lain yaitu :

 Kurangnya kebijakan perusahaan dan standard prosedur operasi yang tertulis

 Berdasarkan interview dengan berbagai level, kurangnya kepatuhan dengan kebijakan
pengendalian internal organisasi

16
 Kelemahan kebijakan pengendalian internal, terutma dalam pembagian tugas
 Operasi yang tidak teratur di berbagai bidang seperti pembelian, penerimaan, gudang
atau kantor regional.
 Transaksi yang tidak tercatat atau catatan yang hilang
 Salinan atau bukti perubahan dokumen
 Tulisan tangan yang difotokopi atau dipertanyakan pada dokumen.
 Catatan penjualan dengan void atau kredit yang berlebihan
 Saldo bank tidak direkonsiliasi dengan dasar waktu atau terdapat stale item di dalam
rekonsiliasi bank
 Saldo buku besar pembantu yang diluar kondisi secara terus menerus
 Hubungan laporan keuangan yang tidak biasa
 Perbedaan antara perhitungan fisik inventory dan pencatatan perpetual yang tidak
dijelaskan secara berkelanjutan.
 Cek ditulis untuk kas dengan jumlah yang besar
 Tulisan tangan cek dalam lingkungan kumputer
 Transfer dana yang berkelanjutan atau tidak biasa anatar rekening bank perusahaan
 Transfer dana ke bank luar negeri
 Transaksi yang tidak konsisten dengan bisnis entitas
 Prosedur penyaringan karyawan baru yang buruk, termasuk tidak adanya latar belakang
atau referensi
 Keengganan manajemen untuk melaporkan kesalahan criminal
 Transfer 17lleg personal yang tidak biasa
 Officer atau karyawan dengan gaya hidup yang lebih dari kemampuannya
 Waktu liburan yang tidak digunakan
 Transaksi related party yang sering dan tidak biasa
 Karyawan yang memiliki hubungan erat dengan pemasok
 Karyawan yang memiliki hubungan erat satu sama lain di daerah dimana pemisahan
tugas yang dielakkan
 Penyalahgunaan akun beban seperti manajer yang tidak mengikuti peraturan yang telah
dibuat
 Asset bisnis yang menghilang tanpa penjelasan.

17
Namun, auditor internal sering kali gagal mendeteksi kecurangan untuk alasan berikut :

 Keengganan untuk mencari kecurangan.

 Terlalu banyak kepercayaan kepada auditee.
 Penekanan yang tidak cukup pada isu kecurangan yang potensial dalam audit finding
yang sering menunjuk kepada red flag.
 Perhatian akan kecurangn menerima dukungan yang tidak tepat dari manajemen.
 Auditor terkadang gagal berfokus pada area dengan resiko tinggi.
Kecurangan dapat berarti banyak, namun disini lebih mengarah ke tindakan criminal.
Kebanyakan pemahamannya berdasarkan undang-undang federal kecurangan secara
umum yang berbunyi :

“Barangsiapa, dengan cara apapum di dalam yuridiksi setiap departemen atau

agensi US, secara sadar dan sengaja memalsukan, menyembunyikan, atau
menutupi dengan trik, skema atau peralatan, atau membuat segala kesalahan,
fiktif, atau kecurangan dalam menulis atau dokumentasi pernyataan atau entry
yang mengandung kesalahan, fiktif, atau kecurangan, harus didenda tidak lebih
sari…. atau dipenjara tidak lebih dari…. atau keduanya”.

Auditor membutuhkan pemahaman mengenai mengapa orang-orang melakukan

kecurangan. Beberapa hal dibawah ini merupakan daftar beberapa tipe alasan untuk
melakukan kecurangan yang antara lain yaitu :

 Seorang karyawan memiliki kebutuhan uang yang mendesak.

 Frustasi pekerjaan, sehingga karyawan berpikiran bahwa perusahaan mereka tidak
peduli pada mereka, dan mereka merasa bebas untuk melakukan tindakan yang tidak
benar.
 Semua orang memiliki sikap tersebut, salam situasi ini sangat umum dalam lingkungan
bertipa small retail dimana karyawan berpikir orang lain yang mencuri.
 Tantangan untuk mengalahkan system, yang kemungkinan terdapat hacker dalam
lingkungan system terotomatisnya.
 Kelemahan pengendalian internal membuat kecurangan menjadi mudah, hal ini
merupakan memotivasi dasar banyaknya penipuan karena dengan lemahnya
pengendalian membuat kecurangan tidak akan terdeteksi.

18
  Rendahnya kemungkinan terdeteksi.
 Rendahnya kemungkinan untuk dituntut
 Manajemen puncak yang tidak terlalu perduli
 Rendahnya kesetiaan atau rasa memiliki organisasi. Saat ini pemilik operasi bisnis
mungkin kontinen dan lapisan bisnisnya jauh sehingga tidak terlalu peduli dalam
perkembangan.
 Ekspektasi anggaran atau target keuangan yang tidak masuk akal.
 Kurangnya kompensasi persaingan dan buruknya kesempatan promosi.

Hal tersebut diatas merupakan seluruh alasan dimna pengendalian internal

ditempatkan dan kecurangan dilakukan hanya oleh satu orang saja. Deteksi kecurangan
akan lebih sulit dideteksi ketika terdapat kolusi diantara banyak orang.

Ketika beberapa orang melakukan kecurangan bersama-saman, akan selalu ada

kemungkinan seseorang pangkatnya akan diputuskan. Kecurangan yang melibatkan senior
manajemen akan sulit untuk terdeteksi, sedangkan yang terjadi di level perusahaan yang
lebih rendah akan lebih mudah untuk terdeteksi dengan investigasi auditor internal yang
tepat.

25.3 Public Accounting’s Role in Fraud Detection

Tanggung jawab auditor eksternal dalam mendeteksi kecurangan laporan

keuangan sedang berlangsung namun menghadapi berbagai isu pertentangan selama
beberapa tahun. SAS oertama AICPA No.1 beberapa tahun yang lalu menyatakan :

“Auditor tidak memiliki tanggung jawab untuk merencanakan dan melaksanakan

audit untuk memperoleh keyakinan yang memadahi ata adanya salah saji, baik
disebabkan oleh error atau kecurangan yang tidak material dengan laporan
keuangan yang dideteksi”.

Meskipun selama periode munculnya kecurangan keuangan yang mengarah pada

Treadway Commission Report on Fraudulent Financial Reporting pada tahun 1987,

19
standard audit AICPA tetap tidak mengharuskan auditor internal bertanggung jawab atas
deteksi kecurangan.

Kemudian tanggung jawab ini dinyatakan kembali dalam SAS No.82 yang berisi
“Auditor memiliki tanggung jawab untuk merencanakan dan melaksanakan audit untuk
memperoleh keyakinan yang memadai mengenai apakah laporan keuangan bebas dari
salah saji material, baik disebabkan oleh error atau kecurangan.”

Berdasarkan Sox dan PCAOB yang baru, pada desember 2002, AICPA
menerbitkan SAS No, 99 mengenai tanggung jawab auditor untuk mendeteksi
kecurangan pelaporan keuangan. SAS Np. 99 ini, merupakan perubahan utama tanggung
jawab auditor eksternal, dimana mereka harus mengambil sikap skeptisme
20llegal20onal (keraguan) terhadap kemungkinan adanya kecurangan.

Karakteristik terjadinya kecurangan yang timbul dari penyalahgunaan asset dan

pelaporan keuangan. Factor resiko yang terkait dengan salah saji penyalahgunaan asset
yaitu :

1) Insentif/Tekanan
a) Kewajiban keuangan personal dapat menciptakan tekanan bagi manajemen
atau karyawan yang memiliki akses ke kas atau asset lain yang rentan
terhadap pencurian atau penyalahgunaan
b) Hubungan yang merugikan antara perusahaan dan karyawan dengan akses ke
kas atau asset lain yang rentan atas penucurian memotivasi karyawan tersebut
untuk menyalahgunakan asset. Hubungan tersebut seperti :
 Mengetahui atau mengantisipasi PHK karyawan dimasa depan
 Actual atau mengantisipasi perubahan kompensasi atau imbalan
karyawan
 Promosi, kompensasi, atau reward lain yang tidak konsisten dengan
yang diharapkan.
2) Opportunity (Adanya Kesempatan)
a) Karakteristik atau keadaan tertentu yang dapat meningkatkan kerentanan
penyalahgunaan asset. Kesempatan penyalahgunaan asset akan meningkat
ketika :
 Besarnya jumlah kas yang ada ditangan atau yang diproses.

20
  Inventory dengan ukuran yang kecil, jumlah yang banyak, atau
yang memiliki permintaan besar.
 Asset yang mudah dikonversi
 Asset tetap dengan ukuran yang kecil, berharga, atau yang kurang
jarang diamati oleh pemilik.

b) Pengendalian internal yang tidak memadai atas asset dapat meningkatkan

kerentanan penyalahgunaan asset. Penyalahgunaan asset ini meningkat
ketika :
 Terdapat pemisahan tugas atau pemerikasaan independen yang tidak
memadai
 Pengawasan manajemen yang tidak memadai atas tanggung jawab
karyawan terhadapp asset
 Penyaringan karyawa yang memiliki akses ke asset yang kurang
memadai
 Pencatatan yang tidak memadai terhadap asset
 System otorisasi dan persetujuan transaksi yang kurang memadai
 Kurangnya rekonsiliasi asset yang lengkap dan tepat waktu
 Kurangnya dokumentasi transaksi yang sesuai dan tepat waktu.
 Kurangnya liburan untuk karyawan yang melaksanakan fungsi
pengendalian kunci
 Pemahaman teknologi informasi oleh manajemen yang tidak memadai,
yang memungkinkan karyawan teknologi informasi melakukan
penyalahgunaan
 Pengendalian akses ke pencatatan terotomatis yang kurang memadai,
termasuk pengendalian atas review events log system computer.

Pada perubahan SAS No.99 mengakui bahwa manajemen sering kali dalam
posisi mengesampingkan pengendalian untuk melakukan kecurangan laporan
keuangan.dalam standard tersebut menyatakan bahwa penekanan utama auditor eksternal
dalam mendeteksi kecurangan adalah prosedur untuk melaksanakan periktan audit.

21
 Untuk membebankan standard audit deteksi kecurangan bagi anggotanya, AICPA
memberikan langkah-langkah yang kuat untuk membawa auditor eksternal dengan cepat
kearah situasi yang mendorong adanya kecurangan baik dengan material pendidikan
maupun studi kasus yang dapat ditemui di dalam web pagenya.

25.4 IIA Standards for Detecting and Investigating Fraud

Auditor internal banyak menghadapi kecurangan potensial dalam review yang

telah dijadwalkannya. Mereka lebih banyak terlibat dalam review transaksi yang lebih
rinci daripada auditor eksternal dan selain itu mereka dapat melihat dokumen atau
transaksi yang dipertanyakan lebih sering lagi. Apabila manajemen merasa terdapat
kecurangan yang potensial di dalam perusahaan, langkah pertama yang hamper sering
dilakukan adalah menghubungi auditor internal yang memiliki beberapa hubungan dan
komunikasi dengan departemen hokum perusahaan.

Standard professional praktek audit internal oleh IIA, menyatakan bahwa

kecurangan mencakup pandangan secara umum. Auditor internal harus memikirkan hal
yang terjadi sebagai kemungkinan kesalahan dan harus melihat setiap bukti atas aktivitas
yang tidak tepat atau 22llegal di dalam audit.

Mengakui bahwa mungkin sulit untuk mendeteksi kecurangan, standard IIA 2004
1210.A2 yang direvisi menyatakan bahwa : “auditor internal harus memiliki pengetahuan
yang cukup untuk mengidentifikasi indicator kecurangan tetapi tidak diharapkan untuk
memiliki ahli yang memiliki tanggung jawab utama dalam mendeteksi dan
menginvestigasi kecurangan”.

Dalam melaksanakan tanggung jawab ini, auditor internal harus menentukan

misalnya, apakah :

 Lingkungan organisasi mendorong kesadaran pengendalian dan sasaran serta

tujuan realistis perusahaan telah ditentukan
 Kebijakan tertulis yang ada menjelaskan aktivitas yang dilarang dan tindakan
yang diperlukan ketika pelanggaran ditemukan.
 Kebijakan otoriasi yang tepat untuk transaksi telah dibangun dan dikembangkan

22
  Kebijakan, praktek, prosedur, laporan dan mekanisme lain dikembangkan untuk
memonitor aktivitas dan menjaga asset terutama pada area yang beresiko tinggi.
 Sumber komunikasi memberikan informasi yang cukup dan dapat
dipercayakepada manajemen
 Rekomendasi perlu dibuat untuk pembentukan dan peningkatan pengendalian
biaya efektif untuk mencegah kecurangan.

25.5 Fraud Investigations for Internal Auditors

Selain membantu dalam membangun dan mereview pengendalian untuk

mencegah dan mendeteksi kecuranga, auditor internal seringkali terlibat dalam
investigasi kecurangan. Ketika menghadapi informasi yang berpotensi kecurangan,
langkah awal auditor internal adalah mengkonsultasikan dengan penasehat perusahaan.
Dalam setiap review yang berhubungan dengan kecurangan, auditor harus memiliki
Tujuan utama yaitu :

1) Membutikan kerugian. Review investigasi audit internal harus mengumpulkan

material yang relevan sebanyak yang diperlukan untuk menentukan ukuran
keseluruhan dan ruang lingkup kerugian
2) Menetapkan niat dan tanggung jawab. Langkah yang berkaitan dengan siapa yang
melakukannya. Sebisa mungkin, auditor internal harus berusaha untuk
mengidentifikasi seluruh pihak yang bertanggung jawab atas kerugian tersebut
dan apabila ada keadaan khusus atau berbeda yang dikaitkan dengan aksi
kecurangan.
3) Membuktikan metode investigasi audit yang digunakan. Tim investigasi perlu
untuk membuktikan bahwa kesimpulan kecurangan yang terkait berdasarkan
rincian, proses investigasi dari langkah-ke langkah.

25.6 Information Technology Fraud Prevention Processes

23
 Teknologi Informasi (TI) aau teknologi yang berkaitan dengan kecurangan
mencakup berbagai masalah dan kekhawatiran. Karena system dan proses TI mendukung
banyak area dan melintasi banyak garis di dalam perusahaan, kita berfikir kecurangan
yang berkaitan dengan TI terjadi di berbagai dimensi dari yang kecil hingga aktivitas
kecurangan yang signifikan, yang antara lain :

 Masalah akses internet. Perusahaan sering membuat panduan dan pengendalian

untuk membatasi penggunaan internet, namun web begitu meluas yang sulit untuk
memishkan pribadi dari penggunaan bisnis. Peraturan tersebut sering kali dilanggar
oleh karyawan dan sering kali dilewati dengan menggunakan perangkat lunak yang
memungkinkan mereka untuk berkeliling dalam system firewall.
 Penggunaan personal sumberdaya TI yang tidak tepat. Perusahaan harus
menetapkan aturan yang menyatajan bahwa tidak boleh ada file atau program
pribadi di dalam work supplied systems.
 Penggunaan software yang illegal. Karyawan kadang-kadang mencoba untuk
mencuri / download salinan software perusahaan atau memasang perangkat
software sendiri pada sumber daya komputer perusahaan. Dengan demikian,
mereka melanggar aturan perusahaan dan sering kali karyawan mereka membuat
perusahaan melanggar perjanjian lisensi software dan juga memungkinkan system
perusahaan terinfeksi virus.
 Keamanan komputer dan kecurangan konfidensial. Karyawan dapat melanggar
perlindungan password dan mendapatkan akses yang tidak layak ke system
komputer dan file.
 Informasi pencurian melalui perangkat USB. Saat ini perangkat penyimpanan yang
berukuran kecil dapat dipasang pada system komputer dan digunakan untuk
mendownload beberapa gigabyte informasi.
 Pencurian informasi atau kecurangan penyalahgunaan komputer. Ini adalah salah
satu hal yang tidak benar untuk mengakses system komputer dengan melanggar
pengendalian password dan untuk melihat, memodifikasi, atau menyalin data atau
files dengan tidak tepat yang dapat menyebabkan terjadinya computer crime.
 Penggelapan atau transfer dana elektronik tanpa otorisasi. Mencuri uang atau
sumber daya lain melalui transaksi yang tidak tepat atau tidak terotoriasi
merupakan penyebab yang masalah kecurangan system dan jaringan TI yang
signifikan.

24
 Hal diatas merupakan hal yang dianggap kecil untuk pelanggaran TI. Namun,
auditor tidak perlu mereview bagian ini, karena ada daerah yang memiliki resiko lebih
tinggi yang menghabiskan waktu dan sumberdaya yang terbatas.

25.7 Fraud Detection and the Internal Auditor

Akibat adanya skandal keuangan yang menimbulkan terbentuknya Sox, AICPA

dan auditor eksternal memiliki tugas utama untuk mendeteksi lebih baik aktivitas
kecurangan dalam audit laporan keuangan. Auditor internal juga perlu untuk lebih
banyak mempertimbangkan kecurangan dalam pekerjaannya. Seseuai dengan SAS
No.99, auditor internal seringkali terlibat dalam pekerjaan investigasi kecurangan.
Auditor internal harus memiliki pemahaman CBOK mengenai red flag yang
menindikasikan kemungkinan kecurangan sama halnya dengan prosedur review yang
termasuk dalam investigasi kecurangan dalam semua audit internal.

25
 HIPAA, GLBA, dan Persyaratan Kepatuhan Lainnya

Bab ini membahas tiga item undang-undang dengan dampak luas, terutama untuk
auditor internal yang berbasis di AS. Yang pertama adalah UU Kesehatan Portabilitas dan
Akuntabilitas (HIPAA). Auditor internal mungkin berpendapat, “Saya melakukan audit
internal untuk perusahaan manufaktur. Mengapa saya harus khawatir tentang undang-undang
yang terkait dengan asuransi kesehatan? ”Fokus HIPAA adalah pada penyedia layanan
kesehatan, tetapi membahas berbagai catatan privasi pribadi yang berdampak pada semua
perusahaan AS, dan telah menyebabkan perubahan di bidang-bidang seperti keamanan
teknologi informasi (TI) dan fungsi sumber daya manusia (SDM). Setiap perusahaan yang
membawa data asuransi kesehatan karyawan dalam catatan SDMnya harus mengetahui aturan
HIPAA, dan auditor internal sering kali dapat menjadi bantuan utama bagi manajemen dalam
menyoroti potensi kontrol dan pelanggaran HIPAA.

A. HIPAA: Perawatan Kesehatan dan Banyak Lagi

Meskipun seperangkat aturan terkait perawatan kesehatan, HIPAA berisi seperangkat

aturan legislatif terkait privasi yang melampaui layanan kesehatan dan akan berdampak pada
banyak perusahaan dan auditor internal mereka. Misalnya, auditor internal yang berbasis di AS
yang mengunjungi dokter untuk pemeriksaan fisik tahunan atau prosedur lain akan diminta
untuk menandatangani perjanjian izin pengungkapan ketika memeriksa. Dokumen izin ini
meminta pasien untuk setuju untuk mengizinkan catatan medis mereka berpotensi menjadi
dibagikan atau diungkapkan sebagai bagian dari kunjungan itu. Jika auditor-pasien
menanyakan alasan dokumen dan mengapa dokumen itu harus ditandatangani, jawabannya
biasanya adalah “persyaratan hukum HIPAA.” Pasien biasanya menandatangani dokumen dan
melanjutkan, tanpa mengajukan pertanyaan lebih lanjut.

26
 Undang-undang HIPAA yang asli memiliki empat tujuan utama:
1. Memastikan portabilitas kesehatan dengan menghilangkan kondisi perawatan
kesehatan yang sudah ada sebelumnya pembatasan.
Ini adalah motivasi asli yang menuntun pada jalannya HIPAA. Orang-orang yang
didiagnosis dengan suatu kondisi seringkali tidak dapat memperoleh perlindungan asuransi
kesehatan baru ketika berganti majikan karena kondisi yang sudah ada sebelumnya dibagi
dengan calon pemberi kerja baru, yang tidak ingin menanggung atau mengasuransikan
kondisi tersebut.
2. Mengurangi penipuan dan penyalahgunaan layanan kesehatan. Audiensi kongres yang
mengarah ke undang-undang mengutip contoh dugaan penipuan dan penyalahgunaan.
3. Menegakkan standar untuk informasi kesehatan. Penegakan ini dicakup oleh aturan
privasi dan keamanan HIPAA untuk diuraikan dalam bab ini.
4. Menjamin keamanan dan privasi informasi kesehatan. Tujuan keseluruhan HIPAA
adalah bahwa informasi kesehatan adalah masalah pribadi yang tidak boleh dibagikan secara
terbuka dengan orang lain.

Bagian ini memberikan gambaran singkat tentang tujuan HIPAA dan aturan yang
dihasilkannya yang mencakup privasi dan keamanan. Bagian-bagian yang akan datang
memperkenalkan HIPAA sebagai seperangkat aturan baru yang digerakkan secara legislatif
yang memengaruhi banyak auditor internal. Undang-undang HIPAA juga menggambarkan
bagaimana proses pembuatan peraturan yang disponsori pemerintah sering bekerja dan
memberi petunjuk tentang apa yang dapat kita harapkan dari Dewan Standar Pengawasan
Akuntansi Perusahaan Publik (PCAOB) yang baru, selain dari Standar Audit No. 5 (dibahas
pada Bab 4) . Aturan HIPAA awalnya dikeluarkan dalam bentuk draft. Draf tersebut
menghasilkan banyak komentar, draf yang direvisi dikeluarkan dengan lebih banyak komentar,
dan aturan final dikeluarkan lebih lambat dari yang direncanakan semula.

(a) Aturan Privasi Catatan Pasien HIPAA

Aturan privasi HIPAA mencakup lima area umum, yang secara singkat diuraikan berikutnya.
Komentar-komentar ini tidak memberikan cakupan yang lengkap dan tidak dimaksudkan
sebagai sumber referensi untuk aturan HIPAA; mereka dimaksudkan untuk memberi para
profesional nonmedis gambaran umum dari aturan baru HIPAA ini:
1. Penggunaan dan pengungkapan catatan medis . Suatu perusahaan yang tunduk pada
peraturan HIPAA harus mengambil langkah-langkah untuk membatasi penggunaan dan
pengungkapan informasi medis pribadi hingga “minimum yang diperlukan untuk mencapai
tujuan penggunaan, pengungkapan, atau permintaan yang dimaksud” untuk hal-hal yang tidak
terkait dengan perawatan. Kami memulai ikhtisar peraturan HIPAA ini dengan mengutip

27