Audit Internal (Pertemuan ke-6)

Oleh: Bonny Adhisaputra & Herbayu Nugroho

Sumber: Brink's Modern Internal Auditing 7th Edition

Planning and Performing Internal Audits

(part 2)
Audit Programs & Control Self-Assessment

Fungsi audit internal memiliki berbagai macam bidang dan kegiatan

untuk dimasukkan ke dalam review. Hal ini dapat terkonsentrasi pada
review pengendalian internal proses keuangan, wilayah operasional di
perusahaan, sistem keselamatan dan masalah keamanan, kontrol yang
berhubungan dengan teknologi informasi, atau salah satu dari serangkaian
daerah lain. Daftar dari semua potensi area yang dapat diaudit sering
disebut alam semesta audit. Auditor internal di semua tingkat harus
memahami pentingnya memiliki alam semesta audit internal-perusahaan
tertentu sebagai dasar untuk memandu kegiatan audit internal mereka.

10.1

Defining The Scope and Objectives of the Internal Audit

Universe
Untuk mendefinisikan Audit Universe, audit internal harus meninjau atau
memahami jumlah entitas potensial yang dapat diaudit baik dari segi unit
usaha atau daerah operasi dalam perusahaan dan jumlah unit atau
kegiatan yang dapat diaudit di dalam dan di antara unit-unit bisnis
tersebut.
Contoh auditable activities :
-

peraturan, prosedur, praktek

manufaktur, distribusi, supply chain

sistem informasi

lini produk

function seperti pembelian, akuntansi, finance, marketing dll

Dalam mendeksripsikan audit universe, CAE dan supporting internal

audit team akan memulai dengan bagan organisasi yang mendetail

untuk mendeskripsikan entitas tsb. Tim audit juga harus menentukan

Vocal point dari audit.
Contoh dari titik Vocal point tersebut misalnya :
1. IT access controls
2. System security configuration
3. Monitoring and incident response
4. Security management and administration

4 focal point dalam IT infrastructure universe misalnya:

a) Structure and strategy
b) Methodologies and procedures
c) Measurement and reporting
d) Tools and technology
Unit perusahaan yang auditable harus terus diupdate sebagai bagian
dari proses perencanaan audit internal.
10.2

Assessing Internal Audit Capabilitis and Objectives

Daftar rinci dari unit-unit perusahaan menunjukkan semua bidang yang

dapat di review oleh audit internal adalah nilai yang tidak seberapa
kecuali audit internal memiliki keterampilan dan sumber daya untuk
memulai audit di seluruh daerah tersebut. Audit internal harus realistis
dalam mengembangkan daftar semesta audit. Auditor harus memahami
risiko kontrol dalam setiap entitas yang hendak diaudit.
Internal audit harus menganalisis potensi dari entitas yang hendak
diaudit berdasarkan :
-

Menciptakan control objective yang tinggi untuk setiap kandidat audit

universe

Tentukan nilai risiko dari setiap kandidat

koordinasikan internal audit dengan kepentingan audit dan tata

kelola lainnya

ciptakan control objective yang tinggi untuk setiap item dalam audit
universe

buat kuesioner untuk preliminary control assessment

Hasil dari review dan analisis, auditor harus membuat audit universe
schedule yang menunjukkan area yang potensial untuk direview

10.3

Audit Universe Time and Resource Limitations

Langkah berikutnya adalah kita harus melihat daftar awal semesta audit
dan menentukan audit yang diperlukan pada basis tahunan atau secara
setengah tahunan. Ini adalah audit yang harus diselesaikan selama
periode berjalan. Sebagai contoh, manajemen mungkin mengharapkan
audit internal untuk mengamati persediaan fisik dalam lingkungan
manufaktur. Sebagai bagian dari alam semesta audit dan perencanaan
perusahaan, audit internal harus berasumsi bahwa observasi tersebeut
perlu jadwal review secara teratur dan berkala. Kemudian langkah
selanjutnya adalah untuk melihat item yang tersisa di daftar awal
semesta audit dan menentukan apakah waktu dan sumber daya
tersedia untuk review dari item-item tersebut.

10.4

Selling the Audit Universe to the Audit Committee and

Management
CAE dan tim audit internal dapat melalui upaya yang besar untuk
membangun dan memelihara alam semesta audit internal dan mungkin
diminta bantuan dan saran dari manajemen senior dalam isi dan asumsi
alam semesta audit ini, tetapi komite audit adalah entitas yang
bertanggung jawab untuk meninjau dan menyetujui dokumen tersebut.
Komite Audit bertanggung jawab untuk semua kegiatan audit internal
dan harus bergantung pada CAE dan anggota lain dari audit internal
untuk melakukan audit terjadwal dan melaporkan kembali hasilnya ke
komite audit. Namun, komite audit tidak sering bersentuhan langsung
engan proses audit, di sini CAE sebagai perpanjangan tangan yang
diandalkan komite untuk melakukan audit dan melaporkan hasilnya
pada komite audit. CAE akan mempresentasikan dan meyakinkan
komite audit untuk menyetujui konsep yang telah disusun..

10.5

Assembling Audit Programs: Audit Universe Key Components

Untuk

memberikan

bantuan

dan

bimbingan,

auditor

internal

menggunakan program audit untuk melaksanakan prosedur audit

internal secara konsisten dan efektif untuk sejenis audit sejenis.

Program audit adalah alat untuk merencanakan, mengarahkan, dan

mengendalikan pekerjaan audit serta cetak biru untuk tindakan,
menentukan langkah-langkah yang akan dilakukan untuk memenuhi
tujuan audit. Ini merepresentasikan pilihan auditor atas metode terbaik
untuk menyelesaikan pekerjaan yang dilakukan dan berfungsi sebagai
dasar untuk merekam langkah-langkah pekerjaan yang dilakukan.
Dalam rangka mempersiapkan program ini, auditor internal harus
terlebih dahulu memiliki pemahaman tentang karakteristik bagaimana
program audit yang memadai.
a) Audit Program Formats and Their Preparation
Program audit adalah prosedur yang menggambarkan langkahlangkah dan tes yang akan dilakukan oleh auditor ketika melakukan
pekerjaan di lapangan. Program ini harus diselesaikan setelah
selesainya survei pendahuluan dan lapangan sebelum memulai
kegiatan lapangan audit yang sebenarnya. Program audit tersebut
harus dibangun dengan beberapa kriteria, yang paling penting
adalah bahwa program ini harus mengidentifikasi aspek area yang
akan diperiksa lebih lanjut dan daerah sensitif yang memerlukan
penekanan dalam pemeriksaan.
b) Types of Program Audit Evidence
Auditor internal harus mengumpulkan bukti audit untuk mendukung
evaluasi, apa yang disebut dengan standar audit internal yang
cukup, kompeten, relevan, dan berguna. Sebuah program audit,
yang dibangun dengan benar, harus membimbing auditor dalam
proses pengumpulan bukti. Internal auditor akan menghadapi
beberapa jenis bukti yang dapat berguna dalam mengembangkan
kesimpulan auditor. Auditor internal akan menghadapi berbagai
tingkat bukti audit dan harus berusaha untuk merancang prosedur
audit mereka untuk mencari dan bergantung pada bukti audit
terbaik yang tersedia.

10.6

Audit Universe and Program Maintenance

Dokumen audit universe adalah deskripsi umum atas seluruh unit audit
yang dapat direview fungsi internal audit. Selanjutnya perencanaan akan

menentukan kedalaman dan batasan dalam aktivitas audit. Universe

menjadi peta besar yang meliputi teritori dan batasan internal audit. Hal
ini dapat menjadi basis komunikasi ke komite audit dan untuk
perencanaan aktivitas audit ke depan.
Dokumen audit universe tidak harus selalu berubah sesuai perubahan
kecil, namun yang penting tetap update. Audit universe yang efektif akan
mendefinisikan perencanaan audit tahunan dan menjadi media untuk
mendeskripsikan aktivitas dari audit.
Audit internal perlu mengembangkan format program audit standard
untuk semua review aktivitas audit yang sifatnya repetitive dan regular.
Audit program dapat menjadi learning tool dan mekanisme untuk
mempersiapkan audit internal yang lebih konsisten dan efektif.
Memahami bagaimana membangun dan menggunakan audit universe
serta program audit pendukung merupakan kunci CBOK yang harus
dimiliki internal audit.

11.1

Control Self-Assessments and Benchmarking

Control Self-Assessments (CSA) adalah proses internal audit untuk

peningkatan internal control yang sedang berjalan. Dalam CSA, internal

audit bekerja dengan tim local dalam beberapa area operasional
perusahaan, memimpin mereka dalam usaha untuk mengevaluasi
prosedur control mereka saat ini yang kemudian akan digunakan hasilnya
untuk peningkatan pengendalian internal.
Benchmarking adalah sebuah praktek internal audit yang lebih
formal. Benchmarking merupakan sebuah proses yang mengizinkan
seorang internal auditor untuk membandingkan bagaimana organisasi
yang sama berusaha untuk menampilkan dan mengeksekusi praktek
secara umum.

11.2

Importance of Control Self-Assessments

Metodologi CSA menjadi alat yang berguna untuk internal auditor

dan yang profesi lainnya untuk lebih memahami lingkungan pengendalian

internal perusahaan. Pendekatan ini mengharuskan internal auditor

menempatkan tim khusus untuk menilai pengendalian internal. CSA
pertama kali di kembangkan pada tahun 1987 oleh tim internal auditor di
Gulf Canada sebagai sebuah alat untuk menilai ke efektifan pengendalian
internal sebaik proses bisnis yang ada.
Pada bab ini menggambarkan proses CSA dengan lebih detail dan
mendiskusikan nilai yang potensial bagi perusahaan dalam penerapan
CSA. Kemudian bagaimana internal audit dapat memperkenalkan dan
mengevaluasi data serta hasil dari rancangan CSA. CSA menjadi alat
yang penting dan berguna bagi banyak organisasi internal audit.
11.3

CSA Model
Dalam CSA model dikatakan bahwa sebuah perusahaan harus

menerapkan tujuan serta aktivitas pengendalian yang kuat. Dua elemen

ini di dukung oleh sistem informasi serta komunikasi yang baik dalam
proses bisnis, untuk penilaian risiko dan menilai kinerja.
CSA adalah sebuah proses pengembangan yang berkelanjutan
yang serupa dengan penggambaran dan penggunaan metode oleh
jaminan kualitas. Konsep tersebut digunakan untuk sebuah tim untuk
menentukan dan mengembangkan kontrol lingkungan mereka dengan
menetapkan sasaran dan tujuan dengan memperhatikan kontrol. Kontrol
tersebut

kemudian

penerapan

melakukan

pengendalian

penilaian

aktivitas

untuk

resiko.

Kemudian

mengurangi

risiko

untuk
yang

teridentifikasi. Lalu untuk memonitor pelaksanaan pengembangan

pengendalian-pengendalian
berkelanjutan.

tersebut.

Ini

merupakan

proses

yang

Gambar 3.1: CSA Process

Banyak departemen internal audit telah menggunakan CSA sebagai
sebuah metode untuk mendorong departemen-departemen untuk berfikir
bagaimana mengembangkan pengendalian internal mereka.

11.4

Launching The CSA Process

Langkah pertama dalam meluncurkan proses CSA adalah sebuah

keberanian usaha, seorang Chief Audit Executive (CAE) atau beberapa

orang memberikan inisiatif yang akan dibutuhkan untuk menjual konsep
CSA kepada senior manager. Beberapa keunggulan potensial dari proses
CSA adalah:

Peningkatan cakupan dalam laporan pengendalian internal melaui

laporan periodik.

Target dalam pengendalian internal terkait dengan penempatan.

Fokus yang lebih besar pada risiko yang tinggi dan item yang tidak
biasa yang ditemui dalam review CSA.

Peningkatan keefektifan dari internal audit - tindakan perbaikan yang

direkomendasi

melalui

pemindahan

kepemilikan

pengendalian

internal serta tanggung jawab kepada karyawan yang beroperasi.

Ada 3 prinsip utama dalam pendekatan CSA yaitu:

Facilitated team meeting workshop

Dalam pendekatan ini pengumpulan informasi dari kerja tim yang
merepresentasikan berbagai level dalam perusahaan.

Questionnaires
Dalam pendekatan ini digunakan survei yang biasanya berdasarkan
respon yang sederhana seperti ya/tidak.

Management Produced Analysis

Pendekatan ini merupakan tipe yang benar-benar seperti internal
audit dalam analisa, digunakan tergantung dari keseluruhan budaya
organisasi maupun keputusan manajemen.

Proses dalam peluncuran CSA adalah sebagai berikut:

a. Performing the Facilitated CSA Review
1. Objective-based Fasilitated CSA Review
Sesi ini berfokus pada jalan terbaik untuk mencapai tujuan bisnis
seperti keakuratan laporan keuangan. Workshop ini dimulai oleh
tim mengidentifikasi pengendalian saat ini, kemudian menentukan
sisa risiko yang ada jika pengendalian tidak bekerja. Tujuannya
adalah untuk memutuskan apakah prosedur pengendalian sudah
efektif, dan apakah risiko ada dalam level yang dapat diterima.
2. Risk-based Fasilitated CSA Review
Sesi ini berfokus pada tim CSA dalam mendaftarkan risiko-risiko
untuk mencapai tujuan pengendalian internal. Dimulai dengan
mendaftar seluruh hambatan yang mungkin terjadi, rintangan,
ancaman,

dan

pengungkapan

yang

mungkin

mencegah

pencapaian sebuah tujuan. Kemudian memeriksa prosedur

pengendalian untuk menentukan jika prosedur tersebut cukup
untuk mengelola risiko yang teridentifikasi. Tujuannya adalah
menentukan residual risk yang signifikan.
3. Control-based Fasilitated CSA Review
Sesi ini berfokus pada seberapa baik penempatan pengendalian
bekerja. Format ini berbeda dari dua format sebelumnya karena
fasilitator mengidentifikasi risiko-risiko kunci dan pengendalian
sebelum

memulai

workshop.

Tujuannya

adalah

untuk

menganalisa celah diantara seberapa baik pengendalian yang

bekerja dan seberapa baik manajemen berekspektasi terhadap
pengendalian yang bekerja.
4. Process-based Fasilitated CSA Review
Sesi ini berfokus pada seleksi aktivitas yang merupakan elemen
dari rangkaian proses. Proses merupakan sebuah rangkaian yang
terkait aktivitas yang dimulai dan diakhiri seperti proses
pembelian, pengembangan produk. Tujuan dari tipe ini adalah
untuk evaluasi, update, validasi, dan pengembangan.
b. Performing the Questionnaire-Based CSA Review
Dalam banyak kasus, questionnaire dapat menjadi cara yang efektif
untuk mengumpulkan informasi pengendalian internal. Sebuah
questionnaire dapat disiapkan kemudian didistribusikan kepada
kelompok terpilih dari stakeholder untuk memahami resiko dan
pengendalian dalam area kepentingan. Tim CSA akan mengedarkan
kuisioner tersebut dengan nama responden yang tertera kepada
kelompok stakeholder yang terpilih, lalu memonitor hasil untuk
memastikan bahwa sejumlah nomor yang tepat telah dikembalikan
kemudian mengumpulkan hasilnya.
c. Performing the Management-Produced Analysis CSA Review
Sebagai sebuah alternatif untuk melakukan survey atau memfasilitasi
workshop. Dengan pendekatan ini, manajemen memproduksi sebuah
pembelajaran proses bisnis

serupa dengan riset. Seorang CSA

specialist, yang mungkin seorang internal auditor mengkombinasikan

hasil dari pembelajaran dengan informasi yang dikumpulkan dari
sumber-sumber lain seperti manager dan personil utama.

11.5

Evaluating CSA Result

Sebuah analisis CSA, terutama jika itu mencakup beberapa proses atau
sistem, akan menghasilkan sejumlah besar data. Beberapa mungkin akan
mendukung kekuatan proses yang ada. Yang lain akan menunjukkan
kelemahan pengendalian internal yang membutuhkan koreksi. Dan yang

lain mungkin juga akan menunjukkan daerah-daerah yang membutuhkan

penelitian lebih lanjut. Hasil review CSA ini akan mirip dengan review
COSO internal control, metode untuk mengevaluasi internal kontrol yang
signifikan. IIA percaya bahwa proses CSA efektif meningkatkan profesi
audit internal.